Обзор PT ISIM, системы глубокого анализа промышленного трафика

1. Введение
2. Функциональные возможности PT ISIM
3. Архитектура PT ISIM
4. Системные требования PT ISIM
5. Сценарии использования PT ISIM
   1. 5.1. Автономное управление
   2. 5.2. Централизованное управление
   3. 5.3. Распределённая инфраструктура
6. Выводы

Введение

Цифровизация объектов промышленности в XXI веке достигла глобальных масштабов. То, что ранее проектировалось как изолированная система, в настоящее время может функционировать как распределённый масштабируемый комплекс с удалённым управлением. АСУ ТП применяются во многих областях промышленности, в том числе и критически важных — в 2017 году вступил в силу федеральный закон № 187-ФЗ, определяющий безопасность критической информационной инфраструктуры Российской Федерации. Таким образом, нарушение безопасности критических АСУ ТП и прерывание их технологических процессов влекут за собой не только денежные и имиджевые потери, но и возникновение экологических катастроф, угрозы жизни и здоровью граждан и безопасности государства в целом.

Исследования Positive Technologies в области кибербезопасности АСУ ТП показывают стабильный рост количества инцидентов на промышленных объектах. В настоящий момент тенденция сохраняется. Как правило, технологические сети не изолированы от общей ИТ-инфраструктуры предприятия, поэтому важно непрерывно контролировать безопасность АСУ ТП, своевременно обнаруживать и предотвращать развитие атак, предоставлять информацию для расследований, если инцидент произошёл. Пандемия COVID-19 также внесла свои коррективы в работу сотрудников, в том числе дистанционных — появляется новый вектор атаки, основанный на недостаточной защищённости удалённых рабочих мест пользователей. Кроме сотрудников и подрядчиков источниками угроз для АСУ ТП могут выступать конкуренты, промышленные шпионы, иностранные спецслужбы.

Для достижения информационной безопасности корпоративных сетей и АСУ ТП требуется применение современных решений класса «промышленный NTA». NTA-решения, применяемые для защиты АСУ ТП, перехватывают промышленный трафик и сетевые коммуникации для выявления признаков сложных атак (Advanced Persistent Threat, APT), в целях проактивного поиска угроз (Threat Hunting) и для контроля внутренних политик безопасности. NTA совместно с SIEM-системами и комплексами защиты конечных точек (EDR) формируют оптимальный набор средств для работы центров обеспечения безопасности (SOC) и снижают риски выполнения вредоносных действий в атакуемой инфраструктуре.

PT ISIM производства компании Positive Technologies, являясь первым в мире промышленным NTA- / NDR-решением, обеспечивает выявление признаков реализации атаки на технологическую сеть предприятия различными методами (сигнатурными, поведенческими, поиском аномалий и т. д.), а также предоставляет дополнительные возможности для анализа инцидентов, их обогащения контекстом и реагирования на них. Продукт предоставляет специалистам SOC всю необходимую информацию для контроля технологических аспектов функционирования АСУ ТП с точки зрения информационной безопасности. PT ISIM имеет широкую область применения:

• АСУ ТП промышленных предприятий;
• системы управления городскими инженерными инфраструктурами;
• автоматизированные системы управления объектами КИИ;
• системы управления инженерной инфраструктурой ЦОД, деловых и торговых центров;
• промышленные предприятия и производства с распределённой инфраструктурой.

PT ISIM имеет сертификат соответствия от ФСТЭК России № 4182, действительный до 9 декабря 2024 года, отвечает требованиям закона 187-ФЗ, приказов ФСТЭК России № 31, № 239, требованиям ГосСОПКА.

Программное обеспечение, входящее в состав PT ISIM, зарегистрировано в едином реестре российских программ для электронных вычислительных машин и баз данных (Реестр Минцифры) с № 3424 от 03 мая 2017 года, что подтверждает его соответствие требованиям ПП-1236.

Компании Positive Technologies, «Бомбардье Транспортейшн (Сигнал)» и ОАО «НИИАС» разработали на базе PT ISIM первую в мире комплексную систему повышения киберзащищённости микропроцессорных систем управления движением поездов.

