Informacje o wydaniu 2.0.51

1. NOWOŚCI I ULEPSZENIA

1.1. Integracje: Crowdstrike

Integracja pozwala na:

1. Wzbogacenie alertu o dane dotyczące hosta, z którego przeprowadzono atak na podstawie Source IP alertu;
2. Odizolowanie hosta, jeśli posiada on agenta Crowdstrike, gdy ten host jest źródłem alertu; Odizolowanie sieci (opcjonalnie).

1.2. Integracje: Fortigate

Platforma Labyrinth Deception integruje się z dostępnymi urządzeniami Fortigate w celu:

1. Wzbogacenia alertów o dane dotyczące atakującego hosta;
2. Wdrożenia mechanizmu izolowania hosta w sieci, jeśli jest on zaangażowany w incydent bezpieczeństwa, tj. jeśli zaobserwowano, że wykonuje złośliwe działania w Punkcie (Point).

1.3. Nowe typy wabików (Points) dla ochrony SCADA/OT

W celu ochrony systemów SCADA/OT opracowano nowe typy wabików, które mogą emulować interfejsy Web PLC oraz protokoły Siemens S7COMM, SNMP, Modbus itp.

1.3.1. Siemens Simatic S7-1200

Ten rodzaj wabika (w ramach Point) emuluje PLC Siemens Simatic S7-1200, a dokładniej:

• sieciowy interfejs graficzny;
• protokół S7COMM do komunikacji ze sterownikiem PLC;
• protokół SNMP.

1.3.2. Siemens Simatic S7-300 i S7-1500

Podobnie jak poprzedni typ wabika, wabiki dla S7-300 i S7-1500 emulują S7COMM, SNMP, ale jest brak emulacji interfejsu graficznego. Jednak alerty i ogólna wydajność SNMP i S7COMM są identyczne jak w przypadku S7-1200.

1.3.3. Rockwell Allen Bradley PLC i Ethernet Processor SLC-500

Dodano również emulacje interfejsu graficznego dla rozwiązań Rockwell Allen Bradley:

1. Allen Bradley PLC CompactLogix 5069-L320ER/A
2. Allen Bradley Ethernet Processor SLC-500 (1747-L552/C)

1.3.4. Modbus over TCP/IP

Modbus TCP Server to typ wabika, który do komunikacji wykorzystuje sieci TCP/IP. Jeśli jest on obecny w ustawieniach sieci decepcji (honeynet), możliwe jest wykrycie każdej interakcji
z wabikiem (Point) poprzez protokół Modbus TCP: próba odczytu i zapisu rejestrów, próba uzyskania opisu serwera, itp.

1.3.5. Imitacja serwera MQTT

MQTT nie jest bezpośrednio związany ze SCADA, a raczej z tematyką IoT. MQTT Broker to typ wabika (Point), który jest pełnoprawnym brokerem MQTT i pozwala na publikowanie powiadomień do kolejek wiadomości, subskrybowanie takich kolejek (tzw. topics), itp.

Obecnie istnieją dwie możliwości wdrożenia tego typu wabika:

1.            Broker MQTT z anonimowym dostępem do niego. Oznacza to, że podczas łączenia się z nim, publikowania powiadomień, czy subskrybowania kolejek, nie ma potrzeby uwierzytelniania.

2.           MQTT Broker with Authentication to wariant wabika, który wymaga od klienta uwierzytelnienia za pomocą nazwy użytkownika i odpowiadającego jej hasła.

1.4. Resetowanie hasła użytkownika

Jeśli użytkownik systemu zgubił lub zapomniał hasła, administrator najemcy lub superużytkownik może je zresetować. W takim przypadku zostanie wygenerowane hasło jednorazowe (OTP),
a użytkownik musi zmienić hasło na nowe przy kolejnym logowaniu.

1.5. Obsługa strefy czasowej

Data, godzina i przedziały czasowe są wyświetlane użytkownikowi zgodnie z ustawieniami strefy czasowej w systemie. Obejmuje to czas alertu w Punkcie (Point), zakres dat dla danych pulpitu nawigacyjnego, zakres czasu w Settings -> General -> Trusted IPs, itd.

1.6. Ulepszenie menu dot. najnowszych  alarmów (Latest Alerts) 

Nowy wygląd paska bocznego ułatwia, przyspiesza i poprawia analizę zdarzeń.

1.7. Oficjalne wsparcie dla KVM

Instalacja AdminVM na platformach opartych na KVM (Proxmox, OpenStack, itp.) jest  już oficjalnie wspierana. Szczegóły procesu instalacji są opisane w podręczniku użytkownika (User Manual).
 

2. POPRAWKI

2.1. Odinstalowanie agenta Seeder z dużą liczbą zadań

W warunkach laboratoryjnych zauważyliśmy problem z usuwaniem agenta Seeder w przypadku wykonania dużej liczby ponownego generowania sieci w ramach Labirynth (honeynets). Obecnie jest on naprawiony, ale nasz zespół jest gotowy do szybkiej reakcji w przypadku jego ponownego wystąpienia.