14 Сентября 2021
Как защитить автоматизированные системы управления
Обзор PT ISIM
Содержание
Запросить триальные лицензии вы можете заполнив форму
Получить триальную лицензию
Наш специалист свяжется с вами в ближайшее время
Как защитить автоматизированные системы управления?
АСУ ТП - автоматизированные системы управления технологическими процессами. На сегодняшний день АСУ ТП является одной из самых важных составляющих безопасности любой промышленной, производственной или иной деятельности человека.
В большинстве случаев оператор осуществляет все процессы, происходящие на производстве (управление оборудованием, контроль технологических процессов и т.д.), используя различные приборы и системы, работающие на базе электроники.
Автоматизированные системы управления для предприятий различных отраслей промышленности — нефтегазовой, металлургической, горнодобывающей, строительной — это, например, АСУ ТП, ЕАСУ, АСУ ДЭС, АСУ ЦТП, автоматизированные системы управления и безопасности, комплексные системы контроля и диагностики, системы управления электроснабжением, системы диспетчерского управления и сбора данных, системы автоматизации и диспетчеризации и др. Промышленная автоматизация — задача серьезная.
В большинстве случаев оператор осуществляет все процессы, происходящие на производстве (управление оборудованием, контроль технологических процессов и т.д.), используя различные приборы и системы, работающие на базе электроники.
Автоматизированные системы управления для предприятий различных отраслей промышленности — нефтегазовой, металлургической, горнодобывающей, строительной — это, например, АСУ ТП, ЕАСУ, АСУ ДЭС, АСУ ЦТП, автоматизированные системы управления и безопасности, комплексные системы контроля и диагностики, системы управления электроснабжением, системы диспетчерского управления и сбора данных, системы автоматизации и диспетчеризации и др. Промышленная автоматизация — задача серьезная.
Чем сложнее структура продукта, тем больше уязвимостей есть в этой системе.
Промышленная защищенность
Современный мир в значительной степени зависит от средств автоматизации производственных процессов АСУ ТП (ICS). Атомные и гидроэлектростанции, нефте- и газопроводы, национальные сети распределения электроэнергии, транспортные системы национального и мирового уровня функционируют на основе компьютерных технологий. И от защищенности систем управления зависит не только прибыль компаний, но и национальная безопасность.
Интерес к промышленным системам защищенности возник не так давно, после серии инцидентов со специализированными компьютерными вирусами, такими как Flame и Stuxnet. Тогда выяснилось, что спецслужбы иностранных государств, конкурирующие корпорации или кибертеррористы могут использовать в своих целях слабую защищенность систем АСУ ТП и их компонентов (SCADA/PLC).
За последние годы кибератаки на промышленные предприятия вышли на новый уровень.
Произошло несколько крупных инцидентов:
● Атаки на энергетические объекты Венесуэлы: Министр связи и информации Венесуэлы Хорхе Родригес сообщил, каким образом была атакована энергетическая система страны. По его словам, кибератаке подверглась автоматизированная система управления гидроэлектростанции «Эль-Гури».
● Атака шифровальщика на компанию City Power: 25 июля 2019 года от атаки пока неназванного шифровальщика пострадала компания City Power, являющаяся одним из крупнейших поставщиков электроэнергии для южноафриканского мегаполиса Йоханнесбурга. В итоге жители крупнейшего города в Южной Африке массово жаловались на отключение электроэнергии.
Интерес к промышленным системам защищенности возник не так давно, после серии инцидентов со специализированными компьютерными вирусами, такими как Flame и Stuxnet. Тогда выяснилось, что спецслужбы иностранных государств, конкурирующие корпорации или кибертеррористы могут использовать в своих целях слабую защищенность систем АСУ ТП и их компонентов (SCADA/PLC).
За последние годы кибератаки на промышленные предприятия вышли на новый уровень.
Произошло несколько крупных инцидентов:
● Атаки на энергетические объекты Венесуэлы: Министр связи и информации Венесуэлы Хорхе Родригес сообщил, каким образом была атакована энергетическая система страны. По его словам, кибератаке подверглась автоматизированная система управления гидроэлектростанции «Эль-Гури».
● Атака шифровальщика на компанию City Power: 25 июля 2019 года от атаки пока неназванного шифровальщика пострадала компания City Power, являющаяся одним из крупнейших поставщиков электроэнергии для южноафриканского мегаполиса Йоханнесбурга. В итоге жители крупнейшего города в Южной Африке массово жаловались на отключение электроэнергии.