Для выявления ИБ-инцидентов PT ISIM использует уникальную базу промышленных киберугроз — PT Industrial Security Threat Indicators (PT ISTI), которую эксперты Positive Technologies регулярно пополняют индикаторами и правилами обнаружения атак на промышленное оборудование и программное обеспечение. В настоящий момент база содержит более 4 000 индикаторов и правил обнаружения различных атак на промышленное оборудование. Новые пакеты экспертизы добавляются регулярно. Так, в июне 2021 года вышел новый пакет экспертизы, позволяющий на ранней стадии выявлять попытки эксплуатации уязвимостей в продуктах Cisco и операционной системе реального времени VxWorks.

Помимо базы киберугроз PT ISIM поддерживает интеграцию с другими продуктами Positive Technologies, такими как MaxPatrol SIEM, PT Network Attack Discovery (PT NAD) и т. д. Здесь стоит отметить, что компания Positive Technologies почти 20 лет создаёт решения в сфере информационной безопасности телекоммуникаций и промышленных сетей, а также имеет один из крупнейших в Европе исследовательских центров PT SWARM.

Функциональные возможности PT ISIM

PT ISIM осуществляет непрерывный анализ копии трафика АСУ ТП, превентивно выявляя эксплуатацию уязвимостей и атаки, направленные на промышленные сети. PT ISIM учитывает специфику защищаемого предприятия благодаря настраиваемому механизму контроля векторов атак. Производитель предусмотрел быстрое внедрение системы в действующую сеть АСУ ТП и интеграцию с существующими процессами, отвечающими за информационную безопасность. Это позволяет обеспечить непрерывность технологических процессов.

PT ISIM выполняет следующие функции:

• своевременное выявление нарушений безопасности, кибератак (в том числе сложных), потенциальных угроз и эксплуатации известных уязвимостей с последующим информированием ответственных лиц;
• предоставление данных для эффективного проведения расследований по нарушениям безопасности на уровне SOC;
• контроль действий подрядчиков и пользователей, в том числе удалённых;
• анализ инцидентов, включая определение причин их возникновения, а также оценку последствий и планирование мер по устранению или предотвращению инцидентов с учётом специфики технологического процесса;
• поддержка и анализ на уровне промышленных протоколов (Siemens S7, IEC104, DIGSI, GOOSE/MMS, Schneider Electric UMAS, CIP, Yokogawa, PROFINET DCP, SPA-Bus, EKRA, OPC, Modbus и др.);
• автоматическая визуализация схемы сети АСУ ТП и мнемосхемы техпроцесса;
• выявление неавторизованных подключений и изменения технологических параметров АСУ ТП;
• контроль доступа к параметрам программируемых логических контроллеров и обнаружение неавторизованного управления ими по сети;
• формирование и отправка отчётов об инцидентах и состоянии защищённости АСУ ТП во внешние системы (SIEM, ГосСОПКА).

Стоит отметить, что продукт предназначен для специалистов по ИБ, но PT ISIM предлагает тонкую настройку с учётом специфики конкретной АСУ ТП, что делает результаты его работы понятными и инженерам автоматизированной системы.

Ключевой характеристикой продукта является то, что он глубоко разбирает трафик и позволяет работать с результатами этого разбора — как для автоматического выявления атак (и тут важно наличие обновляемой базы индикаторов), так и для автоматизированного поиска угроз (Threat Hunting). Поэтому решение относится к продуктам класса NTA / NDR.

Архитектура PT ISIM

PT ISIM представляет собой программно-аппаратный комплекс, состоящий из следующих компонентов:

• PT ISIM View Sensor — система анализа трафика на уровне защищаемого сегмента АСУ ТП;
• PT ISIM Sensor — безынтерфейсный автономный сенсор для сбора и анализа сетевого трафика на базе низкопроизводительного промышленного компьютера;
• PT ISIM View Point — консоль управления полевыми устройствами;
• PT ISIM Overview Center — сервер бизнес-аналитики и централизованного управления сенсорами, предназначенный для сбора информации о зарегистрированных инцидентах и передачи их на уровень SOC.

