В настоящее время на российском рынке представлено 5 решений, которые можно рассматривать как СОВ в промышленных сетях.
С развитием IT промышленные предприятия становятся все более уязвимыми к кибератакам, и ярким примером этому являются инциденты с Norsk Hydro и энергосистемой Венесуэлы. Как ранее сообщал глава Kaspersky Industrial CyberSecurity в РФ Алексей Петухов, Россия входит в двадцатку стран по проценту атакованных АСУ ТП.
Для защиты промышленных систем от кибератак существуют специализированные системы обнаружения вторжений (СОВ). Эти системы позволяют обнаруживать попытки злоумышленников проникнуть в сетевые сегменты АСУ ТП и предотвращать атаки, не дожидаясь последствий. В настоящее время на российском рынке представлено как минимум 5 решений, которые можно рассматривать в качестве СОВ в промышленных сетях:
KICS for Networks от «Лаборатории Касперского»;
ISIM от Positive Technologies;
ASAP от InfoWatch;
Datapk от УЦСБ;
SCADAShilet от Cyberbit.
Компания «Инфосистемы Джет» решила протестировать и сравнить между собой две СОВ – KICS for Networks (версия 2.8) от «Лаборатории Касперского» и ISIM (версия 1.5.390) от Positive Technologies, являющиеся одними из самых популярных на российском рынке.
Сравнительный анализ KICS и ISIM осуществлялся по сорока критериям. Основные из них – присутствие системы на российском рынке, собственный проектный опыт специалистов «Инфосистем Джет» и совместимость СОВ с другими продуктами производителя.
Критерии были разделены на 5 групп – «функциональные», «общесистемные», «сервисные», «стоимостные» и «нормативные». За основу были взяты вопросы, чаще всего задаваемые заказчиками при выборе решения. Эксперты не разбирали все используемые в продуктах технологии, а изучили только принципиально важные, влияющие на выбор того или иного продукта.
Среди «плюсов» KICS эксперты отметили возможность добавления индивидуальных событий мониторинга сети через консоль управления и возможность импорта тегов из CSV-файла, а также формирования списка тегов на основе распознавания трафика (для некоторых протоколов). Кроме того, весь функционал KICS собран в одном решении и доступен по одной лицензии. Еще один «плюс» – наличие протоколов для совместимости с основными вендорами АСУ ТП.
«Минус» KICS – конфигурирование производится только через консоль управления, установленную на сервере, а через web-интерфейс осуществляется только мониторинг. Еще один недостаток – отчет о событиях формируется через Kaspersky Security Center. Также отсутствует возможность индивидуальной настройки карты сети.
«Плюсами» ISIM являются: простота установки, настройки и дальнейшей эксплуатации, возможность хранения и экспорта сетевого трафика, простой и понятный web-интерфейс, создание отчетов и их выгрузка в формате PDF, а также графическое представление узлов сети с возможностью группировки. Мониторинг и управление сосредоточены в одном месте.
«Минусы» ISIM – создание индивидуальных правил для контроля сети только через вендора. Полный функционал доступен только в версии Pro.
С подробным анализом обоих решений можно ознакомиться