Защита АСУ ТП: Теория
Законодательство
Федеральный закон от 26 июля 2017 г. №187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
● непрерывность и комплексность обеспечения безопасности, приоритет предотвращения компьютерных атак
● плановые и внеплановые проверки объектов критической информационной инфраструктуры
● категорирование этих объектов в зависимости от их социальной, политической, экономической, экологической, значимости и важности для обороны, безопасности государства и правопорядка
Глава 28 УК РФ, ст. 274.1: ответственность до 10 лет лишения свободы за неправомерное воздействие на критическую информационную инфраструктуру
● нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре
● создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для указанной цели
● неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной Инфраструктуре
Почему необходима защита информации в АСУ ТП
Ландшафт угроз:
● 100% — словарные пароли и устаревшее ПО с известными уязвимостями
были выявлены в сетях каждой промышленной компании
● 67% векторов атак с целью проникновения в сеть АСУ ТП характеризуется низким уровнем сложности
● в 64% случаев недостатки и ошибки в фильтрации и сегментации сетей АСУ ТП
были внесены администраторами предприятий
● 61% выявленных уязвимостей в компонентах АСУ ТП относятся к критической и высокой степени риска
● 175 тысяч компонентов АСУ ТП доступно онлайн в Интернете
● 73% промышленных компаний недостаточно защищены от внешних кибератак
● 82% промышленных организаций не готовы противостоять внутреннему нарушителю
Защита АСУ ТП: Практический подход
Для защиты информации (АСУ ТП) требуется утвердить комплекс организационно-практических мер, направленных на предотвращение раскрытия, копирования, уничтожения, шпионажа, несанкционированного использования, искажения и других отрицательных вмешательств в сеть АСУ ТП.
Для улучшения мероприятий, направленных на обеспечение безопасности сети АСУ ТП, лидеры рынка в сфере информационной безопасности предлагают свои решения. Одним из таких решений является продукт PT Industrial Security Incident Manager (PT ISIM) от компании Positive Technologies.
Федеральный закон от 26 июля 2017 г. №187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
● непрерывность и комплексность обеспечения безопасности, приоритет предотвращения компьютерных атак
● плановые и внеплановые проверки объектов критической информационной инфраструктуры
● категорирование этих объектов в зависимости от их социальной, политической, экономической, экологической, значимости и важности для обороны, безопасности государства и правопорядка
Глава 28 УК РФ, ст. 274.1: ответственность до 10 лет лишения свободы за неправомерное воздействие на критическую информационную инфраструктуру
● нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре
● создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для указанной цели
● неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной Инфраструктуре
Почему необходима защита информации в АСУ ТП
Ландшафт угроз:
● 100% — словарные пароли и устаревшее ПО с известными уязвимостями
были выявлены в сетях каждой промышленной компании
● 67% векторов атак с целью проникновения в сеть АСУ ТП характеризуется низким уровнем сложности
● в 64% случаев недостатки и ошибки в фильтрации и сегментации сетей АСУ ТП
были внесены администраторами предприятий
● 61% выявленных уязвимостей в компонентах АСУ ТП относятся к критической и высокой степени риска
● 175 тысяч компонентов АСУ ТП доступно онлайн в Интернете
● 73% промышленных компаний недостаточно защищены от внешних кибератак
● 82% промышленных организаций не готовы противостоять внутреннему нарушителю
Защита АСУ ТП: Практический подход
Для защиты информации (АСУ ТП) требуется утвердить комплекс организационно-практических мер, направленных на предотвращение раскрытия, копирования, уничтожения, шпионажа, несанкционированного использования, искажения и других отрицательных вмешательств в сеть АСУ ТП.
Для улучшения мероприятий, направленных на обеспечение безопасности сети АСУ ТП, лидеры рынка в сфере информационной безопасности предлагают свои решения. Одним из таких решений является продукт PT Industrial Security Incident Manager (PT ISIM) от компании Positive Technologies.
Информация о продукте
PT ISIM — программно-аппаратный комплекс глубокого анализа технологического трафика. Обеспечивает поиск следов нарушений информационной безопасности в сетях АСУ ТП, помогает на ранней стадии выявлять кибератаки, активность вредоносного ПО, неавторизованные действия персонала (в том числе злоумышленные) и обеспечивает соответствие требованиям законодательства (187-ФЗ, приказы ФСТЭК № 31, 239, ГосСОПКА).
Общие сведения
Продукт предоставляет необходимые возможности по контролю технологических аспектов функционирования АСУ ТП с точки зрения информационной безопасности. Ключевые возможности продукта:
● Быстрое внедрение и повышение защищенности. Архитектура пассивного мониторинга и режим автоматического обучения PT ISIM позволяют в кратчайшие сроки подключить систему к действующей сети АСУ ТП и получить первые результаты внедрения.
● Обнаружение нарушений политик ИБ. Система позволяет вовремя выявлять нарушения политик информационной безопасности и установленных предприятием технологических регламентов.
● Легкая интеграция в существующие процессы ИБ.
● Инвентаризация и контроль целостности сети АСУ ТП. PT ISIM автоматически инвентаризирует элементы сети, включая компоненты промышленной системы управления, и непрерывно контролирует целостность технологической сети.
● Визуализация инцидентов. За счет удобных средств графического отображения элементов сетевой топологии и технологического процесса (мнемосхем) можно визуализировать инциденты информационной безопасности, в том числе на уровне бизнес-логики.
● Учет специфики предприятия. С помощью PT ISIM можно контролировать угрозы и векторы атак, уникальные для промышленного объекта. Для настройки механизма контроля этих векторов используются данные, получаемые в результате анализа защищенности АСУ ТП предприятия.
Функциональные возможности PT ISIM:
● Разбор и нормализация всего трафика АСУ ТП
● Автоматизированного выявления угроз и аномалий
● Полные метаданные и инструменты для анализа угроз в трафике
● Обеспечение доказательной базы при возникновении инцидентов
● Визуализация нарушений тех. процесса на мнемосхеме
● Хранит копию трафика сети АСУ ТП для расследования инцидентов
● Предоставляет инструменты анализа сетевых событий
● Поддержка множества сетевых протоколов
При подготовке к выбору места установки PT ISIM View Sensor в инфраструктуру заказчика необходимо учитывать все ее особенности. Например, есть ли возможность установить программно-аппаратный комплекс или нужно использовать образ Virtual Appliance для установки на гипервизор Заказчика, возможно ли настроить зеркалирование портов на нужных коммутаторах или необходимы дополнительные устройства для ответвления трафика.