Все компоненты PT ISIM работают под управлением ОС Debian. Также в июне 2021 г. PT ISIM прошла тестирование на совместимость с ОС Astra Linux Special Edition, что позволяет обеспечить требуемый регуляторами уровень импортозамещения.

Рисунок 1. Архитектура PT ISIM

PT ISIM View Sensor выполняет пассивный мониторинг копии трафика защищаемого сегмента АСУ ТП в режиме реального времени и глубокий анализ промышленных и ИТ-протоколов. PT ISIM View Sensor передаёт инциденты и выбранные технологические события в SIEM и хранит копию трафика сети АСУ ТП для дальнейшего расследования. Благодаря PT ISIM View Sensor осуществляется визуализация топологии промышленной сети с автоматической идентификацией её узлов, происходит обнаружение несанкционированных попыток управления компонентами АСУ ТП и фактов эксплуатации известных уязвимостей.

PT ISIM View Point и PT ISIM Sensor могут взаимодействовать между собой как по стандартным интерфейсам (Ethernet), так и посредством мобильной связи 3G / LTE. Они предназначены для анализа трафика и выявления инцидентов в распределённых, слабонагруженных системах АСУ ТП. Первоначальная обработка трафика выполняется на сенсоре PT ISIM Sensor, обработка результатов анализа трафика и визуализация данных — на PT ISIM View Point. Полевые устройства PT ISIM Sensor и консоли управления PT ISIM View Point актуальны для трансформаторных подстанций низкого класса напряжения, тепловых пунктов централизованной системы отопления, инженерных систем, которые обеспечивают безопасность пассажиров на транспорте, и других малых промышленных объектов.

PT ISIM Overview Center осуществляет централизованное управление сенсорами PT ISIM, включающее в себя диагностику, обновление, конфигурирование и т. д., и предоставление специалистам по ИБ и АСУ ТП сводной информации по зафиксированным инцидентам.

Для подключения сенсоров PT ISIM могут использоваться дополнительные компоненты:

• диод данных, обеспечивающий на физическом уровне однонаправленную передачу со SPAN-порта коммутатора на сенсор PT ISIM;
• устройство агрегирующее трафик с нескольких SPAN-портов коммутаторов для уменьшения числа сенсоров PT ISIM;
• устройство реплицирующее весь трафик с одного SPAN-порта на несколько других портов для PT ISIM View Sensor;
• TAP-ответвители для получения копии трафика при отсутствии SPAN-порта.

Рисунок 2. Подключение PT ISIM View Sensor к сегменту АСУ ТП через диод данных

Системные требования PT ISIM

Системные требования PT ISIM обусловлены производительностью её компонентов.

Таблица 1. Системные требования компонентов PT ISIM

Сценарии использования PT ISIM

В зависимости от архитектуры контролируемой АСУ ТП производитель предлагает три оптимальных решения применения PT ISIM и его компонентов. Рассмотрим их.

Автономное управление

Наиболее простой способ, не требующий больших финансовых затрат и глубокого анализа АСУ ТП и технологического процесса. Защиту промышленной сети здесь обеспечивает PT ISIM View Sensor с диодом данных. Такая схема подходит для небольших организаций, а также для поэтапного масштабирования PT ISIM. Мониторинг ИБ защищаемой инфраструктуры в этом случае выполняется силами сотрудников заказчика.

Рисунок 3. Автономное управление безопасностью промышленного объекта. В сеть подключается PT ISIM View Sensor, результаты анализа доставляются специалистам по ИБ АСУ ТП

В интерфейсе администратора PT ISIM View Sensor отображается подробная статистическая информация о событиях и инцидентах из области безопасности.

Рисунок 4. Интерфейс PT ISIM View Sensor, вкладка «Статистика»

PT ISIM View Sensor позволяет фильтровать события, просматривать подробную информацию о них, скачивать файлы, связанные с определённым событием, выгружать список событий в формате CSV, выгружать копии трафика в формате PCAP.

