"Инфосистемы Джет" сравнили СОВ от «Лаборатории Касперского» и Positive Technologies

Для защиты промышленных систем от кибератак существуют специализированные системы обнаружения вторжений (СОВ). Эти системы позволяют обнаруживать попытки злоумышленников проникнуть в сетевые сегменты АСУ ТП и предотвращать атаки, не дожидаясь последствий. В настоящее время на российском рынке представлено как минимум 5 решений, которые можно рассматривать в качестве СОВ в промышленных сетях:

• KICS for Networks от «Лаборатории Касперского»;
• ISIM от Positive Technologies;
• ASAP от InfoWatch;
• Datapk от УЦСБ;
• SCADAShilet от Cyberbit.

Сравнительный анализ KICS и ISIM осуществлялся по сорока критериям. Основные из них – присутствие системы на российском рынке, собственный проектный опыт специалистов «Инфосистем Джет» и совместимость СОВ с другими продуктами производителя.

Критерии были разделены на 5 групп – «функциональные», «общесистемные», «сервисные», «стоимостные» и «нормативные». За основу были взяты вопросы, чаще всего задаваемые заказчиками при выборе решения. Эксперты не разбирали все используемые в продуктах технологии, а изучили только принципиально важные, влияющие на выбор того или иного продукта.

Среди «плюсов» KICS эксперты отметили возможность добавления индивидуальных событий мониторинга сети через консоль управления и возможность импорта тегов из CSV-файла, а также формирования списка тегов на основе распознавания трафика (для некоторых протоколов). Кроме того, весь функционал KICS собран в одном решении и доступен по одной лицензии. Еще один «плюс» – наличие протоколов для совместимости с основными вендорами АСУ ТП.

«Минус» KICS – конфигурирование производится только через консоль управления, установленную на сервере, а через web-интерфейс осуществляется только мониторинг. Еще один недостаток – отчет о событиях формируется через Kaspersky Security Center. Также отсутствует возможность индивидуальной настройки карты сети.

«Плюсами» ISIM являются: простота установки, настройки и дальнейшей эксплуатации, возможность хранения и экспорта сетевого трафика, простой и понятный web-интерфейс, создание отчетов и их выгрузка в формате PDF, а также графическое представление узлов сети с возможностью группировки. Мониторинг и управление сосредоточены в одном месте.

«Минусы» ISIM – создание индивидуальных правил для контроля сети только через вендора. Полный функционал доступен только в версии Pro.

С подробным анализом обоих решений можно ознакомиться здесь .