Компании Positive Technologies и «АйТи БАСТИОН» договорились о технологическом партнерстве в области защиты промышленных сетей. Первым совместным проектом стала интеграция системы глубокого анализа технологического трафика PT Industrial Security Incident Managerс системой контроля доступа привилегированных пользователей «СКДПУ НТ».
Совместное использование продуктов компаний Positive Technologies и «АйТи БАСТИОН» поможет повысить безопасность аккаунтов операторов критически важных информационных систем (это особенно актуально во время массовой удаленной работы), а также аккаунтов тех специалистов, которые управляют технологическим процессом на территориально распределенных промышленных предприятиях.
По данным Positive Technologies, более 200 000 компонентов различного рода инженерных систем (АСУ ТП), доступны в интернете. Удаленный доступ к технологическим сетям применяется для мониторинга, управления, диагностики и наладки. Это удобно и позволяет быстро решить необходимые задачи, сокращая затраты на логистику. В условиях глобальной пандемии удаленный доступ стал еще более востребованным.
Вместе с тем удаленный доступ порождает и серьезные риски для безопасности предприятия: учетные данные для доступа в сеть АСУ ТП могут быть переданы третьим лицам или украдены, а личные компьютеры пользователей, с которых производится удаленный доступ, могут быть заражены вредоносным ПО. Кроме того, удаленный доступ к технологической сети может быть организован (умышленно или случайно) в обход реализованной системы безопасности.
«Отсутствие должного контроля за удаленным доступом в АСУ ТП может привести к серьезным последствиям, — отмечает Роман Краснов, эксперт по информационной безопасности промышленных систем Positive Technologies. — Например, к полной остановке технологического процесса из-за распространения вируса-шифровальщика или целенаправленного саботажа, краже коммерческих секретов, к злонамеренным манипуляциям параметрами технологического процесса в целях кражи доли сырья или выхода продукции. В условиях, когда невозможно контролировать непосредственно компьютеры удаленных пользователей, на помощь приходят системы анализа трафика сетей АСУ ТП и средства контроля действий привилегированных пользователей, подключенных к сети АСУ ТП».
Совместное решение компаний Positive Technologies и «АйТи БАСТИОН» для контроля удаленного доступа в АСУ ТП позволяет:
- организовать для удаленных пользователей единую точку входа в сеть АСУ ТП — шлюз «СКДПУ НТ»;
- выявлять нелегитимные подключения, минующие шлюз «СКДПУ НТ», и вовремя оповещать о них специалиста по информационной безопасности;
- журналировать взаимодействие удаленных пользователей с оборудованием АСУ ТП (изменение проектов и конфигураций ПЛК, изменение режимов работы ПЛК и др.);
- детектировать следы проникновения вредоносного ПО в сеть АСУ ТП через удаленные соединения;
- выявлять следы компрометации сети АСУ ТП через удаленные соединения;
- оценивать активность подключенных пользователей, обнаруживать аномалии в их действиях и сигнализировать о нарушениях политик безопасности;
- хранить полную копию трафика пользовательских сессий для аудита и расследования.
«Удаленный доступ к сети АСУ ТП пользователи получают только через центральный шлюз или несколько шлюзов „СКДПУ НТ“ в распределенной ИТ-инфраструктуре, — объясняет Дмитрий Михеев, технический директор компании „АйТи БАСТИОН“. — В свою очередь PT ISIM предоставляет шлюзу „СКДПУ НТ“ данные обо всех зарегистрированных соединениях внутри сети. Это позволяет на уровне шлюза „СКДПУ НТ“ выявить те соединения, что не контролируются шлюзом, и оповестить о них инженера ИБ. Пользователями могут выступать любые специалисты (сотрудники службы ИБ, операторы и инженеры АСУ ТП и др.), удаленный доступ которых требуется контролировать».
Оба продукта внесены в единый реестр российского ПО, а корректность их совместной работы проверена специалистами компаний Positive Technologies и «АйТи БАСТИОН» в ходе испытаний.
