Your comments

PT ISIM freeView — это cвободно распространяемая версия программного продукта ISIM компании Positive Technologies. PT ISIM (Industrial Security Incident Management) является специализированным решением для непрерывного мониторинга защищенности АСУ ТП и управления инцидентами ИБ.

Для многих наших заказчиков вопросы безопасности АСУ ТП необоснованно считаются сложными. Мы хотим продемонстрировать, что продукт по обеспечению безопасности АСУ ТП может быть простым в установке и применении и удобным для пользователей.

Общего довольно много. Обе версии:

  • Визуализируют карту узлов и их сетевое взаимодействие, позволяя контролировать подключение к сети в реальном времени.
  • Поддерживают разбор (deep packet inspection, DPI) широкого набора промышленных и общесетевых протоколов до прикладного уровня включительно.
  • Обнаруживают инциденты ИБ в системах АСУ ТП и предоставляют средства работы с инцидентами.
  • Умеют обнаруживать сетевые соединения по протоколам, для которых поддержка DPI затруднена или не является необходимой в системе ИБ АСУ ТП.
  • Умеют работать в режиме обучения, когда система запоминает все сетевые узлы и соединения, заводя инциденты на сетевые аномалии по завершении обучения.
  • Позволяют "разрешать" сетевые соединения, если они являются допустимыми, чтобы не заводить инциденты в случае их обнаружения.
  • Позволяют выгружать список событий, инцидентов и узлов в формате CSV.

Основным отличием PT ISIM freeView являются политика лицензирования, степень технической поддержки, а также набор функций. Программный комплекс PT ISIM freeView можно получить бесплатно через сайт Positive Technologies.

В PT ISIM freeView Sensor сокращен набор функций по сравнению с коммерческой версией PT ISIM netView. Неполный список отличий:

  • В состав PT ISIM freeView не входит часть библиотеки правил обнаружения инцидентов PT ISIM netView и PT ISIM proView.
  • PT ISIM freeView не предоставляет возможности сохранять копию сетевого трафика в формате PCAP.
  • PT ISIM freeView не предоставляет возможности интеграции с внешними системами, такими как продукты SIEM или продукты поддержки SOC из решения PT ISIM.
  • PT ISIM freeView не предоставляет возможности составлять отчеты по инцидентам или состоянию сети АСУ ТП.
  • PT ISIM freeView не предоставляет возможности обновления и миграции пользовательских данных.
  • PT ISIM freeView не предоставляет возможность просматривать состояние топологии на заданный момент времени в прошлом.

SIEM и ISIM — это технические средства разного назначения и наличие одного не исключает необходимости другого.
SIEM — централизованная унифицированная система по сбору, анализу и корреляции событий в сети. Первичное назначение SIEM — организовать единую точку сбора информации о подозрительных событиях и инцидентах ИБ, в том числе и из отдельных систем, таких как PT ISIM. PT ISIM — это в первую очередь специализированное средство для обнаружения компьютерных атак в промышленных сетях и источник данных для SIEM.

Несмотря на то, что наличие воздушного зазора может быть указано в проектной документации, на практике всегда могут существовать какие-то отклонения от неё: дополнительные недокументированные изменения сети, неучтенное оборудование с доступом в другие подсети, временные либо вспомогательные подключения вследствие ремонтных и иных работ и так далее. Учитывая непрерывность производственного процесса и развития сетевой инфраструктуры, постоянные изменения становятся естественным явлением. Также следует учитывать, что изменения сети могут иметь эпизодический характер (например, подключение USB-модемов операторами). Необходимо отслеживать подобные изменения и осуществлять постоянный мониторинг сети. Кроме того, наличие воздушного зазора не способно обеспечить защиту от проникновения изнутри. PT ISIM позволяет построить актуальную топологию сети на основе реального сетевого трафика, а также обеспечивать постоянный мониторинг на предмет его аномалий.

PT ISIM ориентирован в первую очередь на телекоммуникационные сети на базе Ethernet. Случаи, когда вся инфраструктура завода, и даже операторский уровень, строятся на RS-485, чрезвычайно редкие. В настоящее время сети RS-485 имеют ряд серьезных ограничений на пропускную способность и размер сети. Кроме того, исключительное применение RS-485 никак не спасает от базовых уязвимостей используемых протоколов. Количество таких сетей постоянно уменьшается в пользу промышленного Ethernet.

Поздравляем с получением лицензии! Но, наверное, сначала стоит сертифицировать СКЗИ для КИИ или же договориться с КриптоПро (и, пожалуйста, не забудьте про обновление ключей). Говоря о шифровании, стоит отметить, что в технологической сети, помимо защищенных каналов обмена, может присутствовать нелегитимный трафик, и решения с шифрованием легитимного никак от таких проблем не спасают. Кроме того, они не позволяют контролировать состав сетевых узлов и наличие недоверенных сетевых подключений и могут сами выступать экраном, за которым может прятаться злоумышленник.

PT ISIM предоставляет большую функциональность чем Snort, поскольку ориентирован на поведенческий анализ за счет использования корреляций и построения сетевой модели. Также, важной отличительной особенностью PT ISIM является наличие простого и удобного интерфейса пользователя, который обеспечивает функции мониторинга, инвентаризации и расследования. При этом в комплекте с PT ISIM поставляется экспертная база знаний по актуальным угрозам промышленной безопасности PT ISTI, которая постоянно наполняется специалистами Positive Technologies, обладающими экспертизой как в области сетевых технологий, так и в области промышленных систем управления технологическими процессами.