Вебинары

PT ISIM: новые возможности для распределенных производственных структур и MSSP

Спикеры

Илья Косынкин

Илья Косынкин

Руководитель продукта PT ISIM

Антон Григорьев

Антон Григорьев

Менеджер по продуктовому маркетингу Positive Technologies

Пересказ

Мы сделали расшифровку вебинара для тех, кто предпочитает читать.

Ключевые тезисы

  • PT ISIM 4.5 — лучшая версия четвертого поколения продукта от Positive Technologies для мониторинга безопасности промышленных сетей.
     
  • Ключевые нововведения: ролевая модель в Overview Center, мультитенантность, SSO-аутентификация через PT Management Center, единая точка обновления экспертизы, расширенная поддержка протоколов ABB и обнаружение уязвимостей на оборудовании компании «Энергомера».

PT ISIM: что это и какие задачи решает (в записи с 01:25)

Угрозы в технологическом сегменте

Традиционные средства защиты (антивирусы и файрволы) в технологическом сегменте работают плохо: далеко не на все устройства можно установить агент из-за слабого железа, устаревших ОС и проприетарных технологий.

Основные векторы атак:

  • USB-модем или флешка — сотрудник подключает устройство на своем АРМ, чем открывает несанкционированный доступ в интернет или заносит ВПО.
  • Внешние подрядчики — компании, обслуживающие технологическое оборудование и имеющие удаленный доступ. Если злоумышленник взломает их инфраструктуру, он получит прямой доступ к технологической сети, минуя все корпоративные СЗИ.
  • Внутренний трафик — большой объем коммуникации остается внутри технологической сети и не проходит через периметровый файрвол. Без специализированного инструмента события безопасности в этом трафике остаются невидимыми.

Что такое PT ISIM

PT ISIM (PT Industrial Security Incident Manager) — это система анализа сетевого трафика (NTA) для технологических сетей промышленных предприятий, инфраструктурных и транспортных объектов.

Ключевые характеристики:

  • Поддержка 130+ протоколов: как промышленных (Modbus, DNP3, IEC 60870, Profinet и др.), так и общесетевых. Это позволяет применять продукт на объектах практически любого размера и всех отраслей промышленности.
  • Пассивный режим работы — PT ISIM анализирует зеркалированный трафик и не требует технологических окон или изменений в конфигурации защищаемой сети.
  • Около 8500 правил обнаружения покрывают атаки на Windows, Linux, стандартное сетевое оборудование и промышленные устройства.

Ключевые возможности продукта

  • PT ISIM автоматически обнаруживает все узлы в технологической сети: сегменты, подсети, сетевое оборудование, компоненты АСУ ТП. Нарушения периметра (появление нового узла, несанкционированный доступ) мгновенно отображаются как инциденты и визуально выделяются на карте сети.
  • Технологические сети статичны — изменения в них происходят редко. PT ISIM анализирует профиль взаимодействия узлов и в дальнейшем выявляет любые отклонения: подключение новых контроллеров и станций, появление новых протоколов, нелегитимный RDP- и SSH-доступ, создание прокси, использование паролей по умолчанию.
  • Продукт умеет выявлять события, которые формально предусмотрены промышленными протоколами, но в работающей сети встречаются крайне редко: перепрошивка ПЛК, остановка контроллера, форсирование переменных. Такие события могут быть признаком действий злоумышленника.
  • PT ISIM видит значения тегов — параметров технологического процесса (например, показания датчиков) — и может выявлять аномальные изменения. Это позволяет службам ИБ и АСУ ТП совместно разбираться: это штатная работа оборудования или действия злоумышленника.
  • Из тысяч событий безопасности продукт выделяет значимые и объединяет их в логически связанные цепочки, давая полный контекст происходящего.
  • PT ISIM извлекает файлы из сетевого трафика и передает подозрительные на анализ в PT Sandbox. Отдельно отслеживается передача файлов проектов SCADA — фактически «сердца» системы, содержащего схему технологического процесса и права пользователей. Любая передача такого файла фиксируется как событие безопасности.
  • PT ISIM помогает выполнить важную часть Приказа № 239 ФСТЭК России по построению системы обеспечения ИБ на объектах КИИ 1 и 2 категории. Даже для объектов 3 категории продукт полезен для аудита и мониторинга.

Архитектура PT ISIM

Продукт состоит из двух компонентов:

  • View Sensor — основной компонент, содержащий всю экспертизу и механизмы анализа трафика. Устанавливается на уровне технологического сегмента.
  • Overview Center — централизованная консоль управления для распределенных инсталляций. Собирает данные со всех подключенных сенсоров, обеспечивает централизованную настройку и обновление. С ней работают аналитики SOC, служба эксплуатации АСУ ТП, оперативно-диспетчерский персонал и ИТ-администраторы.

