21/12/22
Positive Technologies выпустила третий пакет экспертизы для PT Industrial Cybersecurity Suite (PT ICS), платформы для защиты промышленности от киберугроз. Он позволяет выявлять атаки на комплексную систему AVEVA System Platform и определять несанкционированный запуск интегрированной среды разработки TRACE MODE для управления системой SCADA, нарушающий регламенты ИБ промышленных предприятий.
Кроме того, добавленные в PT Sandbox «приманки» помогают PT ICS обнаруживать вредоносное ПО, нацеленное на распределенную систему управления Experion PKS компании Honeywell и SCADA-системы «Арбитр» и KingIOServer.
Решения Honeywell используются на предприятиях нефтегазовой отрасли и применяются в составе систем класса BMS[2] для автоматизации и управления инженерной инфраструктурой зданий: в аэропортах, торговых центах, центрах обработки данных, на спортивных аренах. SCADA-система «Арбитр» рассматривается промышленными предприятиями как решение, которое должно прийти на смену аналогичным системам иностранного производства.
В состав платформы PT ICS входят ключевые продукты Positive Technologies: MaxPatrol SIEM, MaxPatrol VM, PT ISIM, PT Sandbox и агенты PT XDR[3]. Они регулярно получают экспертизу для выявления киберугроз, нацеленные на оборудование и ПО в индустриальном сегменте компании.
В экспертный пакет вошли правила корреляции для системы мониторинга событий ИБ MaxPatrol SIEM, которые позволяют обнаружить подозрительные действия злоумышленника в программном комплексе AVEVA System Platform и его компонентах — ArchestrA IDE и InTouch HMI. Комплексная промышленная платформа для диспетчерского управления, SCADA, панелей оператора и приложений индустриального интернета вещей используется в различных отраслях промышленности по всему миру (от топливно-энергетического комплекса до пищевого производства).
«Одна из главных угроз для любой SCADA-системы — манипулирование файлами проекта. Оно дает злоумышленникам возможность запутать оператора или переориентировать его команды в нелегитимные и опасные действия. PT ICS позволяет на различных уровнях отслеживать запуск IDE и конфигуратора, а также изменения в файлах проекта или экранных формах, — комментирует Андрей Петриков, руководитель группы исследований промышленных систем Positive Technologies. — Целостность источников данных контролируется мониторингом запуска отладочного ПО и перезапуска серверов данных. Проверка несанкционированного входа происходит на уровне доступа к работающей системе и во время копирования файлов проектов. А контроль целостности файлов журналов не позволит киберпреступникам скрыть следы вредоносного воздействия».
Помимо этого, расширена поддержка TRACE MODE отечественного разработчика AdAstra. Теперь система управления уязвимостями MaxPatrol VM в составе платформы PT ICS обнаруживает запуск на узлах в сетях АСУ ТП нелегитимных программ для этой SCADA-системы. Это позволяет оператору контролировать установку монитора реального времени и IDE TRACE MODE. Киберпреступники и внутренние нарушители, то есть сотрудники, которые используют ресурсы компании для собственной выгоды, могут применять такое ПО для редактирования проектов ПЛК. Это может привести к аварии, порче имущества или остановке бизнеса компании. Поэтому подразделениям ИБ необходимо выявлять случаи его использования до того, как возникнет киберинцидент.
Это уже третий пакет экспертизы для платформы PT ICS. Ранее были опубликованы правила, позволяющие обнаружить Energetic Bear, Industroyer, Triton и другое вредоносное ПО, заточенное под АСУ ТП, атаки на SCADA-систему TRACE MODE и ПЛК Siemens. Кроме этого, программно-аппаратный комплекс глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM), входящий в состав PT ICS, дополнен новым пакетом экспертизы. Обновление обеспечивает расширенную поддержку семейства протоколов Mitsubishi Electric.
