Разработчики: | Positive Technologies (Позитив Текнолоджиз) |
Дата премьеры системы: | 2022/04/20 |
Дата последнего релиза: | 2024/07/05 |
Технологии: | ИБ - Система обнаружения мошенничества (фрод), ИБ - Управление информацией и событиями в системе безопасности (SIEM) |
PT Industrial Cybersecurity Suite (PT ICS) — комплексная платформа для защиты промышленности от киберугроз. Она позволяет обнаруживать злоумышленника на всех этапах развития атаки в промышленных средах и своевременно реагировать на них. PT ICS обеспечивает комплексную безопасность в индустриальном сегменте компании, начиная от сетевых узлов и заканчивая технологическими устройствами.
Состав
На апрель 2022 года в состав PT ICS входят:
- MaxPatrol SIEM для промышленности. Контролирует активность программного обеспечения и поведение пользователей на конечных узлах. Обнаруживает во всей IT-инфраструктуре предприятия инциденты информационной безопасности и позволяет наладить процесс управления ими. Поддерживает иностранные и отечественные компоненты АСУ ТП (SCADA) «из коробки».
- MaxPatrol VM для промышленности. Автоматизирует работу с активами, дает возможность корректно оценивать события ИБ и приоритизировать их. MaxPatrol VM тесно интегрируется с MaxPatrol SIEM и позволяет построить процесс управления уязвимостями в едином интерфейсе. Поддерживает иностранные и отечественные компоненты АСУ ТП (SCADA).
- PT ISIM. Осуществляет глубокий анализ трафика технологических систем. Предоставляет инструменты для проактивного поиска угроз (threat hunting), автоматически строит вектор атаки и делает ретроспективный анализ трафика. Поддерживает более 100 сетевых протоколов.
- PT Sandbox для промышленности. Обнаруживает в файлах и ссылках неизвестное ВПО, нацеленное на компоненты АСУ ТП (SCADA) иностранных и отечественных производителей. Осуществляет статический и динамический анализ объектов как с узлов, так и из других источников. Дает возможность настроить среду эмуляции, «приманки» и состав ПО с учетом специфики компании.
- PT XDR для промышленности. EDR-агенты PT XDR собирают и анализируют данные с конечных узлов, помогают осуществлять проактивный поиск угроз (threat hunting) и блокировать киберугрозы. Поддерживает популярные ОС «из коробки». Агенты адаптированы для работы на предприятиях.
2024
Добавление пакета для обнаружения угроз в программно-техническом комплексе для автоматизации технологических процессов AstraRegul
В систему мониторинга событий ИБ и управления инцидентами MaxPatrol SIEM, входящую в состав решения PT Industrial Cybersecurity Suite (PT ICS), добавлен пакет экспертизы. Он включает в себя правила обнаружения угроз в программно-техническом комплексе для автоматизации технологических процессов AstraRegul. Об этом Positive Technologies (Позитив Текнолоджиз) сообщили 5 июля 2024 года.
Программно-технический комплекс AstraRegul используют промышленные предприятия для создания распределенных систем управления технологическими процессами. Теперь PT ICS выявляет действия, которые могут угрожать работе АСУ ТП под управлением AstraRegul, в частности подбор пароля, подмену файлов, подозрительные действия с конфигурациями и мнемосхемами технологических процессов, запуск и остановку критически важных сервисов и приложений. Также PT ICS регистрирует события информационной безопасности для ПЛК REGUL RX00, такие как вход и выход пользователей, изменение их прав, опасные манипуляции с микропрограммой ПЛК, корректировку параметров системы защиты.
По данным нашего исследования, российские промышленные и энергетические компании остаются привлекательной целью для таргетированных атак. Чтобы безопасность производства оставалась на высоком уровне, мы развиваем сотрудничество с вендорами систем автоматизации и регулярно добавляем в платформу PT ICS новые пакеты экспертизы, — отметил Андрей Кудеров, руководитель отдела по работе с технологическими партнерами Positive Technologies. — Внедрение защищенной системы позволяет компаниям избежать киберинцидентов на производстве и проходить проверки на соответствие требованиям ФСТЭК. |
Пакет экспертизы уже доступен для установки через службу технической поддержки в последней версии системы MaxPatrol SIEM.
Пакет экспертизы по выявлению кибератак на АСУ ТП на базе «Альфа платформы»
В PT ICS добавлен пакет экспертизы по выявлению кибератак на АСУ ТП на базе «Альфа платформы». Об этом Positive Technologies сообщили 17 июня 2024 года.
Пользователи смогут обнаруживать остановку критически важных сервисов, несанкционированные изменения и подмену файлов.TrafficSoft ADC: балансировщик нагрузки с высокой скоростью работы и минимальными аппаратными требованиями
ПО «Альфа платформа» компании «Атомик Софт» используется в энергетике, транспортной промышленности, производстве удобрений, нефтегазовой отрасли и других сферах. Правила разработаны для системы MaxPatrol SIEM, которая входит в состав решения для защиты промышленности от киберугроз PT Industrial Cybersecurity Suite (PT ICS).
