Positive Technologies releases a new version of PT Industrial Security Incident Manager for deep analysis of industrial traffic - PT ISIM pro/netView Sensor version 4.1
1. New features
Incident chains
The new version of PT ISIM has a tool for investigating attacks, visually representing the sequence of incidents and their connections.
PT ISIM 4.1 analyzes the traces of malicious actions visible in network traffic by using a database of ready-made and custom rules and automatically collects incidents into chains. An incident chain contains information about:
- Chronology of the attack development inside the network infrastructure of the enterprise;
- Nodes that were affected by the attacker's lateral movement in the infrastructure;
- MITRE ATT&CK tactics and techniques for ICS;
- Recommended measures to eliminate the consequences of incidents and possible violations of FSTEC Order No. 239.
Two visual representations are available for analyzing the chain of incidents: the first illustrates the chronological sequence of the attacker's actions; the second shows the intensity and targeting of the attack development.
If the product finds several chains, we recommend starting the investigation with the most important one. The importance is determined based on the incident severity and the level of significance of the nodes affected in each incident. Users indicate the importance of nodes themselves. High significance should be assigned to nodes on which unacceptable events can be implemented. Nodes from which a direct attack on high-importance nodes is possible (for example, SCADA servers or engineering stations) receive medium significance. All other nodes are considered to have low significance.
Tuning for the customer's infrastructure
The new version expands the possibilities of adapting the product's out-of-the-box functionality to the customer's infrastructure. Now it is possible to disable the rules entirely or on specific nodes only. This helps to combat false positive incidents where the activity of legitimate services is similar to that of an attacker.
Now you can also manage lists of permissions—rules describing legitimate network interactions—through the UI. You can create permission lists to separate user-added permissions from those generated automatically in training mode. For such lists, you can specify the validity period to distinguish, for example, the logging of incidents on unauthorized connections from scheduled equipment setup.
Inventory of subnets
The new version of PT ISIM can determine the segmentation of the enterprise ICS and graphically display routers, subnets, and interactions between them in the last 24 hours. This allows you to check whether the network segmentation requirements are met and whether the detected connections and routes between subnets are considered valid.
2. Other improvements
- New feature to view ready-made rules for evaluating the list of detected threats;
- New feature to extract files from traffic for recording attempts to download fixed firmware to hardware or, for example, transfer personal data in cleartext;
- Support for analysis of ANSL (B&R), Bachmann RPCTCP, DICOM, FINS (Omron), INA2 (B&R), Phoenix, SLMP (Mitsubishi Electric), and ELNA protocols; improved analysis of ADS, CIP, OPC UA, and INA2000 (B&R) protocols;
- Major update of the database of rules for detecting threats relevant to the ICS.
For additional details, see the PT ISIM pro/netView Sensor.
|
Positive Technologies выпустила новую версию системы глубокого анализа промышленного трафика PT Industrial Security Incident Manager - PT ISIM pro/netView Sensor версии 4.1
1. Новые возможности
Цепочки инцидентов
В новой версии PT ISIM появился инструмент для расследования атак, визуально представляющий последовательность возникновения инцидентов и их связи.
PT ISIM 4.1 анализирует следы действий злоумышленников, видимые в сетевом трафике, используя базу коробочных и пользовательских правил, и автоматически собирает инциденты в цепочки. Цепочка инцидентов содержит информацию:
- о хронологии развития атаки внутри сетевой инфраструктуры предприятия;
- об узлах, которые были затронуты по мере продвижения злоумышленника по инфраструктуре;
- об использованных тактиках и техниках по MITRE ATT&CK for ICS;
- о рекомендуемых мерах по устранению последствий инцидентов и возможных нарушениях приказа ФСТЭК № 239.
Для анализа цепочки инцидентов доступны два визуальных представления, одно из которых иллюстрирует хронологическую последовательность действий злоумышленника, а другое — интенсивность и целевую направленность развития атаки.
Если продукт обнаружил несколько цепочек, начинать расследование стоит с наиболее важной. Важность определяется исходя из уровня опасности инцидентов и уровня значимости узлов, затронутых в каждом инциденте. Значимость узлов пользователи указывают самостоятельно. Высокую значимость при этом назначают узлам, на которых могут быть реализованы неприемлемые события. Среднюю — узлам, с которых возможна прямая атака на узлы высокой значимости (например, серверам SCADA или инженерным станциям). Низкую — всем остальным узлам.
Тюнинг под инфраструктуру клиента
В новой версии расширяются возможности адаптации коробочной экспертизы продукта к инфраструктуре клиента. Появилась возможность отключать правила целиком или на конкретных узлах. Это помогает бороться с ложноположительными инцидентами там, где активность легитимных сервисов похожа на деятельность злоумышленника.
Появилась возможность через UI управлять списком разрешений — правил, описывающих легитимные сетевые взаимодействия. Можно формировать списки разрешений, чтобы отделить разрешения, добавленные пользователем, от тех, которые сгенерированы автоматически в режиме обучения. Для таких списков можно указывать период действия, чтобы отличать, например, регистрацию инцидентов по неавторизованным подключениям от плановых работ по настройке оборудования.
Инвентаризация подсетей
В новой версии PT ISIM может определять сегментацию технологической сети предприятия и отображать на схеме маршрутизаторы, подсети и взаимодействия между ними за последние 24 часа. Это позволяет проверить, выполнены ли требования по сегментированию сети и входят ли обнаруженные соединения и маршруты между подсетями в разряд допустимых.
2. Другие улучшения
- Добавлена возможность просматривать коробочные правила для оценки списка выявляемых угроз;
- Добавлена возможность извлекать файлы из трафика, чтобы фиксировать попытки загрузить исправленную прошивку на оборудование или, например, передачу персональных данных в открытом виде;
- Поддержан разбор протоколов ANSL (B&R), Bachmann RPCTCP, DICOM, FINS (Omron), INA2 (B&R), Phoenix, SLMP (Mitsubishi Electric), «ЭЛНА»; доработан разбор протоколов ADS, CIP, OPC UA, INA2000 (B&R);
- Значительно обновлена база правил, позволяющих обнаруживать угрозы, актуальные для АСУ ТП.
Подробнее смотреть: Обзор новых возможностей PT ISIM proView Sensor.
|
