Positive Technologies Industrial Security Incident Manager (PT ISIM)

Продукт
Разработчики: Positive Technologies (Позитив Текнолоджиз)
Дата премьеры системы: 2016
Дата последнего релиза: 2018/09/10
Технологии: ИБ - Межсетевые экраны

Содержание

2018

PT ISIM freeView Sensor

10 сентября 2018 года стало известно, что компания Positive Technologies пополнила линейку продуктов, предназначенных для решения задач промышленной кибербезопасности, облегченной версией системы PT Industrial Security Incident Manager ― PT ISIM freeView Sensor. Продукт предназначен для решения базовых задач мониторинга ИБ АСУ ТП.

Сценарий использования PT ISIM freeView Sensor
«
Обеспечение ИБ в АСУ ТП сопряжено с массой вопросов. Например, необходимо определить роли и зоны ответственности, актуализировать данные о сети АСУ ТП, оценить ее защищенность, найти необходимые инструменты защиты и обосновать их покупку. При этом использование стандартных средств ИБ (например, антивирусов) в силу специфики АСУ ТП может быть затруднено, а специализированные инструменты − недоступны широкому кругу пользователей: их не всегда можно опробовать на практике, поэтому их полезность остается не ясной. PT ISIM freeView Sensor, будучи инструментом инвентаризации сети АСУ ТП и мониторинга киберзащищенности ее ресурсов, помогает преодолеть этот барьер и запустить поступательное развитие программы ИБ АСУ ТП предприятия.
Денис Суханов, директор по разработке средств защиты промышленных систем, компания Positive Technologies
»

PT ISIM freeView Sensor предоставляется в виде виртуальной машины, которая подключается к порту зеркалирования (Mirror, SPAN) коммутатора сети АСУ ТП. Система обрабатывает копию трафика сети АСУ ТП , не оказывая влияния на ее компоненты.

Ключевые задачи, которые решает ежедневное использование PT ISIM freeView Sensor:

  • инвентаризация сетевых активов АСУ ТП: система позволяет визуализировать топологию сети с узлами, соединениями, группами узлов;
  • контроль информационного взаимодействия в АСУ ТП: в числе прочего предусмотрен режим обучения системы, когда она запоминает все сетевые узлы и взаимодействия между ними, заводит инциденты на сетевые аномалии и пр.;
  • выявление сетевых и промышленных атак, а также случаев неавторизованного управления;

Для получения обратной связи от пользователей системы и ответов на возникающие в ходе ее использования вопросы созданы специализированные информационные площадки: сообщество продукта и Telegram-чат.

Кроме решения ряда базовых задач, PT ISIM freeView дает пользователю возможность накопить опыт, необходимый для более эффективной работы с коммерческими версиями системы PT Industrial Security Incident Manager. Их отличает полноценная техническая поддержка, большее число поддерживаемых протоколов, расширенные возможности по интеграции с внешними системами (в том числе специфическими для отраслей). Коммерческие версии системы обладают возможностями для разбора трафика с учетом особенностей конкретного промышленного объекта, позволяют видеть актуальную в любой момент времени картину сетевых объектов на мнемосхеме технологического процесса, настраивать сценарии выявления атак с учетом специфики конкретного объекта, могут работать как источник информации об инцидентах безопасности в рамках индустриального SOC и являться ключевым компонентом, реализующим требования по безопасности, предъявляемые регуляторами к технологическому сегменту.

В состав коммерческих версий PT Industrial Security Incident Manager входит постоянно пополняемая база промышленных киберугроз − PT Industrial Security Threat Indicators (PT ISTI). Она позволяет системе без дополнительного конфигурирования выявлять до 80% наиболее опасных и актуальных угроз сети АСУ ТП. В их числе – подготовка к кибератакам на ПО и оборудование АСУ ТП на ранней стадии, недочеты в настройке систем, выход технологических параметров за пределы нормальных значений, использование потенциально небезопасных средств сетевого взаимодействия и неавторизованных команд управления оборудованием АСУ ТП. База угроз помогает превентивно выявлять уязвимости сети АСУ ТП, в том числе те, которые эксплуатируются вирусами-шифровальщиками и другим вредоносным ПО.

PT ISIM netView Sensor

11 июля 2018 года компания Positive Technologies выпустила обновленную версию своей системы контроля кибербезопасности АСУ ТП ― PT Industrial Security Incident Manager netView Sensor (PT ISIM netView Sensor). Продукт отличается простотой развертывания и настройки. Решение применимо для выявления инцидентов кибербезопасности в энергетике, нефтеперерабатывающей отрасли, промышленном производстве, на транспорте и в других индустриальных сферах.