Такие устройства называются ТАР — Test Access Point или Network TAP. Ответвитель трафика подключается в разрыв канала связи или может принять на себя трафик с нескольких SPAN портов и затем выдать его копию на несколько своих портов для подключения на анализирующий интерфейс PT ISIM Sensor. Переключающие SPAN-ответвители трафика (матричные переключатели) позволяют сделать выбор между различными потоками информации, передающейся по сети, и направить только нужные виды данных на сенсор. Происходит значительная экономия времени, так как есть возможность анализировать только определенный сегмент трафика, а не весь его объем. Это для случая, когда АСУ ТП сеть не сегментирована, и часть ее проходит через корпоративный маршрутизатор.
Общие сведения
Продукт предоставляет необходимые возможности по контролю технологических аспектов функционирования АСУ ТП с точки зрения информационной безопасности. Ключевые возможности продукта:
● Быстрое внедрение и повышение защищенности. Архитектура пассивного мониторинга и режим автоматического обучения PT ISIM позволяют в кратчайшие сроки подключить систему к действующей сети АСУ ТП и получить первые результаты внедрения.
● Обнаружение нарушений политик ИБ. Система позволяет вовремя выявлять нарушения политик информационной безопасности и установленных предприятием технологических регламентов.
● Легкая интеграция в существующие процессы ИБ.
● Инвентаризация и контроль целостности сети АСУ ТП. PT ISIM автоматически инвентаризирует элементы сети, включая компоненты промышленной системы управления, и непрерывно контролирует целостность технологической сети.
● Визуализация инцидентов. За счет удобных средств графического отображения элементов сетевой топологии и технологического процесса (мнемосхем) можно визуализировать инциденты информационной безопасности, в том числе на уровне бизнес-логики.
● Учет специфики предприятия. С помощью PT ISIM можно контролировать угрозы и векторы атак, уникальные для промышленного объекта. Для настройки механизма контроля этих векторов используются данные, получаемые в результате анализа защищенности АСУ ТП предприятия.
Функциональные возможности PT ISIM:
● Разбор и нормализация всего трафика АСУ ТП
● Автоматизированного выявления угроз и аномалий
● Полные метаданные и инструменты для анализа угроз в трафике
● Обеспечение доказательной базы при возникновении инцидентов
● Визуализация нарушений тех. процесса на мнемосхеме
● Хранит копию трафика сети АСУ ТП для расследования инцидентов
● Предоставляет инструменты анализа сетевых событий
● Поддержка множества сетевых протоколов
При подготовке к выбору места установки PT ISIM View Sensor в инфраструктуру заказчика необходимо учитывать все ее особенности. Например, есть ли возможность установить программно-аппаратный комплекс или нужно использовать образ Virtual Appliance для установки на гипервизор Заказчика, возможно ли настроить зеркалирование портов на нужных коммутаторах или необходимы дополнительные устройства для ответвления трафика.
Такие устройства называются ТАР — Test Access Point или Network TAP. Ответвитель трафика подключается в разрыв канала связи или может принять на себя трафик с нескольких SPAN портов и затем выдать его копию на несколько своих портов для подключения на анализирующий интерфейс PT ISIM Sensor. Переключающие SPAN-ответвители трафика (матричные переключатели) позволяют сделать выбор между различными потоками информации, передающейся по сети, и направить только нужные виды данных на сенсор. Происходит значительная экономия времени, так как есть возможность анализировать только определенный сегмент трафика, а не весь его объем. Это для случая, когда АСУ ТП сеть не сегментирована, и часть ее проходит через корпоративный маршрутизатор.
Пример схемы сети
Принцип работы PT ISIM View Sensor
Алгоритм обработки трафика
1. Сбор — захват трафика со SPAN-порта коммутатора и анализ сообщений общесетевых и промышленных протоколов с целью выявления информации о событиях информационной безопасности. Собранная информация передается на нормализацию, а исходная копия трафика сохраняется на жестком диске сервера в формате PCAP.
2. Нормализация — извлечение данных из атрибутов сообщений, которые могут иметь разный формат, и приведение их к единому формату нормализованных сообщений. Формат нормализованного сообщения позволяет однозначно определить основные параметры события, отнести его к определенному узлу и устройству, а также провести дальнейший анализ события на основе значений отдельных полей.
3. Фильтрация — удаление сообщений, не представляющих интереса с точки зрения информационной безопасности.
4. Корреляция — проверка потока событий на соответствие определенному правилу. Когда правило срабатывает, регистрируется корреляционное событие.
5. Моделирование анализируемой системы — составление актуальной карты вычислительной сети, отражающей ее реальный состав и взаимодействие между узлами.
6. Заведение инцидентов. На основе правил, учитывающих текущие данные модели и корреляционные события, PT ISIM netView Sensor принимает решение о том, является ли событие инцидентом. Итогом обработки трафика является заведение записей о событиях и инцидентах в PT ISIM netView Sensor.
