Geekly articles weekly

Perbandingan COB industri: ISIM vs Kics



Serangan sensasional terhadap produsen aluminium Norwegia Norsk Hydro dan sistem energi Venezuela sekali lagi menunjukkan bahwa perusahaan industri masih rentan terhadap peretas. Kami memutuskan untuk mencari tahu OWL khusus mana - sistem deteksi intrusi - yang membantu memerangi kejahatan dunia maya semacam itu dan mampu "melihat" penyusup di segmen jaringan ICS. Memilih dari lima solusi, kami memilih dua - KICS untuk Jaringan dari Kaspersky Lab dan ISIM dari Positive Technologies - dan membandingkannya sesuai dengan 40 kriteria. Apa yang kami lakukan, Anda dapat mencari tahu di bawah luka.

Mengapa burung hantu ke perusahaan industri


  1. Ancaman eksternal


    Menurut Alexei Petukhov , kepala Kaspersky Industrial CyberSecurity di Federasi Rusia, "Rusia telah memasuki negara TOP-20 dalam hal persentase komputer ICS TP yang diserang." Sayangnya, bukan kebiasaan di Rusia untuk menyebarkan berita tentang insiden yang terjadi di lokasi produksi, tetapi pengalaman kami menunjukkan bahwa situasi yang dihadapi Norsk Hydro dapat diulang di perusahaan industri dalam negeri.

    Analisis terperinci tentang serangan terhadap Norsk Hydro baca di sini .

    Ada kesalahpahaman umum bahwa dengan membagi jaringan industri dan perusahaan dan tidak termasuk akses ke Internet, perusahaan menjamin keamanannya sendiri. Tapi ini tidak benar. Sekarang serangan direncanakan dan diimplementasikan untuk waktu yang agak lama - penyerang dengan hati-hati mempersiapkan serangan dan memikirkan skenario peretasan secara rinci. Selain itu, motivasi para penyerang bisa sangat berbeda. Ransomware dan ransomware mencoba menekan sebanyak mungkin perangkat, badan intelijen bertujuan untuk memberikan kerusakan maksimum pada infrastruktur, dll. Tetapi setiap serangan memiliki siklusnya sendiri, yang selalu dimulai dengan kecerdasan. Burung hantu dapat mendeteksi penjahat dunia maya yang sudah pada tahap ini dan memberi tahu tentang ancaman, menghentikan kegiatan penyerang pada tahap awal serangan.

    Serangan akan berlanjut lebih jauh, dan itu perlu untuk mempersiapkan mereka kemarin.

  2. Ancaman internal


    Ancaman yang paling umum bukanlah eksternal, tetapi internal. Tidak puas dengan posisi atau gaji, karyawan dapat menggunakan kapasitas perusahaan untuk tujuan mereka sendiri. Pekerja yang diberhentikan meninggalkan bookmark dengan menjual akses ke Darknet atau dengan mengeksploitasi infrastruktur untuk kepentingan pribadi mereka. Dalam praktiknya, kami dihadapkan pada kasus-kasus ketika workstation dipasang perangkat lunak untuk kontrol komputer jarak jauh untuk manajemen operasional atau bekerja dari rumah. Dalam cerita-cerita seperti itu, dilema sering muncul, yang biasanya mengarah pada konfrontasi antara "penjaga keamanan" dan "penjaga sekolah": mana yang lebih penting - kemudahan pemeliharaan atau keselamatan? Seringkali di perusahaan Anda dapat melihat stasiun kerja tanpa perlindungan yang dilarang untuk disentuh, karena dampak apa pun dapat menyebabkan penutupan proses. Tetapi bagi penyusup (eksternal atau internal) ini akan menjadi tujuan utama serangan. Perusahaan seharusnya tidak menderita karena Anda memercayai karyawan Anda dan meninggalkan ruang untuk manipulasi.

