Обзор Positive Technologies Industrial Security Incident Manager (PT ISIM)


Обзор Positive Technologies Industrial Security Incident Manager (PT ISIM)

Positive Technologies Industrial Security Incident Manager (PT ISIM) — программно-аппаратный комплекс от компании Positive Technologies, предназначенный для непрерывного мониторинга защищенности, управления инцидентами информационной безопасности и выявления кибератак на промышленные системы в ранней стадии. PT ISIM имеет различные варианты исполнения, прост во внедрении, никак не влияет на работу сети передачи данных, соответствует требованиям по защите объектов КИИ ФЗ-187, Приказов ФСТЭК № 31 и 239 и ГосСОПКА, а также имеет бесплатную версию.

Сертификат AM Test Lab

Номер сертификата: 236

Дата выдачи: 26.11.2018

Срок действия: 26.11.2023

Реестр сертифицированных продуктов »

 

  1. Введение
  2. Архитектура PT ISIM
  3. Основные возможности PT ISIM
  4. Системные требования и поддерживаемые технологии
  5. Работа с PT ISIM
    1. 5.1. Установка PT ISIM
    2. 5.2. Работа PT ISIM netView Sensor
      1. 5.2.1. Работа с событиями
      2. 5.2.2. Работа с инцидентами
      3. 5.2.3. Карта вычислительной сети и мнемосхема
  6. Политика лицензирования PT ISIM
  7. Выводы

 

Введение

Цифровая трансформация производства («Индустрия 4.0») вызвала появление и быстрый рост числа новых атак на промышленные системы. Индустриальные системы, так же как корпоративные, подвержены заражению компьютерными вирусами, взлому, выводу из строя программного обеспечения и другим видам внешнего воздействия. Технологические процессы обычно ведутся в режиме 24/7 c очень редкими технологическими паузами раз в полгода или год. Атака может вызвать сбой технологического процесса, что приведет к значительным негативным последствиям. Например, в энергетике, в обрабатывающей, нефтеперерабатывающей и машиностроительной промышленности, на транспорте и в других промышленных отраслях реализация атак может привести катастрофическим последствиям: гибель людей, техногенные катастрофы, экологические бедствия.

Защита промышленных систем в нашей стране и во всем мире — сегодня одна из наиболее актуальных тем в сфере ИБ. Например, для автоматизированных систем управления, являющихся объектом критической информационной инфраструктуры (ОКИИ), необходимость защиты сформулирована в Федеральном законе от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Принципы защиты, в зависимости от уровня значимости систем, сформулированы в Приказах ФСТЭК России № 31 от 14 марта 2014 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасныъ объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» и № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ». Кроме того, сведения о выявленных инцидентах и компьютерных атаках в промышленной сети, если она является ОКИИ, необходимо отправлять в ГосСОПКА.

Чтобы выявить существующие возможности для реализации угроз и не допустить возникновения инцидентов ИБ в промышленных системах, необходимы специализированные инструменты, позволяющие проводить инвентаризацию компонентов, вовремя детектировать несанкционированные изменения в промышленной системе, команды изменения настроек технологического оборудования, несанкционированные сетевые подключения и другую аномальную активность.

Об одном из таких решений и пойдет речь в данном обзоре. Компания Positive Technologies разработала систему Industrial Security Incident Manager (PT ISIM) — это программно-аппаратный комплекс, предназначенный для повышения уровня защищенности, доступности и поддержки непрерывности технологических процессов с помощью анализа сетевого трафика и превентивного обнаружения несанкционированных воздействий (в том числе кибератак), направленных на АСУ ТП.

 

Архитектура PT ISIM

Архитектура комплексного решения на базе PT ISIM включает серверы анализа сетевого трафика (сенсоры), серверы бизнес-аналитики и управления уровня ситуационного центра (SOC), а также панельные компьютеры, предназначенные для индикации, квитирования и обработки критических инцидентов оперативным персоналом промышленных объектов согласно установленным на предприятии регламентам.

 

Рисунок 1. Общая архитектура комплексного решения на базе PT ISIM

Общая архитектура комплексного решения на базе PT ISIM

 

На уровне защищаемого сетевого сегмента АСУ ТП, в котором расположены АРМ операторов, серверы SCADA и ПЛК, применяются серверы сбора и анализа трафика — сенсоры PT ISIM View Sensor. Они получают копию трафика с Mirror/SPAN-порта коммутатора или TAP-устройства. При этом между сегментом АСУ ТП и сенсором может быть установлен аппаратный однонаправленный шлюз для гарантированного разделения сегмента сети АСУ ТП и сегмента, где установлено оборудование PT ISIM.