Что нового в PT ISIM 4.5 (в записи с 12:55)

Релиз 4.5 сфокусирован на задачах распределенных промышленных инфраструктур и MSSP-сценариев.

Ролевая модель в Overview Center

Управление пользователями в предыдущих версиях реализовывалось через стороннюю административную панель. В релизе 4.5 оно полностью переехало в нативный интерфейс Overview Center.

Стандартные роли:

  • Администратор — полные права в системе.
  • Оператор — только просмотр инцидентов и данных узлов.

Помимо стандартных, можно создавать произвольные роли с гибкой настройкой привилегий. Например, роль с правом просмотра данных только по конкретным сенсорам или роль с возможностью обновлять сенсоры, но без доступа к данным мониторинга.

Важно при обновлении: все существующие пользователи при переходе на 4.5 автоматически получат роль администратора. При необходимости их права можно ограничить через интерфейс редактирования.

Мультитенантность

В релизе 4.4 появилась возможность подключать до 100 сенсоров к одному Overview Center. Как это работает:

  1. К Overview Center подключаются сенсоры всех организаций.
  2. Создаются пользовательские роли с назначенными привилегиями и доступом только к конкретным сенсорам.

Где применяется:

  • Разграничение доступа между несколькими командами SOC в одной организации.
  • Подключение нескольких дочерних зависимых обществ (ДЗО).
  • MSSP-сценарии — провайдер обслуживает несколько клиентов через единую консоль.

Сквозная аутентификация SSO через PT Management Center

При большой инсталляции (20, 30, 60 сенсоров) у каждого сенсора свои учетные данные, которыми неудобно управлять. В релизе 4.5 появилась интеграция с PT Management and Configuration (PT MC) — либо отдельно стоящим, либо в составе MaxPatrol SIEM. После настройки одна учетная запись PT MC дает доступ ко всем сенсорам и Overview Center.

Что получает пользователь:

  • Единый логин для Overview Center и сенсоров.
  • Навигационное меню — из любого продукта можно переключиться в другой (PT MC, сенсор, Overview Center) без повторного ввода пароля.
  • Централизованный журнал действий пользователей по всей иерархии — доступен в интерфейсе PT MC.

Как настроить: В разделе «Система» → «Подключение к PT MC» в интерфейсе Overview Center и PT ISIM вводится IP-адрес PT MC, после чего нажимается кнопка «Подключить». Подключение устанавливается автоматически. Локальные учетные записи при этом сохраняются и доступны параллельно.

Технические требования: необходим сетевой доступ от сервера PT ISIM и Overview Center до PT MC. Параметры SSO-сессии: два токена — короткий (1 час) и длинный (1 неделя). Время жизни можно настроить через конфигурационные файлы.

Единая точка обновления экспертизы через Overview Center

PT ISIM часто стоит в закрытых, изолированных сегментах сети. Доступ к серверам обновлений Positive Technologies оттуда невозможен или нежелателен. В результате экспертиза устаревает. Overview Center, как правило, находится в менее изолированном месте. Теперь именно он выступает единой точкой получения и распространения обновлений:

  1. Overview Center подключается к серверам обновлений Positive Technologies (для этого нужно запросить ключ в техподдержке).
  2. Автоматически с заданным интервалом скачивает новые обновления экспертизы.
  3. Устанавливает их на подключенные сенсоры — вручную либо автоматически.

Ключевые особенности:

  • Накопительные обновления — установка более свежей версии автоматически включает все, что было выпущено до нее. Устанавливать по цепочке не нужно.
  • Офлайн-режим — если даже Overview Center не имеет доступа к интернету, обновления можно загрузить через CLI-утилиту и импортировать в Overview Center вручную, после чего распространить на все сенсоры.
  • История обновлений — к каждому пакету написано развернутое описание: что вышло, появились ли новые детекты или разбор новых протоколов.
  • Работает только для версий 4.5 и выше.

Расширенная экспертиза

В состав релиза 4.5 входит новый пакет экспертизы:

  • Значительно расширена поддержка протоколов ABB — для систем Freelance и MicroSCADA, а также РЗА.
  • Новая экспертиза для обнаружения уязвимостей ABB — для широкого спектра оборудования.
  • Обнаружение уязвимостей на оборудовании компании «Энергомера».

Для пользователей релиза 4.4 эти обновления будут доступны в виде отдельного пакета экспертизы через облачное обновление PT ISIM.

План развития (в записи с 38:50)

PT ISIM 5.0 — переосмысление продукта

Что изменится в интерфейсе:

  • Полное обновление топологии сети.
  • Обновление модуля мониторинга технологических сигналов.
  • Обновление дашборда.

Если раньше PT ISIM позиционировался исключительно как сетевой сенсор (пассивный анализ трафика), то в версии 5.0 появится собственный endpoint-агент для мониторинга безопасности на узлах АСУ ТП.