  3. Legislasi


    Negara sedang membangun sistem GosSOPKA, yang, seperti yang direncanakan, seharusnya tidak hanya menginformasikan FSB dari semua insiden yang diidentifikasi di tempat kerja, tetapi juga menjadi basis data lengkap serangan komputer yang terjadi di Rusia. Sekarang kita berada di awal jalan, dan sulit untuk mengatakan kapan badan negara akan mencapai tujuan. Namun demikian, pada tahun 2017, 187- “Mengenai keamanan infrastruktur informasi kritis Federasi Rusia” dikeluarkan, diikuti oleh sejumlah pesanan FSTEC, yang juga menentukan prosedur untuk mengkategorikan objek CII dan langkah-langkah untuk memastikan keamanannya. Setelah menetapkan kategori signifikansi untuk setiap objek, perusahaan harus memastikan perlindungannya. Jadi, Pesanan FSTEC No. 239 tanggal 25 Desember 2017 memberi tahu kita tentang langkah-langkah yang dilakukan entitas (badan negara, lembaga negara, badan hukum Rusia, serta pengusaha perorangan yang memiliki IP, ITS, ACS dengan hak kepemilikan, sewa atau berdasarkan hukum lainnya) wajib diberlakukan saat melindungi benda KII. Untuk pemilik benda dari kategori 2 atau 1, regulator dalam urutan yang ditunjukkan menetapkan persyaratan untuk menggunakan alat deteksi intrusi. Kami yakin bahwa, karena praktik meremehkan kategori, solusi tersebut akan berguna untuk semua objek KII.

    Persyaratan Pesanan FSTEC No. 239 tanggal 25 Desember 2017
    Bagian VII. - Intrusion Prevention (COB) mensyaratkan COB.1 persyaratan “Deteksi dan Pencegahan Serangan Komputer” untuk fasilitas infrastruktur informasi kritis kategori 2 dan 1.

Fungsionalitas OWL


Menurut pendapat kami, solusi harus menyediakan fitur berikut.

  1. Memantau jaringan teknologi dengan kemampuan untuk mendukung protokol teknologi dari produsen utama sistem kontrol proses.
  2. Deteksi tipe perangkat otomatis (AWP, server, PLC).
  3. Kemampuan untuk mengendalikan proses.
  4. Deteksi intrusi dalam jaringan teknologi.
  5. Transfer peristiwa yang direkam ke sistem pemantauan pihak ketiga (SIEM) dengan kemungkinan analisisnya.
  6. Konstruksi grafis dari peta jaringan teknologi.
  7. Membuat dan mengunggah laporan.
  8. Bantuan dalam menyelidiki insiden.

Bagaimana kami memilih solusi untuk perbandingan


Ketika memilih solusi untuk penelitian, kami dipandu oleh tiga kriteria utama: keberadaan produk di pasar Rusia, pengalaman proyek kami sendiri dan kompatibilitas solusi dengan produk vendor lainnya.

Hari ini, setidaknya 5 solusi disajikan di pasar Rusia yang dapat dianggap sebagai SOW dalam jaringan industri:

  • KICS untuk Jaringan dari Kaspersky Lab;
  • ISIM dari Positive Technologies;
  • ASAP dari InfoWatch;
  • Datapk dari USSB;
  • DITINGKATKAN oleh Cyberbit.

Dari keseluruhan variasi, kami memilih 3 solusi, yang sekarang, menurut pendapat kami, adalah yang paling populer di pasar Rusia: KICS untuk Jaringan dari Kaspersky Lab, ISIM dari Positive Technologies dan ASAP dari InfoWatch.

Selama negosiasi, InfoWatch memutuskan untuk tidak berpartisipasi dalam perbandingan. Kolega sedang mempersiapkan untuk merilis versi baru dari produk mereka dan pada saat analisis komparatif tidak siap untuk memberikannya kepada kami untuk pengujian. Kami akan dengan senang hati menambahkan solusi ini ke versi perbandingan kami selanjutnya.

Adapun solusi dari Kaspersky Lab dan Positive Technologies, kedua perusahaan memberi kami distribusi untuk studi independen dan dengan cepat menjawab pertanyaan kami selama proses pengujian. Dalam mendukung solusi KICS for Networks dan ISIM, kami juga memainkan peran dalam kenyataan bahwa kami telah mengimplementasikan keduanya untuk pengujian dan dalam operasi komersial. Selain itu, kedua produk dapat diintegrasikan ke dalam solusi terintegrasi lainnya. Sebagai contoh, ISIM bekerja sangat baik dalam hubungannya dengan Max Patrol SIEM, dan seringkali kedua produk diuji. Kaspersky Lab memiliki KICS untuk Nodes, solusi khusus (antivirus) untuk melindungi server, pengontrol, dan workstation yang berlokasi di jaringan industri. Dalam ulasan ini, kami tidak menetapkan tujuan untuk membandingkan kepenuhan integrasi dengan produk lain dan membatasi diri hanya pada fungsionalitas solusi yang dipilih. Namun demikian, ini merupakan faktor penting ketika memilih sistem untuk implementasi.

