Positive Technologies выпустила новый продукт для защиты АСУ ТП

Positive Technologies выпустила новый продукт для защиты АСУ ТП

Positive Technologies выпустила новый продукт для защиты АСУ ТП

Компания Positive Technologies выпустила на рынок систему, предназначенную для защиты автоматизированных систем управления технологическим процессом (АСУТП) — Positive Technologies Industrial Security Incident Manager (PT ISIM). Система позволяет обнаруживать уязвимости и хакерские атаки на технологические сети предприятия, а также расследовать инциденты (в том числе ретроспективно) на критически важных объектах.

PT ISIM помогает бороться с внутренними и внешними угрозами безопасности, включая несанкционированное подключение, подбор пароля, неправомерные управляющие команды, подмену прошивки промышленного оборудования, потенциально опасные действия персонала, ошибки конфигурации. PT ISIM ужевключена в продуктовые портфели авторизованных партнеров компании Positive Technologies.

PT ISIM имеет встроенный механизм корреляции, который связывает события безопасности в логические цепочки и выявляет распределенные во времени атаки. Цепочка разрастается по мере развития атаки (иногда длящейся месяцами), каждое событие которой в отдельности может не представлять угрозы. Благодаря этому появляется возможность восстановить полную картину случившегося при подозрении на взлом или заражение системы вредоносным кодом.

«К созданию продукта, нацеленного на обеспечение индустриальной кибербезопасности, мы приступили в 2014 году. Необходимость такого решения мы остро осознали по результатам нашей исследовательской работы в сетях АСУ ТП в компаниях различных отраслей. В частности, наш исследовательский центр обнаружил более 140 000 компонентов АСУ, доступных из интернета, 10% которых оказались уязвимыми. Мы выявили свыше 250 уязвимостей нулевого дня в системах АСУ, при том, что сами владельцы систем даже не подозревали, насколько уязвимы эти ресурсы, — рассказывает Максим Филиппов, директор Positive Technologies по развитию бизнеса в России. — Аккумулировав весь наш технический потенциал и опыт, мы за полтора года — уже к середине 2015-го — разработали первую версию продукта, протестировав его на пилотной зоне одной из отраслеобразующих отечественных компаний. За последние полгода продукт из заказной разработки в интересах узкого круга компаний вырос в промышленное решение, предрелизную версию которого мы продемонстрировали нашим партнерам в феврале этого года».

Реализованная в PT ISIM функция визуализации позволяет наглядно отображать инциденты на промышленной карте предприятия с привязкой к конкретному оборудованию. Также система в автоматическом режиме оповещает операторов АСУ и специалистов по безопасности об инциденте — с различной глубиной детализации, в соответствии с их полномочиями.

За счет подключении PT ISIM к инфраструктуре предприятия однонаправленным способом полностью исключается какое бы то ни было влияние системы на технологический процесс: она работает исключительно в пассивном режиме, собирая для анализа копию трафика.

«PT ISIM — практическая реализация нашего подхода к защите автоматизированных систем управления. Концептуально важным в этом случае является, во-первых, формирование цепочек атак как мощного средства противодействия распределенным во времени угрозам. Во-вторых — визуализация атак на бизнес-логику для корректной интерпретации событий системы. И, в-третьих, невмешательство в технологический процесс за счет пассивного режима работы, — отмечает Олег Матыков, руководитель направления Positive Technologies. — При этом для разных отраслей промышленности создаются разные интерфейсы, ипри каждом внедренииPT ISIM адаптируется к реальной операционной среде — типичным для нее протоколам, архитектуре, правилам корреляции и оборудованию. Эффективность обнаружения атак при таком подходе увеличивается в разы».

На сегодняшний день запущены пилотные внедрения в транспортной отрасли и ТЭК, ведутся работы по адаптации продукта к специфике других отраслей.

Хакеры угоняют WhatsApp руководителей и требуют перевести деньги

Мошенничество с письмом от директора вышло на новый уровень. Теперь злоумышленники не просто подделывают имя руководителя в письме, они перехватывают его WhatsApp (принадлежит корпорации Meta, признанной экстремисткой и запрещённой в России) и рассылают сообщения от лица настоящего владельца аккаунта.

Новую схему, получившую название Boss Scam, описали специалисты, расследующие киберинциденты. Она сочетает социальную инженерию, технику сторонней загрузки DLL и кражу сессий WhatsApp Web.

Всё начинается с сообщения, якобы отправленного от имени регулятора или госоргана. Жертве предлагают срочно ознакомиться с документами или выполнить требования, прикладывая ZIP-архив. Внутри — исполняемый файл и DLL-библиотека. После запуска Windows автоматически подгружает вредоносную DLL, позволяя малвари закрепиться в системе.

 

Дальше цель меняется. Вместо шифрования файлов или уничтожения данных злоумышленников интересует активная сессия WhatsApp Web. Если она найдена, атакующие получают возможность читать переписку и отправлять сообщения от имени руководителя, не обходя двухфакторную аутентификацию на смартфоне.

Именно здесь начинается самое опасное. Финансовый отдел получает вполне привычное сообщение от генерального директора с просьбой срочно перевести деньги или изменить банковские реквизиты. Поскольку сообщение приходит с настоящего аккаунта, доверие к нему значительно выше, чем к обычному фишинговому письму.

В некоторых вариантах атаки вредонос также изменяет локальные контакты на заражённом компьютере, подменяя номер злоумышленника именем руководителя. Это помогает сохранить иллюзию подлинности даже после завершения угнанной веб-сессии.

Эксперты предупреждают, что атака нацелена не столько на ИТ-инфраструктуру, сколько на бизнес-процессы компаний. Поэтому защититься одним антивирусом не получится.

Специалисты рекомендуют подтверждать любые срочные платежные поручения через независимый канал связи (например, по телефону или лично), не запускать неизвестные EXE-файлы из мессенджеров, контролировать подключенные устройства в WhatsApp Web, а также отслеживать подозрительную загрузку DLL и попытки кражи пользовательских токенов.

RSS: Новости на портале Anti-Malware.ru