Comparaison des COB industriels: ISIM vs. Kics

Les attaques sensationnelles contre le producteur norvégien d'aluminium Norsk Hydro et le système énergétique vénézuélien ont une fois de plus montré que les entreprises industrielles sont toujours vulnérables aux pirates informatiques. Nous avons décidé de découvrir quels OWL spécialisés - systèmes de détection d'intrusions - aident à lutter contre ces cybercrimes et sont capables de «voir» les intrus dans les segments de réseau des SCI. En choisissant parmi cinq solutions, nous avons opté pour deux - KICS for Networks de Kaspersky Lab et ISIM de Positive Technologies - et les avons comparées selon 40 critères. Ce que nous avons fait, vous pouvez le découvrir sous la coupe.

Pourquoi les hiboux aux entreprises industrielles

1. Menaces externes

   
   Selon Alexei Petukhov , directeur de Kaspersky Industrial CyberSecurity en Fédération de Russie, "la Russie est entrée dans le TOP 20 en termes de pourcentage d'ordinateurs ICS TP attaqués". Malheureusement, il n'est pas habituel en Russie de faire connaître les incidents survenus sur le site de production, mais notre expérience suggère que la situation à laquelle Norsk Hydro était confrontée pourrait se répéter dans les entreprises industrielles nationales.
   
   Une analyse détaillée de l'attaque de Norsk Hydro est disponible ici .
   
   Il existe une idée fausse répandue qu'en divisant les réseaux industriels et les réseaux d'entreprises et en excluant l'accès à Internet, l'entreprise se garantit la sécurité. Mais ce n'est pas le cas. Désormais, les attaques sont planifiées et mises en œuvre pendant assez longtemps - les attaquants se préparent soigneusement à une attaque et réfléchissent en détail à un scénario de piratage. De plus, la motivation des attaquants peut être complètement différente. Les ransomwares et ransomwares tentent de toucher autant d'appareils que possible, les agences de renseignement visent à infliger un maximum de dommages à l'infrastructure, etc. Mais toute attaque a son propre cycle, qui commence toujours par l'intelligence. Les hiboux sont capables de détecter les cybercriminels déjà à ce stade et de notifier la menace, arrêtant les activités des attaquants au stade initial de l'attaque.
   
   Les attaques se poursuivront et il fallait s'y préparer hier.

2. Menaces internes

   
   Les menaces les plus courantes ne sont pas externes, mais internes. Insatisfaits du poste ou du salaire, les employés peuvent utiliser les capacités de l'entreprise à leurs propres fins. Les travailleurs licenciés laissent des signets en vendant l'accès à Darknet ou en exploitant l'infrastructure pour leurs intérêts personnels. Dans la pratique, nous avons été confrontés à des cas où des postes de travail ont été installés des logiciels de contrôle informatique à distance pour la gestion opérationnelle ou le travail à domicile. Dans de telles histoires, un dilemme se pose souvent, ce qui conduit généralement à la confrontation entre les «gardes de sécurité» et les «gardes d'école»: quel est le plus important - facilité d'entretien ou sécurité? Souvent, dans les entreprises, vous pouvez voir des postes de travail sans aucune protection qui sont interdits de toucher, car tout impact peut entraîner un arrêt du processus. Mais pour l'intrus (externe ou interne), ce sera le principal objectif de l'attaque. L'entreprise ne devrait pas souffrir car vous faites confiance à vos employés et laissez de la place à la manipulation.

3. Législation

   
   L'État est en train de construire le système GosSOPKA qui, comme prévu, devrait non seulement informer le FSB de tous les incidents identifiés au travail, mais également devenir une base de données à part entière des attaques informatiques survenues en Russie. Nous sommes maintenant au début de la route et il est difficile de dire quand les organes de l'État atteindront l'objectif. Néanmoins, en 2017, 187- «Sur la sécurité des infrastructures d'information critiques de la Fédération de Russie» a été publié, suivi par un certain nombre d'ordonnances du FSTEC, qui déterminent également la procédure de catégorisation des objets CII et les mesures pour assurer leur sécurité. Après avoir attribué une catégorie d'importance à chaque objet, l'entreprise doit assurer sa protection. Ainsi, l'arrêté FSTEC n ° 239 du 25 décembre 2017 nous renseigne sur les mesures que l'entité (organismes publics, institutions publiques, personnes morales russes, ainsi que les entrepreneurs individuels qui détiennent IP, ITS, ACS par le droit de propriété, le bail ou sur toute autre base juridique) obligé d'appliquer lors de la protection des objets KII. Pour les propriétaires d'objets de catégorie 2 ou 1, le régulateur dans l'ordre indiqué établit l'obligation d'utiliser un outil de détection d'intrusion. Nous sommes convaincus qu'en raison de la pratique de la sous-estimation des catégories, de telles solutions seront utiles à tous les objets de KII.
   