Bagaimana perbandingannya


Untuk perbandingan kualitatif, kami menentukan kriteria dan membaginya menjadi 5 kelompok. Dasarnya adalah pertanyaan yang paling sering ditanyakan oleh pelanggan kami ketika memilih solusi. Kami tidak menganalisis teknologi yang digunakan dalam produk secara rinci, tetapi hanya mempelajari yang secara fundamental penting yang memengaruhi pilihan solusi.

Kemudian kami menempatkan stan di server virtual Jet Infosystems dan menyaksikan produk-produk terbaru: KICS for Networks 2.8 dan ISIM 1.5.390.

Menurut hasil penelitian, kami menyusun tabel perbandingan dan mengirimkannya ke vendor untuk persetujuan. Mereka melengkapi komentar mereka dengan penilaian yang mereka anggap perlu. Komentar vendor diberikan dalam kolom terpisah dari tabel perbandingan dan huruf miring . Temuan kami disajikan di bagian "Komentar" dan mungkin berbeda dari posisi vendor.

Fitur untuk menginstal solusi

ISIM


Produk ini digunakan berdasarkan Debian 8. Distribusi OS dengan semua paket yang diperlukan disediakan oleh vendor. Semua rekomendasi untuk menginstal dan mengkonfigurasi OS dijelaskan secara rinci dan dengan cara yang dapat diakses dalam manual produk. Pengaturan awal perangkat lunak PT ISIM dilakukan untuk menyesuaikan zona waktu dan mengkonfigurasi antarmuka jaringan, yang menjadikan instalasi sederhana, cepat, dan intuitif. Semua fungsi manajemen dan pemantauan dilakukan melalui antarmuka web.

KICS untuk Jaringan


Penempatan produk dilakukan berdasarkan CentOS. Distribusi OS dengan semua paket yang diperlukan disediakan oleh vendor. Tidak ada rekomendasi untuk menginstal OS dari produsen.
Saat menginstal perangkat lunak, node, server manajemen, sensor, dan server web dikonfigurasikan. Instalasi dapat dilakukan dalam bahasa Rusia atau Inggris. Kesulitan dan nuansa selama instalasi tidak diidentifikasi.

Perizinan

ISIM


Produk memiliki 3 versi.
  • ISIM Free adalah versi dengan fungsionalitas yang sangat terpotong. Didesain agar terbiasa dengan produk.
  • ISIM Net adalah produk utama perusahaan. Dalam kebanyakan kasus, pelanggan memilihnya. Ia memiliki semua fungsi yang diperlukan.
  • ISIM Pro adalah versi lanjutan dari ISIM Net. Ini memiliki fungsi canggih dan unik (diagram mnemonic). Ini sebanding dalam kinerja dengan KICS for Networks 2.8.

Semua produk datang dalam bentuk perangkat lunak yang dapat digunakan dalam lingkungan virtual. Versi Net dan Pro dapat dikirimkan sebagai firmware.

Harga tersedia berdasarkan permintaan (daftar harga tertutup).

KICS untuk Jaringan


Produk memiliki satu versi. Pada saat publikasi, 2.8.

Kami membandingkan karakteristik ISIM Pro.

Muncul dalam bentuk perangkat lunak yang dapat digunakan baik di lingkungan virtual dan pada sistem perangkat keras.

Harga tersedia berdasarkan permintaan (daftar harga tertutup).


Ulasan komparatif dari SOW (IDS industri)


Catatan Tabel dalam huruf miring menunjukkan komentar dari vendor.
Parameter
Penunjukan
Ketersediaan
Properti atau barang ini didukung sepenuhnya.
Kurangnya
Properti atau barang ini tidak didukung.
Sebagian
Ada implementasi yang tidak lengkap atau salah dari properti / elemen ini.

Tabel 1. Perbandingan kelompok kriteria "Fungsional"


Dalam grup ini, kami membandingkan komponen fungsional utama sistem pemantauan lalu lintas industri. Sebagai perbandingan, kami memilih teknologi yang penting untuk analisis lalu lintas dalam sistem kontrol industri. Kami percaya bahwa kriteria ini harus ada di semua SOV, baik yang berspesialisasi dalam pemrosesan lalu lintas teknologi, dan untuk mengidentifikasi ancaman yang muncul di perusahaan industri.

