07/04/25
В систему мониторинга безопасности промышленных инфраструктур PT Industrial Security Incident Manager (PT ISIM) добавлен пакет экспертизы с поддержкой сетевых протоколов для управления и обмена данными компании Honeywell — одного из мировых лидеров в области технологий автоматизации промышленности и управления производственными процессами. Теперь PT ISIM детально разбирает трафик семейства Experion PKS. Выявляются опасные команды, эксплуатация уязвимостей, изменения параметров технологических процессов и другие аномалии, которые потенциально могут указывать на вмешательство злоумышленников.
Оборудование Honeywell востребовано в разных отраслях промышленности, включая нефтегазовую. Вендор, по данным исследования компаний «УльтимаТек», Positive Technologies и «Аквариус», на протяжении многих лет входит в четверку ключевых игроков на отечественном рынке АСУ ТП, являясь основным поставщиком специализированных решений для 27% предприятий.
В свою очередь, распределенные системы управления (РСУ) семейства Experion PKS установлены на критически важных промышленных объектах во многих странах мира. В частности, они помогают контролировать работу атомных электростанций и управлять процессами транспортировки газа.
С новым пакетом экспертизы, поддерживающим анализ специализированных протоколов Honeywell, PT ISIM своевременно обнаруживает следующие киберугрозы и сообщает о них операторам:
- умышленную смену атакующими различных параметров технологических процессов;
- нелегитимные операции перепрошивки и изменения конфигурации ПЛК: инциденты, вызванные такими операциями, могут повлечь остановку производственных линий, ухудшение качества изготавливаемой продукции, репутационные и финансовые потери;
- неавторизованную передачу сервисных команд, нетипичных для работы автоматизированных систем управления в штатных режимах. Такие действия сигнализируют о возможном присутствии хакеров в сети и требуют внимания специалистов по кибербезопасности.
Добавленные в продукт сигнатуры и события информационной безопасности помогают службам ИБ и ИТ быстрее реагировать, устраняя вредоносную активность, принимать компенсирующие меры, расследовать инциденты и минимизировать их последствия.
Кроме того, правила в составе пакета экспертизы позволяют PT ISIM фиксировать внутри сети попытки эксплуатации уязвимостей нулевого дня в решениях Honeywell, которые были найдены исследователями безопасности и закрыты производителем. Среди них — CVE-2023-24474, CVE-2023-25770, CVE-2023-24480, CVE-2023-26597, CVE-2023-25178.
«В силу специфики непрерывного производства предприятия медленно и с осторожностью внедряют защитные механизмы. Кроме того, они не всегда решаются обновить уязвимое ПО, даже когда появляются патчи. Системы глубокого мониторинга индустриального трафика позволяют неинвазивно повысить защищенность промышленных инфрастуктур. Благодаря технологической экспертизе PT ISIM вовремя выявляет хакеров в сети, помогает операторам ИБ останавливать и обезвреживать их, — отмечает Дмитрий Скляр, руководитель направления экспертизы по анализу защищенности промышленных систем в Positive Technologies. — Мы изучили протоколы Honeywell, проанализировали данные и команды, которые передаются с их помощью, и дополнили базу знаний PT ISIM новыми правилами обнаружения атак и индикаторами компрометации. Установив пакет, промышленные организации, использующие ПЛК и SCADA-системы[1] этого вендора, смогут обезопасить себя от актуальных угроз».
Ранее Positive Technologies выпустила для PT ISIM пакеты экспертизы для сетевых протоколов АВВ, Emerson, Mitsubishi Electric, OMRON, Siemens, Yokogawa, «Энергомеры» и других иностранных и российских вендоров. Продукт также отслеживает неразрешенные взаимодействия с ПЛК и оборудованием этих поставщиков. Новый экспертный пакет доступен для PT ISIM 5.3 и выше.
