12 ноября прошёл открытый онлайн вебинар «InfoWatch ARMA. Отечественная система для эшелонированной защиты АСУ ТП». Представлена новая система для защиты от кибератак промышленных предприятий и объектов КИИ.

Система состоит из трёх модулей. Первый – обновлённая версия выпущенного в 2019 году межсетевого экрана нового поколения Industrial Firewall, обеспечивающая информационную защиту предприятия на сетевом уровне: мониторинг сетевого сегмента, обнаружение вторжения и межсетевое экранирование.

Вторые два модуля являются новинками. Это Industrial Endpoint - система защиты рабочих станций АСУ ТП и серверов SCADA. И единый центр управления системой ИБ Management Console.

Модули интегрированы между собой и могут эксплуатироваться и как самостоятельные продукты, и в комплексе. Разработчиками заявлены следующие характеристики новой трехмодульной системы.

  • Эшелонированное построение информационной защиты, позволяющее локализовать зону воздействия атаки и остановить ее дальнейшее распространение
  • Выполнение требований ФЗ-187 «О безопасности КИИ» и Приказов ФСТЭК № 31 и 239 на уровне 90%.
  • Работа внедрённой системы кибербезопасности без внесения нарушений непрерывного функционирования защищаемых производственных систем и процессов.
  • Интеграция системы и каждого её модуля в ИТ-инфраструктуру предприятия с помощью общих протоколов взаимодействия. Предусмотрена возможность отправлять события в SIEM-системы и на электронную почту, а также интегрироваться через API с рабочими станциями операторов на объектах.
  • Решение проблемы кадрового дефицита и высокой нагрузки на ИБ-специалистов в промышленности за счёт высокого уровня автоматизации.
  • Снижение стоимости поддержки трёх модулей от единого вендора.

 
Межсетевой экран Industrial Firewall включён в единый реестр российского ПО. В настоящее время проходит сертификацию по 4-му классу тип «Д», заключение от лаборатории ФСТЭК ожидается в декабре. Предназначен для решения следующих задач:

  • Мониторинг и обнаружение вторжений в сетевой сегмент предприятия по 12 протоколам и глубокая фильтрация по полям 8 из этих 12 протоколов (возможна поддержка дополнительных протоколов по запросу)
  • Межсетевое экранирование промышленных объектов
  • Блокирование угрозы и её источника в автоматическом режиме.
  • Безопасное удалённое подключение с помощью VPN.

База правил обнаружения вторжений для АСУ ТП обновляется ежедневно и может быть дополнена собственными правилами пользователя. Предусмотрена возможность отделения экраном АСУ ТП и корпоративного сегмента, возможность экранного разделения различных АСУ ТП или промышленных объектов разного уровня защищённости, возможность разделения разных сетевых сегментов АСУ ТП, контроль каналов техподдержки, экранирование удалённого доступа и др. Межсетевой экран обнаруживает и блокирует вредоносное ПО и попытки эксплуатации уязвимостей ПЛК. Детальный разбор трафика до уровня команд и их значений делает возможной настройку автоматической блокировки вредоносных пакетов в трафике или информационных потоков от источника угрозы.
 
Модуль Industrial Endpoint для защиты рабочих станций и серверов АСУ ТП выполняет следующие функции:

  • Контроль целостности файлов рабочих станций и серверов АСУ ТП
  • Ограничение подключений съёмных носителей
  • Блокировка не доверенного ПО

В настоящее время может работать с версиями Windows начиная с седьмой, в следующем релизе защита будет распространена также на Windows XP.


 
Задачи, решаемые центром управления СЗИ Management Console

  • Сбор событий ИБ с обоих модулей, их автоматическая коррелляция в инциденты и предоставление инцидентов в SOC- и SIEM-системы. Помимо имеющихся преднастроек правила коррелляции могут также создаваться уполномоченными пользователями.
  • Автоматическое блокирование источников угрозы с одновременным оповещением специалистов
  • Автоматическое или автоматизированное реагирование на инциденты, снимающее необходимость непрерывного мониторинга СЗИ в ручном режиме. Например, автоматическая блокировка источника угрозы или автоматическое направление прямых инструкций диспетчеру АСУ ТП или ИБ-специалисту. Правила реагирования на инцидент также могут создаваться пользователем.

Центр управления оснащён средствами для визуализации сети информационных активов предприятия и для отображения событий, значимых с точки зрения ИБ. Имеется также конструктор правил реагирования, позволяющий настраивать сценарии реагирования под специфику конкретного предприятия и его АСУ ТП, снижая тем самым вероятность ложных срабатываний.

 

Остались вопросы? Да

Во-первых, хотелось бы получить от создателей системы развёрнутое сравнение в цифрах по функциональным и стоимостным параметрам с аналогичными системами зарубежных и отечественных конкурентов.

Во-вторых, многие будущие пользователи, вероятно, ждут дополнения системы блоком оповещений о возможных или готовящихся кибератаках на основании уже произошедших инцидентов с АСУ ТП, а также данных киберразведки по результатам мониторинга даркнета и других прямых и косвенных источников.

17 ноября, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.03.2024
Банки будут строже следить за криптотранзакциями, связанными с дропперами
01.03.2024
Холода прошли, но голос берегите — скамеры усиленно собирают слепки
01.03.2024
Лишение банковской лицензии — это ещё не всё
01.03.2024
«Они подобны смартфонам на колёсах». В США проверят «умные» авто из Китая
01.03.2024
Набиуллина: Дважды «красные» клиенты будут исключаться из реестра
01.03.2024
Банк России усовершенствует платформу цифрового рубля
01.03.2024
Организации здравоохранения США стали жертвами массовых кибератак
29.02.2024
«ИнфоТеКС» — о проблемах стандартизации ИБ
29.02.2024
Почему нормативные акты выполняются формально
29.02.2024
Почему затянулся переход на российские решения

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных