В PT ICS добавлен пакет экспертизы по выявлению кибератак на АСУ ТП на базе «Альфа платформы»
Новый пакет экспертизы содержит правила для выявления внутренних нарушений и атак на компоненты систем промышленной автоматизации, разработанных на базе ПО «Альфа платформа» компании «Атомик Софт». Это ПО используется в энергетике, транспортной промышленности, производстве удобрений, нефтегазовой отрасли и других сферах. Правила разработаны для системы MaxPatrol SIEM, которая входит в состав решения для защиты промышленности от киберугроз PT Industrial Cybersecurity Suite (PT ICS). Об этом CNews сообщили представители Positive Technologies.
«Причиной нарушений действия промышленных объектов и аварий на них все чаще становятся кибератаки. Злоумышленники могут проникнуть в производственные системы снаружи, например из интернета или корпоративной сети. Серьезную угрозу здесь представляет и внутренний нарушитель, имеющий легальный доступ к критической инфраструктуре. Поэтому предприятиям крайне важно иметь в своем арсенале решения для обнаружения и предотвращения угроз кибербезопасности, такие как PT ICS. Они учитывают специфику индустриальных систем и наращивают экспертизу. Это позволяет наиболее эффективно бороться с киберугрозами в промышленных инфраструктурах», — сказал Андрей Кудеров, руководитель отдела по работе с технологическими партнерами Positive Technologies.
В 2023 г. промышленные предприятия вошли в топ-6 самых атакуемых целей. В 95% случаев атаки были нацелены на конкретное предприятие, а каждая вторая приводила к нарушению деятельности компании.
«Испытания подтвердили, что пакет экспертизы полностью совместим со всеми компонентами "Альфа платформы“. Теперь продукты в составе PT ICS можно использовать для мониторинга событий безопасности в системах, реализованных на базе «Альфа платформы»», — сказал Кирилл Силкин, технический директор «Атомик Софт».
Новый пакет экспертизы выявляет манипуляции с данными в SCADA-системах или попытки компрометации основных файлов системы управления со стороны как внешнего хакера, так и внутреннего нарушителя. Правила в пакете экспертизы нацелены на обнаружение таких техник злоумышленников, как: подмена информации на экране (злоумышленники могут попытаться фальсифицировать данные, которые система передает операторам, например, путем изменения файлов проекта HMI; это делается в расчете на то, что операторы не заметят проблем в работе оборудования или будут действовать, основываясь на некорректных сведениях); несанкционированная модификация параметров сервера АСУ ТП (злоумышленники могут попытаться отредактировать конфигурационный файл Alpha.Server, который содержит параметры технологического процесса и обмена данными, таким образом хакеры могут вмешаться в производственный процесс, что приведет к серьезным последствиям для предприятия); остановка работы сервиса (хакеры могут попытаться прервать работу сервера данных Alpha.Server, также это может привести к авариям, в том числе опасным для окружающей среды); маскировка вредоносной активности (злоумышленники могут попытаться подменить сведения о местоположении, имени объекта или его метаданные, чтобы выдать свои действия за разрешенные, в случае «Альфа платформы» событие связано с подменой файлов другими, модифицированными злоумышленниками файлами или более старыми версиями, содержащими уязвимости или ошибки).
Пакет экспертизы уже доступен для установки через службу технической поддержки в последней версии системы MaxPatrol SIEM, которая входит в состав платформы PT ICS.