Нашумевшие атаки на норвежского производителя алюминиевых изделий Norsk Hydro и энергосистему Венесуэлы лишний раз показали, что промышленные предприятия по-прежнему уязвимы для хакеров. Мы решили разобраться, какие специализированные СОВы – системы обнаружения вторжений – помогают бороться с подобными киберпреступлениями и способны «увидеть» злоумышленников в сетевых сегментах АСУ ТП. Выбирая из пяти решений, мы остановились на двух – KICS for Networks от «Лаборатории Касперского» и ISIM от Positive Technologies – и сравнили их по 40 критериям. Что у нас получилось, вы сможете узнать под катом.
Зачем СОВы промышленным предприятиям
Внешние угрозы
По словам Алексея Петухова, руководителя Kaspersky Industrial CyberSecurity в РФ, «Россия вошла в ТОП-20 стран по проценту атакованных компьютеров АСУ ТП». К сожалению, в России не принято распространяться об инцидентах, происходящих на производстве, но наш опыт подсказывает, что ситуация, с которой столкнулась компания Norsk Hydro, может повториться и на отечественных промышленных предприятиях.
Подробный разбор атаки на Norsk Hydro читайте тут.
Есть распространенное заблуждение, что, разделив промышленные и корпоративные сети и исключив доступ к интернету, предприятие гарантирует себе безопасность. Но это не так. Сейчас атаки планируются и реализуются достаточно длительное время – злоумышленники тщательно готовятся к нападению и детально продумывают сценарий взлома. При этом мотивация у атакующих может быть совершенно разной. Вымогатели и шифровальщики пытаются поразить как можно больше устройств, спецслужбы ставят цель нанести максимальный ущерб инфраструктуре и т.д. Но любая атака имеет свой цикл, который всегда начинается с разведки. СОВы способны обнаружить киберпреступников уже на этом этапе и оповестить об угрозе, пресекая деятельность нападающих на начальной стадии атаки.
Атаки будут продолжаться и дальше, а готовиться к ним нужно было еще вчера.Внутренние угрозы
Самые распространенные угрозы – не внешние, а внутренние. Недовольные положением или зарплатой сотрудники могут использовать корпоративные мощности в своих целях. Уволенные работники оставляют «закладки», продавая доступ в «Даркнете» или эксплуатируя инфраструктуру в личных интересах. Мы на практике сталкивались со случаями, когда на рабочих станциях устанавливалось ПО для удаленного управления компьютером в целях оперативного управления или работы из дома. В подобных историях часто возникает дилемма, которая обычно приводит к противостоянию «безопасников» и «асушников»: что важнее – удобство обслуживания или безопасность? Нередко на предприятиях можно увидеть рабочие станции без какой-либо защиты, к которым запрещено прикасаться, так как любое воздействие может привести к остановке технологического процесса. Но для нарушителя (внешнего или внутреннего) это и будет основной целью атаки. Предприятие не должно страдать из-за того, что вы доверяете своим сотрудникам и оставляете возможности для манипуляций.Законодательство
Государство строит систему ГосСОПКА, которая, по задумке, должна не только оповещать ФСБ обо всех выявленных инцидентах на производстве, но и стать полноценной базой компьютерных атак, происходящих на территории России. Сейчас мы находимся в начале пути, и пока трудно сказать, когда государственные органы достигнут цели. Тем не менее, в 2017 г. вышел 187-ФЗ «О безопасности критической информационной инфраструктуры РФ», а за ним и ряд приказов ФСТЭК, которые в том числе определяют процедуру категорирования объектов КИИ и меры по обеспечению их безопасности. После присвоения категории значимости каждому объекту компания должна обеспечить его защиту. Так, Приказ ФСТЭК № 239 от 25 декабря 2017 г. рассказывает нам о мерах, которые субъект (госорганы, госучреждения, российские юрлица, а также индивидуальные предприниматели, кому по праву собственности, аренды или на ином законном основании принадлежат ИС, ИТС, АСУ) обязан применять при защите объектов КИИ. Для владельцев объектов 2 или 1 категории регулятор в обозначенном приказе устанавливает требование использовать средство обнаружения вторжений. Мы убеждены, что из-за практики занижения категорий такие решения будут полезны всем объектам КИИ.
Требования Приказа ФСТЭК № 239 от 25 декабря 2017 г.
Раздел VII. — Предотвращение вторжений (СОВ) предъявляет требование СОВ.1 «Обнаружение и предотвращение компьютерных атак» к объектам критической информационной инфраструктуры 2 и 1 категории.
Функциональные возможности СОВ
На наш взгляд, решения должны предоставлять следующие возможности.
- Мониторинг технологической сети с возможностью поддержки технологических протоколов основных производителей АСУ ТП.
- Автоматическое определение типа устройства (АРМ, сервер, ПЛК).
- Возможность контроля технологического процесса.
- Обнаружение вторжений в технологическую сеть.
- Передача зарегистрированных событий в сторонние системы мониторинга (SIEM) с возможностью их анализа.
- Графическое построение карты технологической сети.
- Создание и выгрузка отчетов.
- Помощь в расследовании инцидентов.
Как мы выбирали решения для сравнения
При выборе решений для исследования мы отталкивались от трех основных критериев: присутствие продукта на российском рынке, наш собственный проектный опыт и совместимость решения с другими продуктами вендора.
Сегодня на российском рынке представлено как минимум 5 решений, которые можно рассматривать как СОВ в промышленных сетях:
- KICS for Networks от «Лаборатории Касперского»;
- ISIM от Positive Technologies;
- ASAP от InfoWatch;
- Datapk от УЦСБ;
- SCADAShiled от Cyberbit.
Из всего многообразия мы выбрали 3 решения, которые сейчас, на наш взгляд, наиболее популярны на российском рынке: KICS for Networks от «Лаборатории Касперского», ISIM от Positive Technologies и ASAP от InfoWatch.
В процессе переговоров компания InfoWatch решила не участвовать в сравнении. Коллеги готовят к релизу новую версию своего продукта и на момент проведения сравнительного анализа не были готовы предоставить ее нам для тестирования. Мы будем рады добавить данное решение в следующую версию нашего сравнения.
Что касается решений от «Лаборатории Касперского» и Positive Technologies, то обе компании предоставили нам дистрибутивы для самостоятельного изучения и в процессе тестирования оперативно отвечали на наши вопросы. В пользу решений KICS for Networks и ISIM сыграло и то, что ранее мы уже внедряли их как для тестирования, так и в промышленную эксплуатацию. Помимо этого, оба продукта могут встраиваться в другие комплексные решения. Например, ISIM отлично работает в связке с Max Patrol SIEM, и зачастую на тестирование идут оба продукта. У «Лаборатории Касперского» есть KICS for Nodes – специализированное решение (антивирус) для защиты серверов, контроллеров и рабочих станций, находящихся в промышленной сети. В этом обзоре мы не ставили перед собой цель сравнить полноту интеграции с другими продуктами и ограничились только функционалом выбранных решений. Тем не менее, это немаловажный фактор при выборе системы для внедрения.
Как проходило сравнение
Для качественного сравнения мы определили критерии и разбили их на 5 групп. За основу взяли вопросы, наиболее часто задаваемые нашими заказчиками при выборе решения. Мы не разбирали технологии, используемые в продуктах, детально, а изучили только принципиально важные, которые влияют на выбор того или иного решения.
Далее развернули стенды на виртуальных серверах «Инфосистемы Джет» и посмотрели последние версии продуктов: KICS for Networks 2.8 и ISIM 1.5.390.
По результатам исследования составили сравнительную таблицу и отправили ее вендорам на согласование. Они дополнили своими комментариями те оценки, которые посчитали нужными. Комментарии вендоров приведены в отдельных столбцах сравнительных таблиц и выделены курсивом. Наши выводы приведены в разделе «Комментарии» и могут отличаться от позиции вендоров.
Особенности установки решений
Разворачивание продукта происходит на базе Debian 8. Дистрибутив ОС со всеми необходимыми пакетами предоставляется вендором. Все рекомендации по установке и настройке ОС подробно и доступно расписаны в руководстве по продукту. Первоначальная настройка ПО PT ISIM сводится к корректировке часового пояса и конфигурированию сетевых интерфейсов, что делает установку простой, быстрой и интуитивно понятной. Все функции управления и мониторинга осуществляются через веб-интерфейс.
Разворачивание продукта происходит на базе CentOS. Дистрибутив ОС со всеми необходимыми пакетами предоставляется вендором. Рекомендаций по установке ОС от производителя нет.
При установке ПО производится настройка узла, сервера управления, сенсоров, веб-сервера. Установка может проводиться на русском или английском языках. Трудностей и нюансов при установке не выявлено.
ISIM
Разворачивание продукта происходит на базе Debian 8. Дистрибутив ОС со всеми необходимыми пакетами предоставляется вендором. Все рекомендации по установке и настройке ОС подробно и доступно расписаны в руководстве по продукту. Первоначальная настройка ПО PT ISIM сводится к корректировке часового пояса и конфигурированию сетевых интерфейсов, что делает установку простой, быстрой и интуитивно понятной. Все функции управления и мониторинга осуществляются через веб-интерфейс.
KICS for Networks
Разворачивание продукта происходит на базе CentOS. Дистрибутив ОС со всеми необходимыми пакетами предоставляется вендором. Рекомендаций по установке ОС от производителя нет.
При установке ПО производится настройка узла, сервера управления, сенсоров, веб-сервера. Установка может проводиться на русском или английском языках. Трудностей и нюансов при установке не выявлено.
Лицензирование
Продукт имеет 3 версии.
Все продукты поставляются в виде ПО, которое можно развернуть в виртуальной среде. Версии Net и Pro могут поставляться как программно-аппаратные комплексы.
Стоимость предоставляется по запросу (закрытый прайс-лист).
Продукт имеет одну версию. На момент публикации – 2.8.
По характеристикам сопоставим ISIM Pro.
Поставляется в виде ПО, которое можно развернуть как в виртуальной среде, так и на аппаратном комплексе.
Стоимость предоставляется по запросу (закрытый прайс-лист).
ISIM
Продукт имеет 3 версии.
- ISIM Free – версия с крайне усеченным функционалом. Предназначена для знакомства с продуктом.
- ISIM Net – основной продукт компании. В большинстве случаев заказчики выбирают именно его. Имеет весь необходимый функционал.
- ISIM Pro – продвинутая версия ISIM Net. Имеет расширенный и уникальный функционал (мнемосхемы). По характеристикам сопоставима с KICS for Networks 2.8.
Все продукты поставляются в виде ПО, которое можно развернуть в виртуальной среде. Версии Net и Pro могут поставляться как программно-аппаратные комплексы.
Стоимость предоставляется по запросу (закрытый прайс-лист).
KICS for Networks
Продукт имеет одну версию. На момент публикации – 2.8.
По характеристикам сопоставим ISIM Pro.
Поставляется в виде ПО, которое можно развернуть как в виртуальной среде, так и на аппаратном комплексе.
Стоимость предоставляется по запросу (закрытый прайс-лист).
Сравнительный обзор СОВ (индустриальных IDS)
Примечание. В таблице курсивом обозначены комментарии вендоров.
| Параметр |
Обозначение |
|---|---|
| Наличие |
Данное свойство или элемент полностью поддерживается. |
| Отсутствие |
Данное свойство или элемент не поддерживается. |
| Частично |
Присутствует неполная или неправильная реализация данного свойства/элемента. |
Таблица 1. Сравнение по группе критериев «Функциональные»
В данной группе мы сравниваем основные функциональные компоненты систем мониторинга промышленного трафика. Для сравнения выбрали технологии, которые являются основополагающими для анализа трафика в АСУ ТП. Мы считаем, что данные критерии должны присутствовать во всех СОВах, как специализирующихся на обработке технологического трафика, так и для выявления угроз, возникающих на промышленных предприятиях.
Таблица 1
Критерии интеграции
В данном разделе рассматривается интеграция со сторонними вышестоящими системами анализа для последующей обработки.
