Система киберзащиты АСУ ТП от InfoWatch

12 ноября прошёл открытый онлайн вебинар «InfoWatch ARMA. Отечественная система для эшелонированной защиты АСУ ТП». Представлена новая система для защиты от кибератак промышленных предприятий и объектов КИИ.

Система состоит из трёх модулей. Первый – обновлённая версия выпущенного в 2019 году межсетевого экрана нового поколения Industrial Firewall, обеспечивающая информационную защиту предприятия на сетевом уровне: мониторинг сетевого сегмента, обнаружение вторжения и межсетевое экранирование.

Вторые два модуля являются новинками. Это Industrial Endpoint - система защиты рабочих станций АСУ ТП и серверов SCADA. И единый центр управления системой ИБ Management Console.

Модули интегрированы между собой и могут эксплуатироваться и как самостоятельные продукты, и в комплексе. Разработчиками заявлены следующие характеристики новой трехмодульной системы.

• Эшелонированное построение информационной защиты, позволяющее локализовать зону воздействия атаки и остановить ее дальнейшее распространение
• Выполнение требований ФЗ-187 «О безопасности КИИ» и Приказов ФСТЭК № 31 и 239 на уровне 90%.
• Работа внедрённой системы кибербезопасности без внесения нарушений непрерывного функционирования защищаемых производственных систем и процессов.
• Интеграция системы и каждого её модуля в ИТ-инфраструктуру предприятия с помощью общих протоколов взаимодействия. Предусмотрена возможность отправлять события в SIEM-системы и на электронную почту, а также интегрироваться через API с рабочими станциями операторов на объектах.
• Решение проблемы кадрового дефицита и высокой нагрузки на ИБ-специалистов в промышленности за счёт высокого уровня автоматизации.
• Снижение стоимости поддержки трёх модулей от единого вендора.

 
Межсетевой экран Industrial Firewall включён в единый реестр российского ПО. В настоящее время проходит сертификацию по 4-му классу тип «Д», заключение от лаборатории ФСТЭК ожидается в декабре. Предназначен для решения следующих задач:

• Мониторинг и обнаружение вторжений в сетевой сегмент предприятия по 12 протоколам и глубокая фильтрация по полям 8 из этих 12 протоколов (возможна поддержка дополнительных протоколов по запросу)
• Межсетевое экранирование промышленных объектов
• Блокирование угрозы и её источника в автоматическом режиме.
• Безопасное удалённое подключение с помощью VPN.

База правил обнаружения вторжений для АСУ ТП обновляется ежедневно и может быть дополнена собственными правилами пользователя. Предусмотрена возможность отделения экраном АСУ ТП и корпоративного сегмента, возможность экранного разделения различных АСУ ТП или промышленных объектов разного уровня защищённости, возможность разделения разных сетевых сегментов АСУ ТП, контроль каналов техподдержки, экранирование удалённого доступа и др. Межсетевой экран обнаруживает и блокирует вредоносное ПО и попытки эксплуатации уязвимостей ПЛК. Детальный разбор трафика до уровня команд и их значений делает возможной настройку автоматической блокировки вредоносных пакетов в трафике или информационных потоков от источника угрозы.
 
Модуль Industrial Endpoint для защиты рабочих станций и серверов АСУ ТП выполняет следующие функции:

• Контроль целостности файлов рабочих станций и серверов АСУ ТП
• Ограничение подключений съёмных носителей
• Блокировка не доверенного ПО

В настоящее время может работать с версиями Windows начиная с седьмой, в следующем релизе защита будет распространена также на Windows XP.

 
Задачи, решаемые центром управления СЗИ Management Console

• Сбор событий ИБ с обоих модулей, их автоматическая коррелляция в инциденты и предоставление инцидентов в SOC- и SIEM-системы. Помимо имеющихся преднастроек правила коррелляции могут также создаваться уполномоченными пользователями.
• Автоматическое блокирование источников угрозы с одновременным оповещением специалистов
• Автоматическое или автоматизированное реагирование на инциденты, снимающее необходимость непрерывного мониторинга СЗИ в ручном режиме. Например, автоматическая блокировка источника угрозы или автоматическое направление прямых инструкций диспетчеру АСУ ТП или ИБ-специалисту. Правила реагирования на инцидент также могут создаваться пользователем.

Центр управления оснащён средствами для визуализации сети информационных активов предприятия и для отображения событий, значимых с точки зрения ИБ. Имеется также конструктор правил реагирования, позволяющий настраивать сценарии реагирования под специфику конкретного предприятия и его АСУ ТП, снижая тем самым вероятность ложных срабатываний.

Остались вопросы? Да

Во-первых, хотелось бы получить от создателей системы развёрнутое сравнение в цифрах по функциональным и стоимостным параметрам с аналогичными системами зарубежных и отечественных конкурентов.

Во-вторых, многие будущие пользователи, вероятно, ждут дополнения системы блоком оповещений о возможных или готовящихся кибератаках на основании уже произошедших инцидентов с АСУ ТП, а также данных киберразведки по результатам мониторинга даркнета и других прямых и косвенных источников.