Причиной нарушений действия промышленных объектов и аварий на них все чаще становятся кибератаки. Злоумышленники могут проникнуть в производственные системы снаружи, например из интернета или корпоративной сети. Серьезную угрозу здесь представляет и внутренний нарушитель, имеющий легальный доступ к критической инфраструктуре. Поэтому предприятиям крайне важно иметь в своем арсенале решения для обнаружения и предотвращения угроз кибербезопасности, такие как PT ICS. Они учитывают специфику индустриальных систем и наращивают экспертизу. Это позволяет наиболее эффективно бороться с киберугрозами в промышленных инфраструктурах, — отметил Андрей Кудеров, руководитель отдела по работе с технологическими партнерами Positive Technologies. |
В 2023 году промышленные предприятия вошли в топ-6 самых атакуемых целей. В 95% случаев атаки были нацелены на конкретное предприятие, а каждая вторая приводила к нарушению деятельности компании.
Испытания подтвердили, что пакет экспертизы полностью совместим со всеми компонентами «Альфа платформы». Теперь продукты в составе PT ICS можно использовать для мониторинга событий безопасности в системах, реализованных на базе «Альфа платформы», — прокомментировал Кирилл Силкин, технический директор «Атомик Софт». |
Добавленный пакет экспертизы выявляет манипуляции с данными в SCADA-системах или попытки компрометации основных файлов системы управления со стороны как внешнего хакера, так и внутреннего нарушителя. Правила в пакете экспертизы нацелены на обнаружение таких техник злоумышленников, как:
- Подмена информации на экране. Злоумышленники могут попытаться фальсифицировать данные, которые система передает операторам, например, путем изменения файлов проекта HMI. Это делается в расчете на то, что операторы не заметят проблем в работе оборудования или будут действовать, основываясь на некорректных сведениях.
- Несанкционированная модификация параметров сервера АСУ ТП. Злоумышленники могут попытаться отредактировать конфигурационный файл Alpha.Server, который содержит параметры технологического процесса и обмена данными. Таким образом хакеры могут вмешаться в производственный процесс, что приведет к серьезным последствиям для предприятия.
- Остановка работы сервиса. Хакеры могут попытаться прервать работу сервера данных Alpha.Server. Также это может привести к авариям, в том числе опасным для окружающей среды.
Маскировка вредоносной активности. Злоумышленники могут попытаться подменить сведения о местоположении, имени объекта или его метаданные, чтобы выдать свои действия за разрешенные. В случае «Альфа платформы» событие связано с подменой файлов другими, модифицированными злоумышленниками файлами или более старыми версиями, содержащими уязвимости или ошибки.
Пакет экспертизы уже доступен для установки через службу технической поддержки в последней версии системы MaxPatrol SIEM, которая входит в состав платформы PT ICS.
Добавление пакета для выявления атак на системы промышленной автоматизации
PT Industrial Cybersecurity Suite (PT ICS) получила дополнительный пакет экспертизы. Об этом разработчик платформы сообщил 7 марта 2024 года. Теперь MaxPatrol VM в составе PT ICS выявляет уязвимости в системах промышленной автоматизации производства Yokogawa Electric Corporation, AVEVA и Siemens, которые распространены в технологических сегментах компаний.
Распределенную систему управления CENTUM VP компании Yokogawa Electric Corporation используют более 10 тысяч предприятий химической, энергетической, нефтегазовой, пищевой и других отраслей промышленности. AVEVA InTouch HMI применяется на каждом третьем заводе в мире. Системы мониторинга и управления Siemens Simatic PC S7 и Siemens Simatic WinCC также востребованы в различных областях промышленного производства. Построение процесса управления уязвимостями важно для обеспечения киберустойчивости производства: это позволяет защитить промышленные системы, для которых существуют подтвержденные производителями уязвимости и публично доступные эксплойты.
Специалисты Positive Technologies дополнили пакетом экспертизы систему для управления уязвимостями MaxPatrol VM, входящую в состав PT ICS. С помощью введенных правил теперь можно оперативно выявить известные недостатки безопасности в системах промышленной автоматизации Yokogawa, AVEVA и Siemens, а также оперативно указывать на потенциальные сценарии атак. Обновление поможет специалистам по ИБ своевременно обнаруживать уязвимости в компонентах АСУ ТП, планировать мероприятия по их устранению либо принимать против них компенсирующие меры. Это позволяет свести к минимуму вероятность эксплуатации брешей злоумышленниками и снизить риск реализации недопустимых событий на производстве.
