Журнал "Information Security/ Информационная безопасность" #2, 2025

Решать подобные задачи можно с помощью современных EDR-систем. Этот класс решений позволяет монито- рить активность в инфраструктуре, выявлять характерные паттерны при- сутствия в ней злоумышленника, осу- ществлять автоматическое и ручное реа- гирование на устройствах, выявлять небезопасные конфигурации ПО, а также отслеживать изменения конфигураций. Что нужно от EDR для защиты АСУ ТП? Рассмотрим, что должно быть в EDR- решении для эффективной работы в технологической инфраструктуре. Гибкость при конфигурировании продукта под конкретную инфраструктуру и определенные задачи l Настраиваемые режимы работы тех- нологий мониторинга, которые подразу- мевают степень инвазивности и потенци- ального влияния на ОС. В операционных системах есть разные функциональные возможности по сбору информации об активности на устройстве, которые могут по-разному влиять на ОС и ПО, а также на стабильность и производительность системы. Администратор кибербезопас- ности должен иметь возможность само- стоятельно принимать решение, какие технологии использовать, а какие – нет, понимая, как именно это повлияет на спо- собность продукта обнаруживать угрозы. l Настраиваемая телеметрия и сценарии выявления угроз. EDR – это своего рода швейцарский нож, который должен открывать широкие возможности по решению конкретных задач в монито- ринге и выявлении угроз. Администрато- ры ИБ должны иметь возможность само- стоятельно определять перечень необхо- димой и собираемой информации. Стоит учитывать, что подобная гиб- кость влияет и на сложность решения. Это значит, что вендор EDR, помимо гибкого решения, может поставлять свои унифицированные наборы экспертизы, которые подготовлены и адаптированы под основные категории, типы оборудо- вания и инфраструктур. Механизмы выявления небезопасных конфигураций и мониторинг изменений конфигураций EDR должен выявлять не только небез- опасные конфигурации ОС и классиче- ского ПО, но и программ, специфичных для АСУ ТП. Эти механизмы помогают защитить конечные точки, ведь, исправ- ляя обнаруженные небезопасные настройки, администраторы кибербезо- пасности значительно затрудняют про- движение злоумышленника по инфра- структуре. Поддержка широкого спектра версий ОС Для полноценной работы продукта в технологической сети нужно учитывать, что с высокой вероятностью в ней при- сутствуют старые ОС и ПО. Современное EDR-решение должно не только иметь возможность запускаться на подобных ОС, но и не оказывать негативного влия- ния на производительность устройств, что крайне важно. Как это реализовано в BI.ZONE EDR В BI.ZONE EDR осуществлен ряд воз- можностей, которые позволяют эффек- тивно работать в технологических инфраструктурах: l BI.ZONE обладает продвинутыми меха- низмами для мониторинга и реагирования на современные киберугрозы на всех актуальных ОС (Windows/Linux/macOS), в том числе угрозы, которые релевантны технологическим инфраструктурам. Решение имеет широкий набор теле- метрии, который состоит более чем из 160 уникальных событий мониторинга и более 40 событий инвентаризации. Это позволяет эффективно реализовы- вать алгоритмы для выявления угроз. Более того, правила генерации телемет- рии и правила выявления угроз можно изменять и дополнять, адаптируя реше- ние под свою инфраструктуру и реализуя произвольные сценарии мониторинга и реагирова- ния. l В BI.ZONE EDR присут- ствует компонент Threat Prediction, который иссле- дует ОС и ПО на наличие небезопасных конфигураций. Модуль генерирует реко- мендации по их исправлению для адми- нистраторов кибербезопасности. l В составе BI.ZONE EDR поставляется ряд профилей мониторинга и реагиро- вания, которые подходят для использо- вания решения как на обычных инфра- структурных устройствах, так и на высо- конагруженных серверах, где необходи- мо исключить возможное влияние на производительность устройства. Такой сценарий применения позволяет адми- нистратору гибко настраивать монито- ринг в инфраструктуре в зависимости от типа и категории устройства. l Решение может работать в бездрай- верном режиме, что позволяет админи- страторам настраивать сценарии при- менения решения и исключать потенци- альные возможности влияния на ПО. l В BI.ZONE EDR есть модуль АСУ ТП, в котором предусмотрены проверки кон- фигураций технологического ПО. Модуль позволяет как выявлять небезопасные конфигурации, так и формировать реко- мендации по безопасности, следуя кото- рым администратор значительно сужает поверхность атаки инфраструктуры. Выводы Эффективная защита конечных точек в технологической инфраструктуре невозможна без глубокого понимания специфики АСУ ТП, поэтому важно выбирать средства защиты, которые ее учитывают и прошли тестирование на совместимость с технологическим ПО. EDR-решения, которые обладают широкими возможностями мониторинга и позволяют гибко конфигурировать продукт под конкретную инфраструкту- ру, способны значительно усилить киберзащиту АСУ ТП и минимизировать последствия в случае проникновения злоумышленника. l • 53 Защита аСУ тП www.itsec.ru Рис. Пример рекомендаций по безопасности в BI.ZONE EDR АДРЕСА И ТЕЛЕФОНЫ BI.ZONE см. стр. 82 NM Реклама ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjeMiMeD