Сравнение промышленных СОВ: ISIM vs. KICS

9b485a4440fbcee62fd932620ea73441.jpg

Нашумевшие атаки на норвежского производителя алюминиевых изделий Norsk Hydro и энергосистему Венесуэлы лишний раз показали, что промышленные предприятия по-прежнему уязвимы для хакеров. Мы решили разобраться, какие специализированные СОВы — системы обнаружения вторжений — помогают бороться с подобными киберпреступлениями и способны «увидеть» злоумышленников в сетевых сегментах АСУ ТП. Выбирая из пяти решений, мы остановились на двух — KICS for Networks от «Лаборатории Касперского» и ISIM от Positive Technologies — и сравнили их по 40 критериям. Что у нас получилось, вы сможете узнать под катом.

Зачем СОВы промышленным предприятиям


  1. Внешние угрозы


    По словам Алексея Петухова, руководителя Kaspersky Industrial CyberSecurity в РФ, «Россия вошла в ТОП-20 стран по проценту атакованных компьютеров АСУ ТП». К сожалению, в России не принято распространяться об инцидентах, происходящих на производстве, но наш опыт подсказывает, что ситуация, с которой столкнулась компания Norsk Hydro, может повториться и на отечественных промышленных предприятиях.

    Подробный разбор атаки на Norsk Hydro читайте тут.

    Есть распространенное заблуждение, что, разделив промышленные и корпоративные сети и исключив доступ к интернету, предприятие гарантирует себе безопасность. Но это не так. Сейчас атаки планируются и реализуются достаточно длительное время — злоумышленники тщательно готовятся к нападению и детально продумывают сценарий взлома. При этом мотивация у атакующих может быть совершенно разной. Вымогатели и шифровальщики пытаются поразить как можно больше устройств, спецслужбы ставят цель нанести максимальный ущерб инфраструктуре и т.д. Но любая атака имеет свой цикл, который всегда начинается с разведки. СОВы способны обнаружить киберпреступников уже на этом этапе и оповестить об угрозе, пресекая деятельность нападающих на начальной стадии атаки.

    Атаки будут продолжаться и дальше, а готовиться к ним нужно было еще вчера.

  2. Внутренние угрозы


    Самые распространенные угрозы — не внешние, а внутренние. Недовольные положением или зарплатой сотрудники могут использовать корпоративные мощности в своих целях. Уволенные работники оставляют «закладки», продавая доступ в «Даркнете» или эксплуатируя инфраструктуру в личных интересах. Мы на практике сталкивались со случаями, когда на рабочих станциях устанавливалось ПО для удаленного управления компьютером в целях оперативного управления или работы из дома. В подобных историях часто возникает дилемма, которая обычно приводит к противостоянию «безопасников» и «асушников»: что важнее — удобство обслуживания или безопасность? Нередко на предприятиях можно увидеть рабочие станции без какой-либо защиты, к которым запрещено прикасаться, так как любое воздействие может привести к остановке технологического процесса. Но для нарушителя (внешнего или внутреннего) это и будет основной целью атаки. Предприятие не должно страдать из-за того, что вы доверяете своим сотрудникам и оставляете возможности для манипуляций.
  3. Законодательство


    Государство строит систему ГосСОПКА, которая, по задумке, должна не только оповещать ФСБ обо всех выявленных инцидентах на производстве, но и стать полноценной базой компьютерных атак, происходящих на территории России. Сейчас мы находимся в начале пути, и пока трудно сказать, когда государственные органы достигнут цели. Тем не менее, в 2017 г. вышел 187-ФЗ «О безопасности критической информационной инфраструктуры РФ», а за ним и ряд приказов ФСТЭК, которые в том числе определяют процедуру категорирования объектов КИИ и меры по обеспечению их безопасности. После присвоения категории значимости каждому объекту компания должна обеспечить его защиту. Так, Приказ ФСТЭК № 239 от 25 декабря 2017 г. рассказывает нам о мерах, которые субъект (госорганы, госучреждения, российские юрлица, а также индивидуальные предприниматели, кому по праву собственности, аренды или на ином законном основании принадлежат ИС, ИТС, АСУ) обязан применять при защите объектов КИИ. Для владельцев объектов 2 или 1 категории регулятор в обозначенном приказе устанавливает требование использовать средство обнаружения вторжений. Мы убеждены, что из-за практики занижения категорий такие решения будут полезны всем объектам КИИ.

    Требования Приказа ФСТЭК № 239 от 25 декабря 2017 г.
    Раздел VII. — Предотвращение вторжений (СОВ) предъявляет требование СОВ. 1 «Обнаружение и предотвращение компьютерных атак» к объектам критической информационной инфраструктуры 2 и 1 категории.


Функциональные возможности СОВ


На наш взгляд, решения должны предоставлять следующие возможности.

  1. Мониторинг технологической сети с возможностью поддержки технологических протоколов основных производителей АСУ ТП.
  2. Автоматическое определение типа устройства (АРМ, сервер, ПЛК).
  3. Возможность контроля технологического процесса.
  4. Обнаружение вторжений в технологическую сеть.
  5. Передача зарегистрированных событий в сторонние системы мониторинга (SIEM) с возможностью их анализа.
  6. Графическое построение карты технологической сети.
  7. Создание и выгрузка отчетов.
  8. Помощь в расследовании инцидентов.


Как мы выбирали решения для сравнения


При выборе решений для исследования мы отталкивались от трех основных критериев: присутствие продукта на российском рынке, наш собственный проектный опыт и совместимость решения с другими продуктами вендора.

Сегодня на российском рынке представлено как минимум 5 решений, которые можно рассматривать как СОВ в промышленных сетях:

  • KICS for Networks от «Лаборатории Касперского»;
  • ISIM от Positive Technologies;
  • ASAP от InfoWatch;
  • Datapk от УЦСБ;
  • SCADAShilet от Cyberbit.


Из всего многообразия мы выбрали 3 решения, которые сейчас, на наш взгляд, наиболее популярны на российском рынке: KICS от «Лаборатории Касперского», ISIM от Positive Technologies и ASAP от InfoWatch.

В процессе переговоров компания InfoWatch решила не участвовать в сравнении. Коллеги готовят к релизу новую версию своего продукта и на момент проведения сравнительного анализа не были готовы предоставить ее нам для тестирования. Мы будем рады добавить данное решение в следующую версию нашего сравнения.

Что касается решений от «Лаборатории Касперского» и Positive Technologies, то обе компании предоставили нам дистрибутивы для самостоятельного изучения и в процессе тестирования оперативно отвечали на наши вопросы. В пользу решений KICS и ISIM сыграло и то, что ранее мы уже внедряли их как для тестирования, так и в промышленную эксплуатацию. Помимо этого, оба продукта могут встраиваться в другие комплексные решения. Например, ISIM отлично работает в связке с Max Patrol SIEM, и зачастую на тестирование идут оба продукта. У «Лаборатории Касперского» есть KICS for Nodes — специализированное решение (антивирус) для защиты серверов, контроллеров и рабочих станций, находящихся в промышленной сети. В этом обзоре мы не ставили перед собой цель сравнить полноту интеграции с другими продуктами и ограничились только функционалом выбранных решений. Тем не менее, это немаловажный фактор при выборе системы для внедрения.

Как проходило сравнение


Для качественного сравнения мы определили критерии и разбили их на 5 групп. За основу взяли вопросы, наиболее часто задаваемые нашими заказчиками при выборе решения. Мы не разбирали технологии, используемые в продуктах, детально, а изучили только принципиально важные, которые влияют на выбор того или иного решения.

Далее развернули стенды на виртуальных серверах «Инфосистемы Джет» и посмотрели последние версии продуктов: KICS for Networks 2.8 и ISIM 1.5.390.

По результатам исследования составили сравнительную таблицу и отправили ее вендорам на согласование. Они дополнили своими комментариями те оценки, которые посчитали нужными. Комментарии вендоров приведены в отдельных столбцах сравнительных таблиц и выделены курсивом. Наши выводы приведены в разделе «Комментарии» и могут отличаться от позиции вендоров.

Особенности установки решений

ISIM


Разворачивание продукта происходит на базе Debian 8. Дистрибутив ОС со всеми необходимыми пакетами предоставляется вендором. Все рекомендации по установке и настройке ОС подробно и доступно расписаны в руководстве по продукту. Первоначальная настройка ПО PT ISIM сводится к корректировке часового пояса и конфигурированию сетевых интерфейсов, что делает установку простой, быстрой и интуитивно понятной. Все функции управления и мониторинга осуществляются через веб-интерфейс.

KICS for Networks


Разворачивание продукта происходит на базе CentOS. Дистрибутив ОС со всеми необходимыми пакетами предоставляется вендором. Рекомендаций по установке ОС от производителя нет.
При установке ПО производится настройка узла, сервера управления, сенсоров, веб-сервера. Установка может проводиться на русском или английском языках. Трудностей и нюансов при установке не выявлено.


Лицензирование

ISIM


Продукт имеет 3 версии.
  • ISIM Free — версия с крайне усеченным функционалом. Предназначена для знакомства с продуктом.
  • ISIM Net — основной продукт компании. В большинстве случаев заказчики выбирают именно его. Имеет весь необходимый функционал.
  • ISIM Pro — продвинутая версия ISIM Net. Имеет расширенный и уникальный функционал (мнемосхемы). По характеристикам сопоставима с KICS 2.8.

Все продукты поставляются в виде ПО, которое можно развернуть в виртуальной среде. Версии Net и Pro могут поставляться как программно-аппаратные комплексы.

Стоимость предоставляется по запросу (закрытый прайс-лист).

KICS for Networks


Продукт имеет одну версию. На момент публикации — 2.8.

По характеристикам сопоставим ISIM Pro.

Поставляется в виде ПО, которое можно развернуть как в виртуальной среде, так и на аппаратном комплексе.

Стоимость предоставляется по запросу (закрытый прайс-лист).

Сравнительный обзор СОВ (индустриальных IDS)


Примечание. В таблице курсивом обозначены комментарии вендоров.

Таблица 1. Сравнение по группе критериев «Функциональные»


В данной группе мы сравниваем основные функциональные компоненты систем мониторинга промышленного трафика. Для сравнения выбрали технологии, которые являются основополагающими для анализа трафика в АСУ ТП. Мы считаем, что данные критерии должны присутствовать во всех СОВах, как специализирующихся на обработке технологического трафика, так и для выявления угроз, возникающих на промышленных предприятиях.

Таблица 1

Критерии интеграции
В данном разделе рассматривается интеграция со сторонними вышестоящими системами анализа для последующей обработки.
Влияние санкционных рисков
Дополнительные критерии


Таблица 2. Сравнение по группе критериев «Общесистемные»


В данной группе мы рассматриваем удобство эксплуатации и архитектурные особенности СОВ. Мы выделили основные критерии, которые предъявляются при внедрении системы и рассматриваются пользователями при выборе решения.

Таблица 2


Таблица 3. Сравнение по группе критериев «Сервисные»


Данная группа включает критерии дополнительных сервисов от вендоров. Мы выбирали самые востребованные сервисы, в которых заинтересованы заказчики.

Таблица 3


Таблица 4. Сравнение по группе критериев «Стоимостные»


Стоимость владения СОВ не предоставлена вендорами.

Таблица 4


Таблица 5. Сравнение по группе критериев «Нормативные»


Данная группа содержит основные требования, которые предъявляют заказчики ко всем решениям по информационной безопасности. Наличие сертификатов ФСТЭК и ФСБ важно для компаний, связанных с государственным сектором. Аналитические отчеты показывают уровень зрелости решения на международном рынке.

Таблица 5


Плюсы и минусы рассмотренных решений


Здесь мы приводим нашу субъективную оценку сильных и слабых сторон. Достоинства могут с легкостью конвертироваться в недостатки и наоборот.

KICS for Networks


Плюсы:

  • Возможность добавления индивидуальных событий мониторинга сети через консоль управления.
  • Возможность импорта тегов из CSV-файла, а также формирования списка тегов на основе распознавания трафика (для некоторых протоколов).
  • Весь функционал доступен в одной лицензии.
  • Весь функционал присутствует в одном решении.
  • Имеются протоколы на совместимость с основными вендорами АСУ ТП.


Минусы:

  • Конфигурирование производится только через консоль управления, установленную на сервере. Через веб-интерфейс производится только мониторинг.
  • Отчет о событиях формируется только через Kaspersky Security Center.
  • Отсутствие возможности индивидуальной настройки карты сети.
  • Закрытый прайс-лист.

ISIM


Плюсы:

  • Простота установки, настройки и дальнейшей эксплуатации.
  • Простой и понятный веб-интерфейс.
  • Мониторинг и управление сосредоточены в одном месте.
  • Графическое представление узлов сети с возможностью группировки.
  • Возможность хранения и экспорта сетевого трафика.
  • Создание отчетов и их выгрузка в формате PDF.


Минусы:

  • Создание индивидуальных правил для контроля сети только через вендора.
  • Полный функционал доступен только в версии Pro.
  • Закрытый прайс-лист.


Выводы


Рынок СОВ активно развивается за счет появления новых угроз и острой необходимости своевременно их обнаруживать. Конкуренция подстегивает производителей искать свою нишу, придумывать «фишки», которые будут отличать их решения от других. Вендоры развивают продукты, реагируют на потребности пользователей, и с каждым релизом с решениями становится проще работать.

Как делать выбор. Недостатки и преимущества рассмотренных нами решений индивидуальны для каждого предприятия. Например, если вы используете протокол, который поддерживается только одной системой обнаружения вторжений, выбор становится очевиден. Хотя нельзя исключать, что вендор будет готов пойти вам навстречу и добавит нужный функционал в продукт.

Немаловажный фактор — цена. У ISIM более интересный подход с выбором функционала (за счет двух версий продукта), а KICS построен по принципу «все в одном». Обязательно запросите у партнеров производителей стоимость первоначальной закупки решений. Не лишним будет посмотреть на стоимость владения (закупка+поддержка) решением в течение 3–5 лет.

Если на предприятии уже используются другие решения одного из рассмотренных в обзоре вендоров, стоит это учитывать. Мы встречали разные вариации на промышленных предприятиях. Некоторые индустриальные компании используют для защиты рабочих станций KICS for Nodes, а в качестве средства обнаружения вторжения — ISIM. Комбинированные решения тоже имеют право на существование.

Лучший способ понять, какое решение подходит именно вам, — провести пилот или обратиться за советом к компаниям, которые уже имели опыт внедрения.

Электронная и печатная версии обзора будут выпущены в ближайшее время.
В подготовке данного обзора принимали участие: Виталий Сиянов, Антон Елизаров, Андрей Костин, Сергей Ковалев, Терехов Денис.

© Habrahabr.ru