Промышленным организациям важно регулярно сканировать компоненты АСУ ТП на наличие уязвимостей и устранять их до того, как злоумышленники воспользуются ими и смогут нарушить технологический процесс. Обновления и патчи безопасности для некоторых зарубежных систем АСУ ТП стали недоступны российским компаниям, поэтому необходимо иметь полную картину об используемых на предприятии версиях ПО и их уязвимых местах. Выстраивать полноценный процесс vulnerability management полезно и с точки зрения инвентаризации активов технологической сети, чтобы в единой базе хранить актуальную информацию обо всех узлах и не сканировать сеть каждый раз после сообщений вендоров о новых уязвимостях, — отметил Евгений Орлов, руководитель направления информационной безопасности промышленных систем, Positive Technologies. — Мы продолжим дополнять PT ICS экспертизой для выявления угроз в системах промышленной автоматизации, ПЛК и сетевом оборудовании российских и иностранных производителей. |
Чтобы установить пакет экспертизы, необходимо обновить MaxPatrol VM в составе PT ICS до последней версии и обратиться в техподдержку.
2023
Совместимость с комплексом «Арбитр»
Компании Positive Technologies и «СПИК СЗМА» протестировали совместимость платформы для защиты промышленности от киберугроз PT Industrial Cybersecurity Suite с интегрированной системой управления и безопасности «АРБИТР». Об этом Positive Technologies сообщили 7 декабря 2023 года.
Разработанный компанией «СПИК СЗМА» комплекс программно-технических средств «АРБИТР» предназначен для построения распределенных систем управления технологическими процессами и систем противоаварийной защиты объектов энергетики, химической и нефтехимической промышленности, нефтегазодобычи, нефтепереработки, целлюлозно-бумажного производства.
По результатам проведенных испытаний эксперты Positive Technologies и «СПИК СЗМА» подтвердили корректность совместной работы систем для построения защищенного технологического процесса на промышленных предприятиях.
Надежность и скорость работы критически важна для промышленных предприятий. Тесты показали, что быстродействие и работоспособность системы АРБИТР и платформы PT ICS при совместном функционировании не нарушаются. Успешный результат испытаний позволяет использовать PT ICS для обеспечения безопасности значимых объектов критической инфраструктуры Российской Федерации, на которых будет установлена система АРБИТР, — рассказал Юрий Индык, технический директор компании «СПИК СЗМА». |
Совместное использование системы АРБИТР и PT ICS позволяет обеспечить высокий уровень защищенности и киберустойчивости систем АСУ ТП на критически важных промышленных предприятиях, а также соответствие требованиям законодательства по защите объектов критической информационной инфраструктуры страны, — отметил Андрей Кудеров, руководитель отдела по работе с технологическими партнерами Positive Technologies. |
Выявление киберугроз в системах промышленной автоматизации, создаваемые «МПС софт»
Пакет экспертизы для комплексной платформы PT ICS позволяет выявлять киберугрозы в системах промышленной автоматизации, создаваемые «МПС софт». Обновление совместимо с полнофункциональной платформой MasterSCADA 4D, предназначенной для разработки средств автоматизации и диспетчеризации технологических процессов, а также поддерживает MasterSCADA 3.X. Выявляются атаки и на OPC-серверы, которые собирают данные с контроллеров и передают системам, — Modbus Universal MasterOPC Server и Multi-Protocol MasterOPC Server. Об этом 7 июля 2023 года сообщили в компании Positive Technologies.
С помощью пакета экспертизы можно обнаружить подозрительные действия, способные негативно повлиять на технологический процесс. Например, PT ICS сообщит оператору, если конфигурационный файл MasterOPC изменится, и позволит предотвратить несанкционированное отключение защитных механизмов или выбор некорректных параметров работы. Кроме того, теперь платформа выявляет нелегитимную подмену исполняемых файлов, остановку важных для производственного цикла процессов и сервисов (таких как MasterOPC Server), манипуляции с файлами MasterSCADA, стирание журналов и другие опасные действия.
Система MasterSCADA включена в реестр российского ПО и имеет свыше 100 000 инсталляций, внедрена более чем в 30 отраслях и предназначена для проектов промышленной автоматизации любого масштаба и сложности — от небольших производственных площадок до крупных, территориально распределенных комплексов.
В 2022 году почти каждая десятая атака на организации приходилась на промышленные предприятия, а число инцидентов за год выросло на 7%. В этих условиях необходимо повышать уровень защищенности SCADA-систем и другого ПО для автоматизации технологических процессов — тем более что многие учреждения оперативно переходят на другие отечественные продукты. Пакеты экспертизы PT ICS суммируют данные, полученные в ходе тестирований на проникновение, и опыт экспертного центра безопасности (PT ESC), позволяют обнаруживать злоумышленника на всех этапах развития атаки в промышленных средах и своевременно принимать управленческие решения, отметил Евгений Орлов, руководитель направления информационной безопасности промышленных систем Positive Technologies.
|
Пакет экспертизы доступен для установки с последней версией MaxPatrol SIEM, который входит в состав платформы PT ICS. Ранее Positive Technologies выпустила пакеты экспертизы для выявления кибератак на системы Yokogawa и TRACE MODE.
