Positive Technologies Industrial Security Incident Manager (PT ISIM)

Продукт
Разработчики: Positive Technologies (Позитив Текнолоджиз)
Дата премьеры системы: 2016
Дата последнего релиза: 2018/11/20
Технологии: ИБ - Межсетевые экраны

Содержание

2018

PT ISIM netView Sensor на платформе iROBO

20 ноября 2018 года Positive Technologies сообщила о выпуске совместно с IPC2U на рынок программно-аппаратного комплекса PT ISIM netView Sensor на платформе iROBO, предназначенного для защиты от киберугроз небольших производственных объектов, предприятий малого и среднего бизнеса. По информации компании, решение соответствует требованиям в области промышленной надежности, в том числе обладает высоким уровнем отказоустойчивости, может применяться в сложных климатических условиях.

PT ISIM netView Sensor

Программно-аппаратный комплекс PT ISIM netView Sensor выполнен на базе промышленного высокопроизводительного компьютера iROBO-6000-320-W, основными сферами применения которого являются промышленная автоматизация в энергетике, машиностроении, на транспорте и в других индустриальных сферах. В данной конструктивной сборке PT ISIM netView Sensor выполняет свои ключевые задачи — мониторинг технологической сети, контроль состава сети и конфигураций сетевых узлов, управление событиями и инцидентами безопасности в технологическом сегменте, — не оказывая влияния на технологический процесс. На ноябрь 2018 года комплекс прошел испытания, по их результатам была подтверждена корректная работа его аппаратных и программных компонентов.

«
Благодаря нашему сотрудничеству с компанией IPC2U, дистрибутором средств промышленной автоматизации и отечественным производителем промышленных компьютеров и сетевого оборудования, наши клиенты смогут приобрести законченный продукт, который можно легко развернуть и сразу использовать для контроля за инцидентами кибербезопасности.

Дмитрий Даренский, руководитель практики промышленной кибербезопасности Positive Technologies
»

«
Построение комплекса на базе аппаратной платформы, собранной в России, — важный шаг для отечественного рынка промышленной автоматизации.

Владимир Шестырев, руководитель направления «Промышленные компьютеры» в компании IPC2U
»

На ноябрь 2018 года решение доступно в розничной торгово-представительской сети IPC2U и специализированном интернет-магазине.

PT ISIM freeView Sensor

10 сентября 2018 года стало известно, что компания Positive Technologies пополнила линейку продуктов, предназначенных для решения задач промышленной кибербезопасности, облегченной версией системы PT Industrial Security Incident Manager ― PT ISIM freeView Sensor. Продукт предназначен для решения базовых задач мониторинга ИБ АСУ ТП.

Сценарий использования PT ISIM freeView Sensor
«
Обеспечение ИБ в АСУ ТП сопряжено с массой вопросов. Например, необходимо определить роли и зоны ответственности, актуализировать данные о сети АСУ ТП, оценить ее защищенность, найти необходимые инструменты защиты и обосновать их покупку. При этом использование стандартных средств ИБ (например, антивирусов) в силу специфики АСУ ТП может быть затруднено, а специализированные инструменты − недоступны широкому кругу пользователей: их не всегда можно опробовать на практике, поэтому их полезность остается не ясной. PT ISIM freeView Sensor, будучи инструментом инвентаризации сети АСУ ТП и мониторинга киберзащищенности ее ресурсов, помогает преодолеть этот барьер и запустить поступательное развитие программы ИБ АСУ ТП предприятия.
Денис Суханов, директор по разработке средств защиты промышленных систем, компания Positive Technologies
»

PT ISIM freeView Sensor предоставляется в виде виртуальной машины, которая подключается к порту зеркалирования (Mirror, SPAN) коммутатора сети АСУ ТП. Система обрабатывает копию трафика сети АСУ ТП , не оказывая влияния на ее компоненты.