PT ISIM netView Sensor осуществляет мониторинг технологической сети, контролирует состав сети и конфигурации сетевых узлов, управляет событиями и инцидентами безопасности в технологическом сегменте. Система может работать как источник информации об инцидентах безопасности в рамках распределенного индустриального SOC и является ключевым компонентом, реализующим требования по безопасности, предъявляемые регуляторами к технологическому сегменту.

Согласно заявлению компании Positive Technologies, PT ISIM netView Sensor значительно облегчает внедрение и обеспечение ИБ — он предельно прост в развертывании за счет автоматической настройки и позволяет выявлять до 80% наиболее опасных и актуальных угроз сети АСУ ТП. В первые часы работы в процессе самообучения PT ISIM netView Sensor выполнит инвентаризацию ресурсов сети, построит карту информационного взаимодействия, обнаружит недостатки сегментации и возьмет на себя задачу по наблюдению за безопасностью технологических ресурсов предприятия. В режиме непрерывного мониторинга компонент будет выявлять изменения сети и сможет идентифицировать потенциальные угрозы для АСУ ТП.

Тестирование АСУ ТП на совмесимость с Simatic NET1

26 июня 2018 года Positive Technologies сообщила, что она совместно с Siemens протестировала систему мониторинга защищенности и управления инцидентами кибербезопасности АСУ ТП PT Industrial Security Incident Manager (PT ISIM) компании Positive Technologies на совместимость с сетями Simatic NET1. В ходе испытаний PT ISIM продемонстрировала корректную работу на этапах подключения и функционирования стенда и никак не влияла на технологический процесс.

Коммутатор Ruggedcom производства Siemens

Тестовая сеть АСУ ТП была построена на базе коммутаторов Scalance и Ruggedcom производства Siemens. Система PT ISIM подключалась к интерфейсам зеркалирования трафика тестовой сети АСУ ТП через шлюз однонаправленной передачи данных производства «AMT-Груп». В рамках тестирования PT ISIM оценивались возможности обнаружения событий и инцидентов безопасности, а также действий нарушителей.

По результатам испытаний были подтверждены заявленные функции мониторинга защищенности и управления инцидентами кибербезопасности. Система корректно разбирала и анализировала тестовый трафик, генерируя понятный список событий и инцидентов. При этом соблюдалось наиболее важное требование — успешная работа дата-диода в составе решения и отсутствие трафика PT ISIM в сети Simatic NET: сбор данных происходил полностью в пассивном режиме.

«
Обеспечение информационной безопасности на промышленных объектах является непростой задачей. На предприятиях уязвимости не успевают устранять в силу множества объективных причин, в том числе в связи с опасениями о непрерывности техпроцесса. Мало где эффективен и "воздушный зазор". Как показывают наши исследования, в четырех из пяти компаний возможно проникновение из корпоративной сети в технологическую, а попасть в корпоративную сеть извне пентстерам удается в 73% промышленных компаний. Совместимость PT ISIM с решениями Siemens, наиболее распространенными в сегменте АСУ ТП, позволяют многим предприятиям решать актуальную проблему выявления инцидентов и кибератак.
Дмитрий Даренский, руководитель практики промышленной кибербезопасности Positive Technologies
»

2017: Проведено тестирование на совместимость

11 декабря 2017 года компания Positive Technologies заявила о тестировании PT ISIM на совместимость с АСУ ТП компании «Прософт-Системы».

Система управления инцидентами кибербезопасности прошла тестирование на совместимость c АСУ ТП на основе ПТК ARIS и RedKit SCADA.

Применение PT ISIM в составе ПТК ARIS позволяет обеспечить функционал обнаружения кибератак и управления инцидентами кибербезапосности в режиме реального времени без непосредственно вмешательства в работу АСУ ТП. В ходе испытаний подтверждено, что применение PT ISIM в составе ПТК ARIS обеспечивает реализацию определенного перечня технических мер защиты АСУ ТП в соответствии требованиями приказа № 31 ФСТЭК.

2016

PT ISIM и АМТ-Груп: InfoDiode интегрированы

В апреле 2016 года Positive Technologies и АМТ-ГРУП сообщили об успешном тестировании совместного решения по защите критических инфраструктур и промышленных предприятий, созданного на базе систем Positive Technologies Industrial Security Incident Manager и АМТ-Груп: InfoDiode.

Решение обеспечивает возможность защиты сегмента АСУ ТП без влияния на его функциональную безопасность. В частности, PT ISIM позволяет обнаружить кибер-атаки или неправомерные действия персонала, уязвимости компонентов АСУ ТП и проводить расследования инцидентов. А интеграция с АМТ InfoDiode гарантированно исключает возможность негативного влияния на сегмент АСУ ТП за счет изоляции PT ISIM и однонаправленной передачи данных.