PT ISIM View Sensor выполняет: анализ копии трафика сегмента АСУ ТП, обработку событий в реальном времени, поддерживает промышленные и IT-протоколы для DPI, автоматически идентифицирует узлы сети АСУ ТП (инвентаризация), визуализирует топологию промышленной сети, выполняет интеллектуальное обнаружение нарушений (контроль целостности сети, неавторизованного управления компонентами АСУ ТП, эксплуатации уязвимостей), анализ событий с учетом бизнес-логики техпроцесса, ретроспективный анализ событий, хранение копии трафика сети АСУ ТП в целях incident response.

Для централизованной обработки инцидентов может использоваться компонент PT ISIM Overview Center. Он предоставляет сводную информацию о зарегистрированных инцидентах и обеспечивает централизованную настройку и обновление компонентов на подключенных к нему сенсорах. PT ISIM Overview Center подходит для компаний с распределенной инфраструктурой, а также для интеграторов, предоставляющих услуги коммерческого SOC.

PT ISIM Overview Center выполняет: агрегацию данных об инцидентах, поступающих с нескольких сенсоров (View Sensor), визуализацию сводной информации о защищенности (бизнес-аналитика), верхнеуровневый анализ инцидентов и поддержку принятия оперативных решений, управление параметрами подключенных к нему сенсоров PT ISIM, централизованное обновление, комплексная диагностика.

PT ISIM Industrial Table: Вывод информации о критически опасных инцидентах, требующих от оперативного персонала промышленного объекта немедленного реагирования в соответствии с регламентами, экспорт данных об инцидентах на внешний носитель.

 

Основные возможности PT ISIM

Основные функциональные возможности PT ISIM таковы:

  • Анализ событий на уровне различных коммуникационных протоколов, включая промышленные (Siemens S7, IEC104, DIGSI, GOOSE/MMS, Schneider Electric UMAS, CIP, Yokogawa, PROFINET DCP, SPA-Bus, EKRA, OPC, Modbus и другие);
  • Автоматическое построение и визуализация схемы сети АСУ ТП;
  • Выявление неавторизованных подключений к сети АСУ ТП;
  • Детектирование потенциальных угроз и попыток эксплуатации известных уязвимостей;
  • Обнаружение неавторизованного изменения технологических параметров;
  • Контроль доступа к параметрам ПЛК по сети (чтение и изменение микропрограмм и проектов ПЛК);
  • Обнаружение неавторизованного управления ПЛК по сети;
  • Выявление сложных, распределенных во времени атак на АСУ ТП (цепочки атак);
  • Генерация инцидентов ИБ с учетом логики технологического процесса;
  • Визуализация мнемосхемы техпроцесса и индикация элементов, работа которых нарушена в результате инцидентов ИБ;
  • Формирование и отправка отчетов об инцидентах и состоянии защищенности АСУ ТП во внешние системы (SIEM, ГосСОПКА и так далее).

Сенсор PT ISIM непрерывно анализирует сетевой трафик сети АСУ ТП и выявляет инциденты ИБ как на основе сигнатурных правил, так и с помощью сложных корреляции и моделирования. Обработка трафика в PT ISIM происходит в несколько этапов:

Этап 1. Сбор — захват трафика с порта зеркалирования коммутатора (SPAN/Mirror) и анализ сообщений следующих протоколов: FTP, HTTP, Telnet, ICMP, ARP, DNS, DHCP, SNMP, NTP, SNTP, TDS, NBNS, LLMNR, MMS, МЭК 104, DIGSI, GOOSE, S7, Modbus, Profinet и др. — с целью выявления информации о событиях ИБ. Собранная информация передается на этап нормализации, а исходная копия трафика сохраняется на жестком диске сервера в формате PCAP. Сохраненный трафик контролируется системой ротации для экономии дискового пространства.

Этап 1.5. Обработка потока сигнатурным движком — поиск признаков известных атак, которые возможно распознать по сигнатурному правилу.

