Positive Technologies Industrial Security Incident Manager (PT ISIM)

Продукт
Разработчики: Positive Technologies (Позитив Текнолоджиз)
Дата премьеры системы: 2016
Дата последнего релиза: 2019/03/13
Технологии: ИБ - Межсетевые экраны

Содержание

2019: PT ISIM View Sensor на базе Magelis iPC

13 марта 2019 года компании Schneider Electric и Positive Technologies сообщили о заключении соглашения о технологическом партнерстве в области разработки совместных решений для защиты АСУ ТП. Совместный программно-аппаратный комплекс будет построен на базе продукта PT Industrial Security Incident Manager View Sensor и индустриального промышленного компьютера Magelis iPC. Решение позволит выявлять кибератаки, неавторизованные действия персонала и злоумышленников, не оказывая нежелательного влияния на технологический процесс, и сможет использоваться в сложных климатических и технологических условиях эксплуатации.

Positive Technologies разработала решение для интеллектуальных месторождений
«
«Продукт будет работать в составе современных решений Schneider Electric, предназначенных для автоматизации цифровых месторождений (Smart Field). Такие месторождения, отличающиеся высоким уровнем автоматизации технологических процессов, позволяют вывести на более высокий уровень эффективность добычи нефти и газа, повысить эффективность и сократить время простоя скважин и других объектов добычи. Разрабатываемый ПАК будет способен работать в составе систем на базе широкой гаммы промышленных контроллеров, в том числе с Modicon M580, что позволит обеспечить кибербезопасность объектов добычи. Решение разрабатывается в России, поэтому все компоненты с наибольшей добавленной стоимостью (программное обеспечение, инжиниринг, сервисы в области информационной безопасности) разрабатываются и будут внедряться российскими инженерами».

Ян Сухих, руководитель направления по информационной безопасности Schneider Electric (Россия и СНГ)
»

Как отметили в Schneider Electric, цифровые месторождения могут снизить себестоимость эксплуатации месторождений в среднем на 20% (по оценке EnergySys). Компании добиваются значительной экономии с помощью умных технологий. Цифровизация повышает рентабельность нефтегазовой отрасли, однако требует применения современных средств защиты критической инфраструктуры от киберугроз. По данным исследования Positive Technologies, еще в 2018 году число компонентов АСУ ТП в России, доступных из интернета, увеличилось в примерно полтора раза. Растет и число уязвимостей, которые могут эксплуатироваться удаленно без необходимости получения привилегированного доступа. По оценкам Positive Technologies в 2019−2020 годах объем рынка средств информационной безопасности для АСУ ТП превысит 2 млрд рублей.

Согласно заявлению разработчиков, представленная система может использоваться для мониторинга киберинцидентов как в нефтегазовой сфере, так и в промышленном производстве, металлургии и других отраслях. Аппаратная часть, построенная на базе Magelis iPC, рассчитана на эксплуатацию в жестких промышленных условиях и сочетает в себе компактность и высокую эффективность. Установленная на Magelis iPC OEM-версия PT ISIM View Sensor поддерживает работу с проприетарными протоколами Schneider Electric и совместима с другими технологиями компании.

По информации на март 2019 года программно-аппаратный комплекс проходит тестирование в московском центре компетенций Positive Technologies и лаборатории Schneider Electric в Иннополисе (Татарстан). Первые поставки ожидаются в первом-втором кварталах 2019 года.

2018

PT ISIM netView Sensor на платформе iROBO

20 ноября 2018 года Positive Technologies сообщила о выпуске совместно с IPC2U на рынок программно-аппаратного комплекса PT ISIM netView Sensor на платформе iROBO, предназначенного для защиты от киберугроз небольших производственных объектов, предприятий малого и среднего бизнеса. По информации компании, решение соответствует требованиям в области промышленной надежности, в том числе обладает высоким уровнем отказоустойчивости, может применяться в сложных климатических условиях.