Tabel 1
Tidak. P / pNama tes dan pemeriksaanHasilPT ISIM
(dicetak miring
komentar
penjual)		KICS untuk Jaringan
(komentar vendor yang dicetak miring)		Komentar Jet Infosystems
1.1Inventaris host otomatisAda atau tidak adanya fungsi inventaris host otomatisKetersediaanKetersediaan
1.2Deteksi berdasarkan tanda tangan seperti SNORTAda atau tidak adanya fungsi deteksi berdasarkan tanda tangan seperti SNORTKetersediaan
Tanda tangan seperti SNORT digunakan, dikembangkan dan / atau dimodifikasi oleh pengembang.		Ketersediaan
Digunakan oleh Suricata, bukan SNORT.		Perbedaannya adalah karena teknologi yang digunakan, yang dipilih oleh vendor. Perbedaan teknologi tidak mempengaruhi kualitas kerja solusi.
1.3
Kemampuan untuk membuat dan memodifikasi aturan untuk mendeteksi insiden anomali lapisan jaringan dan aplikasi
Ada atau tidak adanya kemampuan untuk membuat dan / atau mengubah aturan
Ketersediaan
Ketersediaan
ISIM memiliki fungsi ini tersedia dalam versi Pro.
Fungsionalitas KICS untuk Jaringan sesuai dengan versi Pro.
1.4
Identifikasi insiden dan anomali pada tingkat penerapan sistem kontrol industri berdasarkan fungsi pemantauan perubahan parameter teknologi
Ada atau tidak adanya fungsi deteksi insiden berdasarkan fungsi mengendalikan perubahan parameter teknologi
Ketersediaan
Ketersediaan
1.5
Kemampuan untuk menyesuaikan analisis lalu lintas industri
Ada atau tidak adanya pengaturan untuk analisis lalu lintas industri
Ketersediaan
Fungsi analisis dikonfigurasikan dalam dua cara. Yang pertama adalah koreksi aturan interaksi jaringan di antarmuka dengan mengotorisasi / membatalkan otorisasi node dan koneksi jaringan (dalam versi Net dan Pro). Yang kedua adalah pembuatan aturan tingkat aplikasi di konfigurator (dalam versi Pro).
Ketersediaan
Versi ISIM untuk Net dan Pro berbeda dalam kedalaman pengaturan untuk analisis lalu lintas teknologi.
KICS untuk Jaringan sebanding dalam parameter ini dengan versi Pro ISIM.
1.6
Kemampuan untuk membagi salinan lalu lintas
Ada atau tidak adanya kemampuan untuk memisahkan salinan lalu lintas dari beberapa sistem
Ketersediaan
Pemisahan salinan lalu lintas dimungkinkan dalam hal penyajian dalam antarmuka, dalam analisis, dan dalam ekspor. Untuk presentasi, antarmuka menyediakan kemampuan untuk mengelompokkan node dan koneksi jaringan dengan tanda-tanda pemisahan logis atau fisik. Di bagian analisis, pemisahan lalu lintas dari beberapa sistem atau segmen jaringan diimplementasikan dengan menetapkan filter di antarmuka presentasi acara (memilih acara untuk setiap segmen atau sistem individu), diikuti dengan mengekspor salinan lalu lintas dengan peristiwa yang difilter.
KetersediaanPemisahan lalu lintas diperlukan untuk pemisahan logis komponen jaringan industri dan kenyamanan peristiwa penyaringan.
KICS for Networks membagi salinan lalu lintas menjadi titik pemantauan.
ISIM membaginya dengan titik pemantauan dan tata letak pada peta topologi jaringan.
1.7
Identifikasi anomali jaringan berdasarkan aturan (mendeteksi) yang berfungsi di luar kotak
Ada atau tidak adanya aturan yang telah ditentukan
Ketersediaan
Produk menggunakan basis aturan industri PT ISTI yang telah diperbarui.
Ketersediaan
1.8
Pemantauan integritas jaringan (penemuan perangkat baru di jaringan)
Ada atau tidak adanya fungsi pemantauan integritas jaringan
Ketersediaan
Ketersediaan
1.9
Otentikasi dan Otentikasi Pengguna
Ada atau tidak adanya identifikasi dan otentikasi pengguna
Ketersediaan
Ketersediaan
1.10
Protokol industri yang didukung
Daftar protokol industri yang didukung
APC FG;