Инциденты, отображаемые в PT ISIM View Sensor, делятся на два типа — атаки, т. е. действия в отношении защищаемой сети, и системные инциденты, т. е. важные изменения состояния PT ISIM View Sensor и потенциально опасные действия в отношении продукта.

Рисунок 5. Интерфейс PT ISIM View Sensor, вкладка «Инциденты»

PT ISIM View Sensor позволяет просмотреть подробное описание инцидента, изменить его статус и выгрузить пакет данных по нему.

Рисунок 6. Интерфейс PT ISIM View Sensor, подробная карточка инцидента

На вкладке «Схема» интерфейса PT ISIM View Sensor отображается топология сети АСУ ТП в графическом виде: узлы, группы узлов и соединения.

Рисунок 7. Интерфейс PT ISIM View Sensor, топология сети АСУ ТП

Централизованное управление

Данный сценарий более сложен и трудозатратен. Для внедрения компонентов PT ISIM требуется провести анализ защищённости технологических сегментов и компонентов АСУ ТП, чтобы получить более глубокое понимание технического процесса и выявить характерные для конкретной компании векторы атак. В защищаемые сегменты внедряются сенсоры PT ISIM View Sensor, также организуется общий операционный центр для обработки инцидентов из области безопасности в SIEM-системе. Для управления сенсорами PT ISIM внедряется PT ISIM Overview Center.

Рисунок 8. Централизованное управление сенсорами и инцидентами в безопасности средствами PT ISIM Overview Center в операционном центре

Рисунок 9. PT ISIM Overview Center. Перечень зафиксированных событий на выбранном сенсоре

Распределённая инфраструктура

Данный сценарий предназначен для защиты АСУ ТП с распределённой инфраструктурой. На удалённых сегментах устанавливаются безынтерфейсные автономные сенсоры PT ISIM Sensor, которые подключаются к серверам PT ISIM View Point; серверы управляют сенсорами и получают результаты анализа промышленного трафика. Инциденты централизованно обрабатываются в SOC через PT ISIM Overview Center и SIEM.

Рисунок 10. Распределённая инфраструктура с применением PT ISIM Sensor на удалённых сегментах и PT ISIM View Point в точках консолидации

Выводы

Система PT Industrial Security Incident Manager (PT ISIM) выполняет все возложенные на неё задачи по выявлению атак и фактов эксплуатации уязвимостей, гарантирует бесперебойную работу и непрерывность технологического процесса без потери производительности. Обладая разобранным и нормализованным трафиком АСУ ТП, PT ISIM позволяет проводить как автоматический, так и автоматизированный ручной анализ в целях Threat Hunting.

PT ISIM контролирует действия штатного персонала и подрядчиков как основных пользователей АСУ ТП, выявляя попытки несанкционированного доступа, осуществляет мониторинг технологической сети, определяет её состав и конфигурацию сетевых узлов.

PT ISIM интегрирована с прочими продуктами Positive Technologies. Важный вклад в работу платформы вносит база киберугроз PT ISTI, которая регулярно пополняется и содержит в себе большое число сигнатур и механизмов выявления атак на промышленные сети и технологическое оборудование популярных марок.

Благодаря распределённой системе сенсоров PT ISIM подходит под разные топологии АСУ ТП, позволяя оптимизировать затраты пользователей на приобретение и внедрение PT ISIM.

Достоинства:

• Глубокий разбор, нормализация, хранение трафика АСУ ТП во всём спектре используемых протоколов. 
• Ретроспективный анализ в целях Threat Hunting.
• Постоянное пополнение экспертной базы продукта новыми пакетами экспертизы.
• Отсутствие сторонних влияний на работу АСУ ТП на этапе внедрения и эксплуатации продукта.
• Поддержка разных сценариев использования, локального и централизованного управления платформой.
• Отечественный продукт крупной компании на российском и мировом рынках.
• Соответствие требованиям российских регуляторов в сфере защиты объектов КИИ и интеграции с ГосСОПКА.
• Наличие действующего сертификата соответствия от ФСТЭК России.

Недостатки:

• Нет возможности управлять отдельными детектирующими правилами.
• На дашбордах не хватает информации об обнаруженных и обработанных файловых объектах из трафика.