Support
News
Aug
4
Новый пакет экспертизы PT ISIM
Posted by Maxim Ivanov on 04 August 2020 16:39

В PT Industrial Security Incident Manager появилась возможность пополнять базу знаний пакетами экспертизы

Базу индикаторов промышленных киберугроз программно-аппаратного комплекса глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM) теперь можно пополнять пакетами экспертизы ИБ. Первый экспертный пакет уже доступен пользователям для загрузки. Он включает в себя правила обнаружения угроз для оборудования и систем австрийской компании B&R Industrial Automation, которые применяются в нефтегазовой, горнодобывающей, перерабатывающей промышленности и других отраслях. 
Первый пакет экспертизы включает специализированные индикаторы угроз для оборудования и систем B&R Industrial Automation (ПЛК серии X20 и системы управления производственными процессами APROL). Они помогут специалистам по ИБ, работающим с PT ISIM, выявлять в трафике признаки эксплуатации уязвимостей во всем стеке протоколов B&R (ANSL, INA2000, IOSHTTP, IOSYS и др.) и детектировать потенциально опасные команды управления оборудованием производства B&R Industrial Automation. Своевременное обнаружение такой активности позволит предотвратить несанкционированное изменение режимов работы АСУ ТП и пресечь возникновение аварийных ситуаций.
Пакет экспертизы дополняет входящую в PT ISIM уникальную базу индикаторов промышленных киберугроз PT ISTI. Она содержит более 4000 сигнатур и правил обнаружения различных атак на распространенные системы ABB, Emerson, Hirschmann, Schneider Electric, Siemens, Yokogawa и др. Базу PT ISTI регулярно пополняет команда экспертов по безопасности промышленных систем управления Positive Technologies.
Выход экспертных пакетов планируется ежемесячно. Возможность получения и установки пакетов экспертизы доступна пользователям PT ISIM с версии 2.3.

 


Read more »



Jul
29
PT NAD 10.0.361
Posted by Maxim Ivanov on 29 July 2020 20:27

Обновление PT NAD

Новые возможности и улучшения в PT NAD версии 10.0.361

1. Новые возможности

  • Определение учетных данных пользователя при аутентификации KERBEROS
  • Расширенный анализ SSH-сессии
  • Автоматическое обновление данных на дашбордах
  • Справочный центр и контекстная справка

2. Улучшения

  • Поддержка нестандартных пользовательских ролей PT MC
  • Виджет событий
  • Дата и время обновления правила
  • Новые строки со сводной информацией
  • Перенос диаграммы объема трафика
  • Ретроспективный анализ по всем репутационным спискам
  • Автоматическое применение пользовательских репутационных списков
  • Улучшения в отображении флагов и ошибок обработки сессий
  • Сборка отчетов на любой странице
  • Уровни опасности атак в списке техник MITRE ATT&CK
  • Поддержка правил Suricata 4.x и 5.x
  • Улучшения функции обработки трафика

Подробная информация об обновлении доступна по следующей ссылке

 


Read more »



Jul
28

Рекомендации по устранению уязвимости в контроллере удаленного доступа сервера iDRAC

Эксперты Positive Technologies обнаружили веб-уязвимость высокого уровня опасности в контроллере удаленного доступа сервера Dell EMC iDRAC1. Ее эксплуатация позволяет злоумышленнику получить полный контроль над работой сервера для его включения и выключения, изменений настроек охлаждения, питания. Компания Dell EMC выпустила обновленную микропрограмму для устройства и рекомендует установить ее как можно скорее.

Уязвимость с идентификатором CVE-2020-5366 относится к классу Path Traversal. Удаленный аутентифицированный злоумышленник с низким уровнем привилегий, может использовать эту ошибку, чтобы получить несанкционированный доступ для чтения произвольных файлов. Уязвимости подвержены контроллеры Dell EMC iDRAC9 с версиями прошивок до 4.20.20.20.

Рекомендации по устранению

Для устранения уязвимости необходимо:

  1. Установить микропрограммное обеспечение Dell EMC iDRAC9 v4.20.20.20.
  2. Закрыть стандартные группы public/private SNMP.
  3. Использовать SNMP v3 со всеми инструкциями безопасности.

Кроме того, необходимо придерживаться лучших практик по использованию IDRAC. Dell EMC рекомендует:

  • Использовать выделенный порт Gigabit Ethernet, доступный в серверах, для подключения iDRAC к отдельной сети управления.
  • Наряду с размещением iDRAC в отдельной сети управления пользователи должны изолировать подсеть управления / vLAN с помощью таких технологий, как брандмауэры, и ограничить доступ к подсети / vLAN авторизованным администраторам серверов.
  • Использовать 256-битное шифрование, а также TLS 1.2 или выше.
  • Настроить дополнительные параметры, такие как фильтрация диапазона IP-адресов и режим блокировки системы.
  • Использовать дополнительные параметры аутентификации безопасности, такие как Microsoft Active Directory или LDAP.
  • Обновлять прошивку iDRAC.

Серверы Dell — аппаратная платформа всех продуктов Positive Technologies, поэтому мы настоятельно просим пользователей выполнить все рекомендации по устранению уязвимости.


1 Контроллер удаленного доступа Dell iDRAC — это аппаратный компонент, относящийся к классу Baseboard Management Controller, размещенный на материнской плате сервера. Контроллер позволяет системным администраторам удаленно обновлять, контролировать, искать и устранять неполадки, осуществлять восстановление системы Dell, даже когда сервер выключен.

 


Read more »