Positive Technologies
Новости

В PT ISIM добавлен пакет экспертизы, который выявляет использование инструментов для пентеста, похищенных у FireEye

13 января 2021

Очередной пакет экспертизы для системы глубокого анализа технологического трафика PT Industrial Security Incident Manager позволяет детектировать атаки, в которых используются инструменты компании FireEye для анализа защищенности. Ранее сообщалось, что эти инструменты стали доступны киберпреступникам.

Сети АСУ ТП 1 являются одной из целей для злоумышленников. По данным Positive Technologies, в третьем квартале 2020 года промышленность занимала второе место по числу инцидентов. В основном атаки проводились APT-группировками 2 и операторами шифровальщиков. Злоумышленники могут использовать похищенные у FireEye инструменты для развития атаки внутри чужой инфраструктуры, закрепления в ней и для организации канала удаленного доступа. При этом 82% промышленных организаций не готовы противостоять внутреннему нарушителю, который стремится проникнуть из корпоративной сети в технологическую.

«Атаку с использованием профессиональных инструментов red team крайне сложно, а зачастую даже невозможно выявить с помощью стандартных средств защиты от массовых атак, например с помощью антивирусного ПО. При этом APT-группировки все больше интересуются именно технологическим сегментом промышленных компаний, — комментирует Роман Краснов, эксперт по информационной безопасности промышленных систем Positive Technologies. — Нужно быть готовыми обнаружить применение подобных инструментов внутри сети, и в этом могут помочь системы глубокого анализа трафика технологических сетей (industrial NTA/NDR), такие как PT ISIM».

Это уже четвертый пакет экспертизы в PT ISIM. Ранее были опубликованы правила, позволяющие обнаружить попытки эксфильтрации данных и туннелирования соединений из АСУ ТП, специализированные индикаторы угроз для оборудования и систем B&R Industrial Automation, попытки эксплуатации уязвимостей в роутерах MikroTik, коммутаторах Cisco, службе удаленного рабочего стола Windows и в других компонентах Windows.

Пакеты экспертизы дополняют входящую в PT ISIM базу индикаторов промышленных киберугроз PT ISTI, которая содержит более 4000 сигнатур и правил обнаружения различных атак на оборудование ABB, Emerson, Hirschmann, Schneider Electric, Siemens, Yokogawa и других производителей АСУ ТП.


  1. Автоматизированная система управления технологическим процессом.
  2. Advanced persistent threat, APT — сложная целенаправленная атака.