Поддерживаемые протоколы
Компоненты сбора и анализа трафика поддерживают широкий спектр протоколов как общесетевых, так и специфичных для промышленных сетей. В зависимости от уровня обработки протоколов их можно разделить на два типа:
● Разбираемые протоколы
Такие протоколы анализируются достаточно глубоко, чтобы получить из трафика атрибуты сообщений и их значения и использовать их в процессе корреляции. Каждому такому протоколу соответствуют, как правило, несколько типов инцидентов и соответствующих специфичных правил обнаружения. В число разбираемых входят следующие протоколы: IEC 60870-5-104, IEC 61850 MMS, BACnet/IP, IEC 61850 GOOSE, Modbus TCP, PROFINET DCP, Siemens S7 (STEP7), CIP (Ethernet/, IP), SPA-Bus, OPC DA, FTP, Telnet, DHCP, ARP, TFTP, DNS, ICMP, HTTP, SNMP, LLMNR, NTP, SMB, SSH, DeltaV Commisioner, DeltaV Firmware Upgrade, Vnet/IP, PRP, R200 («ПТК Квинт»), Diag GW («ПТК Квинт»);
● Распознаваемые протоколы
Фиксируется каждый случай использования в сети таких протоколов в виде соединений на карте сети и в интерфейсе представления событий. Для части таких протоколов (обычно прикладного уровня) в компоненте сбора и анализа трафика существуют правила обнаружения неразрешенных соединений. Ключевое отличие поддержки таких протоколов состоит в том, что для них отсутствуют специфичные или уникальные правила выявления инцидентов прикладного уровня. Использование в сети таких протоколов фиксируется только в виде соединений на карте сети и интерфейсе представления событий.
В число распознаваемых входят следующие протоколы: BGP, Bitcoin, BitTorrent, CDP, CLDAP, CoAP, CPHA, CUPS, Diameter, DICOM, DNP3, DTP, EGD, EIGRP, Fieldbus, FTE, GLBP, GVRP, HARTIP, HSR, HSRP, IGMP, IGRP, IMAP, IPA, IPP, IRC, JSON-RPC, Kerberos, LDAP, LLDP, MQTT, NFS, OSPF, POP3, PPP, PTP, RADIUS, RAdmin, RDP, RFB, RIP, RTSP, S7CommPlus, SMTP, SOCKS5, SSDP, STP, syslog, TNS, VRRP, VTP, WLCCP, X11, Zabbix.
Версии компонентов сбора и анализа трафика
Существует две версии компонентов сбора и анализа трафика:
● netView Sensor — обычная версия
● proView Sensor — расширенная версия
1. Сбор — захват трафика со SPAN-порта коммутатора и анализ сообщений общесетевых и промышленных протоколов с целью выявления информации о событиях информационной безопасности. Собранная информация передается на нормализацию, а исходная копия трафика сохраняется на жестком диске сервера в формате PCAP.
2. Нормализация — извлечение данных из атрибутов сообщений, которые могут иметь разный формат, и приведение их к единому формату нормализованных сообщений. Формат нормализованного сообщения позволяет однозначно определить основные параметры события, отнести его к определенному узлу и устройству, а также провести дальнейший анализ события на основе значений отдельных полей.
3. Фильтрация — удаление сообщений, не представляющих интереса с точки зрения информационной безопасности.
4. Корреляция — проверка потока событий на соответствие определенному правилу. Когда правило срабатывает, регистрируется корреляционное событие.
5. Моделирование анализируемой системы — составление актуальной карты вычислительной сети, отражающей ее реальный состав и взаимодействие между узлами.
6. Заведение инцидентов. На основе правил, учитывающих текущие данные модели и корреляционные события, PT ISIM netView Sensor принимает решение о том, является ли событие инцидентом. Итогом обработки трафика является заведение записей о событиях и инцидентах в PT ISIM netView Sensor.
Поддерживаемые протоколы
Компоненты сбора и анализа трафика поддерживают широкий спектр протоколов как общесетевых, так и специфичных для промышленных сетей. В зависимости от уровня обработки протоколов их можно разделить на два типа:
● Разбираемые протоколы
Такие протоколы анализируются достаточно глубоко, чтобы получить из трафика атрибуты сообщений и их значения и использовать их в процессе корреляции. Каждому такому протоколу соответствуют, как правило, несколько типов инцидентов и соответствующих специфичных правил обнаружения. В число разбираемых входят следующие протоколы: IEC 60870-5-104, IEC 61850 MMS, BACnet/IP, IEC 61850 GOOSE, Modbus TCP, PROFINET DCP, Siemens S7 (STEP7), CIP (Ethernet/, IP), SPA-Bus, OPC DA, FTP, Telnet, DHCP, ARP, TFTP, DNS, ICMP, HTTP, SNMP, LLMNR, NTP, SMB, SSH, DeltaV Commisioner, DeltaV Firmware Upgrade, Vnet/IP, PRP, R200 («ПТК Квинт»), Diag GW («ПТК Квинт»);
● Распознаваемые протоколы
Фиксируется каждый случай использования в сети таких протоколов в виде соединений на карте сети и в интерфейсе представления событий. Для части таких протоколов (обычно прикладного уровня) в компоненте сбора и анализа трафика существуют правила обнаружения неразрешенных соединений. Ключевое отличие поддержки таких протоколов состоит в том, что для них отсутствуют специфичные или уникальные правила выявления инцидентов прикладного уровня. Использование в сети таких протоколов фиксируется только в виде соединений на карте сети и интерфейсе представления событий.
В число распознаваемых входят следующие протоколы: BGP, Bitcoin, BitTorrent, CDP, CLDAP, CoAP, CPHA, CUPS, Diameter, DICOM, DNP3, DTP, EGD, EIGRP, Fieldbus, FTE, GLBP, GVRP, HARTIP, HSR, HSRP, IGMP, IGRP, IMAP, IPA, IPP, IRC, JSON-RPC, Kerberos, LDAP, LLDP, MQTT, NFS, OSPF, POP3, PPP, PTP, RADIUS, RAdmin, RDP, RFB, RIP, RTSP, S7CommPlus, SMTP, SOCKS5, SSDP, STP, syslog, TNS, VRRP, VTP, WLCCP, X11, Zabbix.
Версии компонентов сбора и анализа трафика
Существует две версии компонентов сбора и анализа трафика:
● netView Sensor — обычная версия
● proView Sensor — расширенная версия
6. Начало работы
1. Вход в PT ISIM View Sensor
Чтобы войти в PT ISIM View Sensor:
1. В адресной строке браузера введите адрес PT ISIM View Sensor.
2. На открывшейся странице входа введите логин и пароль.
3. Нажмите кнопку «Войти».
Чтобы войти в PT ISIM View Sensor:
1. В адресной строке браузера введите адрес PT ISIM View Sensor.
2. На открывшейся странице входа введите логин и пароль.
3. Нажмите кнопку «Войти».
Страница аутентификации
7. Принять лицензионное соглашение
Лицензионное соглашение
8. Веб-интерфейс
Основные задачи по работе с PT ISIM View Sensor вы можете выполнить в веб-интерфейсе продукта. После входа в веб-интерфейс по умолчанию открывается страница «Статистика». Общими для всех страниц являются главное меню и панель инструментов.
Веб-интерфейс
Главное меню служит для переключения между основными страницами веб-интерфейса:
— «Статистика» — содержит графики, отображающие статистику событий, узлов, соединений, протоколов и инцидентов.
— «Узлы» — позволяет просматривать обнаруженные в сети узлы в одном из двух режимов: в виде таблицы или графической схемы.
— «Инциденты» — отображает инциденты, позволяет фильтровать их и изменять статус. Для просмотра инцидентов доступны несколько режимов.
— «События» — отображает события и временную шкалу. На временной шкале синим цветом отмечены события, красным — атаки.
8.1 Смена Языка
— «Статистика» — содержит графики, отображающие статистику событий, узлов, соединений, протоколов и инцидентов.
— «Узлы» — позволяет просматривать обнаруженные в сети узлы в одном из двух режимов: в виде таблицы или графической схемы.
— «Инциденты» — отображает инциденты, позволяет фильтровать их и изменять статус. Для просмотра инцидентов доступны несколько режимов.
— «События» — отображает события и временную шкалу. На временной шкале синим цветом отмечены события, красным — атаки.
8.1 Смена Языка
8.2 Лицензия
Для работы PT ISIM View Sensor необходимо активировать лицензию продукта. Лицензирование PT ISIM View Sensor основано на программных ключах, генерируемых с помощью сервиса Sentinel EMS. В PT ISIM View Sensor предусмотрено два типа лицензий:
— Платная для полноценного использования PT ISIM View Sensor. Срок действия платной лицензии устанавливается поставщиком продукта в зависимости от условий поставки.
— Пробная, предназначенная для демонстрационных целей и ограниченная сроком действия на 90 дней.
После истечения срока действия лицензии основные функции PT ISIM View Sensor (разбор трафика, заведение событий и инцидентов) остаются доступными, но невозможным становится обновление продукта и правил.
Внимание! Крайне не рекомендуется переводить системное время назад, так как в этом случае механизм лицензирования может заблокировать основные функции продукта.
Для работы PT ISIM View Sensor необходимо активировать лицензию продукта. Лицензирование PT ISIM View Sensor основано на программных ключах, генерируемых с помощью сервиса Sentinel EMS. В PT ISIM View Sensor предусмотрено два типа лицензий:
— Платная для полноценного использования PT ISIM View Sensor. Срок действия платной лицензии устанавливается поставщиком продукта в зависимости от условий поставки.
— Пробная, предназначенная для демонстрационных целей и ограниченная сроком действия на 90 дней.
После истечения срока действия лицензии основные функции PT ISIM View Sensor (разбор трафика, заведение событий и инцидентов) остаются доступными, но невозможным становится обновление продукта и правил.
Внимание! Крайне не рекомендуется переводить системное время назад, так как в этом случае механизм лицензирования может заблокировать основные функции продукта.
Лицензия
8.3 Статистика
Страница «Статистика» отображается при входе в веб-интерфейс PT ISIM View Sensor и состоит из следующих элементов:
— временной шкалы с графиком количества событий за выбранный период;
— графиков, показывающих количество активных узлов (на конец периода) и их распределение по статусу авторизации и типу (на конец периода);
— графика, показывающего количество разрешенных и неразрешенных соединений на конец выбранного периода;
— графика, показывающего количество используемых протоколов за выбранный период;
— временной шкалы с графиком количества инцидентов за выбранный период (красным цветом обозначается период, в котором есть хотя бы одна атака; желтым — тот, в котором нет атак, но есть хотя бы одно предупреждение; синим — тот, в котором есть только системные инциденты);
— графиков, показывающих распределение инцидентов по типам и статусам (на конец периода).