Добавление пакета экспертизы для выявления кибератак на системы Yokogawa
Компания Positive Technologies 23 мая 2023 года сообщила о том, что разработала для комплексной платформы PT ICS пакет экспертизы, поддерживающий системы Yokogawa Electric Corporation. Пользователи платформы смогут выявлять атаки на распределенную систему управления (РСУ) CENTUM VP (которую применяют 10 тысяч предприятий химической, энергетической, нефтегазовой, пищевой, водоочистной и фармацевтической промышленности и других отраслей), а также на систему противоаварийной защиты ProSafe-RS, используемую более чем в 2400 проектах.
В 2022 году почти каждая десятая атака на организации приходилась на промышленные предприятия. Вместе с государственными учреждениями они стали главной целью вирусов-шифровальщиков. Компоненты АСУ ТП Yokogawa распространены на российских предприятиях, поэтому важно регулярно проводить обновления своих систем, участвующих в обеспечении технологического процесса и его защиты.
Данный пакет экспертизы позволяет определять наиболее популярные векторы атак на РСУ: неисправности и аномалии сети (подмена адреса узла на уже существующий или сложности с резервированием), попытки несанкционированного доступа (манипуляции с паролями и аномалии системы аутентификации), использование стандартных паролей.
Работая над добавлением пакета экспертизы, Денис Алимов, эксперт Positive Technologies, нашел уязвимость CVE-2023-26593 (BDU:2022-05068), которая получила оценку 6,5 по шкале CVSS v3. Она затрагивала РСУ разных поколений, например CENTUM CS 1000, выпускавшуюся с 90-х годов. В списке уязвимых также указаны CENTUM CS 3000 и CENTUM VP R4—R6. Уязвимости были подвержены и OPC-серверы Exaopc, предназначенные для связи АСУ ТП производства Yokogawa Electric Corporation с ПО сторонних вендоров. Производитель был уведомлен об уязвимости в последних версиях ПО и принял меры по снижению риска, предложив пользователям альтернативный метод аутентификации.
С помощью уязвимости злоумышленник мог получить права доступа к АСУ ТП с высоким уровнем привилегий. Это позволило бы, например, управлять технологическим процессом, включать или отключать его блокировки, а также загружать и запускать конфигурации техпроцесса. Также можно было бы создать аварийную остановку работы ПЛК и изменять пороговые значения параметров оборудования и настройки среды разработки (индикаторы тревог, звука и др.). Кроме этого, хакер мог бы заблокировать доступ пользователям к среде разработки и, соответственно, к управлению технологическим процессом. Подобная атака относится к типу denial of control по классификации MITRE[2] и может привести к серьезным последствиям, — рассказал Денис Алимов, старший специалист группы информационной безопасности промышленных систем управления Positive Technologies. |
Следует учитывать, что некоторые РСУ (например, CENTUM CS 1000, CENTUM CS 3000, CENTUM VP R4—R5) уже не поддерживаются производителем, для них не выпускаются обновления, а любые открытые уязвимости, подобные CVE-2023-26593 (BDU:2022-05068), могут снизить защищенность промышленного объекта.
PT ICS с обновленным пакетом для устранения риска эксплуатации таких уязвимостей контролирует внесение изменений в проект, определяя загрузку в него, нештатные варианты запуска, блокировку компонентов и работу со специализированным ПО в опасных режимах. Благодаря добавленному пакету PT ICS автоматически проверяет целостность критически важных файлов (например, прошивки) и выносит вердикт о наличии или отсутствии воздействия на них со стороны злоумышленников. В платформе регистрируются и элементы нарушений физической безопасности, например попытки взлома специальных промышленных клавиатур, у которых уровень доступа регулируется механическим ключом. Все это позволяет реализовать комплексную защиту инфраструктуры, построенной на базе систем производства Yokogawa Electric Corporation.
2022
Загрузка третьего пакета экспертизы для выявления атак на комплексную систему Aveva System Platform
19 декабря 2022 года компания Positive Technologies объявила о выпуске третьего пакета экспертизы для PT Industrial Cybersecurity Suite (PT ICS), платформы для защиты промышленности от киберугроз.
Он позволяет выявлять атаки на комплексную систему Aveva System Platform и определять несанкционированный запуск интегрированной среды разработки TRACE MODE для управления системой SCADA, нарушающий регламенты ИБ промышленных предприятий. Добавленные в PT Sandbox «приманки» помогают PT ICS обнаруживать вредоносное ПО, нацеленное на распределенную систему управления Experion PKS компании Honeywell и SCADA-системы «Арбитр» и KingIOServer.