CIP

DIGSI

Angsa

IEC104;

MMS

MODBUS TCP;

OPC DA;

PROFINET (2 jenis);

S7 comm (2 jenis);

SPABUS

UMAS

Vnet / IP

Komisaris DeltaV;

DeltaV FWUpgrade;

+ 3 protokol,
ditutup oleh NDA
ABB SPA-Bus;

Allen-Bradley EtherNet / IP;

Gerbang CODESYS V3;

DCE / RPC;

DMS untuk perangkat ABB AC 700F;

DNP3;

Kontrol Proses 100 Emerson DeltaV;

FTP

SRTP Listrik Umum;

IEC 60870-5-104;

IEC 61850: GOOSE, MMS (termasuk Laporan MMS), Nilai Sampel;

Mitsubishi MELSEC System Q;

Modbus TCP

OMRON FINS;

OPC UA Binary;

Ethernet Industri Siemens;

Siemens S7comm, S7comm-plus;

Yokogawa Vnet / IP;

Relativitas BDUBus;

Modifikasi protokol MMS untuk perangkat ABB AC800M;

Modifikasi protokol ModbusTCP untuk perangkat seri ECRA 200;

Protokol Perangkat dengan Perangkat Lunak Sistem Siemens DIGSI 4
Kedua solusi mendukung protokol industri inti.

Kriteria integrasi
Bagian ini membahas integrasi dengan sistem analisis hulu pihak ketiga untuk diproses lebih lanjut.
Tidak. P / pNama tes dan pemeriksaanHasilPT ISIM
(dicetak miring
komentar
penjual)		KICS untuk Jaringan
(komentar vendor yang dicetak miring)		Komentar Jet Infosystems
1.11
Integrasi dengan sistem kelas SIEM eksternal
Ada atau tidak adanya kemampuan untuk mentransfer informasi ke sistem kelas SIEM eksternal
Ketersediaan
Ketersediaan
Transfer Data Syslog
1.12Integrasi dengan sistem kontrol industriAda atau tidak adanya kemampuan untuk mentransfer informasi ke sistem kontrol proses otomatisKetersediaan
Semua informasi yang diperlukan tentang insiden dapat ditransfer ke sistem kontrol proses otomatis menggunakan alat produk standar untuk diproses lebih lanjut.		Ketersediaan
OPC DA, IEC 104		ISIM
1. Transfer data ke ACS TP melalui Syslog. Ini memerlukan konfigurasi tambahan di sisi sistem kontrol proses.

2. HMI PAC, tersedia dalam versi Pro. Itu dipasang di sistem kontrol proses otomatis untuk menampilkan informasi tentang insiden dengan ISIM.

3. Transmisi data dari ISIM melalui "kontak kering" untuk transmisi sinyal ke lampu indikator.

KICS untuk Jaringan
Transmisi informasi tentang status keamanan workstation individu melalui protokol OPC atau IEC104.
1.13
Kemampuan untuk mengumpulkan lalu lintas tanpa mempengaruhi segmen teknologi, kemampuan untuk bekerja dengan salinan lalu lintas (SPAN / TAP)
Ada atau tidak adanya pengumpulan traffic tanpa mempengaruhi segmen teknologi
Ketersediaan
Ketersediaan