Ключевые задачи, которые решает ежедневное использование PT ISIM freeView Sensor:

  • инвентаризация сетевых активов АСУ ТП: система позволяет визуализировать топологию сети с узлами, соединениями, группами узлов;
  • контроль информационного взаимодействия в АСУ ТП: в числе прочего предусмотрен режим обучения системы, когда она запоминает все сетевые узлы и взаимодействия между ними, заводит инциденты на сетевые аномалии и пр.;
  • выявление сетевых и промышленных атак, а также случаев неавторизованного управления;

Для получения обратной связи от пользователей системы и ответов на возникающие в ходе ее использования вопросы созданы специализированные информационные площадки: сообщество продукта и Telegram-чат.

Кроме решения ряда базовых задач, PT ISIM freeView дает пользователю возможность накопить опыт, необходимый для более эффективной работы с коммерческими версиями системы PT Industrial Security Incident Manager. Их отличает полноценная техническая поддержка, большее число поддерживаемых протоколов, расширенные возможности по интеграции с внешними системами (в том числе специфическими для отраслей). Коммерческие версии системы обладают возможностями для разбора трафика с учетом особенностей конкретного промышленного объекта, позволяют видеть актуальную в любой момент времени картину сетевых объектов на мнемосхеме технологического процесса, настраивать сценарии выявления атак с учетом специфики конкретного объекта, могут работать как источник информации об инцидентах безопасности в рамках индустриального SOC и являться ключевым компонентом, реализующим требования по безопасности, предъявляемые регуляторами к технологическому сегменту.

В состав коммерческих версий PT Industrial Security Incident Manager входит постоянно пополняемая база промышленных киберугроз − PT Industrial Security Threat Indicators (PT ISTI). Она позволяет системе без дополнительного конфигурирования выявлять до 80% наиболее опасных и актуальных угроз сети АСУ ТП. В их числе – подготовка к кибератакам на ПО и оборудование АСУ ТП на ранней стадии, недочеты в настройке систем, выход технологических параметров за пределы нормальных значений, использование потенциально небезопасных средств сетевого взаимодействия и неавторизованных команд управления оборудованием АСУ ТП. База угроз помогает превентивно выявлять уязвимости сети АСУ ТП, в том числе те, которые эксплуатируются вирусами-шифровальщиками и другим вредоносным ПО.

PT ISIM netView Sensor

11 июля 2018 года компания Positive Technologies выпустила обновленную версию своей системы контроля кибербезопасности АСУ ТП ― PT Industrial Security Incident Manager netView Sensor (PT ISIM netView Sensor). Продукт отличается простотой развертывания и настройки. Решение применимо для выявления инцидентов кибербезопасности в энергетике, нефтеперерабатывающей отрасли, промышленном производстве, на транспорте и в других индустриальных сферах.

PT ISIM netView Sensor осуществляет мониторинг технологической сети, контролирует состав сети и конфигурации сетевых узлов, управляет событиями и инцидентами безопасности в технологическом сегменте. Система может работать как источник информации об инцидентах безопасности в рамках распределенного индустриального SOC и является ключевым компонентом, реализующим требования по безопасности, предъявляемые регуляторами к технологическому сегменту.

Согласно заявлению компании Positive Technologies, PT ISIM netView Sensor значительно облегчает внедрение и обеспечение ИБ — он предельно прост в развертывании за счет автоматической настройки и позволяет выявлять до 80% наиболее опасных и актуальных угроз сети АСУ ТП. В первые часы работы в процессе самообучения PT ISIM netView Sensor выполнит инвентаризацию ресурсов сети, построит карту информационного взаимодействия, обнаружит недостатки сегментации и возьмет на себя задачу по наблюдению за безопасностью технологических ресурсов предприятия. В режиме непрерывного мониторинга компонент будет выявлять изменения сети и сможет идентифицировать потенциальные угрозы для АСУ ТП.

Тестирование АСУ ТП на совмесимость с Simatic NET1

26 июня 2018 года Positive Technologies сообщила, что она совместно с Siemens протестировала систему мониторинга защищенности и управления инцидентами кибербезопасности АСУ ТП PT Industrial Security Incident Manager (PT ISIM) компании Positive Technologies на совместимость с сетями Simatic NET1. В ходе испытаний PT ISIM продемонстрировала корректную работу на этапах подключения и функционирования стенда и никак не влияла на технологический процесс.