PT ISIM netView Sensor

Программно-аппаратный комплекс PT ISIM netView Sensor выполнен на базе промышленного высокопроизводительного компьютера iROBO-6000-320-W, основными сферами применения которого являются промышленная автоматизация в энергетике, машиностроении, на транспорте и в других индустриальных сферах. В данной конструктивной сборке PT ISIM netView Sensor выполняет свои ключевые задачи — мониторинг технологической сети, контроль состава сети и конфигураций сетевых узлов, управление событиями и инцидентами безопасности в технологическом сегменте, — не оказывая влияния на технологический процесс. На ноябрь 2018 года комплекс прошел испытания, по их результатам была подтверждена корректная работа его аппаратных и программных компонентов.

«
Благодаря нашему сотрудничеству с компанией IPC2U, дистрибутором средств промышленной автоматизации и отечественным производителем промышленных компьютеров и сетевого оборудования, наши клиенты смогут приобрести законченный продукт, который можно легко развернуть и сразу использовать для контроля за инцидентами кибербезопасности.

Дмитрий Даренский, руководитель практики промышленной кибербезопасности Positive Technologies
»

«
Построение комплекса на базе аппаратной платформы, собранной в России, — важный шаг для отечественного рынка промышленной автоматизации.

Владимир Шестырев, руководитель направления «Промышленные компьютеры» в компании IPC2U
»

На ноябрь 2018 года решение доступно в розничной торгово-представительской сети IPC2U и специализированном интернет-магазине.

PT ISIM freeView Sensor

10 сентября 2018 года стало известно, что компания Positive Technologies пополнила линейку продуктов, предназначенных для решения задач промышленной кибербезопасности, облегченной версией системы PT Industrial Security Incident Manager ― PT ISIM freeView Sensor. Продукт предназначен для решения базовых задач мониторинга ИБ АСУ ТП.

Сценарий использования PT ISIM freeView Sensor
Сценарий использования PT ISIM freeView Sensor
«
Обеспечение ИБ в АСУ ТП сопряжено с массой вопросов. Например, необходимо определить роли и зоны ответственности, актуализировать данные о сети АСУ ТП, оценить ее защищенность, найти необходимые инструменты защиты и обосновать их покупку. При этом использование стандартных средств ИБ (например, антивирусов) в силу специфики АСУ ТП может быть затруднено, а специализированные инструменты − недоступны широкому кругу пользователей: их не всегда можно опробовать на практике, поэтому их полезность остается не ясной. PT ISIM freeView Sensor, будучи инструментом инвентаризации сети АСУ ТП и мониторинга киберзащищенности ее ресурсов, помогает преодолеть этот барьер и запустить поступательное развитие программы ИБ АСУ ТП предприятия.
Денис Суханов, директор по разработке средств защиты промышленных систем, компания Positive Technologies
»

PT ISIM freeView Sensor предоставляется в виде виртуальной машины, которая подключается к порту зеркалирования (Mirror, SPAN) коммутатора сети АСУ ТП. Система обрабатывает копию трафика сети АСУ ТП , не оказывая влияния на ее компоненты.

Ключевые задачи, которые решает ежедневное использование PT ISIM freeView Sensor:

  • инвентаризация сетевых активов АСУ ТП: система позволяет визуализировать топологию сети с узлами, соединениями, группами узлов;
  • контроль информационного взаимодействия в АСУ ТП: в числе прочего предусмотрен режим обучения системы, когда она запоминает все сетевые узлы и взаимодействия между ними, заводит инциденты на сетевые аномалии и пр.;
  • выявление сетевых и промышленных атак, а также случаев неавторизованного управления;

Для получения обратной связи от пользователей системы и ответов на возникающие в ходе ее использования вопросы созданы специализированные информационные площадки: сообщество продукта и Telegram-чат.