Решения Honeywell используются на предприятиях нефтегазовой отрасли и применяются в составе систем класса BMS для автоматизации и управления инженерной инфраструктурой зданий: в аэропортах, торговых центах, центрах обработки данных, на спортивных аренах. SCADA-система «Арбитр» рассматривается промышленными предприятиями как решение, которое должно прийти на смену аналогичным системам иностранного производства.
В состав платформы PT ICS входят продукты Positive Technologies: MaxPatrol SIEM, MaxPatrol VM, PT ISIM, PT Sandbox и агенты PT XDR . Они регулярно получают экспертизу для выявления киберугроз, нацеленные на оборудование и ПО в индустриальном сегменте компании.
В экспертный пакет вошли правила корреляции для системы мониторинга событий ИБ MaxPatrol SIEM, которые позволяют обнаружить подозрительные действия злоумышленника в программном комплексе AVEVA System Platform и его компонентах — ArchestrA IDE и InTouch HMI. Комплексная промышленная платформа для диспетчерского управления, SCADA, панелей оператора и приложений индустриального интернета вещей используется в различных отраслях промышленности по всему миру (от топливно-энергетического комплекса до пищевого производства).
«Одна из главных угроз для любой SCADA-системы — манипулирование файлами проекта. Оно дает злоумышленникам возможность запутать оператора или переориентировать его команды в нелегитимные и опасные действия. PT ICS позволяет на различных уровнях отслеживать запуск IDE и конфигуратора, а также изменения в файлах проекта или экранных формах, — комментирует Андрей Петриков, руководитель группы исследований промышленных систем Positive Technologies. — Целостность источников данных контролируется мониторингом запуска отладочного ПО и перезапуска серверов данных. Проверка несанкционированного входа происходит на уровне доступа к работающей системе и во время копирования файлов проектов. А контроль целостности файлов журналов не позволит киберпреступникам скрыть следы вредоносного воздействия». |
Расширена поддержка TRACE MODE отечественного разработчика AdAstra. Теперь система управления уязвимостями MaxPatrol VM в составе платформы PT ICS обнаруживает запуск на узлах в сетях АСУ ТП нелегитимных программ для этой SCADA-системы. Это позволяет оператору контролировать установку монитора реального времени и IDE TRACE MODE. Киберпреступники и внутренние нарушители, то есть сотрудники, которые используют ресурсы компании для собственной выгоды, могут применять такое ПО для редактирования проектов ПЛК. Это может привести к аварии, порче имущества или остановке бизнеса компании. Поэтому подразделениям ИБ необходимо выявлять случаи его использования до того, как возникнет киберинцидент.
Программно-аппаратный комплекс глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM), входящий в состав PT ICS, дополнен третьим пакетом экспертизы. Обновление обеспечивает расширенную поддержку семейства протоколов Mitsubishi Electric.
Загрузка второго пакета экспертизы для выявления атак на Scada Trace Mode
В платформу для защиты промышленности от киберугроз PT Industrial Cybersecurity Suite (PT ICS) загружен второй пакет экспертизы для выявления атак на SCADA TRACE MODE — распространенную в индустриальном сегменте SCADA-систему (имеет наибольшее число инсталляций в России) разработчика AdAstra. Об этом сообщила компания Positive Technologies 3 октября 2022 года. С помощью правил обнаружения PT ICS находит подмену файла SCADA-проекта, попытки манипулирования доступом к ПЛК и нелегитимные действия в приложениях, отслеживаемых SCADA TRACE MODE. Это помогает на раннем этапе предотвратить развитие атак на АСУ ТП и системы противоаварийной защиты.
В пакет обновлений PT ICS добавлены 17 правил корреляции для MaxPatrol SIEM — системы мониторинга событий и выявления инцидентов ИБ в реальном времени. MaxPatrol SIEM входит в состав PT ICS, и теперь с помощью правил корреляции платформа сможет выявлять подозрительную сетевую активность в программном обеспечении SCADA TRACE MODE, установленном в Windows или Linux.
Обновленный пакет экспертизы PT ICS будет полезен отечественным компаниям для выполнения требований регуляторов: с 2025 года государственные организации и госкомпании обязаны использовать на объектах критической информационной инфраструктуры (КИИ) только отечественное ПО.
