Positive Technologies
Новости

В PT ISIM расширена поддержка РСУ Emerson и добавлено 3000 индикаторов угроз

17 января 2024

Positive Technologies выпустила пакет экспертизы для системы глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM). В продукте расширилась поддержка распределенной системы управления (РСУ) DeltaV1 компании Emerson. Теперь PT ISIM выявляет больше событий информационной безопасности и позволяет еще эффективнее обеспечивать защиту. В продукт включено свыше 3000 новых правил для обнаружения актуальных киберугроз, все они имеют детализированные описания, которые помогают специалистам по ИБ оперативно разбирать события и инциденты.

В обновленном пакете экспертизы — углубленный разбор протокола для управления и обмена данными РСУ Emerson DeltaV. PT ISIM анализирует команды управления контроллером и параметры технологического процесса (значения системных и диагностических тегов), которые передаются в промышленной сети. Это позволяет системе выявлять больше событий информационной безопасности, которые могут сигнализировать о кибератаках. В частности, PT ISIM фиксирует перевод контроллеров РСУ в отладочный режим, изменение состояния блокировки, загрузку в контроллер управляющей микропрограммы. Кроме того, PT ISIM может обнаруживать подозрительные действия управления модулями контроллера и эксплуатацию его уязвимостей по сетевому протоколу Telnet2 и по проприетарному протоколу РСУ DeltaV.

«Мы разобрали операции в проприетарном протоколе для управления и обмена данными РСУ DeltaV, и теперь PT ISIM понимает, как устройства взаимодействуют друг с другом, какие команды используют и в каких случаях это небезопасно, — комментирует Роман Осташкин, эксперт по исследованию промышленных систем Positive Technologies. — Некоторые события ИБ происходят в инфраструктуре не так часто, но именно они могут повлечь за собой значительный ущерб. Поэтому их нужно своевременно анализировать, и здесь как раз будет полезен мониторинг штатных операций — вокруг них хакеры могут выстраивать векторы атак и пути обхода средств защиты информации. События ИБ, которые мы разобрали в новом пакете экспертизы, а также актуализированная база правил обнаружения атак помогут своевременно устранить угрозы для промышленных компаний».

Важное изменение в пакете экспертизы — обновление базы сигнатур для обнаружения нарушений безопасности. В PT ISIM появилось более 3000 новых индикаторов актуальных угроз для промышленных предприятий. К ним были добавлены детализированные описания, которые упрощают работу специалистов и позволяют им сразу же получать полное представление о срабатываниях продукта. Кроме этого, 2000 устаревших сигнатур удалены из базы.

В числе обновлений — правило выявления ICMP-туннелей. Протокол ICMP3 часто бывает разрешен к использованию на межсетевых экранах. С помощью него злоумышленники могут в обход средств защиты информации установить связь с управляющими серверами, вывести данные из технологической сети или внедрить в инфраструктуру вредоносное ПО. Новое правило позволит на раннем этапе обнаружить использование протокола не по назначению.

Обновления также коснулись существующих сигнатур, в частности правила обнаружения атак типа ARP Spoofing. Это сетевая атака на протокол ARP4; хакеры используют ее для перехвата данных, которые передаются между устройствами. Новое правило менее зависимо от инфраструктуры компании и срабатывает точнее.

Новый пакет экспертизы доступен всем пользователям PT ISIM 4.4 и выше.

  1. РСУ DeltaV — система автоматизации, которая позволяет наладить структурированное управление производственными процессами на предприятии и тем самым снизить эксплуатационную сложность и проектные риски.
  2. Протокол Telnet создан на основе TCP; с помощью него можно передавать на удаленный сервер простые текстовые команды для ручного управления процессами.
  3. ICMP — сетевой протокол, который в основном используется для передачи сообщений об ошибках и других проблемных ситуациях, возникших при обмене данными.
  4. ARP — протокол, предназначенный для определения MAC-адреса другого компьютера по известному IP-адресу.