PT ISIM — это программно-аппаратный комплекс глубокого анализа технологического трафика. Он обнаруживает следы нарушений информационной безопасности в сетях АСУ ТП, помогает на ранней стадии выявлять кибератаки, активность вредоносного ПО, неавторизованные действия персонала (в том числе злоумышленные) и соответствовать требованиям законодательства (Федерального закона № 187-ФЗ, приказов ФСТЭК № 31, 239, ГосСОПКА).
PT ISIM выявляет следующие события и инциденты ИБ:
Отсутствие реакций систем АСУ ТП на закритические режимы работы;
Эксплуатацию уязвимостей, нацеленных на вывод оборудования АСУ ТП из строя;
Активность вредоносного ПО в сети АСУ ТП.
Ключевые преимущества PT ISIM:
Автоматическое обучение;
Пассивный анализ трафика;
Автоматическое построение графа развития атаки
Проверка нелегитимных подключений к сети АСУ ТП;
Более 5000 встроенных правил обнаружения нарушений ИБ;
Простота внедрения и масштабирования системы;
Инвентаризация и проверка целостности сети АСУ ТП;
Учет специфики предприятия;
Минимальное количество ложноположительных срабатываний;
Соответствие требованиям регуляторов.
Оборудование PT ISIM устанавливается в инфраструктуре клиента. Доступны несколько вариантов серверного шасси (в том числе промышленного исполнения) для сенсоров, выполняющих анализ трафика сети АСУ ТП.
PT ISIM дополняет инструментарий центра оперативного реагирования (SOC) необходимыми средствами анализа трафика и позволяет специалисту SOC полностью увидеть картину действий нарушителя в технологической сети, в том числе в ретроспективе.
Вопрос-ответ
Как происходит обработка трафика PT ISIM?
Обработка трафика в PT ISIM происходит в несколько этапов:
1. Сбор — захват трафика по протоколам FTP, HTTP, Telnet, ARP, MMS, МЭК 104, DIGSI, GOOSE, NTP, SNTP, а также по протоколам Bombardier (COS и FEU) с целью извлечения информации о каждом событии. Собранная информация передается на нормализацию, а исходная копия трафика сохраняется на жестком диске сервера в формате Pcap.
2. Нормализация — извлечение данных из атрибутов записей, которые могут иметь разный формат, и приведение их к единому формату нормализованных сообщений. Нормализованное сообщение имеет заданный набор полей, каждое из которых имеет определенные допустимые значения. Такой формат сообщения позволяет однозначно определить основные параметры события, отнести его к определенному узлу и устройству, а также провести дальнейший анализ события на основе значений отдельных полей.
3. Фильтрация — удаление сообщений, не представляющих интереса с точки зрения информационной безопасности.
4. Агрегация — группировка повторяющихся сообщений об однотипных событиях в единое сообщение согласно правилам агрегации. Правила агрегации определяют набор полей, совпадение по которым приводит к группировке нескольких сообщений в одно, а также период, на который распространяется агрегация.
5. Корреляция — проверка потока событий на соответствие определенному правилу. Результатом сработавшего правила корреляции является скоррелированное сообщение.
6. Моделирование — составление актуальной карты вычислительной сети, отражающей ее
реальный состав и взаимодействие между узлами. На основе правил, учитывающих
текущие данные модели, PT ISIM принимает решение о том, является ли событие или
скоррелированное сообщение инцидентом.
Какие инструменты используются для обеспечения безопасности PT ISIM?
Используются следующие инструменты обеспечения собственной безопасности PT ISIM:
• Сценарий secure.sh. Его запуск реализует настраивает межсетевой экран таким образом, что запрещаются любые соединения с внешней сетью, кроме входящих TCP-соединений на порты 22, 80, 443 и входящих IMCP-соединений (эхо-запросов), а также ограничивает доступ к компонентам Redis и RabbitMQ, устанавливая пароли и разрешая соединения только в пределах сервера.
• Защищенное соединение с веб-интерфейсом пользователя по HTTPS, а также перенаправление запросов, адресованных порту 80 (HTTP), на порт 443 (HTTPS).
• Компонент Firewall, который предотвращает изменение настроек межсетевого экрана или его отключение.
• Мониторинг состояния сетевого подключения PT ISIM к коммутаторам, с которых собирается трафик. Отсутствие подключения рассматривается как инцидент.
• Мониторинг состояния компонентов Redis и RabbitMQ. Служба Watchdog
периодически отправляет им запросы и принудительно перезапускает их, если они
не отвечают на запросы в течение заданного времени или отвечают сообщением с
ошибкой.
В каких областях применяется PT Industrial Security Incident Manager?
Области применения PT Industrial Security Incident Manager:
Автоматизированные системы управления технологическими процессами промышленных предприятий
Системы управления городской инженерной инфраструктурой
Автоматизированные системы управления объектов критической инфраструктуры
Системы управления инженерной инфраструктурой центров обработки данных, деловых и торговых центров
Промышленные предприятия и производства с распределенной инфраструктурой
Какие существуют возможности масштабирования PT ISIM?
PT ISIM, как и комплексное решение на его базе, гибко масштабируется в зависимости от конкретных требований и задач. Внедрение компонентов продукта может происходить поэтапно, и для этого не нужны крупные единовременные инвестиции. Базовая версия сетевого сенсора — PT ISIM netView Sensor — требует минимальных усилий по установке и идеально подходит как для пилотного внедрения, так и для каждодневной эксплуатации. В дальнейшем опции лицензирования PT ISIM позволяют расширять функциональность системы без замены оборудования. Итоговое количество компонентов PT ISIM в составе системы не ограничено. На начальных этапах развертывания система может использоваться только на критически важных площадках с последующим полным покрытием всех процессов в промышленной сети.
Каковы цели внедрения системы PT ISIM?
Цели внедрения системы:
Непрерывный анализ киберзащищенности АСУ ТП
Контроль действий персонала и подрядчиков
Обнаружение нарушений ИБ и кибератак на АСУ ТП
Своевременное выявление инцидентов и информирование ответственных лиц
Создание доверенного источника данных для эффективного расследования нарушений ИБ
Анализ инцидентов, включая определение причин возникновения, а также оценку последствий
Планирование мер по устранению и предотвращению инцидентов
Обеспечение соответствия требованиям регулирующих организаций (в том числе выполнение приказов ФСТЭК № 31, 239, норм закона о безопасности КИИ № 187-ФЗ и выстраивание взаимодействия с центрами ГосСОПКА).
Задайте вопрос специалисту!
Менеджер
Ольга Кукунина
Мы заботимся о наших клиентах и принимаем обращения в любой удобной для Вас форме.
