Vergleich der industriellen COB: ISIM vs. Kics

Die sensationellen Angriffe auf den norwegischen Aluminiumproduzenten Norsk Hydro und das venezolanische Energiesystem haben erneut gezeigt, dass Industrieunternehmen immer noch anfällig für Hacker sind. Wir haben uns entschlossen herauszufinden, welche spezialisierten OWLs - Intrusion Detection-Systeme - zur Bekämpfung solcher Cyberkriminalität beitragen und Eindringlinge in den Netzwerksegmenten von ICS „sehen“ können. Aus fünf Lösungen haben wir uns für zwei entschieden - KICS für Netzwerke von Kaspersky Lab und ISIM von Positive Technologies - und diese nach 40 Kriterien verglichen. Was wir getan haben, erfahren Sie unter dem Schnitt.

Warum Eulen zu Industrieunternehmen

1. Externe Bedrohungen

   
   Laut Alexei Petukhov , Leiter von Kaspersky Industrial CyberSecurity in der Russischen Föderation, "ist Russland in Bezug auf den Prozentsatz der angegriffenen ICS-TP-Computer in die TOP-20-Länder eingetreten." Leider ist es in Russland nicht üblich, Vorfälle am Produktionsstandort bekannt zu machen, aber unsere Erfahrung zeigt, dass sich die Situation, mit der Norsk Hydro konfrontiert war, in einheimischen Industrieunternehmen wiederholen kann.
   
   Eine detaillierte Analyse des Angriffs auf Norsk Hydro finden Sie hier .
   
   Es gibt ein weit verbreitetes Missverständnis, dass sich das Unternehmen durch die Aufteilung von Industrie- und Unternehmensnetzwerken und den Ausschluss des Zugangs zum Internet selbst Sicherheit garantiert. Aber das ist nicht so. Jetzt sind Angriffe ziemlich lange geplant und implementiert - Angreifer bereiten sich sorgfältig auf einen Angriff vor und überlegen sich ein Hacking-Szenario im Detail. Darüber hinaus kann die Motivation der Angreifer völlig unterschiedlich sein. Ransomware und Ransomware versuchen, so viele Geräte wie möglich zu treffen. Geheimdienste versuchen, der Infrastruktur maximalen Schaden zuzufügen usw. Aber jeder Angriff hat seinen eigenen Zyklus, der immer mit Intelligenz beginnt. Eulen können Cyberkriminelle bereits in dieser Phase erkennen und über die Bedrohung informieren, wodurch die Aktivitäten von Angreifern in der Anfangsphase des Angriffs gestoppt werden.
   
   Die Angriffe werden weitergehen, und es war notwendig, sich gestern darauf vorzubereiten.

2. Interne Bedrohungen

   
   Die häufigsten Bedrohungen sind nicht extern, sondern intern. Unzufrieden mit der Position oder dem Gehalt können Mitarbeiter die Unternehmenskapazitäten für ihre eigenen Zwecke nutzen. Entlassene Mitarbeiter hinterlassen Lesezeichen, indem sie den Zugang zu Darknet verkaufen oder die Infrastruktur für ihre persönlichen Interessen nutzen. In der Praxis waren wir mit Fällen konfrontiert, in denen Workstations Software für die Fernsteuerung von Computern für die Betriebsverwaltung oder die Arbeit von zu Hause aus installiert wurden. In solchen Geschichten entsteht häufig ein Dilemma, das normalerweise zur Konfrontation zwischen „Sicherheitskräften“ und „Schulwächtern“ führt: Was ist wichtiger - einfache Wartung oder Sicherheit? In Unternehmen können Sie häufig Workstations ohne Schutz sehen, deren Berührung verboten ist, da jede Auswirkung zu einem Herunterfahren des Prozesses führen kann. Für den Eindringling (extern oder intern) ist dies jedoch das Hauptziel des Angriffs. Das Unternehmen sollte nicht leiden, weil Sie Ihren Mitarbeitern vertrauen und Raum für Manipulationen lassen.

