14/03/23
Компания Positive Technologies представила PT ISIM 4.3 — обновленную версию системы для глубокого анализа технологического трафика. Помимо редактора пользовательских правил, продукт получил совместимость с Astra Linux 1.7 и Debian 10, поддержку новых промышленных протоколов, автоматическое и ручное управление уровнями опасности инцидентов и другие функции.
«Мы стремимся к тому, чтобы пользователи PT ISIM могли использовать весь объем экспертизы по обнаружению атак на технологическое оборудование сразу после внедрения решения, — отмечает Илья Косынкин, руководитель продукта PT ISIM. — Новые возможности продукта по созданию и использованию собственных правил обнаружения атак позволят дополнить его своей экспертизой. Более того, сервис-провайдеры, имеющие локальные команды экспертов смогут предложить более качественные сервисы и услуги за счёт возможности расширения “коробочной” базы правил собственным контентом».
В PT ISIM 4.3 добавлено свыше 1000 новых индикаторов промышленных угроз (сейчас их 6300) и более 15 новых промышленных протоколов. Теперь продукт поддерживает разбор протоколов MELSOFT, предназначенных для взаимодействия инженерного ПО (GX Works) с совместимыми контроллерами Mitsubishi Electric. Кроме того, пользователи PT ISIM смогут разбирать протокол HiDiscovery в оборудовании компании Hirschmann, включая обнаружение сетевого сканирования и попытки изменения сетевых параметров. Добавилась также возможность анализа протокола удаленного управления службами Windows штатными средствами (через MS-SCMR/SVCCTL), а также протоколов, которые до этого выходили в виде обновлений базы индикаторов промышленных угроз PT ISTI.
Другое важное изменение связано с возможностью устанавливать актуальные версии PT ISIM на новые версии отечественной операционной системы Astra Linux Special Edition 1.7. PT ISIM версии 4.3 также поддерживает установку на операционную систему Debian 10. Это рекомендуемая операционная система для новых установок продукта в проектах, где нет требований об использовании российских операционных систем.
В новой версии PT ISIM также можно настроить автоматическое изменение уровней опасности инцидентов в зависимости от типа инфраструктуры. На узлах, связанных с реализацией недопустимых событий, инциденты могут иметь повышенный уровень. С другой стороны, на узлах, менее интересных специалисту, осуществляющему мониторинг технологической сети (например, на установках, не введенных в эксплуатацию), уровень опасности может снижаться. Для специалистов по мониторингу ИБ также будет важно, что появилась возможность в ручном режиме повысить значимость инцидента по ходу расследования: это позволит не потерять инцидент среди других событий.
PT ISIM — часть комплексной платформы для выявления киберугроз и реагирования на инциденты в промышленных системах PT Industrial Cybersecurity Suite (PT ICS), поэтому пользователи PT ICS тоже получат эти и другие пакеты экспертизы и обновления.
