В PT ICS добавлен пакет экспертизы по выявлению кибератак на АСУ ТП на базе Альфа платформы

Новый пакет экспертизы содержит правила для выявления внутренних нарушений и атак на компоненты систем промышленной автоматизации, разработанных на базе ПО Альфа платформа компании «Атомик Софт». Это ПО используется в энергетике, транспортной промышленности, производстве удобрений, нефтегазовой отрасли и других сферах. Правила разработаны для системы MaxPatrol SIEM, которая входит в состав решения для защиты промышленности от киберугроз PT Industrial Cybersecurity Suite (PT ICS).

В 2023 г. промышленные предприятия вошли в топ-6 самых атакуемых целей. В 95% случаев атаки были нацелены на конкретное предприятие, а каждая вторая приводила к нарушению деятельности компании.

Новый пакет экспертизы выявляет манипуляции с данными в SCADA-системах и попытки компрометации основных файлов системы управления со стороны как внешнего хакера, так и внутреннего нарушителя. Правила в пакете экспертизы нацелены на обнаружение таких техник злоумышленников, как:

• Подмена информации на экране. Злоумышленники могут попытаться фальсифицировать данные, которые система передает операторам, например путем изменения файлов проекта HMI. Это делается в расчете на то, что операторы не заметят проблем в работе оборудования или будут действовать, основываясь на некорректных сведениях.
• Несанкционированная модификация параметров сервера АСУ ТП. Злоумышленники могут попытаться отредактировать конфигурационный файл Alpha.Server, который содержит параметры технологического процесса и обмена данными. Таким образом хакеры могут вмешаться в производственный процесс, что приведет к серьезным последствиям для предприятия.
• Остановка работы сервиса. Хакеры могут попытаться прервать работу сервера данных Alpha.Server. Это может привести в том числе к авариям, опасным для окружающей среды.
• Маскировка вредоносной активности. Злоумышленники могут попытаться подменить сведения о местоположении, имени объекта или его метаданные, чтобы выдать свои действия за разрешенные. В случае Альфа платформы событие связано с подменой файлов другими, модифицированными злоумышленниками файлами или более старыми версиями, содержащими уязвимости или ошибки.

Пакет экспертизы уже доступен для установки через службу технической поддержки в последней версии системы MaxPatrol SIEM, которая входит в состав платформы PT ICS.