Страница «Статистика» отображается при входе в веб-интерфейс PT ISIM View Sensor и состоит из следующих элементов:
— временной шкалы с графиком количества событий за выбранный период;
— графиков, показывающих количество активных узлов (на конец периода) и их распределение по статусу авторизации и типу (на конец периода);
— графика, показывающего количество разрешенных и неразрешенных соединений на конец выбранного периода;
— графика, показывающего количество используемых протоколов за выбранный период;
— временной шкалы с графиком количества инцидентов за выбранный период (красным цветом обозначается период, в котором есть хотя бы одна атака; желтым — тот, в котором нет атак, но есть хотя бы одно предупреждение; синим — тот, в котором есть только системные инциденты);
— графиков, показывающих распределение инцидентов по типам и статусам (на конец периода).
Статистика
Также можно изменять период отображения данных. По умолчанию данные на странице «Статистика» отображаются за текущую неделю, то есть с 00:00 понедельника по текущий момент. Вы можете изменить период отображения данных с помощью предустановленных значений или введя интервал вручную.
8.4 Анализ и фиксация сетевой топологии
При первичном подключении к контролируемой сети компонент сбора и анализа трафика используется в режиме обучения, выполняет анализ инфраструктуры защищаемого сегмента АСУ ТП и/или ТЛВС и строит схему информационного взаимодействия между сетевыми узлами. Оператор изучает схему и одобряет наличие узлов и информационных связей между ними. Если на этом этапе выявляется лишнее взаимодействие или лишние узлы, не предусмотренные проектным решением, они исключаются как непосредственно в сетевой инфраструктуре, так и на схеме в интерфейсе.
После этого компонент сбора и анализа переводится в режим мониторинга, в котором каждое новое соединение или узел будет считаться неразрешенным и выделяться в интерфейсе на схеме. Также будет зарегистрирован инцидент и выполнено уведомление оператора.
Когда PT ISIM View Sensor обнаруживает в трафике ранее неизвестный MAC- или IP- адрес, на странице «Инциденты» заводятся инциденты «Неавторизованный узел», а на странице «Узлы» появляется новый неавторизованный узел. Все узлы, трафик которых начинает перехватываться сразу после установки продукта, считаются неизвестными для PT ISIM View Sensor. В число таких входят узлы промышленной сети, присутствие которых является нормальным и не должно считаться инцидентом. Поэтому сразу после установки продукта включен режим обучения, то есть режим работы PT ISIM View Sensor, при котором все обнаруживаемые узлы и соединения считаются доверенными, а инциденты об их появлении не заводятся. На основе обнаруженных соединений в этом режиме автоматически заполняется список разрешений. При этом PT ISIM Sensor обнаруживает все остальные виды инцидентов. Когда режим обучения включен, на странице «Инциденты» отображается соответствующее предупреждение. Рекомендуется выключить режим обучения, когда PT ISIM Sensor обнаружит все узлы промышленной сети, чтобы появление нового узла или соединения в сети рассматривалось как инцидент.
Как выключить режим обучения:
1 способ — на странице «Инциденты» нажмите «Выключить режим обучения».
При первичном подключении к контролируемой сети компонент сбора и анализа трафика используется в режиме обучения, выполняет анализ инфраструктуры защищаемого сегмента АСУ ТП и/или ТЛВС и строит схему информационного взаимодействия между сетевыми узлами. Оператор изучает схему и одобряет наличие узлов и информационных связей между ними. Если на этом этапе выявляется лишнее взаимодействие или лишние узлы, не предусмотренные проектным решением, они исключаются как непосредственно в сетевой инфраструктуре, так и на схеме в интерфейсе.
После этого компонент сбора и анализа переводится в режим мониторинга, в котором каждое новое соединение или узел будет считаться неразрешенным и выделяться в интерфейсе на схеме. Также будет зарегистрирован инцидент и выполнено уведомление оператора.
Когда PT ISIM View Sensor обнаруживает в трафике ранее неизвестный MAC- или IP- адрес, на странице «Инциденты» заводятся инциденты «Неавторизованный узел», а на странице «Узлы» появляется новый неавторизованный узел. Все узлы, трафик которых начинает перехватываться сразу после установки продукта, считаются неизвестными для PT ISIM View Sensor. В число таких входят узлы промышленной сети, присутствие которых является нормальным и не должно считаться инцидентом. Поэтому сразу после установки продукта включен режим обучения, то есть режим работы PT ISIM View Sensor, при котором все обнаруживаемые узлы и соединения считаются доверенными, а инциденты об их появлении не заводятся. На основе обнаруженных соединений в этом режиме автоматически заполняется список разрешений. При этом PT ISIM Sensor обнаруживает все остальные виды инцидентов. Когда режим обучения включен, на странице «Инциденты» отображается соответствующее предупреждение. Рекомендуется выключить режим обучения, когда PT ISIM Sensor обнаружит все узлы промышленной сети, чтобы появление нового узла или соединения в сети рассматривалось как инцидент.