Согласно исследованию Positive Technologies, количество атак на промышленность во II квартале 2022 года выросло на 53%, причем целью злоумышленников является не только вымогательство, но и нарушение работы предприятий вплоть до физического разрушения производства. Для того чтобы предотвращать возможные атаки, предприятиям необходимо отслеживать подозрительную сетевую активность и деструктивную деятельность пользователей в производственных технологических системах. MaxPatrol SIEM, входящий в состав платформы PT ICS, позволяет обнаруживать события безопасности в специализированном программном обеспечении, которые невозможно выявить другими средствами ИБ, отметил Дмитрий Даренский, руководитель направления развития продуктов промышленной кибербезопасности Positive Technologies.
|
С помощью данных правил PT ICS обнаруживает события информационной безопасности, которые могут нарушить работу SCADA-системы, встроенных приложений АСУ ТП (это приводит к потере управления технологическим процессом) и систем противоаварийной защиты на промышленном предприятии. Кроме того, платформа выявляет нелегитимные действия, которые могут указывать на попытки злоумышленников:
- обойти средства защиты и запустить файл с вредоносным ПО;
- без разрешения запустить инженерную или исполняемую среду SCADA TRACE MODE;
- отобразить на мнемосхемах некорректные параметры контроля технологических процессов и др.
Добавление возможностей по обнаружению атак на ПЛК Siemens и выявлению вредоносного ПО, нацеленного на АСУ ТП
Платформа для защиты промышленности от киберугроз PT Industrial Cybersecurity Suite (PT ICS) получила первый пакет экспертизы для выявления атак на автоматизированные системы управления на базе программируемых логических контроллеров (ПЛК) семейства Siemens Simatic S7. Также в экспертный пакет вошли правила, позволяющие обнаружить Energetic Bear, Industroyer, Triton и другое вредоносное ПО, в том числе неизвестное, нацеленное на промышленные системы. Обновленный пакет доступен пользователям продуктов Positive Technologies в рамках лицензии для защиты индустриального сегмента. Об этом компания Positive Technologies сообщила 5 июля 2022 года.
Согласно исследованию Positive Technologies, в первом квартале 2022 года промышленные предприятия заняли третье место среди наиболее атакуемых российских учреждений, обогнав СМИ, организации из сферы услуг, ИТ, науки и образования. Тенденция сохраняется на протяжении нескольких лет. Для того чтобы кардинально изменить уровень защищенности промышленных предприятий, нужны подходы, обеспечивающие комплексную защиту инфраструктуры компаний в индустриальном сегменте, начиная от сетевых узлов и заканчивая технологическими устройствами.
Платформа PT ICS объединяет продукты Positive Technologies (MaxPatrol SIEM, MaxPatrol VM, PT ISIM, PT Sandbox и агенты PT XDR), которые дополнены необходимой экспертизой в выявлении киберугроз, специфичных для технологического сегмента: за счет новых возможностей и агентов платформа эффективно обнаруживает действия хакеров и обеспечивает комплексную защиту всего предприятия.
24 правила помогают выявлять действия злоумышленников в среде разработки ПО для систем автоматизации Totally Integrated Automation Portal (TIA Portal), в программном обеспечении для создания и обслуживания систем автоматизации Simatic Step 7 и в ПО для создания человеко-машинного интерфейса Simatic WinCC (SCADA-система). Например, правила обнаруживают:
- Изменение параметров сети в ПЛК. С помощью этого злоумышленник способен прервать связь контроллеров с устройствами и рабочими станциями в сети, что, в свою очередь, может нарушить технологический процесс и привести к ложному срабатыванию средств противоаварийной защиты или возникновению аварийной ситуации.
- Изменения в системном каталоге TIA Portal. Таким способом атакующий может нарушить работу ПО или внедрить в него вредоносный код, который будет передан ПЛК при загрузке аппаратной конфигурации. Из-за этого может нарушиться технологический процесс, и случится авария.
- Удаленное управление рабочей или инженерной станцией (сервером). Это событие ИБ, как правило, свидетельствует об активности злоумышленников в инфраструктуре АСУ ТП.
MaxPatrol SIEM соотносит каждое вредоносное действие с техниками из матрицы MITRE ATT&CK, которые используются злоумышленниками для первоначального доступа в систему (initial access), воздействия (impact) и управления командным центром (command and control).
Специалисты Positive Technologies разработали правила детектирования, которые помогают песочнице статически выявлять попытки сканирования портов, использующихся промышленными ПЛК от более чем 50 зарубежных и отечественных производителей (CIP, ELCOM, IOSYS, Modbus и PhoenixHW). Такая активность может указывать на то, что вредоносное ПО исследует инфраструктуру, чтобы найти ПЛК или SCADA-системы и осуществить деструктивные действия с ними. Специализированные правила обнаружения в составе пакета экспертизы позволяют детектировать в том числе и ранее неизвестное ВПО, заточенное под сегмент АСУ ТП.
