Файл: 24. 05. 2023, 02 59 Сравнение промышленных средств обнаружения вторжений (совids для асу тп).doc
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 23.11.2023
Просмотров: 197
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
Тенденции в сфере кибербезопасности АСУ ТП
Выбор средств обнаружения вторжений для сравнения
Методология сравнения промышленных средств обнаружения вторжений
Критерии сравнения промышленных средств обнаружения вторжений
Участники сравнения промышленных средств обнаружения вторжений
Результаты испытаний промышленных средств обнаружения вторжений
24.05.2023, 02:59 Сравнение промышленных средств обнаружения вторжений (СОВ/IDS для АСУ ТП)
(https://go.kaspersky.com/ru-mdr-ir-offer?reseller=kl-ru_mdr-ir-offer_leg_enterprise_dis___b2b_an-mlwr_branding_______&utm_campaign=mdr-irРеклама АО "Лаборатория Касперского" ОГРН 1027739867473 | LdtCKVQ8U-
offer&utm_source=anmlwr&utm_medium=display&utm_term=branding)
Вебинар «Обнаружить не сложно, не реагировать нельзя.» Обновления KATA & KEDR Expert за последние полгода.
16 мая в 11:00 (https://go.kaspersky.com/ru-kata-kedr5.1-webinar?reseller=kl-ru_kata-kedr51-web_leg_enterprise_oth___b2b_anmlwrtextline_lnk_______&utm_campaign=kata-kedr51-web&utm_source=anmlwr-textline&utm_medium=other&utm_term=textlink)
Главная (/) »Сравнения (/compare)
М ежсетевой экран Ideco UTM
Сложные технологии в удобном интерфейсе: межсетевой экран, центральная консоль, контентная фильтрация, контроль приложений, почтовый сервер. Остаавьтее заявку, чтобы записаться на консультацию к presale-инженерам Айдеко.
(https://ideco.ru/?utm_source=am&utm_medium=text)
Хочу получить консультацию » (https://ideco.ru/?utm_source=am&utm_medium=text)
16 июля 2020 - 10:56
Сравнениепромышленныхсредствобнаружениявторжений (СОВдля
АСУТП)
В италий Сиянов
Руководитель направлений защиты АСУ ТП и КИИ Инфосистемы Джет
Проголосовало: 108
(/users/vitaliy-siyanov)
Сравнения (/compare) Корпорации (/corporate_security)
InfoWatch (/companies/infowatch) Nozomi (/companies/nozomi) Positive Technologies (/companies/positive-technologies) ...
Д ля своевременного обнаружения вредоносной активности в технологической сети промышленного предприятия необходимо проводить непрерывный мониторинг трафика по специфическим протоколам. В решении этой задачи предприятиям помогают специализированные продукты — средства обнаружения вторжений (СОВ, они же — Intrusion Detection Systems, IDS). Сравним пять продуктов такого рода
, представленных на российском рынке.
-
Введение -
Тенденции в сфере кибербезопасности АСУ ТП -
Выбор средств обнаружения вторжений для сравнения -
Методология сравнения промышленных средств обнаружения вторжений-
Процедура тестирования -
Критерии сравнения -
Участники сравнения
-
4.3.1. Особенности сравниваемых промышленных средств обнаружения вторжений
-
Результаты сравнения промышленных средств обнаружения вторжений-
Функциональность промышленных средств обнаружения вторжений -
Общие требования к промышленным средствам обнаружения вторжений -
Нормативные требования к промышленным средствам обнаружения вторжений -
Результаты испытаний промышленных средств обнаружения вторжений 6. Выводы
-
Введение
Чтобы сравнить присутствующие на российском рынке СОВ, в начале марта компания «Инфосистемы Джет» провела исследование на полигоне одного из ведущих зарубежных вендоров АСУ ТП. Для тестирования были выбраны решения, которые мы рассматривали ранее (https://habr.com/ru/company/jetinfosystems/blog/450956/) (PT ISIM (https://www.anti-malware.ru/reviews/Positive-Technologies-IndustrialSecurity-Incident-Manager) и KICS for Networks (https://www.anti-malware.ru/reviews/Kaspersky-Industrial-CyberSecurity-for-Networks)), а также три новых продукта: Guardian, InfoWatch ARMA Industrial Firewall и DATAPK. При определении критериев для сравнения мы ориентировались на основные параметры, влияющие на выбор СОВ нашими клиентами. Хотим поделиться результатами тестирования и рассмотреть ключевые тенденции в области обеспечения информационной безопасности систем промышленной автоматизации. (Также рекомендуем почитать обзор межсетевых экранов и систем обнаружения вторжений, сертифицированных ФСТЭК России
(https://www.anti-malware.ru/analytics/Market_Analysis/firewalls-and-intrusion-detection-systems-certified-by-FSTEC). — Прим. ред.)
Сравнение подготовлено экспертами Центра информационной безопасности компании «Инфосистемы Джет» Виталием Сияновым, руководителем направлений защиты АСУ ТП и КИИ, и Антоном Елизаровым, руководителем группы защиты АСУ ТП.