Как выключить режим обучения:
1 способ — на странице «Инциденты» нажмите «Выключить режим обучения».
Режим обучения
2 способ — Заходим в параметры системы и выключаем режим обучения.
Режим обучения
9. Работа с инцидентами
9.1 Об инцидентах
Инцидент — это событие или цепочка событий, результатом которых может стать нарушение целостности, конфиденциальности или доступности элементов или ресурсов анализируемой сети.
Инцидент в PT ISIM View Sensor имеет две временные метки: время начала и время обновления. Время начала — когда инцидент был зарегистрирован. Время обновления —когда в рамках этого же инцидента было зафиксировано последнее событие. Если инцидент создан в результате одного события, то две временные метки совпадают.
Инцидент — это событие или цепочка событий, результатом которых может стать нарушение целостности, конфиденциальности или доступности элементов или ресурсов анализируемой сети.
Инцидент в PT ISIM View Sensor имеет две временные метки: время начала и время обновления. Время начала — когда инцидент был зарегистрирован. Время обновления —когда в рамках этого же инцидента было зафиксировано последнее событие. Если инцидент создан в результате одного события, то две временные метки совпадают.
Инциденты
На скриншоте можем увидеть список инцидентов, тип, статус, источник, цель, название, начало и статус обновления. Если нажать на инцидент, то откроется карточка для подробного ознакомления.
Информация об инциденте
9.2 Режимы просмотра инцидентов
Список инцидентов доступен на странице «Инциденты». Просмотр инцидентов возможен в следующих режимах:
— Оперативный режим, который отображает только незакрытые инциденты и предусмотрен для оценки текущего состояния анализируемой системы. В этом режиме вы можете просматривать данные об инцидентах:
● в виде сводки, которая позволяет оперативно оценить распределение текущих инцидентов по узлам, например выявить узел, который в последнее время атакуют больше всего, или инцидент, который возникает сразу на многих узлах (возможно, эксплуатируется одна и та же уязвимость);
● в виде таблицы, которая позволяет просматривать список наиболее актуальных инцидентов, то есть тех, в рамках которых в последнее время возникали новые события.
— Режим «Все инциденты», который позволяет просматривать все события в PT ISIM View Sensor и служит для поиска требующих разрбора инцидентов с помощью фильтрации по параметрам. В этом режиме вы можете выгружать список инцидентов в формате CSV и создавать отчеты по инцидентам.
Также можно настроить фильтрацию и скачать отчет в csv формате.
Список инцидентов доступен на странице «Инциденты». Просмотр инцидентов возможен в следующих режимах:
— Оперативный режим, который отображает только незакрытые инциденты и предусмотрен для оценки текущего состояния анализируемой системы. В этом режиме вы можете просматривать данные об инцидентах:
● в виде сводки, которая позволяет оперативно оценить распределение текущих инцидентов по узлам, например выявить узел, который в последнее время атакуют больше всего, или инцидент, который возникает сразу на многих узлах (возможно, эксплуатируется одна и та же уязвимость);
● в виде таблицы, которая позволяет просматривать список наиболее актуальных инцидентов, то есть тех, в рамках которых в последнее время возникали новые события.
— Режим «Все инциденты», который позволяет просматривать все события в PT ISIM View Sensor и служит для поиска требующих разрбора инцидентов с помощью фильтрации по параметрам. В этом режиме вы можете выгружать список инцидентов в формате CSV и создавать отчеты по инцидентам.
Также можно настроить фильтрацию и скачать отчет в csv формате.
Режим просмотра инцидентов
9.3 Изменение статуса инцидента
Каждый новый инцидент получает в PT ISIM View Sensor статус «открыт». Чтобы зафиксировать, что по инциденту ведется работа или что его последствия устранены, вы можете изменять его статус.
Изменение статуса инцидента доступно в режиме «Все инциденты» и в оперативном режиме в таблице. Ниже приводится инструкция по изменению статуса инцидента в режиме «Все инциденты».
Чтобы изменить статус инцидента:
Откроется страница «Инциденты».
2. Выберите инцидент в списке.
3. В панели справа отобразится карточка инцидента.
4. В раскрывающемся списке «Текущий статус» выберите статус.
Каждый новый инцидент получает в PT ISIM View Sensor статус «открыт». Чтобы зафиксировать, что по инциденту ведется работа или что его последствия устранены, вы можете изменять его статус.
Изменение статуса инцидента доступно в режиме «Все инциденты» и в оперативном режиме в таблице. Ниже приводится инструкция по изменению статуса инцидента в режиме «Все инциденты».
Чтобы изменить статус инцидента:
- В главном меню в разделе «Инциденты» выберите пункт
Откроется страница «Инциденты».
2. Выберите инцидент в списке.
3. В панели справа отобразится карточка инцидента.
4. В раскрывающемся списке «Текущий статус» выберите статус.
Статус инцидента
10. Работа с узлами
10.1 Об узлах
Узел — это элемент сети предприятия, взаимодействующий с другими элементами сети. PT ISIM View Sensor отображает следующие узлы:
— узлы локальной сети (то есть узлы, IP-адреса которых попадают в диапазоны 192.168/16, 172.16/12 или 10/8), являющиеся источниками запросов или адресатами, ответившими на запрос;
— узлы внешней сети, являющиеся источниками запроса.
