PT ISIM 4.4: что нового

Positive Technologies выпустила новую версию системы глубокого анализа промышленного трафика PT Industrial Security Incident Manager 4.4.

Новые возможности версии 4.4:

• Новый сенсор microView Sensor.
  Он предназначен для небольших объектов автоматизации. MicroView Sensor можно использовать на промышленных ПК с пассивным охлаждением и процессорами Intel Core i5. В отличие от старшей версии netView Sensor, microView по-другому работает с событиями. Они анализируются для выявления инцидентов безопасности также как в netView, но не хранятся и не выводятся в пользовательском интерфейсе. Во всем остальном функциональность не отличается от netView Sensor.

• Расширенный контроль цифровых коммуникаций по МЭК 61850.
  PT ISIM 4.4 может выявлять аномалии, отказы и ошибки в коммуникациях на современных цифровых энергообъектах, построенных по стандарту МЭК 61850. В сенсоре proView Sensor 4.4 появилась возможность импортировать файлы SCD, описывающие допустимые коммуникации цифровой подстанции по протоколам GOOSE и MMS. Сравнение цифровых коммуникаций в реальном трафике с описанным в файле SCD эталоном позволяет PT ISIM выявлять появление в сети неизвестных соединений или тегов, выявлять нарушения целостности коммуникаций между узлами цифровой подстанции или структуры передаваемых данных.

Улучшения:

• Журналирование действий пользователей в системе.
• Углубленная поддержка протокола GE SRTP.
• Регистрация передачи по сети конфигурационных файлов систем автоматизации.
• Новый, более стабильный алгоритм идентификации узлов.
• Улучшенная работа в сетях с DHCP.
• Упрощенный интерфейс объединения и разъединения узлов.
• Новые атрибуты узла: статический или динамический IP адрес, принадлежность MAC-адреса к узлу или к маршрутизатору.
• Полноэкранный список инцидентов в Overview Center.
• Настраиваемые источники карты в Overview Center.
• Бесшовное обновление ISIM через Overview Center.
• Улучшена совместимость с Astra Linux SE 1.7.2 «Воронеж».
• Более стабильная синхронизация событий и нарушений между PT ISIM и Overview Center.

PT Sandbox 5.6.0: возможности и улучшения

Мы рады сообщить о выходе новой версии PT Sandbox.

Что нового:

• Распаковка исполняемых файлов при статическом анализе
  Исполняемые файлы могут быть сжаты для их защиты и уменьшения объема. Теперь при статическом анализе PT Sandbox распаковывает исполняемые файлы, созданные с помощью приложений ASPack, FSG, MPRESS, PECompact или UPX.
• Проверка хеш-сумм файлов по индикаторам компрометации
  Теперь PT Sandbox проверяет по индикаторам компрометации хеш-суммы всех файлов в заданиях. Проверка выполняется средством проверки PT IoC при статическом анализе файлов.
• Проверка ссылок по скомпрометированным IP-адресам и именам доменов
  PT Sandbox проверяет по индикаторам компрометации все ссылки в заданиях. Теперь индикаторами могут быть не только сами ссылки, но и содержащиеся в них скомпрометированные IP-адреса или имена доменов. Проверка выполняется средством проверки PT IoC при статическом анализе ссылок.
• Проверка переадресованных ссылок по индикаторам компрометации
  Теперь PT Sandbox проверяет по индикаторам компрометации не только ссылки извлеченные из объектов задания, но и все переадресованные ссылки. Переадресация может происходить несколько раз при попытке скачать контент по извлеченной ссылке.
• Проверка адресов запросов к ICAP-серверу по индикаторам компрометации
  Теперь для источника «ICAP-сервер» PT Sandbox проверяет по индикаторам компрометации адреса поступивших запросов. Индикаторами могут быть скомпрометированные URL, IPадреса или имена доменов. Проверка контента для скомпрометированных адресов не выполняется.