Dampak Risiko Sanksi
Tidak. P / pNama tes dan pemeriksaanHasilPT ISIM
(dicetak miring
komentar
penjual)		KICS untuk Jaringan
(komentar vendor yang dicetak miring)		Komentar Jet Infosystems
1.14Tidak ada kemungkinan potensial bagi pabrikan untuk membatasi hak untuk menggunakan perangkat lunak - berakhirnya lisensi akan menyebabkan penghentian total fungsi-fungsi solusi.Ada atau tidak adanya kemungkinan potensial bagi produsen untuk membatasi hak penggunaan perangkat lunakKurangnya
Pada akhir lisensi, produk tetap beroperasi penuh (kecuali untuk kemungkinan pembaruan)		KurangnyaSolusi terus berfungsi, tetapi tidak ada kemungkinan memperbarui perangkat lunak dan basis data ancaman.
1.15Tidak ada kemungkinan potensial bagi produsen untuk menolak untuk mendukung peralatan dan / atau perangkat lunak yang disediakan, termasuk penolakan untuk mengganti suku cadang, memberikan pembaruan, atau memberikan saran.Ada atau tidak adanya kemungkinan kemungkinan penolakan pabrik untuk mendukung peralatan dan / atau perangkat lunak yang disediakanHilangHilangTidak ada dampak sanksi.
Produsen hanya menyediakan layanan dalam kerangka dukungan teknis yang ada.
1.16Kemungkinan penolakan pabrikan untuk memberikan pembaruan tentang dasar-dasar aturan keputusan (tanda tangan) sedang dipelajari.Ada atau tidak adanya kemungkinan kemungkinan penolakan pabrikan untuk memberikan pembaruan tentang dasar-dasar aturan keputusanHilangHilangTidak ada dampak sanksi.
Produsen hanya memberikan tanda tangan sebagai bagian dari dukungan teknis yang berkelanjutan.

Kriteria tambahan
Tidak. P / pNama tes dan pemeriksaanHasilPT ISIM
(dicetak miring
komentar
penjual)		KICS untuk Jaringan
(komentar vendor yang dicetak miring)		Komentar Jet Infosystems
1.17Manajemen Aset Jaringan TeknologiAda atau tidak adanya manajemen aset fungsional jaringan teknologiKetersediaan
Deteksi otomatis jenis, pabrikan, atribut dasar suatu aset		Ketersediaan
1.18
Visualisasi dinamis topologi jaringan dan konektivitas jaringan
Ada atau tidak adanya visualisasi dinamis fungsional topologi jaringan dan interaksi jaringan.
Ketersediaan
Ketersediaan
1.19Visualisasi proses teknologi dalam bentuk diagram mnemonikISIM Pro.
1.20
(, )



ISIM Pro.
KICS for Networks .
1.21
/



Embedded SIEM core (PT solution)/ Event correlation;

Assets profiling;

Hosts, communication & events white listening;

PT ISTI / Expert industrial threat base;

Customizing incidents network & application level;

Model correlation technology;

Attack chain detecting and visualization		.
1.22( , /)( ) – 31GBps.
– 3x120 mBps SPAN-.
, 104. .		.

ISIM Net Pro - . .
KICS for Networks .



Tabel 2. Perbandingan kelompok kriteria "Umum"


Dalam grup ini, kami mempertimbangkan kemudahan penggunaan dan fitur arsitektural dari SOW. Kami telah mengidentifikasi kriteria utama yang disajikan selama implementasi sistem dan dipertimbangkan oleh pengguna saat memilih solusi.

Tabel 2
№ /

Hasil
PT ISIM
( )
KICS for Networks
( )
« »
2.1
-
/ 19"

-, 19'' .


KICS for Networks .
ISIM .
2.2


- ,

KICS for Networks , - .
ISIM -.
2.3





ISIM - Overview, .

KICS for Networks KSC .
2.4
Skalabilitas


. .

KICS for Networks 12 .
2.5





.
2.6




2.7




KICS for Networks , , .
ISIM, , .



Tabel 3. Perbandingan berdasarkan kelompok kriteria "Layanan"


Grup ini mencakup kriteria untuk layanan tambahan dari vendor. Kami memilih layanan paling populer yang diminati pelanggan.

Tabel 3
№ /

Hasil
PT ISIM
( )
KICS for Networks
( )
« »
3.1

24/7 8/5

24 / 7 8 / 5

24 / 7
.
3.2




3.3



( , , Incident Response ..)

, , Incident Response .
3.4





3.5

2018 .







Tabel 4. Perbandingan kelompok kriteria "Biaya"


Biaya kepemilikan OWL tidak disediakan oleh vendor.

Tabel 4
№ /

Hasil
PT ISIM
( )
KICS for Networks
( )
« »
4.1

3


, , « ». .



Tabel 5. Perbandingan berdasarkan kelompok kriteria "Normatif"


Grup ini berisi persyaratan dasar yang diberikan pelanggan pada semua solusi keamanan informasi. Ketersediaan sertifikat FSTEC dan FSB penting bagi perusahaan yang terkait dengan sektor publik. Laporan analitik menunjukkan tingkat kematangan solusi di pasar internasional.

