Industrial Security Incident Manager (ISIM). Positive Technologies. Вендоры и продукты

НОВЫЙ УРОВЕНЬ ПРОМЫШЛЕННОЙ КИБЕРБЕЗОПАСНОСТИ

Современные промышленные объекты — это сложные автоматизированные предприятия, управляющие транспортом, производством, распределением ресурсов, добычей полезных ископаемых в режиме 24/7. Обеспечение кибербезопасности промышленных объектов — высокоприоритетная задача, поскольку атаки на них могут не только вывести из строя дорогостоящее оборудование и остановить производственный цикл, но также стать причиной техногенных катастроф.

Значительное усиление конвергенции корпоративных и производственных IТ-инфраструктур сопровождается минимальным вниманием к вопросам кибербезопасности, что серьезно повышает сопутствующие риски. На начало 2017 года выявлено более 160 000 компонентов АСУ ТП, подключенных напрямую к сети Интернет. Также опыт Positive Technologies в проведении работ по анализу защищенности АСУ ТП в 2016 году показал, что в 85% случаев удается получить полный контроль над ресурсами технологической сети со стороны корпоративных и внешних сетей. При этом промышленные объекты становятся уязвимыми даже для низкоквалифицированных нарушителей, обладающих минимальными знаниями.

Чувствительность компонентов АСУ ТП к кибератакам остается стабильно высокой на протяжении многих лет. По данным ежегодного исследования Positive Research, более 75% опубликованных в 2016 году уязвимостей было обнаружено в компонентах АСУ ТП лидирующих производителей, таких как Siemens, Advantech, Schneider Electric и Moxa, и более половины найденных уязвимостей имеют критическую и высокую степень риска. Процесс устранения уязвимостей при этом совершенно непрозрачен: больше 50% известных уязвимостей либо вовсе не исправлены, либо производитель не сообщает о времени их устранения.

Система анализа и управления инцидентами PT Industrial Security Incident Manager, разработанная компанией Positive Technologies, призвана вывести промышленную кибербезопасность на новый уровень.

ПРЕИМУЩЕСТВА

PT ISIM автоматически инвентаризирует элементы сети, включая компоненты промышленной системы управления, и непрерывно контролирует целостность технологической сети.

PT ISIM обладает удобными средствами графического отображения элементов сетевой топологии и технологического процесса (мнемосхемы). Это позволяет визуализировать инциденты ИБ в том числе и на уровне бизнес-логики промышленного сегмента.

PT ISIM эффективно выявляет длительные многоэтапные атаки, анализируя события информационной безопасности и связывая их в логические цепочки. Цепочка событий позволяет наглядно представить развитие инцидента во времени и в нужный момент принять соответствующие меры по предотвращению угрозы.

В случае возникновения инцидента PT ISIM предоставляет ответственным сотрудникам информацию, соответствующую их полномочиям. Оперативный персонал располагает минимальным набором инструментов, необходимых для поддержки административных регламентов, а служба ИБ получает полный доступ к информации об инцидентах для их расследования.

PT ISIM позволяет контролировать векторы атак, уникальные для промышленного объекта. Для настройки механизма контроля этих векторов используются данные, получаемые в результате исследования защищенности АСУ ТП предприятия.

Физические условия эксплуатации в промышленности бывают крайне агрессивными. Промышленное исполнение PT ISIM подбирается с учетом специфики отрасли и защищаемого предприятия.

PT ISIM ПОМОГАЕТ:

В отличие от других решений PT ISIM представляет инцидент в виде связной цепочки событий, а также визуализирует развитие атаки на сетевой топологии и мнемосхеме технологического процесса. Это позволяет обнаружить действия злоумышленника и вмешаться до того, как будет нарушен технологический процесс, нанесен невосполнимый ущерб оборудованию или появится опасность физического вреда людям.

PT ISIM хранит копию сетевого трафика технологического сегмента, что позволяет в любой момент провести ретроспективный анализ и расследовать инцидент, не оказывая влияния на работу АСУ ТП.

PT ISIM обеспечивает реализацию широкого перечня мер защиты АСУ ТП в соответствии с требованиями приказа ФСТЭК № 31 и является ключевым звеном для системы ГосСОПКА, позволяющим выстроить эффективное взаимодействие с ведомственными и корпоративными центрами системы для обеспечения мониторинга и реагирования на инциденты ИБ.

ПРИНЦИП РАБОТЫ PT ISIM

PT ISIM обеспечивает непрерывный мониторинг сетевой активности и позволяет выявлять уязвимости и хакерские атаки на промышленную сеть предприятия. PT ISIM не оказывает влияния на технологический процесс, сетевую инфраструктуру и промышленное оборудование, поскольку подключается однонаправленным способом, физически исключающим какое-либо воздействие.

PT ISIM использует для анализа копию трафика технологической сети, детектирует события кибербезопасности и выявляет связи между ними. Интеллектуальная система корреляции событий позволяет PT ISIM обнаруживать нелегитимные действия нарушителя и представлять их в виде наглядной цепочки шагов развития атаки (в том числе потенциальной). Уникальные возможности визуализации инцидентов в PT ISIM помогают оперативно определять векторы распределенных во времени атак и соотносить их с элементами как сетевой инфраструктуры, так и технологического процесса промышленного объекта. Кроме того, сохраненная копия трафика позволяет в любой момент провести ретроспективный анализ и расследование инцидента.

PT ISIM помогает бороться с различными угрозами безопасности, включая несанкционированное подключение к сети, подбор паролей к компонентам системы, неправомерное исполнение управляющих команд, подмену проектов ПЛК и прошивок промышленного оборудования. PT ISIM позволяет выявлять и внутренние угрозы, такие как потенциально опасные действия персонала и ошибки конфигурации.

В состав решения на базе PT ISIM также входит набор компонентов, необходимых для организации центра оперативного управления комплексной распределенной системой промышленной кибер-безопасности (security operation center, SOC).