Коммутатор Ruggedcom производства Siemens

Тестовая сеть АСУ ТП была построена на базе коммутаторов Scalance и Ruggedcom производства Siemens. Система PT ISIM подключалась к интерфейсам зеркалирования трафика тестовой сети АСУ ТП через шлюз однонаправленной передачи данных производства «AMT-Груп». В рамках тестирования PT ISIM оценивались возможности обнаружения событий и инцидентов безопасности, а также действий нарушителей.

По результатам испытаний были подтверждены заявленные функции мониторинга защищенности и управления инцидентами кибербезопасности. Система корректно разбирала и анализировала тестовый трафик, генерируя понятный список событий и инцидентов. При этом соблюдалось наиболее важное требование — успешная работа дата-диода в составе решения и отсутствие трафика PT ISIM в сети Simatic NET: сбор данных происходил полностью в пассивном режиме.

«
Обеспечение информационной безопасности на промышленных объектах является непростой задачей. На предприятиях уязвимости не успевают устранять в силу множества объективных причин, в том числе в связи с опасениями о непрерывности техпроцесса. Мало где эффективен и "воздушный зазор". Как показывают наши исследования, в четырех из пяти компаний возможно проникновение из корпоративной сети в технологическую, а попасть в корпоративную сеть извне пентстерам удается в 73% промышленных компаний. Совместимость PT ISIM с решениями Siemens, наиболее распространенными в сегменте АСУ ТП, позволяют многим предприятиям решать актуальную проблему выявления инцидентов и кибератак.
Дмитрий Даренский, руководитель практики промышленной кибербезопасности Positive Technologies
»

2017: Проведено тестирование на совместимость

11 декабря 2017 года компания Positive Technologies заявила о тестировании PT ISIM на совместимость с АСУ ТП компании «Прософт-Системы».

Система управления инцидентами кибербезопасности прошла тестирование на совместимость c АСУ ТП на основе ПТК ARIS и RedKit SCADA.

Применение PT ISIM в составе ПТК ARIS позволяет обеспечить функционал обнаружения кибератак и управления инцидентами кибербезапосности в режиме реального времени без непосредственно вмешательства в работу АСУ ТП. В ходе испытаний подтверждено, что применение PT ISIM в составе ПТК ARIS обеспечивает реализацию определенного перечня технических мер защиты АСУ ТП в соответствии требованиями приказа № 31 ФСТЭК.

2016

PT ISIM и АМТ-Груп: InfoDiode интегрированы

В апреле 2016 года Positive Technologies и АМТ-ГРУП сообщили об успешном тестировании совместного решения по защите критических инфраструктур и промышленных предприятий, созданного на базе систем Positive Technologies Industrial Security Incident Manager и АМТ-Груп: InfoDiode.

Решение обеспечивает возможность защиты сегмента АСУ ТП без влияния на его функциональную безопасность. В частности, PT ISIM позволяет обнаружить кибер-атаки или неправомерные действия персонала, уязвимости компонентов АСУ ТП и проводить расследования инцидентов. А интеграция с АМТ InfoDiode гарантированно исключает возможность негативного влияния на сегмент АСУ ТП за счет изоляции PT ISIM и однонаправленной передачи данных.

Принцип работы PT ISIM заключается в сборе и анализе копии трафика технологической сети. Механизм интеллектуальной обработки событий, используемый PT ISIM, позволяет связывать отдельные события безопасности в цепочки действий злоумышленника и выявлять распределенные во времени атаки (даже на длительных периодах), уведомляя об инциденте сотрудников на местах или в ситуационном центре. А благодаря функции визуализации система представляет инцидент в наглядной, понятной пользователю форме: с привязкой к топологии сети и схеме промышленного оборудования. Сохраненная копия трафика дает возможность в любой момент провести ретроспективный анализ и расследование инцидента.