Расширив существующие лицензии для поддержки промышленного сегмента, специалисты по ИБ продолжат работать со знакомыми и понятными инструментами, дополненными технологической экспертизой. Это позволит компаниям снизить затраты на внедрение новых систем кибербезопасности и интеграцию сторонних решений, а также повысить эффективность работы служб ИБ, — сказал Роман Краснов, руководитель направления кибербезопасности промышленных предприятий Positive Technologies. — PT ICS будет регулярно получать пакеты экспертизы и обогащаться новыми возможностями, правилами корреляций, транспортами к особыми устройствам и прикладному ПО, встречающимся только в технологических сегментах промышленных предприятий. Таким образом, у компаний есть возможность на одной платформе и в едином продуктовом портфеле построить единый SOC, равнозначно работающий как с корпоративной, так и технологической инфраструктурой. |
Анонс PT Industrial Cybersecurity Suite
20 апреля 2022 года компания Positive Technologies анонсировала платформу для защиты промышленности от киберугроз — PT Industrial Cybersecurity Suite (PT ICS). Платформа объединяет в себе различные возможности для защиты АСУ ТП — обнаруживает целевые атаки на всех уровнях промышленной IT-инфраструктуры и блокирует действия злоумышленников на конечных точках в промышленных средах.
По информации компании, IT-инфраструктура современного предприятия состоит из двух сегментов: корпоративного и технологического. Исследования Positive Technologies по анализу защищенности промышленных организаций показывают, что уровень безопасности сегмента АСУ ТП на апрель 2022 года низок. Основными киберугрозами для промышленных компаний сегодня являются атаки APT-группировок и хактивистов.
Большая часть усилий промышленных предприятий по оптимизации своей защищенности фокусируется на корпоративных инфраструктурах. В то же время регулярно появляющиеся в СМИ истории про кибератаки на АСУ ТП говорят о низкой защищенности технологических систем, а также о том, что именно их безопасность во многом определяет уровень общей ИБ предприятий. Обеспечение безопасности производственных предприятий требует единого, сквозного подхода. Необходимо организовать защиту, начиная от периметра корпоративной сети и до конечных устройств систем автоматизации, а также применить единый арсенал современных средств защиты и мониторинга. рассказал Роман Краснов, руководитель направления промышленной кибербезопасности Positive Technologies |
Компоненты платформы PT ICS размещаются как в АСУ ТП, так и за ее пределами. Все они располагают необходимой экспертизой для выявления киберугроз, специфичных для индустриального сегмента. PT ICS объединяет ключевые продукты Positive Technologies и их компоненты, отвечающие за безопасность технологических систем, в частности:
- Промышленные агенты MaxPatrol SIEM собирают информацию с узлов технологической сети, а специализированные правила нормализации и корреляции событий для популярных АСУ ТП различных производителей доступны «из коробки»;
- Сенсоры PT ISIM, адаптированные под АСУ ТП, отвечают за глубокий анализ трафика технологических сетей, выявление в них аномалий и помогают осуществлять проактивный поиск угроз (threat hunting);
- Промышленные агенты MaxPatrol VM позволяют безопасно сканировать технологическую сеть, проводить аудит ПО и аппаратных средств зарубежных и отечественных производителей;
- Специализированные возможности PT Sandbox помогают динамически выявлять вредоносное ПО, целью которого являются технологические системы различных производителей.
За счет обновленных возможностей, учитывающих особенности автоматизированных систем управления, продукты Positive Technologies, которые легли в основу платформы PT ICS, обнаруживают действия хакеров в промышленных сегментах и обеспечивают сквозную защиту всей технологической инфраструктуры, включая сети передачи данных, конечные узлы и специализированные устройства.
Платформа помогает:
- контролировать целостность технологической инфраструктуры;
- анализировать состояние безопасности узлов сети АСУ ТП;
- анализировать трафик в технологических сетях АСУ ТП;
- выявлять вредоносное ПО, нацеленное на компоненты АСУ ТП;
- своевременно реагировать на киберугрозы и блокировать их.
Компании, которые уже используют такие продукты Positive Technologies, как MaxPatrol SIEM, MaxPatrol VM или PT Sandbox, могут посредством PT ICS распространить защиту и на технологический сегмент.
