PT ISIM freeView Sensor – перше у світі безкоштовне рішення для безпеки АСУ ТП
PT ISIM freeView Sensor - перше у світі безкоштовне рішення для безпеки АСУ ТП
Positive Technologies створила першу у світі безкоштовну систему моніторингу безпеки для автоматизованих систем управління технологічним процесом (АСУ ТП). Вона є вільною для використання версією комерційного продукту компанії — Industrial Security Incident Manager (ISIM), випущеного на ринок у 2016 р.
Нове безкоштовне рішення отримало назву PT ISIM freeView Sensor. Розробники вказують, що воно призначене для вирішення базових завдань моніторингу інформбезпеки АСУ ТП без складного налаштування та специфічної експертизи при використанні. Загальний час, необхідний для його завантаження з офіційного сайту та запуску, вимірюється хвилинами.
PT ISIM freeView Sensor надається у вигляді віртуальної машини, яка підключається до порту дзеркалювання (Mirror, SPAN) комутатора мережі АСУ ТП. Система обробляє копію трафіку мережі АСУ ТП (у тому числі протоколів CIP, IEC-104, MMS, Modbus TCP, OPC DA, Profinet DCP, S7, Spabus, ARP, DHCP, DNS, FTP, HTTP, ICMP, SNMP, SSH, Telnet , TFTP), не впливаючи на її компоненти.
Можливості ISIM freeView Sensor
В якості одного з ключових завдань, які має вирішувати новий продукт, розробники вказують інвентаризацію мережевих активів АСУ ТП — система дозволяє візуалізувати топологію мережі з вузлами, з'єднаннями, групами вузлів. Іншим завданням є контроль інформаційної взаємодії в АСУ ТП — серед іншого передбачено режим навчання системи, коли вона запам'ятовує всі мережеві вузли та взаємодії між ними, заводить «інциденти» на мережеві аномалії тощо.
Зрештою, новому продукту наказано виявлення мережевих та промислових атак, а також випадків неавторизованого управління.
Навіщо розробникам безкоштовний продукт
У Positive Technologies не приховували, що PT ISIM free View Sensor можна в певному сенсі вважати презентацією комерційної версії рішення. При цьому в компанії наголосили, що безкоштовна новинка є самодостатнім продуктом. Організація, що використовується, може з його допомогою вирішити базові завдання інформбезпеки і цим і обмежитися.
Щоправда, безкоштовна версія не має техпідтримки і поки не вирішено питання про оновлення так званої бази інцидентів. Проте організація з її допомогою може оцінити стан своєї мережі та у разі потреби прийняти гранично обґрунтоване рішення про перехід на просунуту версію на комерційній основі.
«Забезпечення ІБ в АСУ ТП пов'язане з масою питань. Наприклад, необхідно визначити ролі та зони відповідальності, актуалізувати дані про мережу АСУ ТП, оцінити її захищеність, знайти необхідні інструменти захисту та обґрунтувати їхню покупку. При цьому використання стандартних засобів ІБ (наприклад, антивірусів) через специфіку АСУ ТП може бути утруднене, а спеціалізовані інструменти — недоступні широкому колу користувачів: їх не завжди можна випробувати на практиці, тому їхня корисність залишається не ясною. PT ISIM freeView Sensor, будучи безкоштовним інструментом інвентаризації мережі АСУ ТП та моніторингу кіберзахищеності її ресурсів, допомагає подолати цей бар'єр та запустити поступальний розвиток програми ІБ АСУ ТП підприємства».
Відмінності комерційної версії
Комерційну версію PT ISIM крім техпідтримки відрізняють розширені можливості щодо інтеграції із зовнішніми системами (зокрема специфічними галузей) і більше підтримуваних протоколів. Також вона має можливості для розбору трафіку з урахуванням особливостей конкретного промислового об'єкта, дозволяє бачити актуальну у будь-який момент часу картину мережевих об'єктів на мнемосхемі технологічного процесу, здатна налаштовувати сценарії виявлення атак з урахуванням специфіки конкретного об'єкта, може працювати як джерело інформації про інциденти безпеки та бути ключовим компонентом, що реалізує вимоги безпеки, що пред'являються регуляторами до технологічного сегменту.
До складу комерційних версій входить база промислових кіберзагроз, що постійно поповнюється, — PT Industrial Security Threat Indicators (PT ISTI). Вона, як запевняють розробники, дозволяє системі без додаткового конфігурування виявляти до 80% найбільш небезпечних і актуальних загроз. мережі АСУ ТП. Серед них — підготовка до кібератаків на ПЗ та обладнання АСУ ТП на ранній стадії, недоліки в налаштуванні систем, вихід технологічних параметрів за межі нормальних значень, використання потенційно небезпечних засобів мережевої взаємодії та неавторизованих команд управління обладнанням АСУ ТП.
Головним конкурентом Positive Technologies у цьому сегменті на ринку вважається «Лабораторія Касперського».
