Кибербезопасность АСУ ТПInfoWatch ARMA Industrial Firewall

Отечественный промышленный межсетевой экран нового поколения (NGFW)

Есть вопрос?

Получите бесплатную консультацию от эксперта

InfoWatch ARMA Industrial Firewall — промышленный межсетевой экран нового поколения (NGFW). Позволяет своевременно обнаружить и заблокировать атаки на промышленные сети, защитить от несанкционированного доступа и обеспечить соответствие требованиям законодательства.

Развитие Индустрии 4.0 ускорило процесс интеграции исполнительных устройств и систем управления. IoT становится неотъемлемой частью цикла производства в промышленности, создаются киберфизические системы. Вслед за смешением контуров IT- и OT-сетей, меняются модели угроз. Обратная сторона цифровизации производственных процессов – постоянный рост источников угроз и их сложность. Обеспечивать кибербезопасность АСУ ТП требует и развивающееся законодательство: вводятся уровни доверия, ужесточаются требования к СЗИ.

Задачи современной системы защиты промышленных сетей — надежно защитить от угроз и обеспечить соответствие требованиям законодательства.

Задачи, которые решает InfoWatch ARMA Industrial Firewall

Защищает АСУ ТП от вредоносного ПО и компьютерных атак

Помимо функции межсетевого экранирования, обладает встроенной системой обнаружения вторжений с базой решающих правил СОВ для АСУ ТП и VPN.

Помогает соответствовать требованиям регулятора

Позволяет реализовать меры защиты значимых объектов КИИ, согласно требованиям ФСТЭК России. Проходит сертификацию по типу «Д» и 4 классу защиты.
Включен в единый реестр российского ПО Минкомсвязи РФ.

Обеспечивает непрерывную работу АСУ ТП уровня Индустрии 4.0.

Защищает сети в смешанных средах, благодаря конфигурации active-passive, фильтрации пакетов промышленных протоколов по полям до уровня команд, и организации безопасного удаленного подключения.

Защиту АСУ ТП профессионалы доверяют промышленным межсетевым экранам. Почему?

Своевременное обнаружение и предотвращение вторжений зависит от способности средства защиты анализировать содержание пакетов промышленного трафика. Ваш межсетевой экран способен на это?

Глубокая инспекция пакетов промышленных протоколов

Предоставляет полную информацию о событиях безопасности в промышленной сети и позволяет детально работать с трафиком.

Определяет протоколы на основе содержания пакетов промышленного трафика, а не только номера порта

Так, Вы получаете данные трафика, в том числе, с нестандартных портов. Это значительно расширяет видимость промышленной сети и позволяет своевременно реагировать на любые угрозы.

Позволяет фильтровать протоколы по полям до уровня отдельных команд и их значений

Вы можете запрещать или разрешать отдельные команды по протоколам, усиливая защиту специфических АСУ ТП.

Работа с трафиком на уровне команд позволяет настроить защиту под свои задачи. Вот некоторые сценарии, которые используют наши клиенты:

Контроль действий пользователей

Назначайте пользователям права, чтобы контролировать легитимность действий в сети. Например, ограничьте права оператора до функции чтения.

Ограничение промышленного трафика на уровне отдельных промышленных протоколов

Усилить защиту специфических и даже обособленных АСУ ТП, можно благодаря работе с отдельными протоколами. Например, для непрерывного монторинга трафика только проприетарного протокола промышленной системы конкретного вендора, запретите трафик других протоколов.

Контроль недопустимых операций с ПЛК

Установите запрет на перепрощивку ПЛК, чтобы своевременно реагировать на нежелательные изменения в системе и, в частности, в ПЛК.

Расширение зоны видимости сети

Своевременно реагировать на угрозы помогают данные трафика, которые поступают со всех типов портов, в том числе ― нестандартных.

Какие задачи стоят перед Вами?

Наши эксперты помогут настроить защиту под специфику ваших АСУ ТП

Какие протоколы инспектирует InfoWatch ARMA Industrial Firewall

Позволяет фильтровать по полям до уровня команд и их значений

  • Modbus TCP
  • Modbus TCP x90 func. code (UMAS)
  • S7 Communication
  • OPC DA | OPC UA
  • IEC 60870-5-104
  • IEC 61850-8-1 MMS
  • IEC 61850-8-1 GOOSE

Обнаруживает вторжения и осуществляет мониторинг

  • Modbus TCP
  • Modbus TCP x90 func. code (UMAS)
  • S7 Communication | S7 Communication plus
  • OPC DA | OPC UA
  • IEC 60870-5-104
  • IEC 61850-8-1 MMS
  • IEC 61850-8-1 GOOSE
  • ENIP / CIP
  • Profibus
  • DNP3

Встроенная система обнаружения вторжений

Обнаруживает и блокирует вредоносное ПО, компьютерные атаки и попытки эксплуатации уязвимостей ПЛК на сетевом и прикладном уровне.

