В PT Industrial Security Incident Manager расширена поддержка контроллеров Emerson и GE Fanuc

Positive Technologies выпустила пакет экспертизы для системы глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM). Обновление позволяет улучшить работу с протоколом GE-SRTP компании GE Fanuc (Emerson), обнаруживать дополнительные команды по протоколу FINS в контроллерах OMRON и отслеживать передачу конфигураций систем автоматизации в сети. Кроме этого, в пакет добавлено более 640 сигнатур для обнаружения вредоносного ПО (троянов и шифровальщиков) и фактов нарушения политик безопасности.

Протокол GE-SRTP, разработанный компанией GE Fanuc, предназначен для сетевого обмена данными между контроллерами GE Fanuc и инженерным ПО (Proficy Machine Edition), SCADA-системами и OPC-серверами. Обновленный пакет экспертизы PT ISIM позволяет специалистам по мониторингу ИБ реагировать на инциденты, связанные с взаимодействием с контроллерами по протоколу GE-SRTP. Новые правила и события отслеживают изменение статуса и уровня привилегий доступа, установку времени, загрузку и выгрузку аппаратной и программной конфигурации, а также принудительную установку значений на входах и выходах контроллеров.

Кроме этого, в пакет добавлены правила и события для систем Wonderware InTouch (Schneider Electric), SIMATIC WinCC (Siemens), CENTUM VP (Yokogawa Electric), TRACE MODE («АдАстра»), MasterSCADA 3 и MasterSCADA 4D («МПС софт»). Они регистрируют передачу файлов конфигураций систем автоматизации в сети.

«Отслеживание изменений конфигурации систем автоматизации, осуществленных с помощью сети, позволяет выявлять вмешательства на раннем этапе. Подмена файлов может привести к некорректному отображению данных и к неработоспособности SCADA-системы в целом, — отмечает Сергей Щукин, эксперт по исследованиям промышленных систем Positive Technologies. — Важно обнаруживать внешних и внутренних злоумышленников на начальной стадии атаки, чтобы остановить их продвижение во внутреннем периметре и предотвратить повторение инцидента».

В этом году Positive Technologies обнаружила уязвимость в контроллерах OMRON серии CP1L, позволяющую злоумышленникам изменять произвольные области памяти устройства по протоколу FINS. PT ISIM находит использование недокументированных команд чтения и записи данных. Это позволяет избежать последствий, таких как полный отказ в обслуживании или выполнение произвольного кода.

PT ISIM — часть комплексной платформы PT Industrial Cybersecurity Suite (PT ICS) для защиты промышленных инфраструктур и обеспечения киберустойчивости производства, поэтому пользователи PT ICS тоже получат эти и другие пакеты экспертизы и обновления.