PT Industrial Cybersecurity Suite (PT ICS) позволяет обнаружить злоумышленника на ранних этапах развития атаки в промышленных средах и своевременно реагировать на них. Платформа обеспечивает комплексную безопасность индустриальной сети и легко интегрируется в общекорпоративную инфраструктуру систем безопасности предприятия. PT ICS помогает выполнить максимум требований законодательства и требований регуляторов в области информационной безопасности.

Подробное описание платформы

PT ICS — первая комплексная платформа для защиты промышленности от киберугроз. Помогает обнаружить злоумышленника на ранних этапах развития атаки в промышленных средах и своевременно реагировать на них. Платформа обеспечивает комплексную безопасность индустриальной сети и легко интегрируется в общекорпоративную инфраструктуру систем безопасности предприятия. Если продукты из состава PT ICS уже используются в SOC для защиты корпоративного сегмента, можно добавить промышленную лицензию, обогатив продукты промышленной экспертизой PT ESC. Платформа помогает выполнить максимум требований законодательства и требований регуляторов в области информационной безопасности.
В состав PT ICS входят:

• MaxPatrol SIEM для промышленности;
• MaxPatrol VM для промышленности;
• PT ISIM;
• PT Sandbox для промышленности;
• PT XDR для промышленности.

Задачи, которые выполняют продукты:

· MaxPatrol SIEM для промышленности. Контролирует активность программного обеспечения и поведение пользователей на конечных узлах. Обнаруживает инциденты информационной безопасности во всей IT-инфраструктуре предприятия и позволяет наладить процесс управления ими.

· MaxPatrol VM для промышленности. Помогает построить эффективный процесс управления уязвимостями в индустриальном сегменте. Собирает полные данные о компонентах технологической сети, выявляет уязвимости и контролирует их устранение.

· PT ISIM. Осуществляет глубокий анализ трафика технологических систем. Предоставляет инструменты для проактивного поиска угроз (threat hunting), автоматически строит граф развития атаки и позволяет проводить ретроспективный анализ трафика. Поддерживает более 120 сетевых протоколов.

· PT Sandbox для промышленности. Обнаруживает в файлах и ссылках неизвестное вредоносное ПО, нацеленное на компоненты АСУ ТП (SCADA) иностранных и отечественных производителей. Продукт интегрируется с PT ISIM: все объекты, обнаруженные в трафике технологической сети, отправляются в PT Sandbox, где подвергаются статическому и динамическому анализу. PT Sandbox позволяет настраивать среду эмуляции (состав ПО, механизмы deception) с учетом специфики промышленной компании.

· PT XDR для промышленности. EDR-агенты PT XDR собирают и анализируют данные с конечных узлов, помогают осуществлять проактивный поиск угроз (threat hunting) и блокировать киберугрозы. Поддерживает популярные ОС «из коробки». Агенты адаптированы для работы на предприятиях.

Ключевые преимущества

• Первая комплексная платформа для защиты промышленности от киберугроз.
• Гибкий набор продуктов в составе платформы. Не обязательно устанавливать всю платформу целиком и сразу. Можно выбрать нужный набор продуктов в платформе PT ICS.
• Минимальное количество ложноположительных срабатываний.
• По-настоящему защищает. PT Sandbox блокирует почтовые сообщения с опасным содержимым. Агенты PT XDR автоматически или автоматизировано блокируют угрозы на конечных сетевых узлах.
• Эффективное применение знакомых продуктов. Не нужно дополнительно обучать персонал.
• Настоящий on-premise. Все продукты устанавливаются на площадке заказчика.
• Выполняет требования законодательства.

Все продукты из состава PT ICS устанавливаются на стороне клиенте. MaxPatrol SIEM является центральным узлом для платформы и собирает информацию со всех сетевых узлов в индустриальном сегменте предприятия. MaxPatrol VM собирает детальную информацию о каждом сетевом узле предприятия, выявляет уязвимости в них и обнаруживает ошибки конфигурации. Он интегрируется с MaxPatrol SIEM и работает с ним в режиме одного окна. PT ISIM работает с копией промышленного трафика и передает в MaxPatrol SIEM информацию о выявленных угрозах. PT ISIM обнаруживает объекты и ссылки в трафике технологической сети и отправляет их в PT Sandbox, где они подвергаются статическому и динамическому анализу. Результаты анализа объектов из PT Sandbox передаются в MaxPatrol SIEM. Агенты PT XDR устанавливаются на все серверы и рабочие станции в промышленном сегменте. События с конечных узлов агенты передают в MaxPatrol SIEM, а подозрительные объекты передают на анализ в PT Sandbox. В случае обнаружения киберугроз агенты PT XDR могут заблокировать их в автоматическом или ручном режиме. Агенты адаптированы для работы на предприятии.

Рисунок 1. Схема работы PT ICS

Все продукты в составе PT ICS содержат экспертизу для выявления киберугроз в промышленном сегменте АСУ ТП. В эту экспертизу входят правила корреляции, позволяющие обнаруживать уязвимости, проводить детальный анализ промышленных протоколов и выявлять действия злоумышленника в индустриальных сетях предприятия, осуществлять статистический и поведенческий анализ подозрительных объектов, полученных из сети и от конечных сетевых узлов. Экспертиза разработана центром PT Expert Security Center и регулярно пополняется. Платформа расширяет возможности SOC для предотвращения инцидентов в технологических системах и позволяет реализовать единый корпоративный и технологический SOC на универсальном стеке продуктов Positive Technologies, не требуя дополнительного обучения персонала.