В наличии
PT ISIM

PT Industrial Security Incident Manager — это система управления инцидентами кибербезопасности АСУ ТП, которая выявляет хакерские атаки и помогает в расследовании инцидентов на критически важных объектах. Не влияя на технологический процесс, PT ISIM параллельно с ним анализирует копию сетевого трафика, выявляет взаимосвязи между событиями безопасности и наглядно визуализирует потенциальные атаки на топологии сети и схеме промышленного объекта.


Ключевые особенности
  • Понимание отраслевой специфики

На самых ранних стадиях проекта специалисты Positive Technologies проводят полный аудит промышленных систем заказчика. Подобный подход позволяет учесть отраслевую специфику предприятия (протоколы, архитектуру и оборудование) и изначально заложить в систему сведения о типичных атаках, что многократно повышает эффективность их обнаружения.

  • Сбор данных без вмешательства в технологический процесс

PT ISIM собирает данные в пассивном режиме, используя копию сетевого трафика, и не оказывает влияния на технологический процесс. Переаттестация промышленного оборудования после установки системы не требуется.

  • «Умный» анализ трафика

В отличие от других решений, выводящих малопонятный набор команд, система разбирает сетевой трафик и генерирует простой список событий, который не нужно дополнительно интерпретировать.

  • Визуализация атак на бизнес-логику

PT ISIM предоставляет широкие возможности для визуализации инцидентов. Для наглядности вектор потенциальной атаки соотносится с шагами технологического процесса и схемой промышленного объекта.

  • Построение цепочек атак

PT ISIM связывает между собой и выстраивает в цепочку отдельные события, сравнивая их с векторами типичных атак. По мере развития атаки цепочка разрастается, что позволяет специалистам видеть всю картину целиком и оперативно реагировать в случае возникновения угрозы.

  • Оперативная информация на всех уровнях

Реакция на угрозы становится максимально простой. Промышленные планшеты операторов АСУ оснащаются набором инструкций и производственных регламентов. При возникновении инцидента система уведомляет операторов оборудования, а ИБ-специалисты получают доступ к полной информации об инциденте.

  • Борьба с внешними и внутренними угрозами безопасности

PT ISIM помогает эффективно бороться как с внешними угрозами, так и с внутренними нарушителями, выявляя потенциально опасные действия персонала и ошибки конфигурации.

Преимущества для предприятий

Оперативное расследование инцидентов на удаленных объектах

Распределенная архитектура позволяет использовать PT ISIM на предприятии со множеством удаленных структурных элементов по всей стране и миру, в разных часовых поясах. Для работы с такой структурой предусмотрена карта подключенных объектов, которые можно отслеживать через удаленный интерфейс в центре управления.

Система централизованно распределяет новые детекты (сценарии для распознавания конкретных типов инцидентов) и обновляет удаленные установки на каждом объекте. Кроме того, PT ISIM делает невозможным закрытие инцидентов на удаленных объектах без специалистов по безопасности. Так ни один инцидент не остается без внимания, что существенно повышает защищенность предприятия.

Эффективно расследовать инциденты на удаленных объектах позволяет уникальная функция Remote Forensic, работа которой не зависит от подключенности объекта к общей сети, качества связи, а также наличия персонала и его профессионального уровня.

Инцидент на удаленном объекте, подключенном к сети
  • Специалист SOC переключается на PT ISIM, размещенный на удаленном объекте, и расследует инцидент. Присутствие непосредственно на самом объекте не требуется.
  • При плохом качестве связи с объектом инцидент «упаковывается» на удаленном объекте и отправляется на Forensic Server в SOC, где специалисты «распаковывают» его и проводят расследование.
Инцидент на удаленном объекте, не подключенном к сети
  • Специалист ИБ приезжает на объект в случае возникновения инцидента и расследует его на месте с помощью промышленного планшета или ноутбука, подключаемого к сети.
  • Сотрудник компании регулярно приезжает на объект, записывает показания PT ISIM на электронный носитель и доставляет его в SOC. Специалист SOC проводит расследование с помощью полной копии состояния PT ISIM на момент возникновения инцидента. Также для анализа доступна копия событий, происходивших до и после инцидента.

Благодаря всестороннему анализу сетевого трафика система помогает успешно бороться с различными угрозами кибербезопасности, а визуализация атак на бизнес-логику делает этот процесс проще и эффективнее. С PT ISIM управление безопасностью промышленного предприятия становится прозрачным и удобным, а реакция на возникающие инциденты — оперативной.

Получите техническую поддержку