3. Gesetzgebung

   
   Der Staat baut das GosSOPKA-System auf, das wie geplant nicht nur den FSB über alle identifizierten Vorfälle bei der Arbeit informieren, sondern auch zu einer vollständigen Datenbank mit Computerangriffen in Russland werden soll. Jetzt stehen wir am Anfang der Straße, und es ist schwer zu sagen, wann die staatlichen Stellen das Ziel erreichen werden. Dennoch wurde 2017 187- „Zur Sicherheit kritischer Informationsinfrastrukturen der Russischen Föderation“ herausgegeben, gefolgt von einer Reihe von Anordnungen der FSTEC, die auch das Verfahren für die Kategorisierung von CII-Objekten und Maßnahmen zur Gewährleistung ihrer Sicherheit festlegen. Nachdem jedem Objekt eine Signifikanzkategorie zugewiesen wurde, muss das Unternehmen seinen Schutz sicherstellen. Die FSTEC-Verordnung Nr. 239 vom 25. Dezember 2017 enthält daher Informationen zu den Maßnahmen, die das Unternehmen (staatliche Stellen, staatliche Institutionen, russische juristische Personen sowie einzelne Unternehmer, die IP, ITS, ACS aufgrund des Eigentumsrechts, des Leasingverhältnisses oder einer anderen Rechtsgrundlage besitzen) ergriffen hat. verpflichtet, beim Schutz von Gegenständen KII anzuwenden. Für Besitzer von Objekten der Kategorie 2 oder 1 legt der Regler in der angegebenen Reihenfolge die Anforderung fest, ein Intrusion Detection Tool zu verwenden. Wir sind davon überzeugt, dass solche Lösungen aufgrund der Praxis, Kategorien zu unterschätzen, für alle Objekte von KII nützlich sein werden.
   
   Anforderungen der Verordnung des FSTEC Nr. 239 vom 25. Dezember 2017
   Abschnitt VII. - Intrusion Prevention (COB) erfordert die COB.1-Anforderung „Erkennung und Verhinderung von Computerangriffen“ für Einrichtungen der kritischen Informationsinfrastruktur der Kategorien 2 und 1.

Eulenfunktionalität

Nach unserer Meinung sollten Lösungen die folgenden Funktionen bieten.

1. Überwachung des technologischen Netzwerks mit der Fähigkeit, die technologischen Protokolle der wichtigsten Hersteller von Prozessleitsystemen zu unterstützen.
2. Automatische Gerätetyperkennung (AWP, Server, SPS).
3. Fähigkeit, den Prozess zu steuern.
4. Intrusion Detection in einem technologischen Netzwerk.
5. Übertragung aufgezeichneter Ereignisse an Überwachungssysteme von Drittanbietern (SIEM) mit der Möglichkeit ihrer Analyse.
6. Grafischer Aufbau einer technologischen Netzwerkkarte.
7. Erstellen und Hochladen von Berichten.
8. Unterstützung bei der Untersuchung von Vorfällen.

Wie haben wir Vergleichslösungen ausgewählt?

Bei der Auswahl der Lösungen für die Forschung haben wir uns an drei Hauptkriterien orientiert: der Präsenz des Produkts auf dem russischen Markt, unserer eigenen Projekterfahrung und der Kompatibilität der Lösung mit Produkten anderer Anbieter.

Heute werden auf dem russischen Markt mindestens 5 Lösungen vorgestellt, die in industriellen Netzwerken als SOW angesehen werden können:

• KICS für Netzwerke von Kaspersky Lab;
  
• ISIM von Positive Technologies;
  
• ASAP von InfoWatch;
  
• Datapk von USSB;
  
• SCADAShiled von Cyberbit.
  

Aus der gesamten Auswahl haben wir drei Lösungen ausgewählt, die unserer Meinung nach derzeit auf dem russischen Markt am beliebtesten sind: KICS für Netzwerke von Kaspersky Lab, ISIM von Positive Technologies und ASAP von InfoWatch.

