PT Industrial Security Incident Manager выявляет попытки эксфильтрации данных и туннелирования соединений11.09.2020 Новый пакет экспертизы для программно-аппаратного комплекса глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM) позволяет подразделениям ИБ детектировать атаки связанные со скрытым туннелированием и эксфильтрацией данных из АСУ ТП. Пакет экспертизы, в частности, содержит набор правил, предназначенных для обнаружения техник Command and Control, которые используются для организации связи атакованной системы с контрольным сервером злоумышленников с помощью маскировки таких коммуникаций под доверенный трафик. Система может обнаруживать попытки соединений на уровне приложений, обфускацию данных и выявлять зловредные соединения даже в закодированном трафике. Также PT ISIM детектирует техники эксфильтрации (Exfiltration) — то есть передачи данных из технологической сети жертвы на контролируемые злоумышленниками ресурсы. «Успешное проникновение злоумышленника в инфраструктуру промышленного предприятия может остаться незамеченным: например, если антивирусное ПО на узле технологической сети пропустило запуск вредоносного объекта, ― объясняет Роман Краснов, эксперт по информационной безопасности промышленных систем Positive Technologies. — После успешного проникновения задача номер один для злоумышленников — наладить канал связи между жертвой и командным центром (C&C- или C2-сервером) для последующего управления развитием атаки. И именно в этот момент PT ISIM помогает выявить и нейтрализовать скрытую угрозу еще до того, как будут произведены какие-то деструктивные действия». По статистике Positive Technologies, три четверти APT-группировок (77%) обмениваются информацией с C2-сервером по известным протоколам прикладного уровня (standard application layer protocol). При этом большинство из них шифруют канал связи с C2-серверами, чтобы скрывать вредоносный трафик. Каждая вторая группа (46%) с этой целью использует известные алгоритмы (standard cryptographic protocol), например RC4 или простое XOR-суммирование, а 38% — их модифицированные версии (custom cryptographic protocol). «Эффективное обнаружение скрытого туннелирования и эксфильтрации данных сегодня является необходимым элементом в обеспечении ИБ промышленного предприятия», — комментирует Денис Суханов, директор по разработке средств защиты промышленных систем Positive Technologies. Данный пакет экспертизы PT ISIM в числе прочего расширяет поддержку обнаружения эксплуатации уязвимостей компонентов операционных систем Microsoft Windows, Linux и их сторонних реализаций, а также повышает эффективность детектирования попыток атак на распределенную систему управления CENTUM компании Yokogawa — этот инструмент сегодня используют более 10 тысяч предприятий нефтегазовой, химической, энергетической сфер, водоканалы и компании других отраслей. Пресс-служба Positive Technologies Тема:Безопасность |
© 2014. ИТ-Текст. Все права защищены.