Тенденции в сфере кибербезопасности АСУ ТП
Цифровизация ускоряется, и мы видим, что всё больше предприятий проводят модернизацию технологических систем. Вендоры АСУ ТП уже стараются применять концепцию «secure by design». Например, Schneider Electric, Siemens и Yokogawa Electric Corporation являются передовиками в этой гонке за требованиями клиентов. Отечественные вендоры, к большому сожалению, — пока только в начале пути. Нередко на промышленных объектах можно встретить новое оборудование рядом со старым в одной технологической сети. Такие совмещения приводят к тому, что образуется «зоопарк» из решений разных поколений и с разными степенями защиты. Обеспечить их кибербезопасность одинаково не представляется возможным, и тут нужно обязательно подходить к защите комплексно, в том числе включать в неё СОВ для быстрого обнаружения инцидентов.
За последний год ситуация с кибербезопасностью АСУ ТП изменилась несильно. Основные угрозы, с которыми сталкиваются наши клиенты, по-прежнему связаны с внутренними нарушителями: неправомерное использование рабочих станций в личных целях, применение съёмных носителей и подключение к интернету изолированных устройств. Нам не известно о крупных атаках, произошедших в России за последний год, которые были бы связаны с внешними угрозами. Тем не менее сценарий, по которому предприятия будут атаковать извне, исключать нельзя. Сейчас сложно представить, что одно государство будет в открытую нападать на другое в киберпространстве, однако год назад никто бы не подумал, что весь мир окажется на карантине из-за инфекции и все будут работать удалённо.
Основные инциденты, которые мы как интегратор наблюдали, происходили из-за нарушения внутренних регламентов безопасности. Мы считаем, что сейчас нужно повышать осведомлённость персонала, проводить кибертренировки и ужесточать контроль за соблюдением внутренних ИБ-регламентов. Эти меры помогут быстро реагировать как на внутренние, так и на внешние угрозы.
Ещё одна тенденция заключается в усиливающемся влиянии законодательства на отрасли промышленности. Большинство компаний завершили категорирование объектов критической информационной инфраструктуры (КИИ), и мы видим, что практически у всех есть ЗОКИИ третьей категории. Первая и вторая категории нередко встречаются в электроэнергетике, химической, нефтяной и других отраслях. Приказ ФСТЭК России № 239 от 25 декабря 2017 г. предписывает иметь СОВ в составе системы
безопасности для объектов первой и второй категорий, мы же рекомендуем оснащать такими средствами защиты все промышленные сети.
Сейчас государственные органы активно прорабатывают тренд на импортозамещение. Регуляторы предлагают не только выбирать средства защиты, произведённые в России или прошедшие сертификацию ФСТЭК, но и заменить зарубежное программное обеспечение на отечественное. Например, Минкомсвязи выступило с инициативой (https://www.anti-malware.ru/news/2020-05-20-111332/32744) обязать владельцев КИИ использовать преимущественно российское ПО с начала следующего года (а ещё через год — и российское оборудование). Мы уже фиксируем явный уклон наших клиентов в сторону пересмотра планов по закупкам средств защиты в пользу отечественных решений. При этом некоторые компании рассматривают зарубежные разработки: Guardian от Nozomi Networks, SilentDefense от Security Matters, SCADAShield от Cyberbit и другие. Тесты для сравнения с отечественными продуктами стали реже, но не прекратились.
Как и год назад, мы в компании «Инфосистемы Джет» видим, что незащищённые организации страдают (https://www.antimalware.ru/news/2020-06-09-111332/32896) от активности так называемых «шифровальщиков». К сожалению, подобные атаки происходят из-за человеческого фактора. Мы рекомендуем устанавливать на рабочие станции антивирусную защиту и средства резервного копирования, чтобы не допустить потери данных или иметь возможность быстро восстановить машину при реализации угрозы. При атаке шифровальщика СОВ поможет быстро идентифицировать её, укажет место заражения и путь распространения по сети.
Серьёзной проблемой остаётся подключение к рабочим станциям и серверам недоверенных USB-носителей, таких как флеш-накопители, телефоны и другие устройства. Например, от рабочих станций часто заряжают смартфоны или пытаются скопировать с них информацию для печати на USB-носители. Эксплуатирующие подразделения нередко допускают такие нарушения, обосновывая их удобством работы, а ИБ-службы, как правило, никак это не контролируют. СОВ не обнаруживают сами устройства, но детектируют исходящий от них нелегитимный трафик в технологической сети, отправляют информацию об этом в систему мониторинга и отображают инцидент на контрольной панели («дашборде»), за которой следит ИБ-администратор.
Команда компании «Инфосистемы Джет» по-прежнему встречает подключение рабочих станций к интернету. Это делают в том числе с помощью смартфона, который можно легко перевести в режим модема. Понятно, что такие действия приводят к нарушению режима информационной безопасности и грозят заражением рабочих станций, например, вирусами.
Развитие технологий способствует активному совершенствованию и видоизменению угроз. Основным в их списке является человеческий фактор, и именно отслеживание действий сотрудников будет ключевым трендом в ближайшем будущем.