  Улучшения:

• Извлечение ссылок из вложений писем с обычным текстом
  При проверке писем от источников PT Sandbox может извлекать ссылки из тела письма и его вложений. Ранее ссылки из вложений извлекались только если они были отмечены специальными тегами в соответствии с форматом вложения. Теперь ссылки извлекаются даже если они оформлены как простой текст (для вложений формата RTF и HTML).
• Поддержка предварительного просмотра данных запросов к ICAP-серверу
  Теперь для источника «ICAP-сервер» PT Sandbox в поступивших запросах считывает значение из поля для предварительного просмотра данных (preview). Это позволяет отфильтровать запросы по типу поступающих на проверку данных и уменьшить количество проверяемых данных.
• Сбор данных о ложном срабатывании
  Теперь из карточки задания и карточек объектов вы можете по одной кнопке скачать файлы задания и результаты их проверок методом поведенческого анализа. В случае выявления ложного срабатывания вы можете отправить эти данные в техническую поддержку Positive Technologies для анализа.
• В отчет для PT Threat Analyzer добавлена информация о ссылках и сетевых запросах
  Теперь в отчет для PT Threat Analyzer добавляется информация о извлеченных из проверяемых объектов ссылках. В случае поведенческого анализы файлов в отчет также добавляется информация об обнаруженных сетевых запросах к URL и IP-адресам. Та же информация теперь добавляется в подробный отчете о результатах проверки для публичного API.

PT MultiScanner 5.6.0: возможности и улучшения

Мы рады сообщить о выходе новой версии PT MultiScanner.

Что нового:

• Распаковка исполняемых файлов при статическом анализе
  Исполняемые файлы могут быть сжаты для их защиты и уменьшения объема. Теперь при статическом анализе  PT MultiScanner распаковывает исполняемые файлы, созданные с помощью приложений ASPack, FSG, MPRESS, PECompact или UPX.
• Проверка хеш-сумм файлов по индикаторам компрометации
  Теперь PT MultiScanner проверяет по индикаторам компрометации хеш-суммы всех файлов в заданиях. Проверка выполняется средством проверки PT IoC при статическом анализе файлов.
• Проверка ссылок по скомпрометированным IP-адресам и именам доменов
  PT MultiScanner проверяет по индикаторам компрометации все ссылки в заданиях. Теперь индикаторами могут быть не только сами ссылки, но и содержащиеся в них скомпрометированные IP-адреса или имена доменов. Проверка выполняется средством проверки PT IoC при статическом анализе ссылок.
• Проверка переадресованных ссылок по индикаторам компрометации
  Теперь PT MultiScanner проверяет по индикаторам компрометации не только ссылки извлеченные из объектов задания, но и все переадресованные ссылки. Переадресация может происходить несколько раз при попытке скачать контент по извлеченной ссылке.
• Проверка адресов запросов к ICAP-серверу по индикаторам компрометации

Теперь для источника «ICAP-сервер» PT MultiScanner проверяет по индикаторам компрометации адреса поступивших запросов. Индикаторами могут быть скомпрометированные URL, IP-адреса или имена доменов. Проверка контента для скомпрометированных адресов не выполняется.

Улучшения:

• Извлечение ссылок из вложений писем с обычным текстом
  При проверке писем от источников PT MultiScanner может извлекать ссылки из тела письма и его вложений. Ранее ссылки из вложений извлекались только если они были отмечены специальными тегами в соответствии с форматом вложения. Теперь ссылки извлекаются даже если они оформлены как простой текст (для вложений формата RTF и HTML).
• Поддержка предварительного просмотра данных запросов к ICAP-серверу
  Теперь для источника «ICAP-сервер» PT MultiScanner в поступивших запросах считывает значение из поля для предварительного просмотра данных (preview). Это позволяет отфильтровать запросы по типу поступающих на проверку данных и уменьшить количество проверяемых данных.
• В отчет для PT Threat Analyzer добавлена информация о ссылках и сетевых запросах
  Теперь в отчет для PT Threat Analyzer добавляется информация о извлеченных из проверяемых объектов ссылках. В случае поведенческого анализы файлов в отчет также добавляется информация об обнаруженных сетевых запросах к URL и IP-адресам. Та же информация теперь добавляется в подробный отчете о результатах проверки для публичного API.