Влияние санкционных рисков
Дополнительные критерии
| № п/п | Наименование испытаний и проверок | Результат | PT ISIM (курсивом комментарии вендора) |
KICS for Networks (курсивом комментарии вендора) |
Комментарии «Инфосистемы Джет» |
|---|---|---|---|---|---|
| 1.1 | Автоматизированная инвентаризация узлов сети | Наличие или отсутствие функционала автоматизированной инвентаризации узлов сети | Наличие | Наличие | |
| 1.2 | Детектирование на базе SNORT-подобных сигнатур | Наличие или отсутствие функционала детектирования на базе SNORT-подобных сигнатур | Наличие Используются SNORT-подобные сигнатуры, разработанные и/или модифицированные силами разработчика. |
Наличие Используется Suricata вместо SNORT. |
Различия обусловлены применяемыми технологиями, которые выбраны вендорами. Различие технологий не влияет на качество работы решений. |
| 1.3 |
Возможность создания и изменения правил выявления инцидентов аномалий сетевого и прикладного уровней |
Наличие или отсутствие возможности создания и/или изменения правил |
Наличие |
Наличие |
У ISIM данный функционал доступен в версии Pro. KICS for Networks по функционалу соответствует версии Pro. |
| 1.4 |
Выявление инцидентов и аномалий на прикладном уровне АСУ ТП на основе функции контроля изменения технологических параметров |
Наличие или отсутствие функционала выявления инцидентов на основе функции контроля изменения технологических параметров |
Наличие |
Наличие |
|
| 1.5 |
Возможность настройки анализа промышленного трафика |
Наличие или отсутствие опций настройки анализа промышленного трафика |
Наличие Настройка функций анализа выполняется двумя способами. Первый – коррекция правил сетевого взаимодействия в интерфейсе путем авторизации/деавторизации сетевых узлов и соединений (в версиях Net и Pro). Второй – создание правил прикладного уровня в конфигураторе (в версии Pro). |
Наличие |
ISIM версии Net и Pro различаются глубиной настройки параметров анализа технологического трафика. KICS for Networks сопоставим по этому параметру с Pro версией ISIM. |
| 1.6 |
Возможность разделения копий трафика |
Наличие или отсутствие возможности разделения копий трафика от нескольких систем |
Наличие Разделение копий трафика возможно в части представления в интерфейсе, в части анализа и в части экспорта. Для представления в интерфейсе предусмотрена возможность группировки сетевых узлов и соединений по признакам логического или физического разделения. В части анализа разделение трафика от нескольких систем или сегментов сети реализуется путем настройки фильтров в интерфейсе представления событий (выборка событий по каждому отдельному сегменту или системе) с последующим экспортом копий трафика по отфильтрованным событиям. |
Наличие | Разделение трафика необходимо для логического разделения компонентов промышленной сети и удобства фильтрации событий. KICS for Networks разделяет копии трафика по точкам мониторинга. ISIM делит по точкам мониторинга и по компоновке на карте топологии сети. |
| 1.7 |
Выявление сетевых аномалий на основе правил (детектов), работающих «из коробки» |
Наличие или отсутствие предустановленных правил |
Наличие Продукт использует встроенную, обновляемую базу промышленных правил PT ISTI. |
Наличие | |
| 1.8 |
Контроль целостности сети (обнаружение новых устройств в сети) |
Наличие или отсутствие функции контроля целостности сети |
Наличие |
Наличие |
|
| 1.9 |
Идентификация и аутентификация пользователей |
Наличие или отсутствие идентификации и аутентификации пользователей |
Наличие |
Наличие |
|
| 1.10 |
Поддерживаемые промышленные протоколы |
Перечень поддерживаемых промышленных протоколов |
APC FG; CIP; DIGSI; GOOSE; IEC104; MMS; MODBUS TCP; OPC DA; PROFINET (2 вида); S7 comm (2 вида); SPABUS; UMAS; Vnet/IP; DeltaV Commissioner; DeltaV FWUpgrade; + 3 протокола, закрытые по NDA |
ABB SPA-Bus; Allen-Bradley EtherNet/IP; CODESYS V3 Gateway; DCE/RPC; DMS для устройств ABB AC 700F; DNP3; Контроль процесса 100 Emerson DeltaV; FTP; General Electric SRTP; IEC 60870-5-104; IEC 61850: GOOSE, MMS (вкл. MMS Reports), Sampled Values; Mitsubishi MELSEC System Q; Modbus TCP; OMRON FINS; OPC UA Binary; Siemens Industrial Ethernet; Siemens S7comm, S7comm-plus; Yokogawa Vnet/IP; Релематика BDUBus; Модификация протокола MMS для устройств ABB AC800M; Модификация протокола ModbusTCP для устройств ЭКРА серии 200; Протокол устройств с системным ПО Siemens DIGSI 4 |
Оба решения поддерживают основные промышленные протоколы. |
Критерии интеграции
В данном разделе рассматривается интеграция со сторонними вышестоящими системами анализа для последующей обработки.
