Когда нововведение слишком трудно установить, это служит доказательством, что в нем нет необходимости.
PT ICS получил новые возможности по обнаружению атак на ПЛК Siemens и выявлению вредоносного ПО, нацеленного на АСУ ТП
02.08.2022 20:40
Платформа для защиты промышленности от киберугроз PT Industrial Cybersecurity Suite (PT ICS) получила первый пакет экспертизы для выявления атак на автоматизированные системы управления на базе программируемых логических контроллеров (ПЛК) семейства Siemens Simatic S7. Также в экспертный пакет вошли правила, позволяющие обнаружить Energetic Bear, Industroyer, Triton и другое вредоносное ПО, в том числе неизвестное, нацеленное на промышленные системы. Новый пакет доступен пользователям продуктов Positive Technologies в рамках лицензии для защиты индустриального сегмента.
Согласно исследованию Positive Technologies, в первом квартале 2022 года промышленные предприятия заняли третье место среди наиболее атакуемых российских учреждений, обогнав СМИ, организации из сферы услуг, IT, науки и образования. Тенденция сохраняется на протяжении нескольких лет. Для того чтобы кардинально изменить уровень защищенности промышленных предприятий, нужны подходы, обеспечивающие комплексную защиту инфраструктуры компаний в индустриальном сегменте, начиная от сетевых узлов и заканчивая технологическими устройствами.
Платформа PT ICS объединяет ключевые продукты Positive Technologies (MaxPatrol SIEM, MaxPatrol VM, PT ISIM, PT Sandbox и агенты PT XDR), которые дополнены необходимой экспертизой в выявлении киберугроз, специфичных для технологического сегмента: за счет новых возможностей и агентов платформа эффективно обнаруживает действия хакеров и обеспечивает комплексную защиту всего предприятия.
В первом пакете экспертизы PT ICS содержатся 24 правила корреляции для системы мониторинга событий ИБ MaxPatrol SIEM, позволяющие обнаружить атаки на промышленные автоматизированные системы управления на базе ПЛК семейства Siemens Simatic S7. В частности, они помогают выявлять действия злоумышленников в среде разработки ПО для систем автоматизации Totally Integrated Automation Portal (TIA Portal), в программном обеспечении для создания и обслуживания систем автоматизации Simatic Step 7 и в ПО для создания человеко-машинного интерфейса Simatic WinCC (SCADA-система). Например, правила обнаруживают:
MaxPatrol SIEM соотносит каждое вредоносное действие с техниками из матрицы MITRE ATT&CK, которые используются злоумышленниками для первоначального доступа в систему (initial access), воздействия (impact) и управления командным центром (command and control).
Загруженный пакет также содержит экспертизу в области обнаружения вредоносного ПО. Песочница для риск-ориентированной защиты PT Sandbox теперь динамически выявляет применение в атаках зловредов Energetic Bear, Industroyer, Industroyer2 и Triton, а также других вредоносных программ, взаимодействующих с контроллерами. Кроме того, PT Sandbox проводит поведенческий анализ образцов, обнаруженных в файлах и ссылках из почты, трафика, общих сетевых папок и конечных узлов АСУ ТП, и по специфической активности определяет вредоносное ПО, нацеленное на компоненты SCADA.
Специалисты Positive Technologies разработали правила детектирования, которые помогают песочнице статически выявлять попытки сканирования портов, использующихся промышленными ПЛК от более чем 50 зарубежных и отечественных производителей (CIP, ELCOM, IOSYS, Modbus и PhoenixHW). Такая активность может указывать на то, что вредоносное ПО исследует инфраструктуру, чтобы найти ПЛК или SCADA-системы и осуществить деструктивные действия с ними. Специализированные правила обнаружения в составе пакета экспертизы позволяют детектировать в том числе и ранее неизвестное ВПО, заточенное под сегмент АСУ ТП.
«Расширив существующие лицензии для поддержки промышленного сегмента, специалисты по ИБ продолжат работать со знакомыми и понятными инструментами, дополненными технологической экспертизой. Это позволит компаниям снизить затраты на внедрение новых систем кибербезопасности и интеграцию сторонних решений, а также повысить эффективность работы служб ИБ, — комментирует Роман Краснов, руководитель направления кибербезопасности промышленных предприятий Positive Technologies. — PT ICS будет регулярно получать пакеты экспертизы и обогащаться новыми возможностями, правилами корреляций, транспортами к уникальным устройствам и прикладному ПО, встречающимся только в технологических сегментах промышленных предприятий. Таким образом, у компаний есть возможность на одной платформе и в едином продуктовом портфеле построить единый SOC, равнозначно работающий как с корпоративной, так и технологической инфраструктурой».
Следующие пакеты экспертизы PT ICS будут включены в такие продукты, входящие в состав платформы, как MaxPatrol VM, MaxPatrol SIEM, PT ISIM и PT XDR.
Последний вышедший номер
Читайте в номере:
Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru
© ООО Издательский дом "ИнфоАвтоматизация", 2003-2026 гг.
Сайт «Автоматизация в промышленности» предназначен для специалистов по промышленной автоматизации: главных инженеров, главных энергетиков, главных механиков, главных метрологов, инженеров служб АСУ ТП, АСУТП, КИПиА, КИП и А, отделов метрологии, отделов автоматизации, отделов главного инженера, специалистов инжиниринговых и внедренческих фирм, менеджеров фирм системных интеграторов, преподавателей вузов, научных работников, сотрудников научно-исследовательских институтов, студентов и аспирантов.
Сайт «Автоматизация в промышленности» неразрывно связан с одноименным журналом, в котором публикуются концептуальные, научно-практические и внедренческие статьи, посвященные промышленным автоматизированным системам, системам управления бизнес-процессов, программному и алгоритмическому обеспечению, техническим средствам автоматизации, вопросам сертификации, описанию промышленных стандартов, а также обзоры зарубежной прессы.
В каждом номере проводится обсуждение актуальных тем по проблемам создания и применения следующего инструментария: интегрированные АСУ, MES, АСУ П, АСУ ТП, SCADA, АСКУЭ, EAM, ТОИР, ERP, LIMS, ЛИУС, распределенные системы управления, РСУ, система управления качеством выпускаемой продукции, промышленные тренажеры, современные методы и алгоритмы управления и моделирования, коммуникационные средства, GSM–связь, РС-совместимые контроллеры, ПК, человеко-машинный интерфейс, встраиваемые системы, Web-технологии, HTML-технологии, числовое программное управление, ЧПУ, виртуальные приборы, виртуальное измерение, беспроводная связь, имитационное моделирование, Ethernet, Internet-технологии, Industry 4.0, Интернет вещей, промышленный Интернет вещей, IIoT, IoT, Четвертая промышленная революция, навигационные системы, роботы, датчики, сенсоры, диагностика клапанов, водоподготовка, экологические системы, производственная безопасность, идентификация, RFID-технологии, машинное зрение, промышленные сети, средства промышленного монтажа, корпуса и конструктивные решения, пневмоавтоматика, ПЛК, программируемые логические контроллеры, интеллектуальные датчики, сервосистемы, системы поддержки принятия решений и т.д.
Вниманию читателей предлагаются подборки по автоматизации следующих отраслей промышленности и народного хозяйства: металлургия, нефтегазовая отрасль, химическая промышленность, транспорт, сельское хозяйство, комбикормовая и перерабатывающая промышленность, автомобилестроение, энергетика, электроэнергетика, жилищно-коммунальное хозяйство, интеллектуальное здание, умный дом, непрерывное производство (рецептурное), дискретное производство, пищевая промышленность и др.