Описание

UDV Agentless EDR for OT — это программный комплекс нового поколения, основанный на интеллектуальных алгоритмах, которые позволяют своевременно и точно обнаруживать инциденты информационной безопасности в автоматизированных системах, в том числе в АСУ ТП.

Решение UDV Agentless EDR for OT формирует комплексную модель системы, в том числе схему ее работы, и выявляет отклонения в работе ее компонентов, таких как программируемые логические контроллеры (ПЛК). ПЛК непосредственно управляют исполнительными свойствами системы предприятия и по этой причине становятся основной целью злоумышленников, которые нацелены на нарушение непрерывности технологического процесса.

Программный комплекс UDV Agentless EDR for OT совместим с любыми автоматизированными системами, не требует информации о топологии и алгоритмах функционирования.

Какие задачи решает безагентный EDR

UDV Agentless EDR for OT контролирует работу ПЛК с учетом следующих ограничений и проблем:

Ограничения на сетевое взаимодействие

Из-за потенциального влияния на технологический процесс, активное периодическое сетевое взаимодействие с ПЛК в большинстве случаев ограничено или запрещено. UDV Agentless EDR for OT обеспечивает мониторинг ПЛК в пассивном режиме, минимизируя риск нарушения работы процесса.

Отсутствие встроенных механизмов защиты в ПЛК

Множество моделей ПЛК лишены встроенных средств защиты и не ведут лог событий. UDV Agentless EDR for OT предлагает программное решение для мониторинга и контроля работы ПЛК на основе поведенческого анализа модели ПЛК.

Уязвимости в ПЛК

Обновление прошивки требует остановки технологического процесса, поэтому ПЛК часто подвержены уязвимостям. Программный комплекс UDV Agentless EDR for OT выявляет отклонения в технологическом процессе, и таким образом позволяет обнаруживать инциденты ИБ, в том числе вызванные эксплуатацией zero-day уязвимостей.

Возможности

В основе программного комплекса UDV Agentless EDR for OT лежит запатентованный метод выявления аномалий на базе агентного моделирования (Патенты RU 2 738 460 C1 «Способ выявления аномалий в работе сети автоматизированной системы» и RU 2 802 164 C1 «Способ выявления нормальных реакций узлов компьютерной сети на пакеты, относящиеся к неизвестному трафику»). В рамках многоагентного подхода каждый компонент или сервис защищаемой системы – это агент, а сама система – набор этих агентов, которые взаимодействуют между собой. Многоагентный подход позволяет как детектировать, так и локализовать аномалии.

Возможности программного комплекса UDV Agentless EDR for OT:

  • Глубокий разбор промышленных протоколов (в том числе проприетарных) и работа с управляющими сигналами ПЛК, которые описывают его поведение.
  • Формирование модели работы ПЛК на основе пассивного наблюдения за входящими и исходящими сигналами при его взаимодействии с любыми другими узлами технологической сети.
  • Сравнение реальных и предсказанных моделью сигналов ПЛК и выявление отклонений от нормального функционирования: мгновенно определяется проблемный узел, источник аномального воздействия и непосредственно сигналы.

Алгоритм построения модели основан на пассивном наблюдении за работой каждого компонента защищаемой системы и не требует активного взаимодействия с ней.

Режимы работы

ОБУЧЕНИЕ

Возможно обучение модели одним или несколькими способами. Модель обучается до тех пор, пока не достигнет заданных метрик точности предсказания.

  • Разбор неизвестного трафика и формирование правил для его дальнейшего анализа.
  • Определение схемы сети и иерархии адресов.
  • Определение компонентов системы: узлов сети и сервисов, действующих в их рамках.
  • Обучение поведенческих моделей для ПЛК.

ВЫЯВЛЕНИЕ АНОМАЛИЙ

После завершения обучения модели следующие события будут считаться аномалиями в работе системы:

  • Изменение иерархии адресов.
  • Появление новых узлов в сети.
  • Запуск на узлах новой службы.
  • Отличия наблюдаемых исходящих сигналов от спрогнозированных на основании модели системы.

Программный комплекс UDV Agentless EDR for OT позволяет локализовать аномалии с точностью до моделируемого компонента системы, определяя все входящие сигналы, которые могли повлиять на нормальную работу объекта защиты. При выявлении ложноположительной аномалии возможно дополнительное обучение модели.

Варианты применения

Расширение функциональности UDV DATAPK Industrial Kit

Применение в качестве самодостаточного решения

OEM-компонент стороннего решения

Преимущества

UDV Agentless EDR for OT – ПРОГРАММНЫЙ КОМПЛЕКС С ЗАПАТЕНТОВАННОЙ ТЕХНОЛОГИЕЙ ВЫЯВЛЕНИЯ АНОМАЛИЙ В РАБОТЕ ПЛК

  • Работа в полностью пассивном режиме с копией трафика = гарантированное отсутствие влияния на защищаемую систему.
  • Функционирование без априорных знаний о системе. Построение модели системы на основе многоагентного подхода и глубокого анализа сетевых пакетов.
  • Выявление и явная локализация аномалий с помощью запатентованной технологии машинного обучения. Патенты RU 2 738 460 C1 и RU 2 802 164 C1.
  • Сочетание скорости сигнатурного анализа известных протоколов с универсальностью автоматического разбора для протоколов с неизвестной спецификацией.
  • Выявление сигналов, которые привели к нарушению технологического процесса.
  • Высокая производительность. Не требуется больших вычислительных мощностей для работы комплекса.

Закажите персональную демонстрацию продукта

10+ патентов
на изобретения

Продукция в Реестре
российских программ и БД

Лицензии и сертификаты
ФСТЭК России

R&D и лаборатория
кибербезопасности