Это дает принципиально новые возможности:

  • В одной консоли будут видны инциденты как по сети, так и на узлах.
  • Мониторинг целостности файлов проектов непосредственно на узлах: при изменении файлов в определенной директории будет генерироваться событие безопасности.

Важно: модуль мониторинга сетевого трафика никуда не уходит — он продолжает развиваться параллельно.

Вопросы от зрителей

Вопрос: Когда выйдет PT ISIM 4.5 и 5.0?
Ответ: Версия 4.5 — после майских праздников 2024 года, 5.0 — Q4 2024. Выход релиза 5.0 был сдвинут, поскольку появление endpoint-модуля — значительное расширение, требующее времени для реализации.

Вопрос: Сколько узлов поддерживает PT ISIM microView Sensor?
Ответ: До 100 узлов. Он позиционируется для небольших технологических сетей и сегментов. Итоговое число определяется проектным решением.

Вопрос: Что означают ограничения 10 Мбит/с для PT ISIM microView Sensor и 100 Мбит/с для PT ISIM?
Ответ: Это не жесткое программное ограничение, а следствие глубины разбора трафика. Чем более детальный анализ, тем выше нагрузка на сенсор. Реальные замеры показывают, что PT ISIM спокойно работает на 300 Мбит/с. Для типового технологического объекта 100 Мбит/с достаточно — если трафика больше, возможно, в анализ случайно попал не тот сегмент. PT ISIM 5.0 будет значительно более толерантен к объему трафика — планируется существенный прирост производительности.

Вопрос: Как долго хранится SSO-сессия?
Ответ: Существует два токена: короткий (примерно 1 час) и длинный (примерно 1 неделя). Время жизни настраивается через конфигурационные файлы.

Вопрос: Сколько точек мониторинга (SPAN-портов) поддерживает один сенсор?
Ответ: Ограничений нет — все зависит от возможностей сервера. Все интерфейсы собираются в bond0 через конфигуратор продукта.

Вопрос: Как реализован анализ целостности проектов SCADA и HMI?
Ответ: Существуют три механизма:

  1. Обнаружение передачи файла проекта по сети — PT ISIM знает форматы файлов проектов популярных SCADA-систем и генерирует событие безопасности при любой их передаче.
  2. Отслеживание изменения хеш-суммы файлов — если файл с одним именем передается с разной хеш-суммой, это фиксируется как передача измененного файла.
  3. Endpoint-модуль в PT ISIM 5.0 позволит мониторить изменения файлов проектов непосредственно на узлах, без участия сетевого трафика.

Заключение

PT ISIM 4.5 — это наиболее зрелая версия четвертого поколения продукта. Релиз сфокусирован на масштабируемости и управляемости в распределенных средах: теперь один Overview Center и одна учетная запись покрывают инфраструктуру любого размера и поддерживают MSSP-сценарии.

Параллельно Positive Technologies ведет работу над PT ISIM 5.0 — принципиально новым поколением с endpoint-модулем. Это переход от «наблюдателя в сети» к полноценной платформе безопасности технологических узлов и сетей с единой консолью видимости.

FAQ

  • Что такое PT ISIM и для кого он предназначен? PT ISIM (PT Industrial Security Incident Manager) — система анализа сетевого трафика для технологических сетей промышленных предприятий, объектов инфраструктуры и транспорта. Работает в пассивном режиме, поддерживает 130+ протоколов. Предназначен для аналитиков ИБ, администраторов АСУ ТП и служб безопасности на объектах КИИ.
  • Чем PT ISIM 4.5 отличается от предыдущих версий? Релиз 4.5 добавляет ролевую модель с пользовательскими ролями, мультитенантность, SSO-аутентификацию через PT Management Center, единую централизованную точку обновления экспертизы через Overview Center, а также расширенную поддержку протоколов ABB (Freelance, MicroSCADA) и обнаружение уязвимостей на оборудовании «Энергомера».
  • Можно ли использовать PT ISIM 4.5 в MSSP-сценариях? Да. Функция мультитенантности позволяет подключить сенсоры нескольких клиентских организаций к одному Overview Center. Каждый оператор видит только данные по своим сенсорам — разграничение гарантировано на уровне ролевой модели.
  • Что такое endpoint-модуль в PT ISIM 5.0 и когда он выйдет? PT ISIM 5.0 с endpoint-модулем ожидается в четвертом квартале 2024 года. Модуль позволит агенту собирать события безопасности прямо с узлов АСУ ТП, объединяя их с сетевыми инцидентами в одной консоли. Это дает полную цепочку атаки — от несанкционированного подключения до подмены проекта SCADA и аномальных технологических команд.
  • Помогает ли PT ISIM выполнить требования регулятора? Да. Продукт помогает выполнить важную часть Приказа № 239 ФСТЭК России для объектов КИИ 1 и 2 категории.

Полезные материалы

PT Industrial Security Incident Manager
Перейти
;