В PT ISIM расширена поддержка РСУ Emerson и добавлено 3000 индикаторов угроз17.01.2024 Positive Technologies выпустила пакет экспертизы для системы глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM). В продукте расширилась поддержка распределенной системы управления (РСУ) DeltaV компании Emerson. Теперь PT ISIM выявляет больше событий информационной безопасности и позволяет еще эффективнее обеспечивать защиту. В продукт включено свыше 3000 новых правил для обнаружения актуальных киберугроз, все они имеют детализированные описания, которые помогают специалистам по ИБ оперативно разбирать события и инциденты. В обновленном пакете экспертизы — углубленный разбор протокола для управления и обмена данными РСУ Emerson DeltaV. PT ISIM анализирует команды управления контроллером и параметры технологического процесса (значения системных и диагностических тегов), которые передаются в промышленной сети. Это позволяет системе выявлять больше событий информационной безопасности, которые могут сигнализировать о кибератаках. В частности, PT ISIM фиксирует перевод контроллеров РСУ в отладочный режим, изменение состояния блокировки, загрузку в контроллер управляющей микропрограммы. Кроме того, PT ISIM может обнаруживать подозрительные действия управления модулями контроллера и эксплуатацию его уязвимостей по сетевому протоколу Telnet[ и по проприетарному протоколу РСУ DeltaV. «Мы разобрали операции в проприетарном протоколе для управления и обмена данными РСУ DeltaV, и теперь PT ISIM понимает, как устройства взаимодействуют друг с другом, какие команды используют и в каких случаях это небезопасно, — комментирует Роман Осташкин, эксперт по исследованию промышленных систем Positive Technologies. Некоторые события ИБ происходят в инфраструктуре не так часто, но именно они могут повлечь за собой значительный ущерб. Поэтому их нужно своевременно анализировать, и здесь как раз будет полезен мониторинг штатных операций — вокруг них хакеры могут выстраивать векторы атак и пути обхода средств защиты информации. События ИБ, которые мы разобрали в новом пакете экспертизы, а также актуализированная база правил обнаружения атак помогут своевременно устранить угрозы для промышленных компаний». Важное изменение в пакете экспертизы — обновление базы сигнатур для обнаружения нарушений безопасности. В PT ISIM появилось более 3000 новых индикаторов актуальных угроз для промышленных предприятий. К ним были добавлены детализированные описания, которые упрощают работу специалистов и позволяют им сразу же получать полное представление о срабатываниях продукта. Кроме этого, 2000 устаревших сигнатур удалены из базы. В числе обновлений — правило выявления ICMP-туннелей. Протокол ICMP часто бывает разрешен к использованию на межсетевых экранах. С помощью него злоумышленники могут в обход средств защиты информации установить связь с управляющими серверами, вывести данные из технологической сети или внедрить в инфраструктуру вредоносное ПО. Новое правило позволит на раннем этапе обнаружить использование протокола не по назначению. Обновления также коснулись существующих сигнатур, в частности правила обнаружения атак типа ARP Spoofing. Это сетевая атака на протокол ARP; хакеры используют ее для перехвата данных, которые передаются между устройствами. Новое правило менее зависимо от инфраструктуры компании и срабатывает точнее. Новый пакет экспертизы доступен всем пользователям PT ISIM 4.4 и выше. Пресс-служба Positive Technologies Тема:Soft |
© 2014. ИТ-Текст. Все права защищены.