Компания Positive Technologies основана в 2002 году и за время своего существования завоевала лидирующие позиции на отечественном и европейском рынке систем анализа защищенности и соответствия стандартам, а также защиты веб-приложений. Наши специалисты заслужили репутацию экспертов международного уровня в вопросах защиты SCADA- и ERP-систем, банков и телекомов. Производимое нами программное обеспечение сертифицировано ФСТЭК России и Минобороны России, а также успешно зарекомендовало себя у зарубежных заказчиков. Наша экспертиза в области безопасности сетей АСУ ТП легла в основу продукта PT ISIM.

PT ISIM freeView — это cвободно распространяемая версия программного продукта ISIM компании Positive Technologies. PT ISIM (Industrial Security Incident Management) является специализированным решением для непрерывного мониторинга защищенности АСУ ТП и управления инцидентами ИБ.

Для многих наших заказчиков вопросы безопасности АСУ ТП необоснованно считаются сложными. Мы хотим продемонстрировать, что продукт по обеспечению безопасности АСУ ТП может быть простым в установке и применении и удобным для пользователей.

Общего довольно много. Обе версии:

• Визуализируют карту узлов и их сетевое взаимодействие, позволяя контролировать подключение к сети в реальном времени.
• Поддерживают разбор (deep packet inspection, DPI) широкого набора промышленных и общесетевых протоколов до прикладного уровня включительно.
• Обнаруживают инциденты ИБ в системах АСУ ТП и предоставляют средства работы с инцидентами.
• Умеют обнаруживать сетевые соединения по протоколам, для которых поддержка DPI затруднена или не является необходимой в системе ИБ АСУ ТП.
• Умеют работать в режиме обучения, когда система запоминает все сетевые узлы и соединения, заводя инциденты на сетевые аномалии по завершении обучения.
• Позволяют "разрешать" сетевые соединения, если они являются допустимыми, чтобы не заводить инциденты в случае их обнаружения.
• Позволяют выгружать список событий, инцидентов и узлов в формате CSV.

Основным отличием PT ISIM freeView являются политика лицензирования, степень технической поддержки, а также набор функций. Программный комплекс PT ISIM freeView можно получить бесплатно через сайт Positive Technologies.

В PT ISIM freeView Sensor сокращен набор функций по сравнению с коммерческой версией PT ISIM netView. Неполный список отличий:

• В состав PT ISIM freeView не входит часть библиотеки правил обнаружения инцидентов PT ISIM netView и PT ISIM proView.
• PT ISIM freeView не предоставляет возможности сохранять копию сетевого трафика в формате PCAP.
• PT ISIM freeView не предоставляет возможности интеграции с внешними системами, такими как продукты SIEM или продукты поддержки SOC из решения PT ISIM.
• PT ISIM freeView не предоставляет возможности составлять отчеты по инцидентам или состоянию сети АСУ ТП.
• PT ISIM freeView не предоставляет возможности обновления и миграции пользовательских данных.
• PT ISIM freeView не предоставляет возможность просматривать состояние топологии на заданный момент времени в прошлом.

SIEM и ISIM — это технические средства разного назначения и наличие одного не исключает необходимости другого.
SIEM — централизованная унифицированная система по сбору, анализу и корреляции событий в сети. Первичное назначение SIEM — организовать единую точку сбора информации о подозрительных событиях и инцидентах ИБ, в том числе и из отдельных систем, таких как PT ISIM. PT ISIM — это в первую очередь специализированное средство для обнаружения компьютерных атак в промышленных сетях и источник данных для SIEM.

Несмотря на то, что наличие воздушного зазора может быть указано в проектной документации, на практике всегда могут существовать какие-то отклонения от неё: дополнительные недокументированные изменения сети, неучтенное оборудование с доступом в другие подсети, временные либо вспомогательные подключения вследствие ремонтных и иных работ и так далее. Учитывая непрерывность производственного процесса и развития сетевой инфраструктуры, постоянные изменения становятся естественным явлением. Также следует учитывать, что изменения сети могут иметь эпизодический характер (например, подключение USB-модемов операторами). Необходимо отслеживать подобные изменения и осуществлять постоянный мониторинг сети. Кроме того, наличие воздушного зазора не способно обеспечить защиту от проникновения изнутри. PT ISIM позволяет построить актуальную топологию сети на основе реального сетевого трафика, а также обеспечивать постоянный мониторинг на предмет его аномалий.

PT ISIM ориентирован в первую очередь на телекоммуникационные сети на базе Ethernet. Случаи, когда вся инфраструктура завода, и даже операторский уровень, строятся на RS-485, чрезвычайно редкие. В настоящее время сети RS-485 имеют ряд серьезных ограничений на пропускную способность и размер сети. Кроме того, исключительное применение RS-485 никак не спасает от базовых уязвимостей используемых протоколов. Количество таких сетей постоянно уменьшается в пользу промышленного Ethernet.

Поздравляем с получением лицензии! Но, наверное, сначала стоит сертифицировать СКЗИ для КИИ или же договориться с КриптоПро (и, пожалуйста, не забудьте про обновление ключей). Говоря о шифровании, стоит отметить, что в технологической сети, помимо защищенных каналов обмена, может присутствовать нелегитимный трафик, и решения с шифрованием легитимного никак от таких проблем не спасают. Кроме того, они не позволяют контролировать состав сетевых узлов и наличие недоверенных сетевых подключений и могут сами выступать экраном, за которым может прятаться злоумышленник.