PT ISIM. Решение для глубокого анализа технологического трафика

Industrial Security Incident Manager от компании Positive Technologies (PT ISIM) — программно-аппаратный комплекс глубокого анализа технологического трафика. PT ISIM обеспечивает поиск следов нарушений информационной безопасности в сетях АСУ ТП, помогает на ранней стадии выявлять кибератаки, активность вредоносного ПО, неавторизованные действия персонала (в том числе злоумышленные) и обеспечивает соответствие требованиям законодательства.

Варианты развертывания решения

Сценарий 1

Сценарий 2

Сценарий 3

Основные компоненты системы

  • PT ISIM Sensor:
    • Сбор и анализ сетевого трафика;
    • Выявление в анализируемом трафике инцидентов информационной безопасности;
    • Построение схемы анализируемой сети на основе обнаруженных узлов и соединений;
    • Отслеживание нарушений/ отклонений определенных характеристик узла от рекомендуемых значений.
  • PT ISIM Overview Center:
    • Сбор и централизованное отображении информации об инцидентах, обнаруженных на подключенных сенсорах;
    • Отображение сенсоров на географической карте;
    • Обновление подключенных сенсоров.

Основные возможности

  • Непрерывная обработка трафика автоматизированных систем управления технологическим процессом (АСУ ТП);
  • Анализ событий на уровне различных коммуникационных протоколов, включая промышленные (Siemens S7, IEC104, DIGSI, GOOSE/MMS, Schneider Electric UMAS, CIP, Yokogawa, PROFINET DCP, SPA-Bus, EKRA, OPC, Modbus и другие);
  • Визуализация схемы сети АСУ ТП:
    • Автоматическое построение карты узлов сети АСУ ТП;
    • Автоматическое построение карты сетевых коммуникаций АСУ ТП;
    • Автоматическое формирование белых списков сетевых соединений/ узлов сети
  • Контроль подключений узлов к сети АСУ ТП в реальном времени, выявление неавторизованных подключений к сети АСУ ТП;
  • Детектирование потенциальных угроз и прямых попыток эксплуатации известных уязвимостей;
  • Обнаружение неавторизованного изменения технологических параметров;
  • Контроль доступа к параметрам ПЛК (программируемый логический контроллер) по сети (чтение и изменение микропрограмм и проектов ПЛК);
  • Обнаружение неавторизованного управления ПЛК по сети;
  • Обнаружение эксплуатации уязвимостей в ПО и оборудовании АСУ ТП;
  • Обеспечение соответствия требованиям регулирующих организаций (в том числе — выполнение приказов ФСТЭК № 31, 239, норм закона о КИИ № 187-ФЗ и выстраивание взаимодействия с центрами ГосСОПКА);
  • PT ISIM может быть использован для защиты:
    • Автоматизированных систем управления технологическими процессами (АСУ ТП);
    • Систем управления городских инженерных инфраструктур;
    • Автоматизированных системы управления объектов критической инфраструктуры;
    • Систем управления инженерной инфраструктурой центров обработки данных, деловых и торговых центров;
    • Промышленных предприятий и производств с распределенной инфраструктурой.

Ключевые преимущества

  • PT ISIM — профессиональный продукт класса NTA/NDR (Network Traffic Analysis / Network Detection & Response) для промышленных центров реагирования на инциденты информационной безопасности (SOC);
  • Непрерывная инвентаризация элементов сети и анализ киберзащищенности АСУ ТП, своевременное выявление инцидентов и информирование ответственных лиц;
  • Поддержка всех необходимых механизмов для встраивания в существующие процессы ИБ предприятия и их расширения: верхнеуровневая и детализированная отчетность, передача отдельных событий и инцидентов на уровень SOC (в SIEM и другие системы), возможности для расследования инцидентов и т. д.;
  • Эффективное выявление кибератак на ранней стадии благодаря встроенной базе знаний индикаторов промышленных угроз PT ISTI и комбинации сигнатурных методов обнаружения атак с механизмами поведенческого анализа;
  • Учет специфики предприятия за счет данных, получаемых в результате аудита защищенности АСУ ТП конкретного промышленного объекта;
  • Безопасная и быстрая интеграция с существующей сетью АСУ ТП, легкость масштабирования благодаря гибкому набору компонент решения;
  • Снижение затрат на развертывание и эксплуатацию комплекса за счет архитектуры пассивного мониторинга и режима автоматического обучения;
  • Эффективное проведение расследований нарушений ИБ благодаря созданию доверенного источника данных;
  • Продукт включен в Единый реестр российских программ для ЭВМ и баз данных.

Request more information

Я подтверждаю свое согласие с условиями Политики конфиденциальности