Jet CSIRT усилил уровень защиты промышленных предприятий на основе потока данных об угрозах в АСУ ТП от «Лаборатории Касперского»
21 января 2020
1262
21 января 2020, Москва — Центр мониторинга и реагирования на инциденты ИБ Jet CSIRT компании
«Инфосистемы Джет» интегрировал поток данных об угрозах в системах промышленной
автоматизации от «Лаборатории Касперского» в используемые SIEM-систему и базу знаний. Наличие
уникальной информации об угрозах для промышленной инфраструктуры позволило повысить
уровень экспертных сервисов аутсорсинга информационной безопасности для заказчиков из
индустриального сектора.
—
Среди приоритетных ИБ-направлений компания «Инфосистемы Джет» выделяет развитие экспертных
сервисов Jet CSIRT. Сегодня команда Центра насчитывает 40 специалистов, которые одновременно
реализуют около 200 контрактов экспертных услуг: мониторинг и реагирование на инциденты ИБ, сервисы по
техподдержке и эксплуатации средств защиты и другие. Для предоставления защиты «под ключ» максимально
широкому кругу заказчиков Jet CSIRT использует сведения о киберугрозах из различных источников.
Например, сюда входят бюллетени производителей и отчеты исследователей об уязвимостях в оборудовании,
а также потоки данных от компаний, специализирующихся на анализе угроз в определенных областях. Ранее в
арсенале специалистов были сведения преимущественно об угрозах в корпоративной ИТ-инфраструктуре.
Между тем, фокус на обеспечении безопасности промышленных предприятий обусловил потребность в потоке
данных об угрозах именно в АСУ ТП.
«Один из главных приоритетов в развитии нашего сервиса мониторинга и реагирования на инциденты ИБ
— защита промышленных АСУ ТП, систем управления на объектах критической информационной
инфраструктуры, объектов ТЭК. Особенно остро для нас встал вопрос о наличии информации об угрозах,
специфичных для инфраструктуры промышленных предприятий. Проблема заключается в том, что в ИБ-
индустрии пока очень мало организаций, ведущих системные исследования в области поиска индикаторов
компрометации по угрозам АСУ ТП. Ещё меньшее количество компаний обладают достаточным числом
источников данных об угрозах и штатом экспертов для их глубокого анализа. В стремлении выбирать
лучшее для наших заказчиков мы проанализировали рынок и пришли к выводу, что лидером этого
направления является “Лаборатория Касперского”», — отметил Алексей Мальнев, руководитель Центра
мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».
Интегрировав поток данных об угрозах в системах промышленной автоматизации от «Лаборатории
Касперского» в сентябре 2019 года, Jet CSIRT стал первым пользователем этого сервиса. Получаемые
сведения позволяют специалистам своевременно обнаруживать вредоносное программное обеспечение и
попытки атак на АСУ ТП и помогают расследовать сложные киберинциденты на промышленных предприятиях.
Услуга подтвердила правильность выбора уже на этапе пилотного тестирования. Так, во время «пилота»
используемые в Jet CSIRT средства обнаружения вторжений (IPS) успешно фиксировали сетевых червей,
трояны, хакерские утилиты и т.д.
Обнаружение вредоносного ПО и кибератак с помощью потока данных от «Лаборатории Касперского»
происходит путем сравнения содержащихся в них индикаторов компрометации (Indicator of Compromise, IoC) с
данными, собираемыми SIEM-системой с периметра сети, конечных станций и «песочниц». Примерами таких
индикаторов служат IP- и URL-адреса, хеш-суммы файлов и т.д. Сведения об угрозах предоставляются в
открытом формате JSON и постоянно обновляются.
«Данные регулярно обновляются за счет информации, получаемой через облачную инфраструктуру
Kaspersky Security Network с защищаемых нашими продуктами компьютеров АСУ ТП. Эти данные проходят
множество проверок как экспертными системами, так и аналитиками. Для этого используются,
например, эвристический анализ, профилирование поведения, анализ подобия и многие другие техники и
технологии, что позволяет гарантировать надежность поставляемых сведений», — прокомментировал
Кирилл Круглов, старший разработчик-исследователь Центра исследования безопасности
промышленных систем «Лаборатории Касперского» (Kaspersky ICS CERT).