Кроме решения ряда базовых задач, PT ISIM freeView дает пользователю возможность накопить опыт, необходимый для более эффективной работы с коммерческими версиями системы PT Industrial Security Incident Manager. Их отличает полноценная техническая поддержка, большее число поддерживаемых протоколов, расширенные возможности по интеграции с внешними системами (в том числе специфическими для отраслей). Коммерческие версии системы обладают возможностями для разбора трафика с учетом особенностей конкретного промышленного объекта, позволяют видеть актуальную в любой момент времени картину сетевых объектов на мнемосхеме технологического процесса, настраивать сценарии выявления атак с учетом специфики конкретного объекта, могут работать как источник информации об инцидентах безопасности в рамках индустриального SOC и являться ключевым компонентом, реализующим требования по безопасности, предъявляемые регуляторами к технологическому сегменту.

В состав коммерческих версий PT Industrial Security Incident Manager входит постоянно пополняемая база промышленных киберугроз − PT Industrial Security Threat Indicators (PT ISTI). Она позволяет системе без дополнительного конфигурирования выявлять до 80% наиболее опасных и актуальных угроз сети АСУ ТП. В их числе – подготовка к кибератакам на ПО и оборудование АСУ ТП на ранней стадии, недочеты в настройке систем, выход технологических параметров за пределы нормальных значений, использование потенциально небезопасных средств сетевого взаимодействия и неавторизованных команд управления оборудованием АСУ ТП. База угроз помогает превентивно выявлять уязвимости сети АСУ ТП, в том числе те, которые эксплуатируются вирусами-шифровальщиками и другим вредоносным ПО.

PT ISIM netView Sensor

11 июля 2018 года компания Positive Technologies выпустила обновленную версию своей системы контроля кибербезопасности АСУ ТП ― PT Industrial Security Incident Manager netView Sensor (PT ISIM netView Sensor). Продукт отличается простотой развертывания и настройки. Решение применимо для выявления инцидентов кибербезопасности в энергетике, нефтеперерабатывающей отрасли, промышленном производстве, на транспорте и в других индустриальных сферах.

PT ISIM netView Sensor осуществляет мониторинг технологической сети, контролирует состав сети и конфигурации сетевых узлов, управляет событиями и инцидентами безопасности в технологическом сегменте. Система может работать как источник информации об инцидентах безопасности в рамках распределенного индустриального SOC и является ключевым компонентом, реализующим требования по безопасности, предъявляемые регуляторами к технологическому сегменту.

Согласно заявлению компании Positive Technologies, PT ISIM netView Sensor значительно облегчает внедрение и обеспечение ИБ — он предельно прост в развертывании за счет автоматической настройки и позволяет выявлять до 80% наиболее опасных и актуальных угроз сети АСУ ТП. В первые часы работы в процессе самообучения PT ISIM netView Sensor выполнит инвентаризацию ресурсов сети, построит карту информационного взаимодействия, обнаружит недостатки сегментации и возьмет на себя задачу по наблюдению за безопасностью технологических ресурсов предприятия. В режиме непрерывного мониторинга компонент будет выявлять изменения сети и сможет идентифицировать потенциальные угрозы для АСУ ТП.

Тестирование АСУ ТП на совмесимость с Simatic NET1

26 июня 2018 года Positive Technologies сообщила, что она совместно с Siemens протестировала систему мониторинга защищенности и управления инцидентами кибербезопасности АСУ ТП PT Industrial Security Incident Manager (PT ISIM) компании Positive Technologies на совместимость с сетями Simatic NET1. В ходе испытаний PT ISIM продемонстрировала корректную работу на этапах подключения и функционирования стенда и никак не влияла на технологический процесс.

Коммутатор Ruggedcom производства Siemens
Коммутатор Ruggedcom производства Siemens

Тестовая сеть АСУ ТП была построена на базе коммутаторов Scalance и Ruggedcom производства Siemens. Система PT ISIM подключалась к интерфейсам зеркалирования трафика тестовой сети АСУ ТП через шлюз однонаправленной передачи данных производства «AMT-Груп». В рамках тестирования PT ISIM оценивались возможности обнаружения событий и инцидентов безопасности, а также действий нарушителей.

