Российский разработчик средств информационной безопасности «Доктор Веб» объявил о выпуске Dr.Web Industrial — продукта для защиты автоматизированных систем управления технологическими процессами (АСУ ТП) от цифровых угроз.

Dr.Web Industrial осуществляет защиту серверов и рабочих станций в промышленных системах управления и на объектах критической инфраструктуры от заражения вредоносным ПО и целевых атак. Решение позволяет контролировать доступ к файлам и директориям, а также подключаемые сотрудниками устройства и активность сторонних приложений.

Особенностью защитного комплекса является отсутствие необходимости прерывания технологического процесса при обнаружении вредоносной активности. Все участники производственной цепочки, от оператора рабочей станции до ИБ-службы компании могут отслеживать ситуацию в режиме реального времени и принимать решение по устранению угрозы безопасности.

Защитный комплекс Dr.Web Industrial предназначен для работы в среде Windows, Linux, FreeBSD. Лицензирование продукта осуществляется по количеству защищаемых объектов АСУ ТП.

Компания Positive Technologies сообщила о выпуске новой версии комплексного решения PT Industrial Security Incident Manager 4.4 (PT ISIM 4.4), предназначенного для защиты автоматизированных систем управления технологическими процессами (АСУ ТП).

Представленный российским разработчиком продукт осуществляет сбор и анализ сетевого трафика в инфраструктуре предприятия. PT ISIM обеспечивает поиск следов нарушений информационной безопасности в сетях АСУ ТП, помогает на ранней стадии выявлять кибератаки, активность вредоносного ПО, неавторизованные действия персонала (в том числе злоумышленные) и обеспечивает соответствие требованиям законодательства (187-ФЗ, приказы ФСТЭК № 31, 239, ГосСОПКА).

PT Industrial Security Incident Manager 4.4 включает в себя расширенный контроль сетевых коммуникаций на современных цифровых энергообъектах по стандарту МЭК-61850. В продукте появился новый microView Sensor, который устанавливается на компактные промышленные ПК и предназначен для использования на небольших объектах автоматизации: подстанциях 6–10 кВ, тепловых пунктах, в цехах и инженерных системах ЦОД и зданий.

Решение может выявлять аномальные сетевые соединения, отказы и ошибки коммуникации по протоколам MMS и GOOSE, свидетельствующие о неправильной эксплуатации, некорректной настройке оборудования или попытках компрометации устройств. Также упростился пользовательский интерфейс PT ISIM 4.4. Обновление предыдущих версий теперь полностью централизованно для всех поддерживаемых операционных систем — ручное обновление дополнительных модулей не требуется.

«Лаборатория Касперского» сообщила о выпуске обновлённой промышленной платформы Kaspersky Industrial CyberSecurity (KICS), включающей набор специализированных продуктов и сервисов, призванных обеспечить кибербезопасность промышленных предприятий. Решение помогает реализовать комплексный подход к кибербезопасности на всех уровнях, начиная с анализа защищённости и тренингов для сотрудников и заканчивая технологиями защиты АСУ ТП и реагированием на инциденты.

В обновлённой версии платформы решение для защиты конечных точек KICS for Nodes может использоваться в качестве узлового агента для сбора расширенного набора данных для глубокого анализа инцидентов, а также реагирования на них. Благодаря этому операторы будут получать оповещения о событиях в сети, содержащие данные о хосте и протекающих на нём процессах, активности зарегистрированных пользователей и сетевых коммуникациях с более высокой точностью.

Компоненты Kaspersky Industrial CyberSecurity

Среди других важных изменений — встроенные средства централизованного аудита безопасности сетевых узлов и устройств на базе Windows и Linux. Благодаря этой функции ИБ-службы могут автоматически проверять хост или группу хостов на наличие уязвимостей в программном обеспечении, неправильных настроек, а также на соответствие локальному или международному законодательству и корпоративным политикам, в частности требованиям ФСТЭК России.

Доработкам подвергся компонент KICS for Networks, дополнившийся продвинутой системой анализа сетевого трафика (NTA), предоставляющей возможность анализировать трафик как на периметре, так и по всей инфраструктуре. Решение для защиты промышленных узлов KICS for Nodes получило поддержку новых моделей ПЛК. Наконец, благодаря расширенным возможностям XDR клиенты теперь могут управлять установочной базой KICS из единой консоли, а также масштабировать работу по обеспечению безопасности АСУ ТП на множество крупных географически распределённых площадок.

«Лаборатория Касперского» выявила серию сложных целевых кибератак на промышленные предприятия в Восточной Европе. Злоумышленники крадут данные у компаний производственного сектора, а также у организаций, занимающихся инжинирингом и интеграцией автоматизированных систем управления (АСУ).

Вредоносная кампания похожа на ранее исследованные атаки ExCone и DexCone, которые, предположительно, связаны с группой APT31, также известной как Judgment Panda и Zirconium.

Источник изображения: pixabay.com

Для получения удалённого доступа к системам жертв, сбора и кражи данных применяются более 15 различных имплантов. Это модули для обеспечения бесперебойного удалённого доступа и первоначального сбора информации, инструменты для сбора файлов (в том числе с физически изолированных систем), а также средства выгрузки данных на командные серверы. Имплаты позволяют создавать множество постоянно действующих каналов для вывода украденной информации, в том числе из высокозащищённых систем.

