Файл: 24. 05. 2023, 02 59 Сравнение промышленных средств обнаружения вторжений (совids для асу тп).doc
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 23.11.2023
Просмотров: 206
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
Тенденции в сфере кибербезопасности АСУ ТП
Выбор средств обнаружения вторжений для сравнения
Методология сравнения промышленных средств обнаружения вторжений
Критерии сравнения промышленных средств обнаружения вторжений
Участники сравнения промышленных средств обнаружения вторжений
Результаты испытаний промышленных средств обнаружения вторжений
и
| KICS for Networks | ПО для установки в виртуальной среде или на аппаратном комплексе | При установке можно выбрать одну или обе функции: сервер управления, сенсор сбора | Количество входных портов в серверах; количество серверов (виртуальных / физических) | Закрытый прайс-лист | API для интеграции с дру СЗИ и ПО (ИТ / SCADA); интерактивная карта сет визуализацией истории прикреплённым к инцид трафиком; низкие требо производительности аппаратной / виртуально платформы | |
| Nozomi Networks Guardian | ПО (образ) для развёртывания в виртуальной среде; ПАК с предустановленным ПО | ПАК может поставляться в различных модификациях в зависимости от топологии сети и объёма трафика | Количество точек съёма трафика; топология сети | Закрытый прайс-лист | Написание собственных (на основе Yara Rules); хранение копии трафика каждого события ИБ; уд пользовательский интер | |
| InfoWatch ARMA Industrial Firewall | ПО (образ) для развёртывания в виртуальной среде; ПАК с предустановленным ПО | ARMA Management Console — централизованное управление, управление инцидентами, обработка событий, построение карты сети; ARMA Industrial Firewall — межсетевой экран с функцией обнаружения вторжений | Объём трафика для обработки МЭ; особенности аппаратной платформы (серверная, крепление на DIN, агрессивная среда, сертификаты); схема сети АСУ ТП | Закрытый прайс-лист | Межсетевое экранирован разбором промышленны протоколов; фильтрация отдельных команд или протоколов | |
| DATAPK | ПО (образ) для развёртывания в виртуальной среде; ПАК с предустановленным ПО | Уровень филиала (сбор и анализ данных); уровень предприятия (функции ПАК «управление филиалом», единое управление всеми ПАК DATAPK, централизованное обновление ПО) | Схема сети АСУ ТП; состав компонентов АСУ ТП (в т. ч. версий ПО, моделей оборудования) | Закрытый прайс-лист | Широкая дополнительн функциональность, в т. сканирование защищённ корреляция событий, ко неизменности состава и конфигурации техническ средств | |
| | | | | Реклама АО "Позитив Текнолоджиз" ОГРН 1077761087117 | LdtCKE2vX | ||
| Х  отите узнать, как можно использовать ChatGPT в кибербезопасности? Покупайте билеты на киберфестиваль Positive Hack Days 12, чтобы вживую послушать доклады от экспертов по ИБ 19 и 20 мая! »»» (https://phdays.com/? utm_source=antimalware&utm_campaign=phdays&utm_medium=cpm&utm_content=text)Результаты сравнения промышленных средств обнаружения вторжений В таблицах далее представлено сопоставление исследуемых решений. Если свойство или элемент полностью поддерживается, то в соответствующей ячейке записывается «Да»; в противном случае — «Нет». Курсивом обозначены комментарии вендоров; комментарии без курсива даны специалистами компании «Инфосистемы Джет». Функциональность промышленных средств обнаружения вторжений Nozomi Networks InfoWatch ARMA Проверка / испытание Критерий успешности PT ISIM KICS for Networks Guardian Industrial Firewall | DATA | |||||
а
Да (инвентар возможна
Автоматизированная инвентаризация Автоматизированная инвентаризация из сегме
Да Да Да Да
узлов сети узлов сети успешно проведена указанн
настрой решен домашней
| Выявление сетевых аномалий на основе правил (детектов), работающих «из коробки» | Сетевые аномалии обнаруживаются без дополнительной настройки СОВ | Да | Да | Да | Да | Да | |
| Создание и изменение пользователем правил выявления инцидентов, аномалий сетевого и прикладного уровней | Можно создать правило выявления аномалий сетевого или прикладного уровня | Да | Да | Да | Да | Да | |
| Можно изменить правило выявления аномалий сетевого или прикладного уровня | Да | Да | Да | Да | Да | ||