Почему наша СОВ обнаруживает больше типов атак и действует эффективнее, чем отечественные аналоги?

Содержит базу решающих правил СОВ для АСУ ТП, которая обновляется ежедневно

Можно самостоятельно дополнять предустановленную базу СОВ собственными пользовательскими правилами для максимальной защиты конкретных АСУ ТП.

Использует функцию фильтрации пакетов промышленных протоколов

Благодаря детальному разбору трафика до уровня команд и их значений, можно настроить автоматическую блокировку вредоносных пакетов в трафике или информационных потоков от источника угрозы.

Межсетевое экранирование для промышленных объектов

Контролирует доступ к сетевым ресурсам, защищает от несанкционированного действия в промышленной сети и регистрирует все информационные потоки.

Почему наше межсетевое экранирование можно использовать на промышленных объектах?

Позволяет ограничить использование сервисных функций промышленного трафика

Запрещает перепрошивку ПЛК, изменение ПО ПЛК или запись информации в ПЛК. А также, дает возможность устанавливать срок действия учетной записи и гибко назначать права доступа.

Использует функцию фильтрации пакетов промышленных протоколов

С помощью отдельных команд протоколов можно блокировать неавторизованные действия и запрещать недопустимые операции с ПЛК: подключение к сети АСУ ТП, доступ к параметрам ПЛК или управление ПЛК по сети.

Безопасное удаленное подключение через VPN

Обеспечивает безопасность информации при объединении в единую сеть филиалов предприятия, удаленном подключении к производственной площадке или при работе технической поддержки.

Шесть способов защиты от распространенных типов угроз

Примеры установки InfoWatch ARMA Industrial Firewall

Защищайте АСУ ТП на границе с корпоративным сегментом

Современная архитектура АСУ ТП не изолирована от корпоративной сети. Вторжение в промышленную сеть возможно через фишинг, заражённое ПО или в результате перехода на заражённый веб-сайт и далее в промышленную сеть.

Аутентифицируйте пользователей, блокируйте атаки с помощью IPS, ограничивайте информационные потоки из корпоративной сети на уровень АСУ ТП.

Защищайте каналы технической поддержи

Незащищённый канал технической поддержки может способствовать проникновению вредоносного ПО или предоставить киберпреступникам удалённый доступ к промышленной сети.

Блокируйте неразрешенные действия технической поддержки по заранее установленным правилам и правам пользователей, журналируйте все происходящие действия и выявляйте атаки и распространение вредоносного ПО. InfoWatch ARMA Industrial Firewall обнаружит нарушение правил, автоматически сформирует инциденты и направит данные в SIEM-систему.

Защищайте обособленные и смежные АСУ ТП

Если киберпреступник атаковал одну АСУ через уязвимости ПЛК ее уровня, он может получить доступ к смежной АСУ через корпоративный сегмент или смежный уровень ПЛК.

Установите правила и политики взаимодействия АСУ ТП, разного уровня защищённости, а также ограничьте трафик сети внутри обособленных или смежных АСУ ТП. Это может быть особенно актуально, если одна из АСУ ТП подключена к внешней системе передачи данных.

Защищайте сеть между Scada и ПЛК

Проникновение вредоносного ПО, несанкционированное подключение устройств и даже действия операторов могут нанести ущерб АСУ ТП внутри периметра.

Для некоторых систем допустима установка межсетевого экрана между уровнем SCADA и ПЛК. Если это возможно, такая установка позволит построить ещё один эшелон защиты и разделить права пользователей.

Обеспечьте мониторинг трафика внутри АСУ ТП

Если не требуется блокировать атаки, то установите InfoWatch ARMA Industrial Firewall в режиме мониторинга сети и получайте информацию об аномалиях и действиях пользователей. Помните, что мониторинг не защищает, а только информирует.

Защищайте удаленное подключение

Пользователь может заразить корпоративную сеть через фишинговое письмо или подключение зараженного USB. Защитите канал удаленного подключения с помощью VPN, чтобы предотвратить нелегитимное подключение, а также внедрение в канал связи между пользователем и системой.

Узнайте о других продуктах InfoWatch ARMA для обеспечения кибербезопасности АСУ ТП

Комплексная система InfoWatch ARMA позволяет построить эшелонированную защиту промышленных АСУ ТП и состоит из продуктов, которые интегрированы между собой. Кроме промышленного межсетевого экрана нового поколения (NGFW) InfoWatch ARMA Industrial Firewall, в систему входят: средство защиты рабочих станций и серверов SCADA — InfoWatch ARMA Industrial Endpoint и инструмент для автоматического реагирования на инциденты — InfoWatch ARMA Management Console.

Полезные материалы

Защита АСУ ТП - интервью Игоря Души на BIS Summit 2020 06:51
Защита АСУ ТП - интервью Игоря Души на BIS Summit 2020
06:51