Отмечается, что злоумышленники продемонстрировали обширные знания и опыт в обходе мер безопасности. Они, в частности, активно использовали техники DLL-подмены, чтобы избегать обнаружения во время работы имплантов. DLL-подмена предполагает применение легитимных исполняемых файлов сторонних разработчиков, в которых есть уязвимости, позволяющие загрузить в их память вредоносную динамическую библиотеку.

Для эксфильтрации информации и доставки вредоносного ПО использовались облачные сервисы и платформы обмена файлами. Хакеры развёртывали инфраструктуру управления и контроля скомпрометированных систем в облачной среде и на частных виртуальных серверах. В атаках использовались новые версии вредоносного ПО FourteenHi и новый имплант MeatBall, предоставляющий обширные возможности для удалённого доступа.

Отличительная особенность киберпреступной кампании — кража данных из изолированных компьютерных сетей через последовательное заражение съёмных носителей. При этом были задействованы как минимум четыре различных модуля: инструмент для работы со съёмными носителями и сбора информации о них; средства заражения съёмного носителя; компонент сбора и сохранения данных на заражённом носителе; модуль заражения и сбора информации с удалённого компьютера.

Российские промышленные предприятия, по сообщению газеты «Ведомости», разрабатывают отечественную автоматизированную систему управления технологическим процессом (АСУ ТП). Необходимость создания такого продукта продиктована тем, что многие зарубежные поставщики ПО покинули рынок РФ.

При поддержке Минпромторга уже сформирована специальная рабочая группа для реализации проекта. Её представителями являются «Еврохим» и «Северсталь». Кроме того, участие в инициативе принимают «Норникель», «Фосагро», «Уралхим» и ассоциация «Индустриальные инновации» («Газпромнефть — цифровые решения» и «Нефтетранссервис»).

Источник изображения: pixabay.com

Предполагается, что российская АСУ ТП будет основана на открытом программном коде. Продукт станет альтернативой зарубежным платформам производства Siemens и GE. Речь идёт о создании отечественного софта, который могли бы «дорабатывать все и он бы не ставил в зависимость от конкретного поставщика».

Иными словами, в проекте могут принять участие несколько независимых разработчиков, учитывающих единую спецификацию продукта. Должны быть определены требования в отношении того, как пользователь будет взаимодействовать с автоматизированным рабочим местом, программным интерфейсом драйвера контроллера, логическим модулем работы предприятия и пр.

Говорится, что Индустриальный центр компетенций «Нефтегаз и нефтехимия» уже приступил к реализации «Открытой платформы промышленной автоматизации». Она базируется на открытых стандартах взаимодействия между работающими на собственном коде и аппаратно-программном исполнении устройствами АСУ ТП.

Минцифры России сообщило об утверждении правительством требований к программному обеспечению, используемому органами власти и госкомпаниями на значимых объектах критической информационной инфраструктуры (КИИ). Также были определены правила согласования закупок иностранного ПО и перехода на отечественный софт в данной сфере.

Подчёркивается, что постановление подготовлено во исполнение указа президента о мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры РФ.

Основные положения:

• на значимых объектах КИИ может использоваться только программное обеспечение, включённое в реестр российского или евразийского ПО. Отдельные виды продуктов должны иметь сертификат, подтверждающий соответствие требованиям ФСБ и ФСТЭК России;
• закупки иностранного софта должны быть согласованы отраслевым министерством. Для закупок свыше 100 млн рублей требуется дополнительное согласование комиссии, которая будет сформирована при Минцифры России;
• контроль за соблюдением госкомпаниями правил согласования закупок иностранного ПО будет осуществлять Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации;
• министерствам необходимо утвердить отраслевые планы перехода на российское программное обеспечение на значимых объектах КИИ. На их основе госкомпании должны будут сформировать и утвердить индивидуальные планы перехода.

Список объектов критической информационной инфраструктуры страны включает телекоммуникационные и IT-системы, а также АСУ ТП, которые используются в государственных органах, здравоохранении, на транспорте и в связи, кредитно-финансовой сфере, топливно-энергетическом комплексе и различных отраслях промышленности: атомной, оборонной, ракетно-космической, химической и других.

Министерство промышленности и торговли РФ опубликовало проект постановления правительства, определяющий порядок перевода объектов критической информационной инфраструктуры (КИИ) на аппаратные и программные решения отечественного производства. Об этом сообщает издание RSpectr.com со ссылкой на Федеральный портал проектов нормативных правовых актов.

Представленный ведомством документ открыт для изучения и общественного обсуждения на этой странице сайта regulation.gov.ru. В нём предложено владельцам объектов КИИ провести аудит ресурсов и разработать проект плана перехода на «преимущественное применение доверенных программно-аппаратных комплексов», то есть тех, в состав которых включены российские радиоэлектронная продукция и ПО, находящиеся в реестрах Минпромторга и Минцифры России. Соответствующие обязательства необходимо исполнить до апреля 2023 года.

Отмечается, что разработка, создание и сервисное обслуживание доверенных программно-аппаратных комплексов для КИИ будут возложены на специально созданное с этой целью научно-производственное объединение (НПО), обеспечивать организацию которого будет правительство Российской Федерации. При этом мониторинг перехода субъектов критической информационной инфраструктуры на преимущественное применение российского софта предлагается закрепить за Минцифры.

Список объектов критической информационной инфраструктуры страны включает телекоммуникационные и IT-системы, а также АСУ ТП, которые используются в государственных органах, здравоохранении, на транспорте и в связи, кредитно-финансовой сфере, топливно-энергетическом комплексе и различных отраслях промышленности: атомной, оборонной, ракетно-космической, химической и других.