Этап 2. Нормализация — извлечение данных из атрибутов записей, которые могут иметь разный формат, и приведение их к единому формату нормализованных сообщений. Нормализованное сообщение имеет заданный набор полей, каждое из которых имеет определенные допустимые значения. Такой формат сообщения позволяет однозначно определить основные параметры события, отнести его к определенному узлу и устройству, а также провести дальнейший анализ события на основе значений отдельных полей. На этапе нормализации событий также возможно выявление различных аномалий, связанных с несоответствием форматов и структур данных свойственных тому или иному протоколу (подобные аномалии могут быть потенциально связаны с осуществляемой кибератакой).

Этап 3. Фильтрация — удаление сообщений, не представляющих интереса с точки зрения информационной безопасности.

Этап 4. Агрегация — группировка повторяющихся сообщений об однотипных событиях в единое сообщение согласно правилам агрегации. Правила агрегации определяют набор полей, совпадение по которым приводит к группировке нескольких сообщений в одно, а также период, на который распространяется агрегация.

Этап 5. Корреляция — проверка потока событий на соответствие определенному правилу. Результатом сработавшего правила корреляции является скоррелированное сообщение.

Этап 6.Моделирование — составление актуальной карты вычислительной сети, отражающей ее реальный состав и взаимодействие между узлами. На основе правил, учитывающих текущие данные модели, PT ISIM принимает решение о том, является ли событие или скоррелированное сообщение инцидентом.

Итогом обработки трафика является создание в системе записей о событиях и инцидентах ИБ.

 

Системные требования и поддерживаемые технологии

Сервер сбора и анализа сетевого трафика (сенсор, PT ISIM View Sensor) имеет две версии — PT ISIM netView Sensor и PT ISIM proView Sensor, отличающиеся набором функциональных возможностей:

PT ISIM netView Sensor — подходит для большинства предприятий и для задач пилотного внедрения. Работает из коробки — автоматически обучается, не требует настройки
и специальных знаний, производит глубокий анализ трафика и инвентаризацию сети АСУ ТП. Является уникальным источником информации для анализа инцидентов ИБ и имеет удобный web-интерфейс.

PT ISIM proView Sensor — подходит для компаний со зрелым походом к ИБ АСУ ТП. В дополнение к возможностям версии netView Sensor:

  • Позволяет тонко настроить механизмы анализа под модель угроз заказчика (в том числе с использованием данных, полученных в ходе анализа защищенности конкретной АСУ ТП).
  • Предлагает уникальные опции и инструменты визуализации инцидентов (отображение затронутых атакой элементов на мнемосхеме технологического процесса, индивидуальный интерфейс для инженера АСУ ТП).
  • Позволяет выявлять сложные многоступенчатые атаки.

Отдельно отметим, что Positive Technologies выпустила первую в мире бесплатную систему мониторинга безопасности АСУ ТП — PT ISIM freeView Sensor. Продукт предназначен для решения базовых задач мониторинга ИБ АСУ ТП, бесплатен, не требует сложной настройки и специфической экспертизы при использовании. PT ISIM freeView Sensor предоставляется в виде виртуальной машины. Задачи, которые решает использование PT ISIM freeView Sensor: инвентаризация сетевых активов АСУ ТП, контроль информационного взаимодействия в АСУ ТП и выявление сетевых и промышленных атак, а также случаев неавторизованного управления. Общее время, необходимое для скачивания с официального сайта и запуска облегченной версии PT ISIM составляет считаные минуты, а первые ощутимые результаты ее работы могут быть получены в ближайшие часы после запуска. Кроме решения базовых задач, PT ISIM freeView позволяет накопить опыт, необходимый для более эффективной работы с коммерческими версиями системы PT Industrial Security Incident Manager.

В состав коммерческих версий PT Industrial Security Incident Manager входит постоянно пополняемая база промышленных киберугроз — PT Industrial Security Threat Indicators (PT ISTI). Она позволяет системе без дополнительного конфигурирования выявлять до 80% наиболее опасных и актуальных проблем и угроз сети АСУ ТП. Например, такие, как нарушение целостности сети, использование потенциально небезопасных средств сетевого взаимодействия, недочеты в настройке систем, неавторизованное управление оборудованием АСУ ТП, эксплуатация уязвимостей оборудования и программного обеспечения АСУ ТП и пр. В числе прочего PT ISTI помогает превентивно выявлять уязвимости, эксплуатируемые вирусами-шифровальщиками и другими вредоносными программами.

