Как атаковали промышленную инфраструктуру на The Standoff: анализ трафика с помощью PT ISIM

[ptsecurity]

К сожалению, и на реальных объектах КИИ встречаются подобные грубые нарушения, недавний инцидент тому подтверждение. Справедливости ради надо сказать, что и до RDP на нашем мероприятии тоже надо было получить доступ, далеко не все команды нашли способ проникнуть в сегмент АСУ ТП.

[ptsecurity]

В PT ISIM реализован механизм белых списков для различных объектов сети и видов их активности.

В начале работы, в режиме обучения, автоматически формируется белый список доверенных узлов и соединений, которые потом уточняются специалистами по ИБ. Все узлы и соединения не попавшие в белый список помечаются как неавторизованные и по ним заводятся соответствующие инциденты.

[ptsecurity]

Инфраструктура КИИ в большей степени статична, нежели инфраструктура корпоративных сетей, и постоянных изменений в ней происходить не должно. Изменение в конфигурации сети — это часть жизненного цикла АСУТП и требует отражения в документации, а несанкционированные изменения требуют внимания со стороны инженера по ИБ.

При этом оператор может сам сформировать нужные ему белые списки, например, команд управляющего протокола, чтобы исключить пропуск несанкционированной команды на ПЛК. И белые списки- не единственный механизм в PT ISIM для выявления нарушений, экспертиза АСУ ТП, входящая в состав продукта, позволяет делать однозначные выводы про состояние защищённости объекта КИИ, не опираясь только на один инцидент.