| № п/п | Наименование испытаний и проверок | Результат | PT ISIM (курсивом комментарии вендора) |
KICS for Networks (курсивом комментарии вендора) |
Комментарии «Инфосистемы Джет» |
|---|---|---|---|---|---|
| 1.11 |
Интеграция с внешними системами класса SIEM |
Наличие или отсутствие возможности передачи информации во внешние системы класса SIEM |
Наличие |
Наличие |
Передача данных по Syslog |
| 1.12 | Интеграция с промышленными системами управления | Наличие или отсутствие возможности передачи информации в АСУ ТП | Наличие Вся необходимая информация об инцидентах может быть передана в любую АСУ ТП штатными средствами продукта для последующей обработки. |
Наличие OPC DA, МЭК 104 |
ISIM 1. Передача данных в АСУ ТП через Syslog. Требует дополнительной настройки на стороне систем АСУ ТП. 2. ПАК HMI, доступный в версии Pro. Устанавливается в АСУ ТП для вывода информации об инцидентах с ISIM. 3. Передача данных от ISIM через «сухие контакты» для передачи сигнала на световой индикатор. KICS for Networks Передача информации о статусе защищенности отдельного АРМ через протоколы OPC или IEC104. |
| 1.13 |
Возможность сбора трафика без влияния на технологический сегмент, возможность работы с помощью копии трафика (SPAN/TAP) |
Наличие или отсутствие сбора трафика без влияния на технологический сегмент |
Наличие |
Наличие |
Влияние санкционных рисков
| № п/п | Наименование испытаний и проверок | Результат | PT ISIM (курсивом комментарии вендора) |
KICS for Networks (курсивом комментарии вендора) |
Комментарии «Инфосистемы Джет» |
|---|---|---|---|---|---|
| 1.14 | Отсутствует потенциальная возможность ограничения производителем прав использования ПО – окончание срока действия лицензии приведет к полной остановке функций решения. | Наличие или отсутствие потенциальной возможности ограничения производителем прав использования ПО | Отсутствие По окончании срока действия лицензии продукт сохраняет полную работоспособность (кроме возможности обновления) |
Отсутствие | Решения продолжают работать, но отсутствует возможность обновления ПО и баз угроз. |
| 1.15 | Отсутствует потенциальная возможность отказа производителя от поддержки поставленного оборудования и/или ПО, в том числе отказ от замены запчастей, предоставления обновлений, оказания консультаций. | Наличие или отсутствие потенциальной возможности отказа производителя от поддержки поставленного оборудования и/или ПО | Отсутствует | Отсутствует | Отсутствует влияние санкций. Производители оказывают сервис только в рамках действующей технической поддержки. |
| 1.16 | Изучается возможность отказа производителя от предоставления обновлений баз решающих правил (сигнатур). | Наличие или отсутствие потенциальной возможности отказа производителя от предоставления обновлений баз решающих правил | Отсутствует | Отсутствует | Отсутствует влияние санкций. Производители предоставляют сигнатуры только в рамках действующей технической поддержки. |
Дополнительные критерии
| № п/п | Наименование испытаний и проверок | Результат | PT ISIM (курсивом комментарии вендора) |
KICS for Networks (курсивом комментарии вендора) |
Комментарии «Инфосистемы Джет» |
|---|---|---|---|---|---|
| 1.17 | Управление активами технологической сети | Наличие или отсутствие функционала управления активами технологической сети | Наличие Автоматическое определение типа, производителя, базовых атрибутов актива |
Наличие | |
| 1.18 |
Динамическая визуализация сетевой топологии и сетевого взаимодействия |
Наличие или отсутствие функционала динамической визуализации сетевой топологии и сетевого взаимодействия. |
Наличие |
Наличие |
|
| 1.19 | Визуализация технологического процесса в виде мнемосхемы | Наличие или отсутствие функционала визуализации в виде мнемосхемы | Наличие | Отсутствие | В ISIM функционал присутствует только в версии Pro. |
| 1.20 |
Изменение расположения элементов (динамическая, статическая привязка) |
Наличие или отсутствие функционала изменения расположения элементов |
Наличие |
Наличие |
В ISIM функционал присутствует только в версии Pro. В KICS for Networks по умолчанию. |
| 1.21 |
