Эволюция индустриальной кибербезопасностиПостроение интеллектуальных систем обеспечения защиты АСУ ТП промышленных предприятий

В 2016 г. предприятиям требуется решение, способное снизить риск системных сбоев и техногенных катастроф, связанных с кибератаками. Чтобы ответить на эти вызовы, был задействован весь потенциал компании Positive Technologies. Наши специалисты выявили свыше 250 уязвимостей нулевого дня в системах АСУ, и это самый высокий показатель по отрасли.

Воздушный зазор

На предприятии часто придерживаются консервативной точки зрения: лучший файрвол – это "воздушный зазор". Нет подключения технологических сегментов к Интернету – значит, отсутствует и опасность. Не надо тратить силы на исправление уязвимостей и подвергать производственный процесс риску остановки.

Так ли все просто? "Изолированность" АСУ ТП не случайно называют мифом. На объектах с несколькими сотнями сотрудников неизбежно возникают паразитные каналы в результате воздействия человеческого фактора и конвергенции различных систем. Забытый Web-интерфейс для общения с подрядчиком, IP-камера или роутер в поисковой выдаче Shodan, подключенный к АРМ смартфон диспетчера. Множество проблем безопасности несет и интеграция с АСУ ТП систем ERP и MES, которые помогают снизить затраты предприятий и оперативно планировать производственный цикл.

Потребность в идеях

Часть крупнейших вендоров по сетевой безопасности уже представили решения для промышленного сектора. Большинство средств заимствуют опыт из корпоративной среды, добавляют поддержку протоколов, но не всегда учитывают сценарии использования. Например, часть из этих продуктов неинформативна даже для инженеров, не говоря уже об операторах, которым может понадобиться быстро принимать решения без согласования с отделом ИБ. Другие решения не защищают от распределенных во времени атак, а значит, пропускают все APT-атаки.

Принцип работы PT ISIM

При выявлении уязвимостей и хакерских атак на промышленную сеть предприятия PT ISIM не влияет на технологический процесс, на сеть и оборудование клиента, поскольку подключается однонаправленным способом. Это гарантирует передачу данных только в одну сторону – от сети АСУ к системе управления инцидентами.

Система собирает и анализирует копию сетевого трафика, выделяя события безопасности и выявляя их взаимосвязи (корреляции). Если ряд событий является шагами потенциальной хакерской атаки, PT ISIM объединит их и представит в виде наглядной цепочки.

Кроме того, система визуализирует атаки на топологии сети и на схеме промышленного оборудования. Сохраненная копия трафика позволяет в любой момент провести ретроспективный анализ и расследование инцидента.

PT ISIM помогает бороться с различными угрозами безопасности, включая несанкционированное подключение, подбор пароля, неправомерные управляющие команды, подмену прошивки промышленного оборудования. Система выявляет и внутренние угрозы – потенциально опасные действия персонала, ошибки конфигурации и др.

В начале 2016 год одна из трех крупнейших транспортных компаний мира выбрала PT ISIM для повышения уровня безопасности движения поездов, что подтверждает эффективность заложенных в продукт механизмов. В настоящее время, помимо транспортной отрасли, PT ISIM может быть внедрен на нефтедобывающих предприятиях и в энергетике.