PT ISIM теперь обнаруживает сетевые атаки на отечественную SCADA-систему TRACE MODE

Positive Technologies дополнила программно-аппаратный комплекс глубокого анализа технологического трафика PT Industrial Security Incident Manager пакетом экспертизы для выявления атак на SCADA TRACE MODE 6 — одну из крупнейших в российском промышленном сегменте SCADA-систем[1], разработанную компанией «АдАстра». Обновление позволяет выявить неавторизованную работу с монитором реального времени (МРВ), подключения к TRACE MODE 6 в режиме SPY (с помощью удаленного отладчика распределенного проекта) и манипуляции злоумышленников с ПЛК[2]. Это помогает обнаруживать кибератаки на ранних стадиях и предотвращать их повторение.

Новый пакет экспертизы PT ISIM будет полезен российским компаниям для выполнения требований регуляторов: с 2025 года государственные организации обязаны использовать на объектах критической информационной инфраструктуры исключительно отечественное ПО.

Обновление PT ISIM расширило возможности выявления потенциально опасных действий, выполняемых с удаленных компьютеров, и теперь с помощью новых правил можно обнаруживать:

• Неавторизованную работу с монитором реального времени. Продукт позволяет отследить подключения злоумышленников к работающей SCADA-системе и обнаружить факт нелегитимной установки IDE TRACE MODE на автоматизированные рабочие места операторов АСУ ТП.
• Подключения к TRACE MODE 6 в режиме SPY. PT ISIM распознает подключения к МРВ в режиме слежения, а также позволяет увидеть, какие действия были выполнены атакующими.
• Воздействие злоумышленников на ПЛК на базе исполнительного модуля Micro TRACE MODE. PT ISIM обнаруживает факт получения нелегитимного доступа к ПЛК и предотвращает нарушение технологического процесса.

«Злоумышленники умеют устанавливать вредоносное ПО с помощью удаленных компьютеров, которые находятся вне зоны внимания специалистов по информационной безопасности и представляют особую угрозу для предприятия. Проникнув во внутренний периметр сети, хакеры могут подменить данные, которые видит оператор на мнемосхемах, или выполнить нелегитимную команду, что приведет к возникновению нештатного режима функционирования АСУ ТП, — отмечает Илья Косынкин, руководитель продукта PT ISIM. — Важно на ранней стадии выявить, откуда производилось воздействие и какие шаги были сделаны третьими лицами. Имея эти данные, специалисты по ИБ могут предотвратить повторную атаку и принять правильные меры по восстановлению корректной работы АСУ ТП».

«Выявление действий злоумышленников в технологических сетях помогает предотвращать возникновение нештатных ситуаций и аварийных режимов. „АдАстра“ и Positive Technologies являются технологическими партнерами и активно обмениваются опытом. Новый пакет экспертизы позволяет обнаруживать потенциально опасные воздействия, которые не видны обслуживающему персоналу. Таким образом можно противодействовать хакерам уже на ранних стадиях атаки», — рассказал Владимир Карандаев, руководитель технической поддержки компании «АдАстра».

PT ISIM — часть комплексной платформы для выявления киберугроз и реагирования на инциденты в промышленных системах PT Industrial Cybersecurity Suite (PT ICS), и для TRACE MODE у PT ICS ранее уже выходил пакет экспертизы. PT ICS обнаруживает такие атаки, как подмена проектов, грубый подбор пароля, подмена исполняемых файлов TRACE MODE.