Корреляция событий / проприетарные технологии обнаружения аномалий и инцидентов |
Наличие или отсутствие функционала корреляции событий обнаружения аномалий и инцидентов |
Наличие Embedded SIEM core (PT solution)/ Event correlation; Assets profiling; Hosts, communication & events white listening; PT ISTI / Expert industrial threat base; Customizing incidents network & application level; Model correlation technology; Attack chain detecting and visualization |
Наличие | Функционал присутствует во всех версиях. |
| 1.22 | Производительность сетевого сенсора (обрабатываемый трафик, Гб/сек) | Производительность аппаратного обеспечения (сетевой карты) – 3х1GBps. Гарантированная производительность прикладного программного обеспечения без потери качества базовой функциональности – 3x120 mBps SPAN-трафика. Указанные параметры соответствуют результатам измерений, проводившихся на базе трафика протокола МЭК 104. Показатели для трафика на других протоколах могут отличаться от указанных. |
Не предоставлено | Данный критерий показывает производительность аппаратной платформы и прикладного программного обеспечения. ISIM в версиях Net и Pro может поставляться в программно-аппаратном исполнении. В таблице даны комментарии вендора по указанному исполнению. У KICS for Networks отсутствует аппаратная платформа. |
Таблица 2. Сравнение по группе критериев «Общесистемные»
В данной группе мы рассматриваем удобство эксплуатации и архитектурные особенности СОВ. Мы выделили основные критерии, которые предъявляются при внедрении системы и рассматриваются пользователями при выборе решения.
Таблица 2
| № п/п |
Наименование испытаний и проверок |
Результат |
PT ISIM (курсивом комментарии вендора) |
KICS for Networks (курсивом комментарии вендора) |
Комментарии «Инфосистемы Джет» |
|---|---|---|---|---|---|
| 2.1 |
Форм-фактор |
Наличие или отсутствие аппаратных компонентов в промышленном исполнении и/или под 19" стойку |
Наличие Продукт может быть предоставлен в различных форм-факторах, включая варианты для размещения в 19’’ стойке. |
Отсутствие Поставка в виде ПО |
Для KICS for Networks необходима аппаратная платформа. ISIM может поставляться как ПО или как ПАК. |
| 2.2 |
Удобство управления |
Наличие Единый веб-интерфейс для выполнения всех операций, связанных с работой с продуктом |
Наличие |
В KICS for Networks настройка параметров реализована в консоли администрирования, веб-интерфейс выполняет только функцию мониторинга. В ISIM управление и мониторинг реализованы в веб-интерфейсе. |
|
| 2.3 |
Централизованное управление |
Наличие или отсутствие средства централизованного управления решением |
Отсутствие |
Отсутствие Только мониторинг |
В ISIM в целях обеспечения централизованного управления используется дополнительный программно-аппаратный компонент Overview, не рассматриваемый в рамках данного тестирования. В KICS for Networks реализована интеграция с KSC на уровне передачи событий. |
| 2.4 |
Масштабируемость |
Наличие или отсутствие возможности масштабирования |
Наличие Несколько отдельных сенсоров могут быть объединены в одну распределенную систему. Проверка проводится документально по материалам и документации от производителя. |
Наличие |
В KICS for Networks доступно подключение до 12 сенсоров. |
| 2.5 |
Отказоустойчивость |
Наличие или отсутствие возможности обеспечения отказоустойчивости |
Отсутствие |
Отсутствие Не применимо для ПО |
Сенсоры могут быть дублированными на уровне сети. |
| 2.6 |
Самодиагностика |
Наличие или отсутствие функций самодиагностики |
Наличие |
Наличие |
|
| 2.7 |
Резервное копирование и восстановление комплекса |
Наличие или отсутствие возможности выполнения резервного копирования и восстановления решения |
Наличие |
Наличие |
В KICS for Networks осуществляется резервное копирование журналов, правил, тегов контроллера. В ISIM, помимо перечисленного выше, также доступно резервное копирование топологии сети. |
Таблица 3. Сравнение по группе критериев «Сервисные»
Данная группа включает критерии дополнительных сервисов от вендоров. Мы выбирали самые востребованные сервисы, в которых заинтересованы заказчики.