Tabel 5
№ /

Hasil
PT ISIM
( )
KICS for Networks
( )
« »
5.1
()


2019.


KICS for Networks 2.6
5.2
()


( ) 2019.

()

_KICS for Networks.pdf		KICS for Networks 2.6
5.3
Gartner
Gartner




Sumber
KICS for Networks Representative Vendor: OT Network Monitoring and Visibility; Anomaly Detection, Incident Response and Reporting; OT Security Service.
5.4
Forrester Research
Forrester Research




New Tech: Industrial Control Systems (ICS) Security Solutions, Q1 2019. Forrester's Landscape Overview Of 21 Providers
«Established vendors are already competing in This Market While this market has seen a flurry of new entrants in the past two to three years, established cybersecurity vendors are also evolving their product lines to address ics-specifc use cases. Large security vendors like Kaspersky Lab and Symantec, existing network security vendors like Fortinet, and vulnerability management vendors like Tenable and Tripwire are all currently active in the ics security market (see Figure 1)»
5.5


( )

« » .



Pro dan kontra dari solusi yang diulas


Di sini kami memberikan penilaian subjektif tentang kekuatan dan kelemahan. Kekuatan dapat dengan mudah dikonversi menjadi kelemahan dan sebaliknya.

KICS untuk Jaringan


Pro:

  • Kemampuan untuk menambahkan acara pemantauan jaringan individu melalui konsol manajemen.
  • Kemampuan untuk mengimpor tag dari file CSV, serta menghasilkan daftar tag berdasarkan pengenalan lalu lintas (untuk beberapa protokol).
  • Semua fungsionalitas tersedia dalam satu lisensi.
  • Semua fungsionalitas hadir dalam satu solusi.
  • .

Cons:

  • , . - .
  • Kaspersky Security Center.
  • .
  • -.


ISIM


Pro:

  • , .
  • -.
  • .
  • .
  • .
  • PDF.

Cons:

  • .
  • Pro.
  • -.

Kesimpulan


Pasar OWL secara aktif berkembang karena munculnya ancaman baru dan kebutuhan mendesak untuk mendeteksinya tepat waktu. Persaingan mendorong produsen untuk mencari ceruk mereka, untuk datang dengan "chip" yang akan membedakan keputusan mereka dari yang lain. Vendor mengembangkan produk, menanggapi kebutuhan pengguna, dan dengan setiap rilis menjadi lebih mudah untuk bekerja dengan solusi.

Cara membuat pilihan. Kerugian dan kelebihan dari solusi yang kami pertimbangkan adalah individu untuk masing-masing perusahaan. Misalnya, jika Anda menggunakan protokol yang didukung oleh hanya satu sistem deteksi intrusi, pilihannya menjadi jelas. Meskipun tidak dapat dikesampingkan bahwa vendor akan siap untuk bertemu Anda dan menambahkan fungsionalitas yang diperlukan untuk produk.

Faktor penting adalah harga. ISIM memiliki pendekatan yang lebih menarik dengan pilihan fungsi (karena dua versi produk), dan KICS untuk jaringan dibangun berdasarkan prinsip "semua dalam satu". Pastikan untuk bertanya kepada mitra produsen tentang biaya pembelian awal solusi. Tidak akan berlebihan untuk melihat biaya kepemilikan (pembelian + dukungan) dengan solusi selama 3-5 tahun.

Jika perusahaan sudah menggunakan solusi lain dari salah satu vendor yang dipertimbangkan dalam ulasan, ada baiknya mempertimbangkan hal ini. Kami bertemu berbagai variasi di perusahaan industri. Beberapa perusahaan industri menggunakan KICS untuk Nodes untuk melindungi workstation, dan ISIM sebagai alat deteksi intrusi. Solusi gabungan juga memiliki hak untuk ada.

Cara terbaik untuk memahami solusi mana yang tepat bagi Anda adalah dengan mengujicobakan atau mencari nasihat dari perusahaan yang sudah memiliki pengalaman dalam implementasi.

Versi elektronik dan cetak ulasan akan segera dirilis.
Ulasan ini disusun oleh: Vitaliy Siyanov, Anton Elizarov, Andrey Kostin, Sergey Kovalev, Denis Terekhov.

Source: https://habr.com/ru/post/id450956/

More articles:


All Articles