Коммерческие версии сенсора (netView и proView) поставляются конечным пользователям только виде готовых аппаратных серверов (ПАК). Аппаратное обеспечение предоставляется на выбор: Dell или Advantech (промышленное исполнение). Кроме того, сенсор в версии netView можно приобрести у технологического партнера Positive Technologies — компании IPC2U, в исполнении на базе промышленной платформы iROBO-6000-320-W.

Сервер консолидации инцидентов (Overview Center) может быть поставлен как в виде ПАК, так и виртуального апплаенса.

Для сенсоров PT ISIM View Sensor доступны три вида серверного шасси в зависимости от физических условий эксплуатации. Заказчик может выбрать любой из них.

Допускается обновление ранее приобретенной лицензии PT ISIM View Sensor до более функциональной (netView -> proView).

Дополнительные компоненты, которые могут потребоваться (но не обязательны) для интеграции PT ISIM View Sensor в индустриальную сеть:

  • аппаратный диод, обеспечивающий на физическом уровне однонаправленную передачу со SPAN-порта коммутатора на PT ISIM View Sensor;
  • агрегирующее устройство, позволяющее уменьшить требуемое количество сенсоров PT ISIM View Servers за счет агрегации трафика с нескольких SPAN-портов коммутаторов;
  • регенерирующее устройство, позволяющее реплицировать трафик с одного SPAN-порта на несколько других портов для устройств мониторинга;
  • TAP-устройство для получения копии трафика при отсутствии SPAN-порта.

Данные устройства приобретаются отдельно, у рекомендованных поставщиков.

PT ISIM как решение может быть развернут в виде одного-единственного сенсора для сети из нескольких промышленных объектов (применение RSPAN и небольшие объемы трафика), так и в качестве горизонтально-распределенной системы с установкой отдельных сенсоров для каждого промышленного объекта (сегмента) и элементов централизованного управления в головной компании.

Решение на базе PT ISIM располагает компонентами для консолидации данных об инцидентах и легко масштабируется. Это возможно за счет тесной интеграции компонентов PT ISIM и других продуктов Positive Technologies. PT ISIM работает как источник информации об инцидентах безопасности для индустриального центра реагирования (SOC) и является ключевым компонентом, реализующим требования ГосСОПКА в технологическом сегменте.

 

Работа с PT ISIM

Установка PT ISIM

Интеграция PT ISIM netView Sensor не занимает много времени. Ее внедрение под силу штатным системным администраторам. Уже через час система может быть готова к работе в боевом режиме. При этом развертывание версииPT ISIM proView Sensor может быть проведено столь же быстро, но в свою очередь этот продукт предоставляет инструменты для глубокого конфигурирования системы и предназначен для внедрения сертифицированными интеграторами.

Между сегментом АСУ ТП и сенсором опционально может устанавливаться аппаратный однонаправленный шлюз данных (Data Diode) для исключения любого возможного влияния компонентов системы мониторинга на технологический процесс.

 

Рисунок 2. Схема внедрения PT ISIM

Схема внедрения PT ISIM

Работа PT ISIM netView Sensor

Работа с PT ISIM начинается с авторизации. В веб-браузере необходимо набрать IP-адрес сервера. После ввода появляется стартовая страница. Для входа в систему необходимо ввести логин и пароль.

 

Рисунок 3. Вход в PT ISIM netView Sensor

Вход в PT ISIM netView Sensor

 

Интерфейс PT ISIM состоит из следующих разделов:

  • «СОБЫТИЯ» — содержит временную шкалу и список нормализованных событий.
  • «ИНЦИДЕНТЫ» — содержит список инцидентов.
  • «ТОПОЛОГИЯ» — содержит карту вычислительной сети (и технологического процесса в случае proView Sensor).

Работа с событиями

В разделе «События» офицер безопасности может ознакомиться со списком событий, с карточкой, отображающей подробную информацию о выбранном событии. С помощью временной шкалы офицер безопасности может отфильтровать события по времени, а также оставлять комментарии к выбранному диапазону времени. Панель фильтрации в данном разделе позволяет сделать выборку событий по различным атрибутам.