По результатам испытаний были подтверждены заявленные функции мониторинга защищенности и управления инцидентами кибербезопасности. Система корректно разбирала и анализировала тестовый трафик, генерируя понятный список событий и инцидентов. При этом соблюдалось наиболее важное требование — успешная работа дата-диода в составе решения и отсутствие трафика PT ISIM в сети Simatic NET: сбор данных происходил полностью в пассивном режиме.

«
Обеспечение информационной безопасности на промышленных объектах является непростой задачей. На предприятиях уязвимости не успевают устранять в силу множества объективных причин, в том числе в связи с опасениями о непрерывности техпроцесса. Мало где эффективен и "воздушный зазор". Как показывают наши исследования, в четырех из пяти компаний возможно проникновение из корпоративной сети в технологическую, а попасть в корпоративную сеть извне пентстерам удается в 73% промышленных компаний. Совместимость PT ISIM с решениями Siemens, наиболее распространенными в сегменте АСУ ТП, позволяют многим предприятиям решать актуальную проблему выявления инцидентов и кибератак.
Дмитрий Даренский, руководитель практики промышленной кибербезопасности Positive Technologies
»

2017: Проведено тестирование на совместимость

11 декабря 2017 года компания Positive Technologies заявила о тестировании PT ISIM на совместимость с АСУ ТП компании «Прософт-Системы».

Система управления инцидентами кибербезопасности прошла тестирование на совместимость c АСУ ТП на основе ПТК ARIS и RedKit SCADA.

Применение PT ISIM в составе ПТК ARIS позволяет обеспечить функционал обнаружения кибератак и управления инцидентами кибербезапосности в режиме реального времени без непосредственно вмешательства в работу АСУ ТП. В ходе испытаний подтверждено, что применение PT ISIM в составе ПТК ARIS обеспечивает реализацию определенного перечня технических мер защиты АСУ ТП в соответствии требованиями приказа № 31 ФСТЭК.

2016

PT ISIM и АМТ-Груп: InfoDiode интегрированы

В апреле 2016 года Positive Technologies и АМТ-ГРУП сообщили об успешном тестировании совместного решения по защите критических инфраструктур и промышленных предприятий, созданного на базе систем Positive Technologies Industrial Security Incident Manager и АМТ-Груп: InfoDiode.

Решение обеспечивает возможность защиты сегмента АСУ ТП без влияния на его функциональную безопасность. В частности, PT ISIM позволяет обнаружить кибер-атаки или неправомерные действия персонала, уязвимости компонентов АСУ ТП и проводить расследования инцидентов. А интеграция с АМТ InfoDiode гарантированно исключает возможность негативного влияния на сегмент АСУ ТП за счет изоляции PT ISIM и однонаправленной передачи данных.

Принцип работы PT ISIM заключается в сборе и анализе копии трафика технологической сети. Механизм интеллектуальной обработки событий, используемый PT ISIM, позволяет связывать отдельные события безопасности в цепочки действий злоумышленника и выявлять распределенные во времени атаки (даже на длительных периодах), уведомляя об инциденте сотрудников на местах или в ситуационном центре. А благодаря функции визуализации система представляет инцидент в наглядной, понятной пользователю форме: с привязкой к топологии сети и схеме промышленного оборудования. Сохраненная копия трафика дает возможность в любой момент провести ретроспективный анализ и расследование инцидента.

В совместной схеме защита периметра сегмента АСУ ТП, информация которого передается для анализа, реализуется на базе решения AMT InfoDiode. Это гарантирует изолированность сегмента технологической сети и исключает влияние средства защиты на функциональную безопасность.

