PT ISIM. Решение для глубокого анализа технологического трафика

Industrial Security Incident Manager от компании Positive Technologies (PT ISIM) — программно-аппаратный комплекс глубокого анализа технологического трафика. PT ISIM обеспечивает поиск следов нарушений информационной безопасности в сетях АСУ ТП, помогает на ранней стадии выявлять кибератаки, активность вредоносного ПО, неавторизованные действия персонала (в том числе злоумышленные) и обеспечивает соответствие требованиям законодательства.

Варианты развертывания решения

Сценарий 1

Сценарий 2

Сценарий 3

Основные компоненты системы

• PT ISIM Sensor:
  • Сбор и анализ сетевого трафика;
  • Выявление в анализируемом трафике инцидентов информационной безопасности;
  • Построение схемы анализируемой сети на основе обнаруженных узлов и соединений;
  • Отслеживание нарушений/ отклонений определенных характеристик узла от рекомендуемых значений.
• PT ISIM Overview Center:
  • Сбор и централизованное отображении информации об инцидентах, обнаруженных на подключенных сенсорах;
  • Отображение сенсоров на географической карте;
  • Обновление подключенных сенсоров.

Основные возможности

• Непрерывная обработка трафика автоматизированных систем управления технологическим процессом (АСУ ТП);
• Анализ событий на уровне различных коммуникационных протоколов, включая промышленные (Siemens S7, IEC104, DIGSI, GOOSE/MMS, Schneider Electric UMAS, CIP, Yokogawa, PROFINET DCP, SPA-Bus, EKRA, OPC, Modbus и другие);
• Визуализация схемы сети АСУ ТП:
  • Автоматическое построение карты узлов сети АСУ ТП;
  • Автоматическое построение карты сетевых коммуникаций АСУ ТП;
  • Автоматическое формирование белых списков сетевых соединений/ узлов сети
• Контроль подключений узлов к сети АСУ ТП в реальном времени, выявление неавторизованных подключений к сети АСУ ТП;
• Детектирование потенциальных угроз и прямых попыток эксплуатации известных уязвимостей;
• Обнаружение неавторизованного изменения технологических параметров;
• Контроль доступа к параметрам ПЛК (программируемый логический контроллер) по сети (чтение и изменение микропрограмм и проектов ПЛК);
• Обнаружение неавторизованного управления ПЛК по сети;
• Обнаружение эксплуатации уязвимостей в ПО и оборудовании АСУ ТП;
• Обеспечение соответствия требованиям регулирующих организаций (в том числе — выполнение приказов ФСТЭК № 31, 239, норм закона о КИИ № 187-ФЗ и выстраивание взаимодействия с центрами ГосСОПКА);
• PT ISIM может быть использован для защиты:
  • Автоматизированных систем управления технологическими процессами (АСУ ТП);
  • Систем управления городских инженерных инфраструктур;
  • Автоматизированных системы управления объектов критической инфраструктуры;
  • Систем управления инженерной инфраструктурой центров обработки данных, деловых и торговых центров;
  • Промышленных предприятий и производств с распределенной инфраструктурой.

Ключевые преимущества

• PT ISIM — профессиональный продукт класса NTA/NDR (Network Traffic Analysis / Network Detection & Response) для промышленных центров реагирования на инциденты информационной безопасности (SOC);
• Непрерывная инвентаризация элементов сети и анализ киберзащищенности АСУ ТП, своевременное выявление инцидентов и информирование ответственных лиц;
• Поддержка всех необходимых механизмов для встраивания в существующие процессы ИБ предприятия и их расширения: верхнеуровневая и детализированная отчетность, передача отдельных событий и инцидентов на уровень SOC (в SIEM и другие системы), возможности для расследования инцидентов и т. д.;
• Эффективное выявление кибератак на ранней стадии благодаря встроенной базе знаний индикаторов промышленных угроз PT ISTI и комбинации сигнатурных методов обнаружения атак с механизмами поведенческого анализа;
• Учет специфики предприятия за счет данных, получаемых в результате аудита защищенности АСУ ТП конкретного промышленного объекта;
• Безопасная и быстрая интеграция с существующей сетью АСУ ТП, легкость масштабирования благодаря гибкому набору компонент решения;
• Снижение затрат на развертывание и эксплуатацию комплекса за счет архитектуры пассивного мониторинга и режима автоматического обучения;
• Эффективное проведение расследований нарушений ИБ благодаря созданию доверенного источника данных;
• Продукт включен в Единый реестр российских программ для ЭВМ и баз данных.