Подрядчики-лидеры по количеству проектов
Интеллектуальная безопасность ГК (бренд Security Vision) (92)
Positive Technologies (Позитив Текнолоджиз) (23)
SearchInform (СёрчИнформ) (16)
Инфосистемы Джет (16)
Softline (Софтлайн) (14)
Другие (141)
Интеллектуальная безопасность ГК (бренд Security Vision) (6)
R-Vision (Р-Вижн) (3)
Softline (Софтлайн) (3)
Ngenix (Современные сетевые технологии, ССТ) (2)
Positive Technologies (Позитив Текнолоджиз) (2)
Другие (10)
Интеллектуальная безопасность ГК (бренд Security Vision) (13)
Positive Technologies (Позитив Текнолоджиз) (6)
InnoSTage (Инностейдж) (4)
CyberOK (СайберОК) (4)
SearchInform (СёрчИнформ) (2)
Другие (11)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Интеллектуальная безопасность ГК (бренд Security Vision) (13, 92)
Positive Technologies (Позитив Текнолоджиз) (17, 39)
SearchInform (СёрчИнформ) (2, 17)
Лаборатория Касперского (Kaspersky) (8, 14)
ArcSight (5, 13)
Другие (278, 110)
Интеллектуальная безопасность ГК (бренд Security Vision) (4, 6)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
R-Vision (Р-Вижн) (1, 3)
IBM (2, 2)
Инфосекьюрити (Infosecurity) (2, 2)
Другие (7, 8)
Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13)
InnoSTage (Инностейдж) (2, 4)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
SearchInform (СёрчИнформ) (1, 2)
Уральский центр систем безопасности (УЦСБ) (1, 2)
Другие (5, 5)
Лаборатория Касперского (Kaspersky) (3, 3)
SearchInform (СёрчИнформ) (1, 3)
Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2)
CloudLinux (1, 1)
Positive Technologies (Позитив Текнолоджиз) (1, 1)
Другие (9, 9)
SearchInform (СёрчИнформ) (1, 9)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Лаборатория Касперского (Kaspersky) (3, 3)
Перспективный мониторинг (1, 3)
Русием (RuSIEM) (1, 2)
Другие (6, 6)
Распределение систем по количеству проектов, не включая партнерские решения
Security Vision Security Operation Center (SOC) - 37
MaxPatrol SIEM - 33
Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 28
СёрчИнформ SIEM - 17
Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 11
Другие 156
R‑Vision SOAR (ранее R-Vision IRP) - 3
Ngenix Облачная платформа - 2
Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 2
MaxPatrol SIEM - 2
Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2
Другие 13
Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 9
CyberART Сервисная служба киберзащиты - 4
Innostage SOAR (ранее Innostage IRP) - 4
Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 4
Security Vision Incident Response Platform (Security Vision IRP) SOAR - 2
Другие 13
Подрядчики-лидеры по количеству проектов
Солар (ранее Ростелеком-Солар) (18)
Национальное бюро кредитных историй (НБКИ) (16)
SearchInform (СёрчИнформ) (16)
Инфосистемы Джет (9)
Experian (8)
Другие (158)
Центр Финансовых Технологий (ЦФТ) (2)
F.A.C.C.T. (ранее Group-IB в России) (1)
GlowByte, ГлоуБайт (ранее Glowbyte Consulting, ГлоуБайт Консалтинг) (1)
SAS Россия (САС Институт) (1)
SearchInform (СёрчИнформ) (1)
Другие (6)
Солар (ранее Ростелеком-Солар) (3)
SearchInform (СёрчИнформ) (2)
VisionLabs (ВижнЛабс) (1)
Диасофт (Diasoft) (1)
Динамика (Dynamika) Новосибирск (1)
Другие (0)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Visa International (4, 27)
Инфосистемы Джет (5, 25)
Солар (ранее Ростелеком-Солар) (2, 20)
FICO (4, 18)
SearchInform (СёрчИнформ) (2, 17)
Другие (184, 141)
Центр Финансовых Технологий (ЦФТ) (2, 2)
SAS Institute Inc (1, 1)
Диасофт (Diasoft) (1, 1)
Корп Софт (CorpSoft24) (1, 1)
Сбербанк (1, 1)
Другие (5, 5)
Солар (ранее Ростелеком-Солар) (1, 3)
SearchInform (СёрчИнформ) (1, 2)
VisionLabs (ВижнЛабс) (1, 1)
Динамика (Dynamika) Новосибирск (1, 1)
Диасофт (Diasoft) (1, 1)
Другие (0, 0)
SearchInform (СёрчИнформ) (1, 3)
R-Vision (Р-Вижн) (1, 1)
Группа компаний ЦРТ (Центр речевых технологий) (1, 1)
Солар (ранее Ростелеком-Солар) (1, 1)
Positive Technologies (Позитив Текнолоджиз) (1, 1)
Другие (1, 1)
SearchInform (СёрчИнформ) (1, 9)
Positive Technologies (Позитив Текнолоджиз) (1, 3)
БПС Инновационные программные решения (ранее БПЦ Банковские технологии) (1, 2)
Лаборатория Касперского (Kaspersky) (1, 1)
Другие (0, 0)
Распределение систем по количеству проектов, не включая партнерские решения
3-D Secure (3D-Secure) - 23
Solar JSOC - 19
СёрчИнформ SIEM - 17
НБКИ-AFS (Anti-Fraud Service) - 12
FICO Capstone Decision Accelerator (CDA) - 9
Другие 136
Group-IB Fraud Hunting Platform (ранее Secure Bank - Secure Portal) - 1
CorpSoft24: Хостинг ИСПДн - 1
ЦФТ FRAMOS - 1
Сбер: Антифрод-система - 1
Kaspersky Anti Targeted Attack Platform (KATA) - 1
Другие 6
Solar JSOC - 3
СёрчИнформ SIEM - 2
Diasoft Digital Q.Risk&Compliance - 1
VisionLabs Luna Pass - 1
Dynamika-Финансовый мониторинг - 1
Другие 0