   Exigences de l'arrêté du FSTEC n ° 239 du 25 décembre 2017
   Section VII. - La prévention des intrusions (COB) requiert l'exigence COB.1 «Détection et prévention des attaques informatiques» pour les installations d'infrastructures d'informations critiques des catégories 2 et 1.

Fonctionnalité OWL

À notre avis, les solutions devraient fournir les fonctionnalités suivantes.

1. Surveillance du réseau technologique avec la capacité de supporter les protocoles technologiques des principaux fabricants de systèmes de contrôle de processus.
2. Détection automatique de type d'appareil (AWP, serveur, PLC).
3. Capacité à contrôler le processus.
4. Détection d'intrusions dans un réseau technologique.
5. Transfert des événements enregistrés vers des systèmes de surveillance tiers (SIEM) avec possibilité de les analyser.
6. Construction graphique d'une carte du réseau technologique.
7. Création et téléchargement de rapports.
8. Assistance pour enquêter sur les incidents.

Comment avons-nous choisi des solutions de comparaison

Lors du choix des solutions de recherche, nous avons été guidés par trois critères principaux: la présence du produit sur le marché russe, notre propre expérience de projet et la compatibilité de la solution avec d'autres produits de fournisseurs.

Aujourd'hui, au moins 5 solutions sont présentées sur le marché russe qui peuvent être considérées comme SOW dans les réseaux industriels:

• KICS for Networks de Kaspersky Lab;
  
• ISIM de Positive Technologies;
  
• ASAP d'InfoWatch;
  
• Datapk de l'USSB;
  
• SCADAShiled par Cyberbit.
  

Parmi toute la variété, nous avons sélectionné 3 solutions qui, à notre avis, sont maintenant les plus populaires sur le marché russe: KICS for Networks de Kaspersky Lab, ISIM de Positive Technologies et ASAP d'InfoWatch.

Au cours des négociations, InfoWatch a décidé de ne pas participer à la comparaison. Les collègues se préparent à publier une nouvelle version de leur produit et, au moment de l'analyse comparative, n'étaient pas prêts à nous la fournir pour les tests. Nous serons heureux d'ajouter cette solution à la prochaine version de notre comparaison.

Quant aux solutions de Kaspersky Lab et de Positive Technologies, les deux sociétés nous ont fourni des distributions pour une étude indépendante et ont rapidement répondu à nos questions pendant le processus de test. En faveur des solutions KICS pour les réseaux et ISIM, nous avons également joué un rôle dans le fait que nous les avons déjà implémentés à la fois pour les tests et pour l'exploitation commerciale. De plus, les deux produits peuvent être intégrés dans d'autres solutions intégrées. Par exemple, ISIM fonctionne très bien avec Max Patrol SIEM, et souvent les deux produits sont testés. Kaspersky Lab dispose de KICS for Nodes, une solution spécialisée (antivirus) pour protéger les serveurs, contrôleurs et postes de travail situés sur un réseau industriel. Dans cette revue, nous ne nous sommes pas fixé pour objectif de comparer l'intégralité de l'intégration avec d'autres produits et nous nous sommes limités uniquement à la fonctionnalité des solutions sélectionnées. Néanmoins, c'est un facteur important lors du choix d'un système de mise en œuvre.

Comment était la comparaison

Pour une comparaison qualitative, nous avons déterminé les critères et les avons répartis en 5 groupes. La base était les questions les plus fréquemment posées par nos clients lors du choix d'une solution. Nous n'avons pas analysé en détail les technologies utilisées dans les produits, mais n'avons étudié que les technologies fondamentalement importantes qui affectent le choix d'une solution.

Ensuite, nous avons déployé des stands sur les serveurs virtuels Jet Infosystems et regardé les derniers produits: KICS for Networks 2.8 et ISIM 1.5.390.

Selon les résultats de l'étude, nous avons compilé un tableau comparatif et l'avons envoyé aux fournisseurs pour approbation. Ils ont complété par leurs commentaires les évaluations qu'ils jugeaient nécessaires. Les commentaires des fournisseurs sont donnés dans des colonnes séparées des tableaux comparatifs et en italique . Nos constatations sont présentées dans la section «Commentaires» et peuvent différer de la position des fournisseurs.