Während der Verhandlungen hat InfoWatch beschlossen, nicht am Vergleich teilzunehmen. Die Kollegen bereiten die Veröffentlichung einer neuen Version ihres Produkts vor und waren zum Zeitpunkt der vergleichenden Analyse noch nicht bereit, sie uns zum Testen zur Verfügung zu stellen. Wir werden diese Lösung gerne zur nächsten Version unseres Vergleichs hinzufügen.

Bei den Lösungen von Kaspersky Lab und Positive Technologies stellten uns beide Unternehmen Distributionen für unabhängige Studien zur Verfügung und beantworteten unsere Fragen während des Testprozesses schnell. Für KICS for Networks und ISIM-Lösungen haben wir auch dazu beigetragen, dass wir sie bereits sowohl zum Testen als auch im kommerziellen Betrieb implementiert haben. Darüber hinaus können beide Produkte in andere integrierte Lösungen integriert werden. Zum Beispiel funktioniert ISIM hervorragend in Verbindung mit Max Patrol SIEM, und häufig werden beide Produkte getestet. Kaspersky Lab verfügt über KICS for Nodes, eine spezielle Lösung (Antivirus) zum Schutz von Servern, Controllern und Workstations in einem industriellen Netzwerk. In diesem Test haben wir uns nicht das Ziel gesetzt, die vollständige Integration mit anderen Produkten zu vergleichen, sondern uns nur auf die Funktionalität der ausgewählten Lösungen beschränkt. Dies ist jedoch ein wichtiger Faktor bei der Auswahl eines Systems für die Implementierung.

Wie war der Vergleich

Für einen qualitativen Vergleich haben wir die Kriterien ermittelt und in 5 Gruppen eingeteilt. Grundlage waren die Fragen, die unsere Kunden bei der Auswahl einer Lösung am häufigsten stellten. Wir haben die in den Produkten verwendeten Technologien nicht im Detail analysiert, sondern nur die grundlegend wichtigen untersucht, die die Auswahl einer Lösung beeinflussen.

Dann haben wir Stände auf den virtuellen Servern von Jet Infosystems bereitgestellt und die neuesten Produkte angesehen: KICS for Networks 2.8 und ISIM 1.5.390.

Nach den Ergebnissen der Studie haben wir eine Vergleichstabelle erstellt und zur Genehmigung an die Anbieter gesendet. Sie ergänzten mit ihren Kommentaren die Einschätzungen, die sie für notwendig erachteten. Kommentare von Anbietern werden in separaten Spalten von Vergleichstabellen und in Kursivschrift angegeben . Unsere Ergebnisse werden im Abschnitt „Kommentare“ vorgestellt und können von der Position der Anbieter abweichen.

Vergleichende Überprüfung der SOW (Industrial IDS)

Hinweis Die kursiv gedruckte Tabelle zeigt die Kommentare der Anbieter.

Tabelle 1. Vergleich der Kriteriengruppe "Funktional"

In dieser Gruppe vergleichen wir die wichtigsten Funktionskomponenten industrieller Verkehrsüberwachungssysteme. Zum Vergleich haben wir Technologien ausgewählt, die für die Verkehrsanalyse in industriellen Steuerungssystemen von grundlegender Bedeutung sind. Wir sind der Ansicht, dass diese Kriterien in allen SOVs vorhanden sein sollten, die sowohl auf die Verarbeitung des technologischen Verkehrs spezialisiert sind als auch Bedrohungen identifizieren, die bei Industrieunternehmen auftreten.

Tabelle 2. Vergleich der Kriteriengruppe "Allgemein"

In dieser Gruppe betrachten wir die Benutzerfreundlichkeit und die architektonischen Merkmale der SOW. Wir haben die Hauptkriterien identifiziert, die während der Implementierung des Systems vorgestellt werden und von den Benutzern bei der Auswahl einer Lösung berücksichtigt werden.

Tabelle 3. Vergleich nach Kriteriengruppe „Service“

Diese Gruppe enthält Kriterien für zusätzliche Dienste von Anbietern. Wir haben die beliebtesten Dienstleistungen ausgewählt, an denen Kunden interessiert sind.