В совместной схеме защита периметра сегмента АСУ ТП, информация которого передается для анализа, реализуется на базе решения AMT InfoDiode. Это гарантирует изолированность сегмента технологической сети и исключает влияние средства защиты на функциональную безопасность.

Анонс системы

Весной 2016 года компания Positive Technologies выпустила на рынок систему, предназначенную для защиты автоматизированных систем управления технологическим процессом (АСУ ТП) — Positive Technologies Industrial Security Incident Manager (PT ISIM). Система позволяет обнаруживать уязвимости и хакерские атаки на технологические сети предприятия, а также расследовать инциденты (в том числе ретроспективно) на критически важных объектах. PT ISIM помогает бороться с внутренними и внешними угрозами безопасности, включая несанкционированное подключение, подбор пароля, неправомерные управляющие команды, подмену прошивки промышленного оборудования, потенциально опасные действия персонала, ошибки конфигурации. PT ISIM уже включена в продуктовые портфели авторизованных партнеров компании Positive Technologies.

«К созданию продукта, нацеленного на обеспечение индустриальной кибербезопасности, мы приступили в 2014 году. Необходимость такого решения мы остро осознали по результатам нашей исследовательской работы в сетях АСУ ТП в компаниях различных отраслей. В частности, наш исследовательский центр обнаружил более 140 000 компонентов АСУ, доступных из интернета, 10% которых оказались уязвимыми. Мы выявили свыше 250 уязвимостей нулевого дня в системах АСУ, при том, что сами владельцы систем даже не подозревали, насколько уязвимы эти ресурсы, — рассказывает Филиппов Максим, директор Positive Technologies по развитию бизнеса в России. — Аккумулировав весь наш технический потенциал и опыт, мы за полтора года — уже к середине 2015-го — разработали первую версию продукта, протестировав его на пилотной зоне одной из отраслеобразующих отечественных компаний. За последние полгода продукт из заказной разработки в интересах узкого круга компаний вырос в промышленное решение, предрелизную версию которого мы продемонстрировали нашим партнерам в феврале этого года».

PT ISIM имеет встроенный механизм корреляции, который связывает события безопасности в логические цепочки и выявляет распределенные во времени атаки. Цепочка разрастается по мере развития атаки (иногда длящейся месяцами), каждое событие которой в отдельности может не представлять угрозы. Благодаря этому появляется возможность восстановить полную картину случившегося при подозрении на взлом или заражение системы вредоносным кодом.

Реализованная в PT ISIM функция визуализации позволяет наглядно отображать инциденты на промышленной карте предприятия с привязкой к конкретному оборудованию. Также система в автоматическом режиме оповещает операторов АСУ и специалистов по безопасности об инциденте — с различной глубиной детализации, в соответствии с их полномочиями.

За счет подключении PT ISIM к инфраструктуре предприятия однонаправленным способом полностью исключается какое бы то ни было влияние системы на технологический процесс: она работает исключительно в пассивном режиме, собирая для анализа копию трафика.

«PT ISIM — практическая реализация нашего подхода к защите автоматизированных систем управления. Концептуально важным в этом случае является, во-первых, формирование цепочек атак как мощного средства противодействия распределенным во времени угрозам. Во-вторых — визуализация атак на бизнес-логику для корректной интерпретации событий системы. И, в-третьих, невмешательство в технологический процесс за счет пассивного режима работы, — отмечает Матыков Олег, руководитель направления Positive Technologies. — При этом для разных отраслей промышленности создаются разные интерфейсы, и при каждом внедрении PT ISIM адаптируется к реальной операционной среде — типичным для нее протоколам, архитектуре, правилам корреляции и оборудованию. Эффективность обнаружения атак при таком подходе увеличивается в разы».

Запущены пилотные внедрения в транспортной отрасли и ТЭК, ведутся работы по адаптации продукта к специфике других отраслей.



ПРОЕКТЫ (1) ИНТЕГРАТОРЫ (3) РЕШЕНИЕ НА БАЗЕ (1)
СМ. ТАКЖЕ (6)


Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2016 год
2017 год
2018 год

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2016 год
2017 год
2018 год