Анонс системы

Весной 2016 года компания Positive Technologies выпустила на рынок систему, предназначенную для защиты автоматизированных систем управления технологическим процессом (АСУ ТП) — Positive Technologies Industrial Security Incident Manager (PT ISIM). Система позволяет обнаруживать уязвимости и хакерские атаки на технологические сети предприятия, а также расследовать инциденты (в том числе ретроспективно) на критически важных объектах. PT ISIM помогает бороться с внутренними и внешними угрозами безопасности, включая несанкционированное подключение, подбор пароля, неправомерные управляющие команды, подмену прошивки промышленного оборудования, потенциально опасные действия персонала, ошибки конфигурации. PT ISIM уже включена в продуктовые портфели авторизованных партнеров компании Positive Technologies.

«К созданию продукта, нацеленного на обеспечение индустриальной кибербезопасности, мы приступили в 2014 году. Необходимость такого решения мы остро осознали по результатам нашей исследовательской работы в сетях АСУ ТП в компаниях различных отраслей. В частности, наш исследовательский центр обнаружил более 140 000 компонентов АСУ, доступных из интернета, 10% которых оказались уязвимыми. Мы выявили свыше 250 уязвимостей нулевого дня в системах АСУ, при том, что сами владельцы систем даже не подозревали, насколько уязвимы эти ресурсы, — рассказывает Филиппов Максим, директор Positive Technologies по развитию бизнеса в России. — Аккумулировав весь наш технический потенциал и опыт, мы за полтора года — уже к середине 2015-го — разработали первую версию продукта, протестировав его на пилотной зоне одной из отраслеобразующих отечественных компаний. За последние полгода продукт из заказной разработки в интересах узкого круга компаний вырос в промышленное решение, предрелизную версию которого мы продемонстрировали нашим партнерам в феврале этого года».

PT ISIM имеет встроенный механизм корреляции, который связывает события безопасности в логические цепочки и выявляет распределенные во времени атаки. Цепочка разрастается по мере развития атаки (иногда длящейся месяцами), каждое событие которой в отдельности может не представлять угрозы. Благодаря этому появляется возможность восстановить полную картину случившегося при подозрении на взлом или заражение системы вредоносным кодом.

Реализованная в PT ISIM функция визуализации позволяет наглядно отображать инциденты на промышленной карте предприятия с привязкой к конкретному оборудованию. Также система в автоматическом режиме оповещает операторов АСУ и специалистов по безопасности об инциденте — с различной глубиной детализации, в соответствии с их полномочиями.

За счет подключении PT ISIM к инфраструктуре предприятия однонаправленным способом полностью исключается какое бы то ни было влияние системы на технологический процесс: она работает исключительно в пассивном режиме, собирая для анализа копию трафика.

«PT ISIM — практическая реализация нашего подхода к защите автоматизированных систем управления. Концептуально важным в этом случае является, во-первых, формирование цепочек атак как мощного средства противодействия распределенным во времени угрозам. Во-вторых — визуализация атак на бизнес-логику для корректной интерпретации событий системы. И, в-третьих, невмешательство в технологический процесс за счет пассивного режима работы, — отмечает Матыков Олег, руководитель направления Positive Technologies. — При этом для разных отраслей промышленности создаются разные интерфейсы, и при каждом внедрении PT ISIM адаптируется к реальной операционной среде — типичным для нее протоколам, архитектуре, правилам корреляции и оборудованию. Эффективность обнаружения атак при таком подходе увеличивается в разы».

Запущены пилотные внедрения в транспортной отрасли и ТЭК, ведутся работы по адаптации продукта к специфике других отраслей.



ПРОЕКТЫ (1) ИНТЕГРАТОРЫ (3) РЕШЕНИЕ НА БАЗЕ (1)
СМ. ТАКЖЕ (8)


Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2016 год
2017 год
2018 год
Текущий год

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2016 год
2017 год
2018 год
Текущий год