В веб-интерфейсе «Узлы» можно открыть в виде схемы и в виде таблицы.
Схема:
Узел — это элемент сети предприятия, взаимодействующий с другими элементами сети. PT ISIM View Sensor отображает следующие узлы:
— узлы локальной сети (то есть узлы, IP-адреса которых попадают в диапазоны 192.168/16, 172.16/12 или 10/8), являющиеся источниками запросов или адресатами, ответившими на запрос;
— узлы внешней сети, являющиеся источниками запроса.
В веб-интерфейсе «Узлы» можно открыть в виде схемы и в виде таблицы.
Схема:
Узлы
Схема служит для оперативной работы с сетью — в этом режиме узлы и соединения отображаются в графическом виде, но информация о них ограничена шестью часами.
Схема отображает узлы, группы узлов и соединения в графическом виде. Вы можете перемещать узлы и группы узлов на схеме, чтобы их расположение соответствовало топологии вашей сети.
Таблица:
Схема отображает узлы, группы узлов и соединения в графическом виде. Вы можете перемещать узлы и группы узлов на схеме, чтобы их расположение соответствовало топологии вашей сети.
Таблица:
Таблица узлов
Таблица служит для работы со всеми обнаруженными узлами, а также выполнения массовых действий: смены статуса, типа или группы сразу нескольких узлов. Параметры узлов и соединений обновляются в режиме реального времени на основе данных, полученных из анализируемого трафика.
Таблица показывает узлы с возможностью настроить отображение необходимых параметров.
Таблица показывает узлы с возможностью настроить отображение необходимых параметров.
10.2 Изменение параметров узла
Чтобы изменить имя, тип или описание узла:
1. В главном меню в разделе «Узлы» выберите пункт «Схема».
2. Выберите узел.
3. В открывшейся карточке узла нажмите кнопку «Изменить».
4. Измените параметры узла — имя, тип или описание.
5. Нажмите кнопку «Сохранить».
Чтобы изменить имя, тип или описание узла:
1. В главном меню в разделе «Узлы» выберите пункт «Схема».
2. Выберите узел.
3. В открывшейся карточке узла нажмите кнопку «Изменить».
4. Измените параметры узла — имя, тип или описание.
5. Нажмите кнопку «Сохранить».
Изменение параметров узла
11. Работа с событиями
11.1 О событии
Событие — это обнаруженный PT ISIM View Sensor факт передачи данных в сети. PT ISIM View Sensor регистрирует события и их атрибуты: дату и время обнаружения, данные о протоколе взаимодействия, адреса источника и цели и др. На основе событий PT ISIM View Sensor создает записи об инцидентах.
События отображаются на странице «События» в порядке их обнаружения от последних к более ранним. По нажатию на «Событие» в правой части страницы появляется одноименная карточка.
Событие — это обнаруженный PT ISIM View Sensor факт передачи данных в сети. PT ISIM View Sensor регистрирует события и их атрибуты: дату и время обнаружения, данные о протоколе взаимодействия, адреса источника и цели и др. На основе событий PT ISIM View Sensor создает записи об инцидентах.
События отображаются на странице «События» в порядке их обнаружения от последних к более ранним. По нажатию на «Событие» в правой части страницы появляется одноименная карточка.
Статистика событий
1 — Список фильтрации. С помощью фильтрации по атрибуту вы можете настраивать отображение только тех событий, которые соответствуют определенному критерию, например, имеют один и тот же протокол или адрес источника.
2 — Подробная информация о событии.
3 — Список событий и основная информация.
4 — События за выбранный период.
2 — Подробная информация о событии.
3 — Список событий и основная информация.
4 — События за выбранный период.
12. Отчеты
PT ISIM View Sensor позволяет создавать и выгружать статистические отчеты. Пользователи с ролью администратора могут просматривать, выгружать и удалять любые отчеты. Пользователи с ролью специалиста по безопасности и оператора могут просматривать, выгружать и удалять только собственные отчеты.
12.1 Создание отчета
Отчеты
1. Нажмите кнопку «Создать отчет» и в раскрывшемся меню выберите тип отчета.
2. Нажмите кнопку «Создать»
Отчеты
1. Нажмите кнопку «Создать отчет» и в раскрывшемся меню выберите тип отчета.
2. Нажмите кнопку «Создать»
13. Заключение
В этом обзоре мы узнали о таком продукте как PT ISIM, разобрали, почему нужна защита сетей АСУ ТП, и насколько это важно (даже на законодательном уровне). Также в статье расписали принцип работы, алгоритм обработки трафика, посмотрели на веб-интерфейс и основной функционал системы.
В данной статье были затронуты самые важные и необходимые аспекты PT ISIM, например, PT ISIM View Sensor. На самом деле, функционал продукта намного больше, и есть множество инструментов для обработки данных, а также выгрузки их для анализа. Так, есть PT ISIM Overview Center — это командный центр, предназначенный для сбора информации с подключенных сенсоров, но об этом как-нибудь в другой раз))
В данной статье были затронуты самые важные и необходимые аспекты PT ISIM, например, PT ISIM View Sensor. На самом деле, функционал продукта намного больше, и есть множество инструментов для обработки данных, а также выгрузки их для анализа. Так, есть PT ISIM Overview Center — это командный центр, предназначенный для сбора информации с подключенных сенсоров, но об этом как-нибудь в другой раз))