Tabelle 4. Vergleich der Kriteriengruppe "Kosten"

Die Betriebskosten von OWL werden nicht von Anbietern bereitgestellt.

Tabelle 5. Vergleich nach Kriteriengruppe „Normativ“

Diese Gruppe enthält die grundlegenden Anforderungen, die Kunden an alle Informationssicherheitslösungen stellen. Die Verfügbarkeit von FSTEC- und FSB-Zertifikaten ist wichtig für Unternehmen, die mit dem öffentlichen Sektor verbunden sind. Analytische Berichte zeigen den Reifegrad der Lösung auf dem internationalen Markt.

Vor- und Nachteile der überprüften Lösungen

Hier geben wir unsere subjektive Einschätzung von Stärken und Schwächen. Stärken können leicht in Schwächen umgewandelt werden und umgekehrt.

KICS für Netzwerke

Vorteile:

• Möglichkeit, einzelne Netzwerküberwachungsereignisse über die Verwaltungskonsole hinzuzufügen.
  
• Möglichkeit zum Importieren von Tags aus einer CSV-Datei sowie zum Generieren einer Liste von Tags basierend auf der Verkehrserkennung (für einige Protokolle).
  
• Alle Funktionen sind in einer Lizenz verfügbar.
  
• Alle Funktionen sind in einer Lösung vorhanden.
  
• .
  

Nachteile:

• , . - .
  
• Kaspersky Security Center.
  
• .
  
• -.
  

ISIM

Vorteile:

• , .
  
• -.
  
• .
  
• .
  
• .
  
• PDF.
  

Nachteile:

• .
  
• Pro.
  
• -.
  

Schlussfolgerungen

Der OWL-Markt entwickelt sich aufgrund des Auftretens neuer Bedrohungen und der dringenden Notwendigkeit, diese rechtzeitig zu erkennen, aktiv. Der Wettbewerb ermutigt die Hersteller, nach ihrer Nische zu suchen und „Chips“ zu entwickeln, die ihre Lösungen von anderen unterscheiden. Anbieter entwickeln Produkte, reagieren auf Benutzeranforderungen und mit jeder Version wird es einfacher, mit Lösungen zu arbeiten.

Wie man eine Wahl trifft. Die Nachteile und Vorteile der von uns berücksichtigten Lösungen sind für jedes Unternehmen individuell. Wenn Sie beispielsweise ein Protokoll verwenden, das nur von einem Intrusion Detection-System unterstützt wird, wird die Wahl offensichtlich. Es kann jedoch nicht ausgeschlossen werden, dass der Anbieter bereit ist, Sie zu treffen und dem Produkt die erforderlichen Funktionen hinzuzufügen.

Ein wichtiger Faktor ist der Preis. ISIM hat einen interessanteren Ansatz bei der Auswahl der Funktionalität (aufgrund von zwei Produktversionen), und KICS für Netzwerke basiert auf dem Prinzip "All in One". Fragen Sie unbedingt die Partner des Herstellers nach den Kosten für den erstmaligen Kauf von Lösungen. Es ist nicht überflüssig, die Betriebskosten (Kauf + Support) 3-5 Jahre lang mit einer Lösung zu betrachten.

Wenn das Unternehmen bereits andere Lösungen eines der in der Überprüfung berücksichtigten Anbieter verwendet, sollte dies berücksichtigt werden. Bei Industrieunternehmen haben wir verschiedene Variationen getroffen. Einige Industrieunternehmen verwenden KICS for Nodes zum Schutz von Workstations und ISIM als Tool zur Erkennung von Eindringlingen. Kombinierte Lösungen haben auch ein Existenzrecht.

Der beste Weg, um zu verstehen, welche Lösung für Sie geeignet ist, besteht darin, Unternehmen zu pilotieren oder sich beraten zu lassen, die bereits Erfahrung in der Implementierung haben.

Elektronische und gedruckte Versionen der Rezension werden in Kürze veröffentlicht.
Diese Bewertung wurde erstellt von: Vitaliy Siyanov, Anton Elizarov, Andrey Kostin, Sergey Kovalev, Denis Terekhov.