Таблица 3
| № п/п |
Наименование испытаний и проверок |
Результат |
PT ISIM (курсивом комментарии вендора) |
KICS for Networks (курсивом комментарии вендора) |
Комментарии «Инфосистемы Джет» |
|---|---|---|---|---|---|
| 3.1 |
Время оказания услуг по технической поддержке |
Наличие поддержки 24/7 или 8/5 |
Наличие 24/7 или 8/5 |
Наличие 24/7 |
Время зависит от вида приобретенной технической поддержки. |
| 3.2 |
Доступность технической поддержки на русском языке |
Наличие или отсутствие технической поддержки на русском языке |
Наличие |
Наличие |
|
| 3.3 |
Профессиональный сервис от производителя |
Наличие или отсутствие дополнительных сервисов |
Наличие В рамках рамочного контракта или на основе приобретаемых пользователем сертификатов (анализ защищенности систем АСУ ТП, мониторинг, Incident Response и т.д.) |
Наличие |
Анализ защищенности систем АСУ ТП, мониторинг, Incident Response и др. |
| 3.4 |
Обучающие курсы |
Наличие или отсутствие обучающих курсов от производителя решения |
Наличие |
Наличие Список курсов |
|
| 3.5 |
Обновление |
Наличие или отсутствие обновлений за 2018 г. |
Наличие Централизованное и локальное в рамках базовой технической поддержки |
Наличие |
Наличие промежуточных и глобальных обновлений версии ПО в течение года |
Таблица 4. Сравнение по группе критериев «Стоимостные»
Стоимость владения СОВ не предоставлена вендорами.
Таблица 4
| № п/п |
Наименование испытаний и проверок |
Результат |
PT ISIM (курсивом комментарии вендора) |
KICS for Networks (курсивом комментарии вендора) |
Комментарии «Инфосистемы Джет» |
|---|---|---|---|---|---|
| 4.1 |
Совокупная стоимость владения |
Расчет стоимости владения на 3 года |
Не предоставлено |
Не предоставлено |
Расчет стоимости для конкретного случая можно запросить у партнеров, например, у компании «Инфосистемы Джет». У обоих производителей прайс закрытый. |
Таблица 5. Сравнение по группе критериев «Нормативные»
Данная группа содержит основные требования, которые предъявляют заказчики ко всем решениям по информационной безопасности. Наличие сертификатов ФСТЭК и ФСБ важно для компаний, связанных с государственным сектором. Аналитические отчеты показывают уровень зрелости решения на международном рынке.
Таблица 5
| № п/п |
Наименование испытаний и проверок |
Результат |
PT ISIM (курсивом комментарии вендора) |
KICS for Networks (курсивом комментарии вендора) |
Комментарии «Инфосистемы Джет» |
|---|---|---|---|---|---|
| 5.1 |
Соответствие требованиям ФСТЭК России (сертификаты) |
Наличие или отсутствие решения в реестре сертифицированных средств защиты информации |
Отсутствие Получение Сертификата по ТУ запланировано во втором квартале 2019. |
Наличие Сертификат |
KICS for Networks версия 2.6 |
| 5.2 |
Соответствие требованиям ФСБ России (сертификаты) |
Наличие или отсутствие решения в перечне сертифицированных средств защиты информации |
Отсутствие Сертификация по соответствию требованиям к СОА (средствам обнаружения атак) планируется в 2019. |
Наличие Система обнаружения атак (СОА) класса Г ФСБ_KICS for Networks.pdf |
KICS for Networks версия 2.6 |
| 5.3 |
Наличие оценки аналитического агентства Gartner |
Наличие или отсутствие оценок в аналитических отчетах агентства Gartner |
Отсутствие |
Наличие Отчет Источник KICS for Networks указан в трех релевантных категориях как Representative Vendor: OT Network Monitoring and Visibility; Anomaly Detection, Incident Response and Reporting; OT Security Service. |
|
| 5.4 |
Наличие оценки аналитического агентства Forrester Research |
Наличие или отсутствие оценок в аналитических отчетах агентства Forrester Research |
Отсутствие |
Наличие Отчет New Tech: Industrial Control Systems (ICS) Security Solutions, Q1 2019. Forrester's Landscape Overview Of 21 Providers Источник «Established vendors are already competing in This Market While this market has seen a flurry of new entrants in the past two to three years, established cybersecurity vendors are also evolving their product lines to address ics-specifc use cases. Large security vendors like Kaspersky Lab and Symantec, existing network security vendors like Fortinet, and vulnerability management vendors like Tenable and Tripwire are all currently active in the ics security market (see Figure 1)» |
|
| 5.5 |
Наличие заключений о совместимости с производителями промышленного оборудования |
Наличие или отсутствие заключений о совместимости |
Частично (точной информации не предоставлено) |
Наличие Все сертификаты на сайте |
У «Лаборатории Касперского» перечень заключений представлен на сайте. |
Плюсы и минусы рассмотренных решений
Здесь мы приводим нашу субъективную оценку сильных и слабых сторон. Достоинства могут с легкостью конвертироваться в недостатки и наоборот.