| Выявление инцидентов и аномалий на прикладном уровне АСУ ТП на основе функции контроля изменения технологических параметров | Появление инцидентов при изменении технологических параметров | Да (только в версии PRO View) | Да | Да | Да | Нет | |
| Группировка событий по типу инцидентов | Наличие функции группировки инцидентов | Да | Да | Да | Да | Да | |
| Управление группами новых устройств на карте топологии сети | Наличие функции управления группами новых устройств на карте топологии сети | Да | Да | Да | Нет (реализовано в ARMA Management Console) | Да | |
| Контроль целостности сети (обнаружение новых устройств в сети) | Обнаружено новое устройство при подключении к сети | Да | Да | Да | Да | Да | |
| Добавление пользовательских сигнатур в интерфейсе программы | Наличие функции добавления пользовательских сигнатур в интерфейсе программы | Нет | Да (версия имеет 2 интерфейса настроек: вебстраница и CentOS; добавление сигнатур возможно только через интерфейс программы в ОС CentOS) | Да | Да | Да | |
| Автоматический сбор параметров технологического трафика (тегов) | Наличие функции автоматического сбора параметров технологического трафика (тегов) | Да | Да | Да | Нет | Нет | |
| Внесение параметров технологического трафика в ручном режиме | Наличие возможности внесения параметров технологического трафика в ручном режиме | Да (только в версии PRO View) | Да | Нет | Нет | Нет | |
| Создание мнемосхемы технологического процесса | Наличие возможности создания мнемосхемы технологического процесса | Да | Нет | Нет | Нет | Нет | |
| Общие требования к промышленным средствам обнаружения вторжений Проверка / испытание Критерий успешности PT ISIM KICS for Networks | Nozomi Networks Guardian | InfoWatch ARMA Industrial Firewall | DATA | ||||
| Варианты поставки (ПАК, образ) | ПАК | Да | Нет | Да | Да | Да | |
| Образ | Да | Да | Да | Да | Да | ||
| Очистка журналов событий | Наличие функции очистки журналов из интерфейса программы | Да | Да | Да | Да | Да | |
| Удобство очистки журналов событий | Удобная очистка журналов событий | Да | Нет (очистка журнала не осуществляется из консоли управления) | Да | Да | Да (через в «Событ инциден консоли | |
| | Возможность создания пользователей и назначения ролей | Да | Да | Да | Да | Да | |||||||
| Идентификация и аутентификация пользователей | Отображение действий пользователей в журналах системы | Да | Да | Да | Да | Да | |||||||
| | Наличие учётной записи по умолчанию при первом подключении к системе | Да | Да | Да | Да | Да | |||||||
| Наличие предложения о сбросе дефолтного пароля при первом входе в систему | Наличие предложения о сбросе пароля по умолчанию при первом входе в систему | Нет | Да (при установке системы) | Нет | Да (через мастер настройки после запуска системы) | Нет (дост версии 1 | |||||||
| Интеграция с внешними системами | Наличие возможности передачи событий в SIEM | Да | Да | Да | Да | Да | |||||||
| класса SIEM | Возможность интеграции с SIEM «из коробки» | Да (через Syslog) | Да (через Syslog, CEF) | Да (через Syslog, CEF, JSON, LEEF) | Да (через CEF) | Да (через | |||||||
| Интеграция с промышленными системами управления | Возможность передачи событий в SCADA | Да (через нестандартный модуль «Светофор») | Да | Да | Нет | Да (возм интеграция серверам протоко UA) | |||||||
| Корреляция событий безопасности | Наличие возможности корреляции событий безопасности | Да | Да | Да | Да (функция реализована в продукте ARMA Management Console) | Да | |||||||
| Сбор трафика без влияния на технологический сегмент, возможность работы с помощью копии трафика (SPAN / TAP) | Наличие возможности работы с копией трафика через SPAN / TAP | Да | Да | Да | | Да | Да | ||||||
| Формирование отчётов | Наличие функции формирования отчётов | Да | Да | Да | | Да | Да | ||||||
| Нормативные требования к промышленным средствам обнаружения вторжений Критерий Проверка / испытание PT ISIM KICS for Networks Nozomi Networks Guardian успешности | | InfoWatch ARMA Industrial Firewall | |||||||||||
| Наличие сертификатов ФСТЭК, ФСБ России | Сертификат ФСТЭК России | Да | Да | Нет | Да | ||||||||
| Сертификат ФСБ России | Нет (планируется в 2020 г.) | Да (только для версии 2.6) | Нет | Нет | |||||||||
