Кибербезопасность АСУ ТПInfoWatch ARMA Industrial Firewall

Сертифицированный промышленный межсетевой экран нового поколения (NGFW)

Есть вопрос?

Получите бесплатную консультацию от эксперта

InfoWatch ARMA Industrial Firewall — промышленный межсетевой экран нового поколения (NGFW). Позволяет своевременно обнаружить и заблокировать атаки на промышленные сети, защитить от несанкционированного доступа и обеспечить соответствие требованиям законодательства.

Развитие Индустрии 4.0 ускорило процесс интеграции исполнительных устройств и систем управления. IoT становится неотъемлемой частью цикла производства в промышленности, создаются киберфизические системы. Вслед за смешением контуров IT- и OT-сетей, меняются модели угроз. Обратная сторона цифровизации производственных процессов – постоянный рост источников угроз и их сложность. Обеспечивать кибербезопасность АСУ ТП требует и развивающееся законодательство: вводятся уровни доверия, ужесточаются требования к СЗИ.

Задачи современной системы защиты промышленных сетей — надежно защитить от угроз и обеспечить соответствие требованиям законодательства.

Задачи, которые решает InfoWatch ARMA Industrial Firewall

Защищает АСУ ТП от вредоносного ПО и компьютерных атак

Помимо функции межсетевого экранирования, обладает встроенной системой обнаружения вторжений с базой решающих правил СОВ для АСУ ТП и VPN.

Помогает соответствовать требованиям регулятора

Сертификат ФСТЭК России по 4 уровню доверия, МЭ тип «Д» 4 класса защиты (ИТ.МЭ.Д4.ПЗ), СОВ 4 класса защиты (ИТ.СОВ.С4.ПЗ). InfoWatch ARMA Industrial Firewall может применяться на значимых объектах КИИ: АСУ ТП, ГИС до 1 класса защищенности включительно и ИС до 1 уровня защищенности включительно.

Обеспечивает непрерывную работу АСУ ТП уровня Индустрии 4.0.

Защищает сети в смешанных средах, благодаря конфигурации active-passive, фильтрации пакетов промышленных протоколов по полям до уровня команд, и организации безопасного удаленного подключения.

Защиту АСУ ТП профессионалы доверяют промышленным межсетевым экранам. Почему?

Своевременное обнаружение и предотвращение вторжений зависит от способности средства защиты анализировать содержание пакетов промышленного трафика. Ваш межсетевой экран способен на это?

Глубокая инспекция пакетов промышленных протоколов

Предоставляет полную информацию о событиях безопасности в промышленной сети и позволяет детально работать с трафиком.

Определяет протоколы на основе содержания пакетов промышленного трафика, а не только номера порта

Так, Вы получаете данные трафика, в том числе, с нестандартных портов. Это значительно расширяет видимость промышленной сети и позволяет своевременно реагировать на любые угрозы.

Позволяет фильтровать протоколы по полям до уровня отдельных команд и их значений

Вы можете запрещать или разрешать отдельные команды по протоколам, усиливая защиту специфических АСУ ТП.

Работа с трафиком на уровне команд позволяет настроить защиту под свои задачи. Вот некоторые сценарии, которые используют наши клиенты:

Контроль действий пользователей

Назначайте пользователям права, чтобы контролировать легитимность действий в сети. Например, ограничьте права оператора до функции чтения.

Ограничение промышленного трафика на уровне отдельных промышленных протоколов

Усилить защиту специфических и даже обособленных АСУ ТП, можно благодаря работе с отдельными протоколами. Например, для непрерывного монторинга трафика только проприетарного протокола промышленной системы конкретного вендора, запретите трафик других протоколов.

Контроль недопустимых операций с ПЛК

Установите запрет на перепрощивку ПЛК, чтобы своевременно реагировать на нежелательные изменения в системе и, в частности, в ПЛК.

Расширение зоны видимости сети

Своевременно реагировать на угрозы помогают данные трафика, которые поступают со всех типов портов, в том числе ― нестандартных.

Какие задачи стоят перед Вами?

Наши эксперты помогут настроить защиту под специфику ваших АСУ ТП

Какие протоколы инспектирует InfoWatch ARMA Industrial Firewall

Позволяет фильтровать по полям до уровня команд и их значений

  • Modbus TCP
  • Modbus TCP x90 func. code (UMAS)
  • S7 Communication
  • OPC DA | OPC UA
  • IEC 60870-5-104
  • IEC 61850-8-1 MMS
  • IEC 61850-8-1 GOOSE

Обнаруживает вторжения и осуществляет мониторинг

  • Modbus TCP
  • Modbus TCP x90 func. code (UMAS)
  • S7 Communication | S7 Communication plus
  • OPC DA | OPC UA
  • IEC 60870-5-104
  • IEC 61850-8-1 MMS
  • IEC 61850-8-1 GOOSE
  • ENIP / CIP
  • Profibus
  • DNP3

Встроенная система обнаружения вторжений

Обнаруживает и блокирует вредоносное ПО, компьютерные атаки и попытки эксплуатации уязвимостей ПЛК на сетевом и прикладном уровне.

