Обзор

PT ISIM — система, обеспечивающая централизованный мониторинг безопасности промышленной ИТ-инфраструктуры, с возможностью обнаружения современных киберугроз и таргетированных атак. Решение полностью удовлетворяет требованиям российского законодательства для защиты критических информационных объектов, включая предотвращение вторжений и реагирование на компьютерные инциденты.

Возможности

Контролирует безопасность: обнаруживает вредоносное ПО, действие подозрительных технологических команд, а также действия персонала, способные угрожать целостности сетей.

Обеспечивает наблюдаемость и прозрачность даже в крупной технологической сети, выявляя возможные направления атак.

Расследует инциденты ИБ: позволяет выявить цели злоумышленника, маршрут атаки, используемые ими тактики и техники.

Сценарии применения

Инвентаризация технологической сети: отслеживание новых узлов, контроллеров, рабочих станций и сетевых устройств; выявление внешних подключений к промышленным компонентам; контроль выхода технологической сети в интернет.

Мониторинг безопасности технологической сети: обнаружение незаконных операций и угроз в трафике и на узлах, включая распространённые отечественные операционные системы и устройства АСУ ПТ; отсутствие слепых зон в системе безопасности.

Обнаружение эксплуатации уязвимостей и других методов атак: поддержка систем Windows и Linux, стандартного сетевого и промышленного оборудования; наличие более 10 000 экспертных правил и индикаторов; регулярное обновление экспертной базы.

Контроль параметров технологического процесса: фиксация отправки критичных управляющих команд; выявление отклонений ключевых технологических показателей от норм.

Соблюдение нормативных требований: поддержка требований ФСТЭК (приказы № 31, № 239), закона о безопасности критической информационной инфраструктуры, взаимодействие с центрами реагирования за счёт соответствия регламенту и стандартам.

Экспертиза и поддержка технологий

Поддерживает более 130 промышленных и сетевых протоколов: Modbus TCP, OPC DA, OPC UA, MQTT, МЭК 60870-5-101/104, МЭК 61850-8-1 MMS/GOOSE; Siemens S7Comm/S7Comm-Plus и др.

Экспертные правила для обнаружения атак на ОС: Windows (версии с 7 до 10), Windows Server 2012-2019 и Linux-дистрибутивы Debian, Ubuntu, CentOS, Red Hat, а также отечественные версии Linux: Astra Linux, РЕД ОС, AlterOS, Альт.

Поддержка обнаружения атак на SCADA-системы: правила для таких систем, как «Альфа Платформа», AstraRegul, Redkit SCADA, MasterSCADA, Trace Mode, Siemens WinCC и PCS7, AVEVA System Platform, Yokogawa Centum.

Техническая архитектура и компоненты

Использование сенсора, который анализирует копии сетевого трафика, регистрирует события безопасности, ведёт инвентаризацию узлов, строит визуальную карту сети.

Наличие компонента Endpoint: агент на конечных узлах технологической сети (рабочие станции, SCADA-сервера и др.), который передаёт информацию о событиях безопасности: это позволяет обнаруживать такие угрозы, как подмена проектов SCADA, подбор паролей, нелегитимное использование инженерных утилит и др.