 

Рисунок 4. Раздел «События» в PT ISIM netView Sensor

Раздел «События» в PT ISIM netView Sensor

 

Для каждого события в списке отображаются следующие атрибуты: Важность, Дата и время, Протокол, Источник, Цель, а также приводится его краткое описание. Отметим, что важность событий в PT ISIM бывает трех уровней:

Информационный (обозначаются синим цветом) — информируют о нормальной работе сети и не приводят к нарушению ИБ. Например, запрос на получение файла по протоколу TFTP.

Средний (желтый цвет) — могут свидетельствовать о нарушении ИБ и являться подготовительными действиями для проникновения в сеть. Например, сканирование портов с неизвестного узла, несанкционированное получение конфигурации устройства.

Высокий (красный цвет) — события такого уровня требуют особого внимания, так как могут сигнализировать, как об ошибках в работе оборудования АСУ ТП, так и о воздействиях, которые могут вывести АСУ ТП из строя. Например, несоответствие форматов данных стандарту коммуникационного протокола, отправка несанкционированной команды на управление оборудованием, изменение параметров технологического процесса и так далее.

Подробную информацию о событии можно посмотреть в «Карточке события».

 

Рисунок 5. Просмотр карточки события в PT ISIM netView Sensor

Просмотр карточки события в PT ISIM netView Sensor

 

Фильтры события по атрибуту и по времени позволяют настроить отображение только тех событий, которые соответствует определенному критерию.

 

Рисунок 6. Фильтрация события по значению атрибутов в PT ISIM netView Sensor

Фильтрация события по значению атрибутов в PT ISIM netView Sensor

 

Фильтрация событий по времени позволяет выполнить выборку событий, например, в пределах часа, суток или за определенные даты. Требуемый интервал времени выбирается офицером безопасности на временной шкале, при этом для указанного интервала можно установить текстовое примечание, а также скачать сохраненный трафик в формате .pcap.

 

Рисунок 7. Выбор интервала на временной шкале в PT ISIM netView Sensor

Выбор интервала на временной шкале в PT ISIM netView Sensor

 

Добавление комментариев позволяет описать состояние защищаемой системы на определенный момент, обозначить начало или конец какого-либо явления (например, ремонтных работ на технологическом объекте). Такие обозначения помогут впоследствии понять, почему изменилось поведение PT ISIM или АСУ ТП. Все комментарии отображаются на временной шкале, а также входят в состав архива, который скачивается при выгрузке PCAP-файлов.

 

Рисунок 8. Добавление комментария в PT ISIM netView Sensor

Добавление комментария в PT ISIM netView Sensor

Добавление комментария в PT ISIM netView Sensor

Работа с инцидентами

Раздел «Инциденты» служит для работы с инцидентами. Инцидент — это отдельное событие или цепочка событий, результатом которых может стать нарушение информационной безопасности АСУ ТП. Сенсор PT ISIM позволяет обнаруживать инциденты как на основе встроенных сигнатурных правил, так и сложных правил корреляции и моделирования системы.

 

Рисунок 9. Раздел «Инциденты» в PT ISIM netView Sensor

Раздел «Инциденты» в PT ISIM netView Sensor

 

Офицер безопасности в данном разделе может ознакомиться с информацией по зафиксированным в системе инцидентам, скачать копию трафика в формате PCAP для ретроспективного анализа, а также изменить статус инцидента и отслеживать историю изменений этого статуса.

Для каждого инцидента в списке отображаются атрибуты: уровень опасности, тип, IP-адрес источника, IP-адрес цели, статус и время срабатывания правила. Статус инцидента может быть открытым, закрытым или «в работе». Офицер безопасности может менять статус инцидента в ходе его обработки. Подробную информацию об инциденте можно посмотреть в карточке инцидента.

 

Рисунок 10. Карточка инцидента в PT ISIM netView Sensor

Карточка инцидента в PT ISIM netView Sensor

Карта вычислительной сети и мнемосхема

Раздел «Топология» позволяет работать с картой вычислительной сети (netView) и привязанной к ней мнемосхемой технологического процесса (proView).

