В PT Industrial Security Incident Manager расширена поддержка контроллеров Emerson и GE Fanuc
Positive Technologies выпустила пакет экспертизы для системы глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM). Обновление позволяет улучшить работу с протоколом GE-SRTP1 компании GE Fanuc (Emerson)2, обнаруживать дополнительные команды по протоколу FINS3 в контроллерах OMRON и отслеживать передачу конфигураций систем автоматизации в сети. Кроме этого, в пакет добавлено более 640 сигнатур для обнаружения вредоносного ПО (троянов и шифровальщиков) и фактов нарушения политик безопасности.
Протокол GE-SRTP, разработанный компанией GE Fanuc, предназначен для сетевого обмена данными между контроллерами GE Fanuc и инженерным ПО (Proficy Machine Edition), SCADA-системами4 и OPC-серверами5. Обновленный пакет экспертизы PT ISIM позволяет специалистам по мониторингу ИБ реагировать на инциденты, связанные с взаимодействием с контроллерами по протоколу GE-SRTP. Новые правила и события отслеживают изменение статуса и уровня привилегий доступа, установку времени, загрузку и выгрузку аппаратной и программной конфигурации, а также принудительную установку значений на входах и выходах контроллеров.
Кроме этого, в пакет добавлены правила и события для систем Wonderware InTouch (Schneider Electric), SIMATIC WinCC (Siemens), CENTUM VP (Yokogawa Electric), TRACE MODE ("АдАстра"), MasterSCADA 3 и MasterSCADA 4D ("МПС софт"). Они регистрируют передачу файлов конфигураций систем автоматизации в сети.
"Отслеживание изменений конфигурации систем автоматизации, осуществленных с помощью сети, позволяет выявлять вмешательства на раннем этапе. Подмена файлов может привести к некорректному отображению данных и к неработоспособности SCADA-системы в целом, — отмечает Сергей Щукин, эксперт по исследованиям промышленных систем Positive Technologies. — Важно обнаруживать внешних и внутренних злоумышленников на начальной стадии атаки, чтобы остановить их продвижение во внутреннем периметре и предотвратить повторение инцидента".
В этом году Positive Technologies обнаружила уязвимость в контроллерах OMRON серии CP1L, позволяющую злоумышленникам изменять произвольные области памяти устройства по протоколу FINS. PT ISIM находит использование недокументированных команд чтения и записи данных. Это позволяет избежать последствий, таких как полный отказ в обслуживании или выполнение произвольного кода.
PT ISIM — часть комплексной платформы PT Industrial Cybersecurity Suite (PT ICS) для защиты промышленных инфраструктур и обеспечения киберустойчивости производства, поэтому пользователи PT ICS тоже получат эти и другие пакеты экспертизы и обновления.
Positive Technologies — лидер рынка результативной кибербезопасности. Компания является ведущим разработчиком продуктов, решений и сервисов, позволяющих выявлять и предотвращать кибератаки до того, как они причинят неприемлемый ущерб бизнесу и целым отраслям экономики. Наши технологии используют более 3300 организаций по всему миру, в том числе 80% компаний из рейтинга "Эксперт-400".
Positive Technologies — первая и единственная компания из сферы кибербезопасности на Московской бирже (MOEX: POSI), у нее более 170 тысяч акционеров.
Следите за нами в соцсетях (Telegram, ВКонтакте, Twitter, Хабр) и в разделе "Новости" на сайте ptsecurity.com, а также подписывайтесь на телеграм-канал IT's positive investing.
1 Протокол GE-SRTP поддерживают контроллеры серий PACSystems RX3i, PACSystems RSTi, VersaMax, а также уже не выпускаемые, но по-прежнему широко распространенные модели Series 90-70 и 90-30, PACSystems RX7i, Mark VIe, Mark VIeS.
2 Компания Emerson приобрела подразделение, ранее выпускавшее контроллеры GE Fanuc, и теперь продукция выходит под ее брендом.
3 Открытый протокол связи, поддерживаемый большинством контроллеров и сетей разработки OMRON.
4 Системы для сбора и обработки данных с установленных на предприятии промышленных датчиков и компонентов.
5 Программное обеспечение, преобразующее данные в формат протокола OPC (англ. Open Platform Communications), который обеспечивает возможность обмена информацией с промышленными устройствами разных производителей.