KICS for Networks
Плюсы:
- Возможность добавления индивидуальных событий мониторинга сети через консоль управления.
- Возможность импорта тегов из CSV-файла, а также формирования списка тегов на основе распознавания трафика (для некоторых протоколов).
- Весь функционал доступен в одной лицензии.
- Весь функционал присутствует в одном решении.
- Имеются протоколы на совместимость с основными вендорами АСУ ТП.
Минусы:
- Конфигурирование производится только через консоль управления, установленную на сервере. Через веб-интерфейс производится только мониторинг.
- Отчет о событиях формируется только через Kaspersky Security Center.
- Отсутствие возможности индивидуальной настройки карты сети.
- Закрытый прайс-лист.
ISIM
Плюсы:
- Простота установки, настройки и дальнейшей эксплуатации.
- Простой и понятный веб-интерфейс.
- Мониторинг и управление сосредоточены в одном месте.
- Графическое представление узлов сети с возможностью группировки.
- Возможность хранения и экспорта сетевого трафика.
- Создание отчетов и их выгрузка в формате PDF.
Минусы:
- Создание индивидуальных правил для контроля сети только через вендора.
- Полный функционал доступен только в версии Pro.
- Закрытый прайс-лист.
Выводы
Рынок СОВ активно развивается за счет появления новых угроз и острой необходимости своевременно их обнаруживать. Конкуренция подстегивает производителей искать свою нишу, придумывать «фишки», которые будут отличать их решения от других. Вендоры развивают продукты, реагируют на потребности пользователей, и с каждым релизом с решениями становится проще работать.
Как делать выбор. Недостатки и преимущества рассмотренных нами решений индивидуальны для каждого предприятия. Например, если вы используете протокол, который поддерживается только одной системой обнаружения вторжений, выбор становится очевиден. Хотя нельзя исключать, что вендор будет готов пойти вам навстречу и добавит нужный функционал в продукт.
Немаловажный фактор – цена. У ISIM более интересный подход с выбором функционала (за счет двух версий продукта), а KICS for networks построен по принципу «все в одном». Обязательно запросите у партнеров производителей стоимость первоначальной закупки решений. Не лишним будет посмотреть на стоимость владения (закупка+поддержка) решением в течение 3-5 лет.
Если на предприятии уже используются другие решения одного из рассмотренных в обзоре вендоров, стоит это учитывать. Мы встречали разные вариации на промышленных предприятиях. Некоторые индустриальные компании используют для защиты рабочих станций KICS for Nodes, а в качестве средства обнаружения вторжений – ISIM. Комбинированные решения тоже имеют право на существование.
Лучший способ понять, какое решение подходит именно вам, – провести пилот или обратиться за советом к компаниям, которые уже имели опыт внедрения.
Электронная и печатная версии обзора будут выпущены в ближайшее время.
В подготовке данного обзора принимали участие: Виталий Сиянов, Антон Елизаров, Андрей Костин, Сергей Ковалев, Терехов Денис.