СОВ 2.0: новое исследование промышленных IDS от «Инфосистемы Джет»

16.07.2020

Центр информационной безопасности компании «Инфосистемы Джет» выпустил второе сравнение промышленных СОВ — средств обнаружения вторжений (Intrusion Detection Systems, IDS).

В новом исследовании специалисты расширили список рассматриваемых продуктов, включив в сравнение трех новых участников: DATAPK от УЦСБ, Guardian от Nozomi Networks и InfoWatch ARMA Industrial Firewall от InfoWatch. Также в обзор вошли решения из предыдущего сравнения: KICS for Networks от «Лаборатории Касперского» и PT ISIM от Positive Technologies.

Изменения претерпела и методика сравнения. При определении критериев для нового исследования эксперты сосредоточились на основных параметрах, влияющих на выбор средства обнаружения вторжений в российских компаниях.

Тестирование решений проводилось в марте 2020 года на полигоне одного из ведущих зарубежных вендоров АСУ ТП. В общей сложности специалисты провели 29 функциональных и 7 комплексных технических тестов1.

С помощью функциональных тестов эксперты проверили наличие в продуктах определенных функций, выяснили особенности лицензирования и доступные варианты поставки, а также сравнили решения на предмет наличия сертификатов регуляторов: ФСТЭК и ФСБ России.

Технические тесты продемонстрировали, как исследуемые решения работают в условиях хакерских атак. Эти испытания проводились при участии специалистов Лаборатории практического анализа защищенности «Инфосистемы Джет», которые эмулировали атаки на инфраструктуру технологической сети, развернутую на полнофункциональном стенде. Команда «белых» хакеров интегратора выполняла атаки на веб, целенаправленное сканирование сетей различными способами и перебор паролей. Дополнительно специалисты проводили тесты на способность решений выявлять изменения технологических параметров и отправку различных команд на программируемый логический контроллер (ПЛК).

По итогам тестирования эксперты пришли к выводу о том, что все рассматриваемые решения справляются с основными задачами — обнаружением нелегитимного трафика в технологической сети и его визуализацией в виде инцидентов ИБ.

«Мы ставили себе цель проверить, как разные решения выполняют основные заявленные задачи — анализ промышленного трафика и выявление инцидентов — в условиях, максимально приближенных к боевым. Как показало наше исследование, классические средства обнаружения вторжений Guardian, KICS for Networks и PT ISIM отлично справляются практически со всеми тестами. Комбинированные решения InfoWatch ARMA Industrial Firewall и DATAPK их стремительно догоняют и при этом имеют на “борту” расширенный функционал, позволяющий закрывать как требования регуляторов, так и потребности клиентов», — отметил Виталий Сиянов, руководитель направлений защиты АСУ ТП и КИИ Центра информационной безопасности компании «Инфосистемы Джет».

«Использование СОВ — важный аспект в построении системы защиты. Для определённых категорий систем это является обязательным как в России, так и в мире. Применение СОВ позволяет выявлять несанкционированные действия на ранних этапах. Schneider Electric для обеспечения кибербезопасности использует стратегию "глубокой эшелонированной защиты", частью которой является применение некоторых из перечисленных в данном сравнении СОВ. Это позволяет нам соответствовать требованиям локальных регуляторов и стандартам наших заказчиков. Конечным пользователям такие сравнения очень помогают определиться с выбором конкретной СОВ», — прокомментировал Андрей Иванов, технический консультант по кибербезопасности Schneider Electric.

Ознакомиться с результатами исследования можно по ссылке.


1 В сравнение вошли только тесты, одобренные вендорами-участниками исследования