Examen comparatif de l'EDT (IDS industriel)

Remarque Le tableau en italique indique les commentaires des vendeurs.

Tableau 1. Comparaison du groupe de critères "fonctionnel"

Dans ce groupe, nous comparons les principaux composants fonctionnels des systèmes de surveillance du trafic industriel. À titre de comparaison, nous avons choisi des technologies fondamentales pour l'analyse du trafic dans les systèmes de contrôle industriels. Nous pensons que ces critères devraient être présents dans tous les SOV, à la fois spécialisés dans le traitement du trafic technologique, et pour identifier les menaces qui surviennent dans les entreprises industrielles.

Tableau 2. Comparaison du groupe de critères "Général"

Dans ce groupe, nous considérons la facilité d'utilisation et les caractéristiques architecturales de l'EDT. Nous avons identifié les principaux critères présentés lors de la mise en place du système et pris en compte par les utilisateurs lors du choix d'une solution.

Tableau 3. Comparaison par le groupe de critères «Service»

Ce groupe comprend des critères pour les services supplémentaires des fournisseurs. Nous avons choisi les services les plus populaires qui intéressent les clients.

Tableau 4. Comparaison du groupe de critères "Coût"

Le coût de possession de OWL n'est pas fourni par les fournisseurs.

Tableau 5. Comparaison par le groupe de critères «normatifs»

Ce groupe contient les exigences de base que les clients imposent à toutes les solutions de sécurité des informations. La disponibilité des certificats FSTEC et FSB est importante pour les entreprises associées au secteur public. Les rapports analytiques montrent le niveau de maturité de la solution sur le marché international.

Avantages et inconvénients des solutions examinées

Nous donnons ici notre évaluation subjective des forces et des faiblesses. Les forces peuvent facilement être converties en faiblesses et vice versa.

KICS pour les réseaux

Avantages:

• Possibilité d'ajouter des événements de surveillance réseau individuels via la console de gestion.
  
• Possibilité d'importer des balises à partir d'un fichier CSV, ainsi que de générer une liste de balises basée sur la reconnaissance du trafic (pour certains protocoles).
  
• Toutes les fonctionnalités sont disponibles dans une seule licence.
  
• Toutes les fonctionnalités sont présentes dans une seule solution.
  
• .
  

Inconvénients:

• , . - .
  
• Kaspersky Security Center.
  
• .
  
• -.
  

ISIM

Avantages:

• , .
  
• -.
  
• .
  
• .
  
• .
  
• PDF.
  

Inconvénients:

• .
  
• Pro.
  
• -.
  

Conclusions

Le marché des COB se développe activement en raison de l'émergence de nouvelles menaces et de l'urgence de les détecter en temps opportun. La concurrence encourage les fabricants à chercher leur créneau, à trouver des "puces" qui distingueront leurs décisions des autres. Les fournisseurs développent des produits, répondent aux besoins des utilisateurs et à chaque version, il devient plus facile de travailler avec des solutions.

Comment faire un choix. Les inconvénients et avantages des solutions que nous considérons sont individuels pour chaque entreprise. Par exemple, si vous utilisez un protocole pris en charge par un seul système de détection d'intrusion, le choix devient évident. Bien qu'il ne puisse pas être exclu que le fournisseur soit prêt à vous rencontrer et à ajouter les fonctionnalités nécessaires au produit.

Un facteur important est le prix. ISIM a une approche plus intéressante avec le choix des fonctionnalités (en raison de deux versions de produit), et KICS pour les réseaux est construit sur le principe du "tout en un". N'oubliez pas de demander aux fabricants partenaires le coût de l'achat initial des solutions. Il ne sera pas superflu de regarder le coût de possession (achat + support) par une solution pendant 3-5 ans.

Si l'entreprise utilise déjà d'autres solutions de l'un des fournisseurs pris en compte dans l'examen, cela vaut la peine d'en tenir compte. Nous avons rencontré différentes variantes dans les entreprises industrielles. Certaines sociétés industrielles utilisent KICS for Nodes pour protéger les postes de travail et ISIM comme outil de détection d'intrusion. Les solutions combinées ont également le droit d'exister.

La meilleure façon de comprendre quelle solution vous convient est de piloter ou de demander conseil à des entreprises qui ont déjà de l'expérience dans la mise en œuvre.

Des versions électroniques et imprimées de la revue seront publiées sous peu.
Cette revue a été préparée par: Vitaliy Siyanov, Anton Elizarov, Andrey Kostin, Sergey Kovalev, Denis Terekhov.