Контакты
Подписка 2025
ТБ Форум 2025
Отечественные ИT-платформы и ПО для объектов КИИ. Онлайн-конференция | 6 марта 2025
Регистрируйтесь и участвуйте!

PT ICS обнаруживает атаки на AVEVA System Platform

21/12/22

PT-Dec-21-2022-11-41-35-9181-AM

Positive Technologies выпустила третий пакет экспертизы для PT Industrial Cybersecurity Suite (PT ICS), платформы для защиты промышленности от киберугроз. Он позволяет выявлять атаки на комплексную систему AVEVA System Platform и определять несанкционированный запуск интегрированной среды разработки TRACE MODE для управления системой SCADA, нарушающий регламенты ИБ промышленных предприятий. 

Кроме того, добавленные в PT Sandbox «приманки» помогают PT ICS обнаруживать вредоносное ПО, нацеленное на распределенную систему управления Experion PKS компании Honeywell и SCADA-системы «Арбитр» и KingIOServer.

Решения Honeywell используются на предприятиях нефтегазовой отрасли и применяются в составе систем класса BMS[2] для автоматизации и управления инженерной инфраструктурой зданий: в аэропортах, торговых центах, центрах обработки данных, на спортивных аренах. SCADA-система «Арбитр» рассматривается промышленными предприятиями как решение, которое должно прийти на смену аналогичным системам иностранного производства.

В состав платформы PT ICS входят ключевые продукты Positive TechnologiesMaxPatrol SIEMMaxPatrol VMPT ISIMPT Sandbox и агенты PT XDR[3]. Они регулярно получают экспертизу для выявления киберугроз, нацеленные на оборудование и ПО в индустриальном сегменте компании.

В экспертный пакет вошли правила корреляции для системы мониторинга событий ИБ MaxPatrol SIEM, которые позволяют обнаружить подозрительные действия злоумышленника в программном комплексе AVEVA System Platform и его компонентах — ArchestrA IDE и InTouch HMI. Комплексная промышленная платформа для диспетчерского управления, SCADA, панелей оператора и приложений индустриального интернета вещей используется в различных отраслях промышленности по всему миру (от топливно-энергетического комплекса до пищевого производства).

«Одна из главных угроз для любой SCADA-системы — манипулирование файлами проекта. Оно дает злоумышленникам возможность запутать оператора или переориентировать его команды в нелегитимные и опасные действия. PT ICS позволяет на различных уровнях отслеживать запуск IDE и конфигуратора, а также изменения в файлах проекта или экранных формах, — комментирует Андрей Петриков, руководитель группы исследований промышленных систем Positive Technologies. — Целостность источников данных контролируется мониторингом запуска отладочного ПО и перезапуска серверов данных. Проверка несанкционированного входа происходит на уровне доступа к работающей системе и во время копирования файлов проектов. А контроль целостности файлов журналов не позволит киберпреступникам скрыть следы вредоносного воздействия».

 

Помимо этого, расширена поддержка TRACE MODE отечественного разработчика AdAstra. Теперь система управления уязвимостями MaxPatrol VM в составе платформы PT ICS обнаруживает запуск на узлах в сетях АСУ ТП нелегитимных программ для этой SCADA-системы. Это позволяет оператору контролировать установку монитора реального времени и IDE TRACE MODE. Киберпреступники и внутренние нарушители, то есть сотрудники, которые используют ресурсы компании для собственной выгоды, могут применять такое ПО для редактирования проектов ПЛК. Это может привести к аварии, порче имущества или остановке бизнеса компании. Поэтому подразделениям ИБ необходимо выявлять случаи его использования до того, как возникнет киберинцидент.

Это уже третий пакет экспертизы для платформы PT ICS. Ранее были опубликованы правила, позволяющие обнаружить Energetic Bear, Industroyer, Triton и другое вредоносное ПО, заточенное под АСУ ТП, атаки на SCADA-систему TRACE MODE и ПЛК Siemens. Кроме этого, программно-аппаратный комплекс глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM), входящий в состав PT ICS, дополнен новым пакетом экспертизы. Обновление обеспечивает расширенную поддержку семейства протоколов Mitsubishi Electric.

Темы:Пресс-релизPositive TechnologiesОтрасльВебмониторэкс
КИИ
Отечественные ИT-платформы и ПО для объектов критической информационной инфраструктуры
Регистрируйтесь и участвуйте 6 марта 2025
Статьи по темеСтатьи по теме

  • Как технологии EDR помогают SOC: теория и практика
    Рассмотрим, почему традиционные SOC могут не справляться с потоком событий ИБ и как современные технологии и продукты класса Endpoint Detection and Response (EDR) способны упростить работу аналитиков.
  • ПроAPI: принципы построения идеального API
    Лев Палей, Начальник отдела защиты информации СО ЕЭС
    В России идет бум разработки с учетом требований импортонезависимости. Надо много и быстро разрабатывать под совершенно разные нужды. А когда нужно быстро, понятия оптимизации, безопасности и корректности уходят на задний план. И возвращаются только когда наступает стадия масштабирования и подстройки системы под более жесткие требования.
  • Зачем SIEM-системе машинное обучение: реальные сценарии использования
    Почему хорошая SIEM не может обойтись без машинного обучения? Какие модели уже применяются в реальных продуктах? И что ждет этот симбиоз в будущем?
  • SIEM – сложно и дорого? Уже нет!
    Александр Дорофеев, CISSP, CISA, CISM, АО “Эшелон Технологии”
    На российском рынке представлены SIEM на любой вкус, но многие все еще думают, что данный класс решений существует исключительно для компаний, имеющих серьезные бюджеты и большую команду ИБ-специалистов. В статье мы опровергнем распространенный миф и разберем ключевые преимущества готовящейся к выходу новой версии KOMRAD Enterprise SIEM 4.5.
  • Тренды информационной безопасности, и как они влияют на SIEM
    Cовременные тренды в области информационной безопасности: явное смещение фокуса к облачным решениям, сервисным моделям и интеграции искусственного интеллекта. Это ставит новые требования к системам SIEM. Архитектура решения становится критически важной для обеспечения гибкости и масштабируемости, необходимых для успешной защиты инфраструктуры.
  • Secret Disk для Linux: прозрачное шифрование дисков на рабочих станциях
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Secret Disk для Linux обеспечивает предотвращение утечек конфиденциальной информации с помощью шифрования на рабочих станциях с отечественными ОС семейства Linux.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Кибербезопасность инфраструктуры, данных и приложений. 7 марта 2025
Регистрация →

Еще темы...

More...