Модернизированный VirusTotal для защиты АСУ ТП, SCADA-систем

Модернизированный VirusTotal для защиты АСУ ТП, SCADA-систем

Для выявления в сетях зловредного ПО самыми эффективными на сегодняшний день программными инструментами считаются технологии так называемых «сетевых песочниц» (Sandbox), алгоритм работы которых включает открытие всех файлов (в том числе зараженных) и анализ их активности (изменения в реестре, сетевой активности и активности файловой системы и т. п.), в результате которого «песочница» (находящаяся в виртуальной машине) блокирует или пропускает файл к сетевым устройствам и подключенным компьютерам.

Один из таких широко распространенных инструментов – бесплатный онлайн-сервис VirusTotal, выложенный в Интернет в 2004 году его разработчиком — испанской компанией Hispasec Sistemas. В VirusTotal работают несколько десятков антивирусных программ, включая известные Avast, Avira, BitDefender и другие (к ним добавляются время от времени новые системы антивирусного ПО), благодаря чему эффективность обнаружения зловредов при использовании этого сервиса намного выше, чем в случаях применения отдельных антивирусных решений.

Однако все используемые в настоящее время технологии Sandbox (включая VirusTotal) разработаны с ориентацией на телекоммуникационное оборудование и протоколы обмена данными и «не знают» об особенностях системного программного обеспечения автоматизированных систем управления технологическими процессами (АСУ ТП, SCADA-систем) и узкоспециализированного прикладного ПО, которое управляет отдельными технологическими установками. А это «незнание» оборачивается пропуском «специфических зловредов», разработанных хакерами для проникновения в конкретные технологические объекты.

И вот недавно молодая компания CyberX (основана в 2012 году в Израиле, а затем перерегистрирована в США), работающая в сфере ИТ-безопасности, объявила о создании ее программистами аналога VirusTotal для АСУ ТП. Отличие нового сервиса от уже привычного для сетевых администраторов VirusTotal состоит в том, что виртуальная машина «песочницы» в дополнение к традиционным функциям имитирует работу реальной промышленной информационно-управляющей сети, к которой подключены производственные линии и отдельные технологические установки. Для обеспечения такой узкоспециализированной функциональности программисты CyberX разработали программные модули ПО «специфического промышленного назначения», виртуализированных технологических процессов, в которые поместили файлы, типичные для SCADA-систем.

В дополнение к этим «индустриально ориентированным» модулям в «промышленном VirusTotal» создан образ виртуальной сети с низким уровнем взаимодействия, содержащей приманки для ИТ-злоумышленников, известные как Honeypot («горшочек с медом»). Отслеживание проникновений в эти виртуальные приманки позволит администратору сети выявить хакеров, «интересующихся» данной АСУ ТП, и подготовиться к эффективному противодействию их атакам.

См. также:

Share on FacebookShare on VKShare on Google+Tweet about this on Twitter

Добавить комментарий