Принцип работы PT ISIM заключается в сборе и анализе копии трафика технологической сети. Механизм интеллектуальной обработки событий, используемый PT ISIM, позволяет связывать отдельные события безопасности в цепочки действий злоумышленника и выявлять распределенные во времени атаки (даже на длительных периодах), уведомляя об инциденте сотрудников на местах или в ситуационном центре. А благодаря функции визуализации система представляет инцидент в наглядной, понятной пользователю форме: с привязкой к топологии сети и схеме промышленного оборудования. Сохраненная копия трафика дает возможность в любой момент провести ретроспективный анализ и расследование инцидента.

В совместной схеме защита периметра сегмента АСУ ТП, информация которого передается для анализа, реализуется на базе решения AMT InfoDiode. Это гарантирует изолированность сегмента технологической сети и исключает влияние средства защиты на функциональную безопасность.

Анонс системы

Весной 2016 года компания Positive Technologies выпустила на рынок систему, предназначенную для защиты автоматизированных систем управления технологическим процессом (АСУ ТП) — Positive Technologies Industrial Security Incident Manager (PT ISIM). Система позволяет обнаруживать уязвимости и хакерские атаки на технологические сети предприятия, а также расследовать инциденты (в том числе ретроспективно) на критически важных объектах. PT ISIM помогает бороться с внутренними и внешними угрозами безопасности, включая несанкционированное подключение, подбор пароля, неправомерные управляющие команды, подмену прошивки промышленного оборудования, потенциально опасные действия персонала, ошибки конфигурации. PT ISIM уже включена в продуктовые портфели авторизованных партнеров компании Positive Technologies.

«К созданию продукта, нацеленного на обеспечение индустриальной кибербезопасности, мы приступили в 2014 году. Необходимость такого решения мы остро осознали по результатам нашей исследовательской работы в сетях АСУ ТП в компаниях различных отраслей. В частности, наш исследовательский центр обнаружил более 140 000 компонентов АСУ, доступных из интернета, 10% которых оказались уязвимыми. Мы выявили свыше 250 уязвимостей нулевого дня в системах АСУ, при том, что сами владельцы систем даже не подозревали, насколько уязвимы эти ресурсы, — рассказывает Филиппов Максим, директор Positive Technologies по развитию бизнеса в России. — Аккумулировав весь наш технический потенциал и опыт, мы за полтора года — уже к середине 2015-го — разработали первую версию продукта, протестировав его на пилотной зоне одной из отраслеобразующих отечественных компаний. За последние полгода продукт из заказной разработки в интересах узкого круга компаний вырос в промышленное решение, предрелизную версию которого мы продемонстрировали нашим партнерам в феврале этого года».

PT ISIM имеет встроенный механизм корреляции, который связывает события безопасности в логические цепочки и выявляет распределенные во времени атаки. Цепочка разрастается по мере развития атаки (иногда длящейся месяцами), каждое событие которой в отдельности может не представлять угрозы. Благодаря этому появляется возможность восстановить полную картину случившегося при подозрении на взлом или заражение системы вредоносным кодом.

Реализованная в PT ISIM функция визуализации позволяет наглядно отображать инциденты на промышленной карте предприятия с привязкой к конкретному оборудованию. Также система в автоматическом режиме оповещает операторов АСУ и специалистов по безопасности об инциденте — с различной глубиной детализации, в соответствии с их полномочиями.

За счет подключении PT ISIM к инфраструктуре предприятия однонаправленным способом полностью исключается какое бы то ни было влияние системы на технологический процесс: она работает исключительно в пассивном режиме, собирая для анализа копию трафика.

«PT ISIM — практическая реализация нашего подхода к защите автоматизированных систем управления. Концептуально важным в этом случае является, во-первых, формирование цепочек атак как мощного средства противодействия распределенным во времени угрозам. Во-вторых — визуализация атак на бизнес-логику для корректной интерпретации событий системы. И, в-третьих, невмешательство в технологический процесс за счет пассивного режима работы, — отмечает Матыков Олег, руководитель направления Positive Technologies. — При этом для разных отраслей промышленности создаются разные интерфейсы, и при каждом внедрении PT ISIM адаптируется к реальной операционной среде — типичным для нее протоколам, архитектуре, правилам корреляции и оборудованию. Эффективность обнаружения атак при таком подходе увеличивается в разы».

Запущены пилотные внедрения в транспортной отрасли и ТЭК, ведутся работы по адаптации продукта к специфике других отраслей.



ПРОЕКТЫ (1) ИНТЕГРАТОРЫ (3) РЕШЕНИЕ НА БАЗЕ (1)
СМ. ТАКЖЕ (6)


Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2015 год
2016 год
2017 год
Текущий год

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2015 год
2016 год
2017 год
Текущий год