Компании Positive Technologies и «АйТи БАСТИОН» объявили о технологическом партнёрстве в области защиты технологических сетей. В частности, речь идёт о интеграции системы глубокого анализа технологического трафика PT Industrial Security Incident Manager с системой контроля доступа привилегированных пользователей «СКДПУ НТ». Оба продукта внесены в единый реестр российского ПО, а корректность их совместной работы проверена специалистами компаний Positive Technologies и «АйТи БАСТИОН» в ходе испытаний.
Контроль удаленного доступа
Совместное решение компаний Positive Technologies и «АйТи БАСТИОН» позволяет организовать для удаленных пользователей единую точку входа в сеть АСУ ТП — шлюз «СКДПУ НТ», а также выявлять нелегитимные подключения, минующие шлюз «СКДПУ НТ», и вовремя оповещать о них специалиста по информационной безопасности — этим занимается PT ISIM. Решение также позволяет фиксировать информацию о подключении удаленных пользователей к оборудованию АСУ ТП — изменение проектов и конфигураций ПЛК, изменение режимов работы ПЛК и др. При этом PT ISIM также позволяет детектировать следы проникновения вредоносного ПО в сеть АСУ ТП через удаленные соединения, а также выявлять следы компрометации сети АСУ ТП через удаленные соединения, оценивать активность подключенных пользователей, обнаруживать аномалии в их действиях и сигнализировать о нарушениях политик безопасности. В то же время «СКДПУ НТ» обеспечивает хранение полной копии трафика пользовательских сессий для последующего аудита и расследования.
«Удаленный доступ к сети АСУ ТП пользователи получают только через центральный шлюз или несколько шлюзов „СКДПУ НТ“ в распределенной ИТ-инфраструктуре, — пояснил Дмитрий Михеев, технический директор компании „АйТи БАСТИОН“. — В свою очередь PT ISIM предоставляет шлюзу „СКДПУ НТ“ данные обо всех зарегистрированных соединениях внутри сети. Это позволяет на уровне устройства „СКДПУ НТ“ выявить те соединения, что не контролируются шлюзом, и оповестить об этом инженера ИБ. Пользователями могут выступать любые специалисты (сотрудники службы ИБ, операторы и инженеры АСУ ТП и др.), удаленный доступ которых требуется контролировать».
Защита КИИ
Во время вынужденного карантина удаленный доступ стал фактически стандартом, причем в том числе и для управления АСУ ТП. Однако удаленный доступ к АСУ ТП требует тщательного контроля всех действий операторов, причем в этих действиях необходимо выявлять в том числе и вредоносную активность. А поскольку определить опасность этих действий может только специализированное средство мониторинга, которое знает об особенностях протоколов АСУ ТП, то связь между средством контроля действий привилегированных пользователей, которым является „СКДПУ НТ“, и инструментом для выявления вредоносных действий в АСУ ТП, которым является ISIM, позволяют обнаруживать в том числе и целенаправленные атаки при удаленном доступе. Важно при этом, что оба средства являются российскими и имеют сертификаты ФСТЭК для защиты в том числе и значимых объектов КИИ.
Правда сейчас не очень понятна степень интеграции этих продуктов. Если бы эти инструменты активно взаимодействовали друг с другом, то это позволило автоматически реагировать на вредоносную активность. Например, если бы при обнаружении подозрительных действий со стороны конкретного пользователя ISIM мог передать информацию об этом в СКДПУ, который автоматически прервал бы подозрительный сеанс связи. Сейчас для реализации такой связки требуется реакция со стороны службы безопасности, но в любом случае оба средства защиты хорошо дополняют друг друга.