Почему наша СОВ обнаруживает больше типов атак и действует эффективнее, чем отечественные аналоги?

Содержит базу решающих правил СОВ для АСУ ТП, которая обновляется ежедневно

Можно самостоятельно дополнять предустановленную базу СОВ собственными пользовательскими правилами для максимальной защиты конкретных АСУ ТП.

Использует функцию фильтрации пакетов промышленных протоколов

Благодаря детальному разбору трафика до уровня команд и их значений, можно настроить автоматическую блокировку вредоносных пакетов в трафике или информационных потоков от источника угрозы.

Межсетевое экранирование для промышленных объектов

Контролирует доступ к сетевым ресурсам, защищает от несанкционированного действия в промышленной сети и регистрирует все информационные потоки.

Почему наше межсетевое экранирование можно использовать на промышленных объектах?

Позволяет ограничить использование сервисных функций промышленного трафика

Запрещает перепрошивку ПЛК, изменение ПО ПЛК или запись информации в ПЛК. А также, дает возможность устанавливать срок действия учетной записи и гибко назначать права доступа.

Использует функцию фильтрации пакетов промышленных протоколов

С помощью отдельных команд протоколов можно блокировать неавторизованные действия и запрещать недопустимые операции с ПЛК: подключение к сети АСУ ТП, доступ к параметрам ПЛК или управление ПЛК по сети.

Безопасное удаленное подключение через VPN

Обеспечивает безопасность информации при объединении в единую сеть филиалов предприятия, удаленном подключении к производственной площадке или при работе технической поддержки.

Шесть способов защиты от распространенных типов угроз

Примеры установки InfoWatch ARMA Industrial Firewall

Защищайте АСУ ТП на границе с корпоративным сегментом

Рассмотрим пример: АСУ ТП не изолирована от корпоративной сети. Вторжение в промышленную сеть возможно через фишинг, заражённое ПО или в результате перехода на заражённый веб-сайт и далее в промышленную сеть.

Аутентифицируйте пользователей, блокируйте атаки с помощью IPS, ограничивайте информационные потоки из корпоративной сети на уровень АСУ ТП.

Защищайте каналы технической поддержи

Незащищённый канал технической поддержки может способствовать проникновению вредоносного ПО или предоставить киберпреступникам удалённый доступ к промышленной сети.

Блокируйте неразрешённые действия технической поддержки по установленным заранее правилам и правам для пользователей, журналируйте все происходящие действия, выявляйте атаки и распространение вредоносного ПО.

Защищайте взаимосвязанные АСУ ТП

Если киберпреступник атаковал одну АСУ через уязвимости ПЛК её уровня, он может получить доступ к смежной АСУ через корпоративный сегмент или смежный уровень ПЛК.

Установите правила и политики взаимодействия АСУ ТП, разного уровня защищённости, а также ограничьте трафик сети внутри обособленных или смежных АСУ ТП. Это может быть особенно актуально, если одна из АСУ ТП подключена к внешней системе передачи данных.

Защищайте сеть между Scada и ПЛК

Проникновение вредоносного ПО, несанкционированное подключение устройств и даже действия операторов могут нанести ущерб АСУ ТП внутри периметра.

В АСУ ТП, где нет критически опасных процессов, например, на электросетях, установка межсетевого экрана между SCADA и ПЛК позволит построить дополнительный эшелон защиты, разделить права пользователей.

Обеспечьте мониторинг трафика внутри АСУ ТП

Если не требуется блокировать атаки, установите InfoWatch ARMA Industrial Firewall в режиме мониторинга сети и получайте информацию об аномалиях и событиях безопасности.

Защищайте удаленное подключение

InfoWatch ARMA Industrial Firewall обеспечивает безопасное удалённое подключение благодаря защите каналов администрирования и созданию паролей разного уровня сложностей, а также защищает периметр сети при объединении объектов в единую сеть (VPN).

Узнайте о других продуктах InfoWatch ARMA для обеспечения кибербезопасности АСУ ТП

Комплексная система InfoWatch ARMA позволяет построить эшелонированную защиту промышленных АСУ ТП и состоит из продуктов, которые интегрированы между собой. Кроме промышленного межсетевого экрана нового поколения (NGFW) InfoWatch ARMA Industrial Firewall, в систему входят: средство защиты рабочих станций и серверов SCADA — InfoWatch ARMA Industrial Endpoint и инструмент для автоматического реагирования на инциденты — InfoWatch ARMA Management Console.

Полезные материалы