PT Industrial Security Incident Manager (PT ISIM) (PT ISIM) от компании Positive Technologies — это программно-аппаратный комплекс, предназначенный для повышения уровня защищенности, доступности и поддержки непрерывности технологических процессов с помощью анализа сетевого трафика и превентивного обнаружения несанкционированных воздействий (в том числе кибератак), направленных на АСУ ТП.
Архитектура комплексного решения на базе PT Industrial Security Incident Manager (PT ISIM) включает серверы анализа сетевого трафика (сенсоры), серверы бизнес-аналитики и управления уровня ситуационного центра (SOC), а также панельные компьютеры, предназначенные для индикации, квитирования и обработки критических инцидентов оперативным персоналом промышленных объектов согласно установленным на предприятии регламентам.
На уровне защищаемого сетевого сегмента АСУ ТП, в котором расположены АРМ операторов, серверы SCADA и ПЛК, применяются серверы сбора и анализа трафика — сенсоры PT Industrial Security Incident Manager (PT ISIM) View Sensor. Они получают копию трафика с Mirror/SPAN-порта коммутатора или TAP-устройства. При этом между сегментом АСУ ТП и сенсором может быть установлен аппаратный однонаправленный шлюз для гарантированного разделения сегмента сети АСУ ТП и сегмента, где установлено оборудование PT ISIM.
- Анализ событий на уровне различных коммуникационных протоколов, включая промышленные (Siemens S7, IEC104, DIGSI, GOOSE/MMS, Schneider Electric UMAS, CIP, Yokogawa, PROFINET DCP, SPA-Bus, EKRA, OPC, Modbus и другие);
- Автоматическое построение и визуализация схемы сети АСУ ТП;
- Выявление неавторизованных подключений к сети АСУ ТП;
- Детектирование потенциальных угроз и попыток эксплуатации известных уязвимостей;
- Обнаружение неавторизованного изменения технологических параметров;
- Контроль доступа к параметрам ПЛК по сети (чтение и изменение микропрограмм и проектов ПЛК);
- Обнаружение неавторизованного управления ПЛК по сети;
- Выявление сложных, распределенных во времени атак на АСУ ТП (цепочки атак);
- Генерация инцидентов ИБ с учетом логики технологического процесса;
- Визуализация мнемосхемы техпроцесса и индикация элементов, работа которых нарушена в результате инцидентов ИБ;
- Формирование и отправка отчетов об инцидентах и состоянии защищенности АСУ ТП во внешние системы (SIEM, ГосСОПКА и так далее).