Вышел PT ISIM 4.5 с ускоренной доставкой правил и индикаторов угроз

Екатерина Быстрова 15 Мая 2024 - 21:16

Корпорации

Positive Technologies

PT Industrial Security Incident Manager (PT ISIM)

Системы мониторинга событий безопасности

Проактивный поиск сложных киберугроз (Threat Hunting)

Защита критически важных объектов

...

Вышел PT ISIM 4.5 с ускоренной доставкой правил и индикаторов угроз

Новая версия системы глубокого анализа трафика в технологических сетях PT Industrial Security Incident Manager упрощает контроль информационной безопасности крупных распределенных производственных структур.

В PTISIMпоявились новые функции, которые ускоряют доставку правил и индикаторов угроз, а также повышают удобство администрирования системы. Кроме того, в продукт была добавлена поддержка протоколов АВВ и «Энергомеры» для выявления опасных команд и аномалий.

«PT ISIM Overview Centerтеперь может автоматическискачивать с серверов PositiveTechnologies обновления PTISTI (базы экспертных правил PositiveTechnologies для выявления угроз на промышленные инфраструктуры) и распространять их по защищенным каналам на все подключенные сенсоры PTISIM. Это дает возможность пользователям сразу же получить доступ к актуальной информации об атаках и способах их выявления», — отметил Илья Косынкин, руководитель разработки продуктов для безопасности промышленных систем Positive Technologies.

В новой версии пользователь может входить в любой сенсор PT ISIM в иерархии с помощью учетной записи MaxPatrol SIEM. Для этого необходимо настроить интеграцию PT ISIM Overview Center и всех сенсоров PT ISIM с модулем PT Management and Configuration (PT MC). А если PT MC интегрирован c Active Directory, то можно входить под доменной учетной записью во все подключенные сенсоры PT ISIM.

В PT ISIM 4.5 теперь можно разграничить доступ к функциям PTISIM Overview Center между аналитиками SOC и ИТ-администраторами. Появилась возможность подключать сенсоры, установленные в нескольких независимых организациях или дочерних зависимых обществах, к одной консоли PTISIMOverviewCenter. Все пользователи смогут работать на общем сервере, но им будут доступны данные только от сенсоров своей организации.

В PT ISIM 4.5 вместе с новым пакетом экспертизы также появилась поддержка протоколов ABBи «Энергомеры». В частности, поддержка протокола CE_A компании «Энергомера», лидера российского рынка приборов для учета электроэнергии, позволяет обнаружить попытки эксплуатации уязвимостей в ее устройстве сбора и передачи информации CE805M.

Следующая главная новость »

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!

Екатерина Быстрова 27 Февраля 2026 - 15:44

Windows Трояны Домашние пользователи Microsoft

Киберпреступники маскируют трояны под геймерские инструменты

Киберпреступники начали заманивать пользователей под видом игровых утилит. На деле вместо «полезных» инструментов жертвы получают вредоносные программы для удалённого доступа. Распространяются они через браузеры и чат-платформы, а конечная цель — установка трояна на компьютер.

Как сообщили в Microsoft Threat Intelligence, цепочка атаки начинается с вредоносного загрузчика.

Он разворачивает портативную среду Java и запускает JAR-файл с именем jd-gui.jar. Для скрытного выполнения злоумышленники используют PowerShell и штатные инструменты Windows — так называемые LOLBins, например cmstp.exe. Такой подход позволяет маскировать активность под легитимные процессы.

Загрузчик удаляет сам себя, чтобы замести следы, а также добавляет исключения в Microsoft Defender для компонентов зловреда. Закрепление в системе происходит через запланированное задание и стартовый скрипт Windows под именем world.vbs.

Финальный модуль представляет собой многофункциональный инструмент: он может работать как загрузчик, исполнитель команд, модуль для скачивания дополнительных файлов и полноценный RAT.

После запуска вредоносная программа устанавливает соединение с внешним сервером 79.110.49[.]15, откуда получает команды. Это открывает злоумышленникам возможности для кражи данных и доставки дополнительных пейлоадов.

Специалисты рекомендуют администраторам проверить список исключений в Microsoft Defender и перечень запланированных задач, удалить подозрительные элементы, изолировать заражённые хосты и сбросить учётные данные пользователей, которые работали на скомпрометированных машинах.