 

Рисунок 11. Раздел «Топология» в PT ISIM netView Sensor

Раздел «Топология» в PT ISIM netView Sensor

Раздел «Топология» в PT ISIM netView Sensor

 

Использование топологии позволяет решать следующие задачи:

  • Визуальный контроль состава сети: карта сети наглядно отображает все узлы, входящие в сеть в данный момент и инвентаризационную информацию по каждому из узлов. Появление нового (неавторизованного) узла наглядно сигнализирует о возможном нарушении политики ИБ.
  • Визуальный контроль коммуникаций в сети:  на карте сети наглядно отображаются активные сетевые соединения. В случае возникновения инцидента ИБ (например, эксплуатации уязвимости или неавторизованного изменения настроек ПЛК) сетевые соединения относящиеся к этому инциденты наглядно подсвечиваются.

Карта вычислительной сети строится автоматически на основе получаемых сенсором данных и обновляется при изменении информации об узлах и соединениях.

Каждый узел сети может быть авторизованным или неавторизованным в зависимости от того, считает ли офицер безопасности взаимодействие с узлом разрешенным. Аналогично для сетевых соединений — каждое уникальное соединение может быть отдельно авторизовано.

Для максимального упрощения развертывания сенсор PT ISIM имеет режим обучения, при включении которого собираемая о сети информация автоматически анализируется, и все найденные узлы и соединения помечаются как авторизованные. При отключении режима обучения система начинает контролировать состав сети и коммуникации, используя накопленную информацию в белых списках, для выявления нарушений целостности сети АСУ ТП.

Красным цветом обозначаются узлы, которые имеют статус неавторизованного или хотя бы один открытый инцидент высокого уровня опасности, связанные с этими узлами. Если PT ISIM обнаруживает в сети новый узел при отключенном режиме обучения, то считает его неавторизованным, при этом на странице «Зафиксированные инциденты» автоматически создается инцидент высокого уровня опасности.

Желтым цветом обозначаются узлы, которые имеют статус авторизованный и хотя бы один открытый инцидент среднего уровня опасности, но ни одного инцидента высокого уровня опасности.

Белым цветом обозначаются узлы, которые имеют статус авторизованный и не имеют ни одного открытого инцидента.

Узлы сети можно перемещать по карте для их более наглядного расположения. Кроме того, в разделе можно просматривать детальную информацию об узле, менять его параметры, просматривать сведения о взаимодействии узлов, менять статусы узлов (с «авторизованный» на «неавторизованный»).

В версии proView доступна возможность настроить не только собственные правила обнаружения атак, но и построить мнемосхему технологического процесса АСУ ТП, привязав ее к ключевым сетевым компонентам. Визуализация инцидентов ИБ в режиме реального времени как на сетевой карте, так и на мнемосхеме в PT ISIM позволяет инженеру ИБ быстро локализовать источник угроз и скомпрометированные узлы, а инженерам АСУ ТП оперативно оценить (в том числе потенциальный) ущерб от инцидента ИБ и предпринять нужные действия в соответствии с техническими регламентами предприятия.

 

Рисунок 12. Мнемосхема в разделе «Топология» в PT ISIM proView Sensor

Мнемосхема в разделе «Топология» в PT ISIM proView Sensor

Мнемосхема в разделе «Топология» в PT ISIM proView Sensor

 

Политика лицензирования PT ISIM

Политика лицензирования PT ISIM проста: клиент получает готовый сервер-сенсор PT ISIM и ключ на выбранный срок 1, 3 или 5 лет для нужной версии сенсора (netView Sensor или proView Sensor).

Для сервера централизованного управления и консолидации инцидентов PT ISIM Overview Center есть два модуля — они лицензируются отдельно. Срок аналогичный — 1, 3 и 5 лет.

Решение на базе PT ISIM гибко масштабируется в зависимости от конкретных требований и задач. Отметим, что PT ISIM позволяет расширять функциональность системы без замены оборудования. Итоговое количество компонентов PT ISIM в составе системы не ограничено. На начальных этапах развертывания система может использоваться только на критически важных площадках с последующим полным покрытием всех процессов в промышленной сети.

Внедрение компонентов PT ISIM может происходить поэтапно, не требуя крупных единовременных инвестиций. Базовая версия сетевого сенсора — PT ISIM netView Sensor — требует минимальных усилий по установке и идеально подходит как для пилотного внедрения, так и для каждодневной эксплуатации.

 

Выводы

Система управления инцидентами для индустриальных систем Positive Technologies Industrial Security Incident Manager позволяет эффективно выполнить множество задач безопасности АСУ ТП: осуществлять мониторинг технологической сети, контролировать состав сети и конфигурации сетевых узлов, управлять специфичными событиями и инцидентами безопасности.