| ( Наличие оценки аналитического агентства Gartner | Нет упоминание компании в Gartner Market Guides и перечнях продуктов класса ICS Security) | Да (Gartner Peer Insights Да (Gartner Peer Insights (https://www.gartner.com/reviews/market/operational- (https://www.gartner.com/reviews/market/operationaltechnology-security/compare/claroty-vs-kaspersky-vs- technology-security/compare/claroty-vs-kaspersky-vs- nozomi-networks)) nozomi-networks)) | Нет | ||||||||||
D л
Результаты испытаний промышленных средств обнаружения вторжений
| Проверка / испытание | Критерий успешности | PT ISIM | KICS for Networks | Nozomi Networks Guardian | InfoWatch ARMA Industrial Firewall | DATA | ||||
| Тест на регистрацию инцидента путём сканирования портов. Описание теста: подключить ноутбук злоумышленника в сегмент DMZ, на МСЭ разрешить взаимодействие ноутбука злоумышленника с сегментом АСУ ТП, провести сканирование в режимах TCP SYN-ACK scan, TCP SYN scan, UDP scan | Решение регистрирует события: | | | | | | ||||
| TCP-SYN-ACK scan | Да | Да | Да | Да | Да | |||||
| TCP SYN scan | Да | Да | Да | Да | Да | |||||
| UDP scan | Да | Да | Да | Да | Да | |||||
| Тест на регистрацию атаки против вебприложения. Описание теста: подключить ноутбук злоумышленника в сегмент DMZ, на МСЭ разрешить взаимодействие ноутбука злоумышленника с сегментом АСУ ТП, провести следующие атаки и имитацию аномальной активности в адрес хоста 192.168.13.201 (WebGoat): SQL Injection, XSS, Burp Suite crawling, Burp Suite vulnerability audit, Brute-force, Fuzzing | Решение регистрирует события: | | | | | | ||||
| SQL Injection | Да | Да | Да | Да | Да | |||||
| XSS | Да | Да | Да | Нет (добавлено в версии 3.0) | Да | |||||
| Burp Suite crawling | Да | Да | Да | Нет (добавлено в версии 3.0) | Да | |||||
| Burp Suite vulnerability audit | Да | Да | Да | Нет (добавлено в версии 3.0) | Да | |||||
| Brute-force | Да | Да | Да | Нет (добавлено в версии 3.0) | Да | |||||
| Fuzzing | Да | Да | Да | Нет (добавлено в версии 3.0) | Да | |||||
| Тест на определение атаки против хоста. Описание теста: подключить ноутбук злоумышленника в сегмент DMZ, на МСЭ разрешить взаимодействие ноутбука злоумышленника с сегментом АСУ ТП, осуществить следующие виды аномальной активности в адрес хоста 192.168.13.77 (АРМ оператора): автоматизированное сканирование с использованием ПО Tenable Nessus, Nmap (low rate scan) | Решение регистрирует события: | | | | | | ||||
| Tenable Nessus | Да | Да | Да | Да | Да | |||||
| Nmap (low rate scan) | Да | Да | Да | Да | Да | |||||
| Тест на выявление нестандартных пакетов. Описание теста: подключить ноутбук злоумышленника в сегмент DMZ, на МСЭ разрешить взаимодействие ноутбука злоумышленника с сегментом АСУ ТП, сформировать и отправить в сеть следующие пакеты: стандартный TCPпакет с неизвестным IP-адресом, неправильные пакеты TCP и UDP | Решение регистрирует события с указанием соответствующего протокола: | | | | ||||||
| Стандартный TCP-пакет с произвольным IP-адресом | Да | Да | Да | Да | Да | |||||
| Стандартный TCP-пакет с IP-адреса 255.255.255.255 | Нет | Да | Да | Нет (добавлено в версии 3.0) | Нет | |||||
| Стандартный TCP-пакет с IP-адреса 127.0.0.1 | Нет | Да | Нет | Нет (добавлено в версии 3.0) | Нет | |||||
| Неправильный TCP-пакет | Да | Да | Нет | Нет (добавлено в версии 3.0) | Нет | |||||
| Неправильный UDP-пакет | Да | Да | Нет | Нет (добавлено в версии 3.0) | Нет | |||||
| Тест на функциональность DPI (анализ промышленного трафика). Описание теста: СОВ должна контролировать трафик между АРМ оператора / сервером SCADA и ПЛК с коммутатора через настроенный SPANпорт; завести в SCADA новую переменную и проверить, фиксируются ли попытки её изменения из недоверенных источников или выход за пределы её значений | Решение регистрирует события изменения значения переменной | Да | Да | Да | Да | Нет | ||||
| Тест на функциональность DPI (состояние ПЛК). Описание теста: СОВ должна контролировать трафик между АРМ оператора / сервером SCADA и ПЛК с коммутатора через настроенный SPAN-порт; произвести следующие операции: подать команду STOP на ПЛК, подать команду RUN на ПЛК, изменить ППО контроллера, обновить прошивку контроллера | Решение регистрирует события: | | | | | | ||||
| Команда STOP на ПЛК | Да | Да | Да | Да | Да | |||||
| Команда RUN на ПЛК | Да | Да | Да | Да | Да | |||||
| Изменение ППО контроллера | Да | Да | Да | Да | Да | |||||
| Обновление прошивки контроллера | Да | Да | Да | Да | Да | |||||