Журнал "Information Security/ Информационная безопасность" #5, 2018

PT ISIM freeView Sensor предназначен для решения базовых задач мониторинга ИБ АСУ ТП, бесплатен, не требует сложной настройки и специфической эксперти- зы при использовании. Решение предоставляется в виде виртуальной маши- ны, которая подключается к порту зеркалирования коммутатора сети АСУ ТП. Система анализирует собранный трафик, произво- дит инвентаризацию ресур- сов и позволяет выявлять различные нарушения и аномалии при ежедневном использовании. Общее время, необходимое для скачивания PT ISIM freeView Sensor с официального сайта и запуска, составляет считанные минуты. Продукт идеально подходит для зна- комства с PT ISIM, а пере- ход к использованию более функциональных версий продукта (netView Sensor и proView Sensor) занимает минимальное время. l инвентаризация и контроль целостности сети АСУ ТП: PT ISIM в режиме автоматиче- ского обучения инвентаризи- рует элементы сети АСУ ТП, включая компоненты промыш- ленной системы управления, и непрерывно контролирует целостность технологической сети; l визуализация инцидентов: за счет удобных средств гра- фического отображения эле- ментов сетевой топологии и технологического процесса (мнемосхем) PT ISIM позволяет визуализировать инциденты информационной безопасно- сти, в том числе на уровне бизнес-логики технологическо- го процесса; l обнаружение сложных атак: PT ISIM анализирует события информационной безопасности и связывает их в логические цепочки. Цепочка событий поз- воляет наглядно представить развитие инцидента во време- ни и в нужный момент принять меры по предотвращению угрозы. Таким образом, в отли- чие от аналогичных средств, использующих только класси- ческий сигнатурный подход, PT ISIM эффективно выявляет и длительные многоэтапные атаки; l оперативное реагирование на инциденты ИБ: в случае возникновения инцидента PT ISIM предоставляет ответ- ственным сотрудникам инфор- мацию, соответствующую их полномочиям. Оперативный персонал располагает мини- мальным набором инструмен- тов, необходимых для под- держки административных рег- ламентов, а служба ИБ полу- чает полный доступ к инфор- мации об инцидентах для их расследования; l учет специфики предприятия: с помощью PT ISIM можно конт- ролировать векторы атак, уни- кальные для промышленного объекта. Для настройки меха- низма контроля этих векторов используются данные, получае- мые в результате анализа защищенности АСУ ТП пред- приятия. В состав PT ISIM вхо- дят удобные средства конфигу- рирования уникальных для защищаемого объекта правил обнаружения атак; l соответствие требованиям промышленной среды: физиче- ские условия эксплуатации в промышленности бывают край- не агрессивными. Промышлен- ное исполнение компонентов PT ISIM подбирается с учетом специфики отрасли и защищае- мого предприятия. И еще одно важное преиму- щество, которое дает PT ISIM, – это простота его ввода в экс- плуатацию. Для того чтоб реше- ние начало работать, на его сенсор необходимо лишь напра- вить копию сетевого трафика технологической сети. Опыт показывает, что практические результаты работы PT ISIM демонстрирует уже в течение нескольких часов после первого включения, при этом оставаясь абсолютно безопасным для самих АСУ ТП. Из АСУ ТП в SOC В разрезе необходимости объектам КИИ реализовать предписанные меры защиты и обеспечивать взаимодействие с центрами ГосСОПКА для большинства промышленных предприятий становится все более очевидной необходи- мость создания Security Opera- tions Center или внедрение как минимум систем класса SIEM для обеспечения централизо- ванного мониторинга инциден- тов безопасности. К сожалению, совместное использование АСУ ТП и систем класса SIEM имеет ряд существенных ограничений: l сегодня SIEM не смотрят в АСУ ТП, для них это "слепая зона"; l в АСУ ТП очень мало источ- ников, с которых SIEM получают и в обозримом будущем будут получать события безопасно- сти; l в АСУ ТП огромное количе- ство событий, для которых край- не сложно написать правила корреляции в SIEM для кор- ректного выявления инциден- тов; l SIEM не инвентаризируют АСУ ТП (а это требует тот же ФЗ-187); l SIEM не умеют обрабатывать трафик сетей АСУ ТП, тогда как огромная часть событий и инцидентов выявляются именно в нем; l и главное – сегодня и в обо- зримом будущем SIEM по ряду причин не будут коррелировать события АСУ ТП в инциденты с учетом их прикладного значе- ния, тогда как основной объем инцидентов, имеющих критич- ное значение для специалистов АСУ ТП, происходит в основном на прикладном уровне систем. PT ISIM как источник инфор- мации об инцидентах безопас- ности АСУ ТП сетевого и при- кладного уровня для систем класса SIEM, Incident Manage- ment и других дает возможность решить все эти задачи. Важным является тот факт, что в SIEM передаются именно инциденты, а не события, требующие допол- нительной интерпретации и кор- реляций. Такое решение поз- воляет практически в один пры- жок преодолеть ограничения, обозначенные выше, и перейти от сложного проектирования и переконфигурирования тех- нологической сети практически сразу к реализации процессов выявления, управления и реа- гирования на инциденты кибер- безопасности АСУ ТП. l • 21 ЗАЩИТА АСУ ТП www.itsec.ru Рис. 2. Интерфейс сервера консолидации и управления PT Industrial Security Incident Manager (PT ISIM) АДРЕСА И ТЕЛЕФОНЫ компании POSITIVE TECHNOLOGIES см. стр. 56 NM