PT ISIM визуализирует развитие атаки на сетевой и технологической карте предприятия, а также в виде цепочек атак. Благодаря этому можно успеть обнаружить действия злоумышленника и вмешаться до того, как будет нарушен технологический процесс, нанесен невосполнимый ущерб оборудованию или появится опасность физического вреда людям.

PT ISIM записывает копию всего сетевого трафика, что позволяет в любой момент проводить ретроспективный анализ и расследовать инциденты в случае подозрения на взлом или заражение. Прерывать технологический процесс ради сбора и анализа данных недопустимо, и PT ISIM дает возможность скопировать запись без остановки системы.

PT ISIM обеспечивает реализацию широкого перечня мер защиты АСУ ТП в соответствии с 187-ФЗ, требованиями приказов ФСТЭК № 31 и 239, а также является ключевым звеном для ГосСОПКА, позволяющим выстроить эффективное взаимодействие с ведомственными и корпоративными центрами системы для обеспечения мониторинга и реагирования на инциденты ИБ.

На данный момент продукт находится на стадии сертификации во ФСТЭК России (ТУ) и ФСБ (сертификация по соответствию требованиям к средствам обнаружения атак). Ориентировочная дата получения сертификатов — первый квартал 2019 года.

Также можно отметить, что продукт занимает нишу систем для пассивного мониторинга сети АСУ ТП и не выполняет активного взаимодействия с компонентами АСУ ТП, что с одной стороны позволяет гарантировать бесперебойную работу АСУ ТП в ходе развертывания и эксплуатации PT ISIM, а с другой несколько снижает возможности по контролю конфигураций компонентов АСУ ТП. В свою очередь стоит отметить, что для активного контроля конфигураций систем АСУ ТП существуют специализированные промышленные системы, использование которых наиболее оправдано (например, AUVESY Versiondog).

Такая функциональность, как, например, контроль конфигураций и целостности компонентов АСУ ТП, поиск уязвимостей компонентах АСУ ТП, проверка необходимости обновления программного обеспечения, может быть компенсирована другими средствами (сканерами ИБ). В частности, может быть использована еще одна разработка компании — MaxPatrol: продукты, являясь элементами единой экосистемы, отличаются возможностями для более тонкой интеграции и позволяют сформировать комплексное решение для АСУ ТП.

Достоинства:

  • Продукт российской разработки.
  • Реализация широкого перечня мер защиты объектов КИИ по ФЗ-187, Приказов ФСТЭК № 31 и 239 и ГосСОПКА.
  • Пассивный мониторинг и нулевое влияние на технологическую сеть.
  • Простое внедрение (для версии PT ISIM netView Sensor) — меньше часа от начала работ до получения первых результатов анализа трафика.
  • Не требуется перенастройка и установка дополнительного программного обеспечения на компоненты АСУ ТП.
  • Доступны несколько вариантов серверного шасси (в том числе промышленного исполнения).
  • Наличие бесплатной версии продукта PT ISIM freeView Sensor.
  • Поддержка анализа бизнес-логики техпроцесса для выявления нарушений (неавторизованное изменение установок, переконфигурирование оборудования АСУ ТП и так далее).
  • Визуализация атак на карте сети и на мнемосхеме технологического процесса АСУ ТП (только в версии proView).
  • Поддерживает централизованное и локальное управление.

Недостатки:

  • Отсутствие на текущий момент сертификатов ФСТЭК России и ФСБ (продукт в процессе сертификации).
  • Неполная функция контроля конфигурации и целостности компонентов АСУ ТП: реализация данной функциональности имеет естественные технические ограничения в силу того, что продукт работает исключительно с копией сетевого трафика. В текущей версии есть возможность выявлять события и инциденты, связанные с попытками изменения или подмены конфигураций компонентов АСУ ТП, но отсутствует возможность контроля целостности и верификации изменений в конфигурациях этих устройств.
  • Усеченные возможности контроля обновления программного обеспечения АСУ ТП: продукт выявляет выполнение обновлений по сети, но не предназначен для контроля и управления обновлением данного программного обеспечения.

Реестр сертифицированных продуктов »

Записаться на демонстрацию
Запросить пробную версию
Запросить цены
Задать вопрос
Выбор редакции: 
Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.