Geekly articles weekly

工业COB比较:ISIM与 凯奇斯



对挪威铝生产商Norsk Hydro和委内瑞拉能源系统的轰动再次表明,工业企业仍然容易受到黑客的攻击。 我们决定找出哪些专门的OWL(入侵检测系统)有助于对抗此类网络犯罪,并能够“看到” ICS网络部分中的入侵者。 从五种解决方案中选择,我们选择了两种-卡巴斯基实验室的KICS for Networks和Positive Technologies的ISIM-并根据40条标准进行了比较。 我们做了什么,您可以在裁减中找到。

为什么猫头鹰要工业企业


  1. 外部威胁


    俄罗斯联邦卡巴斯基工业网络安全负责人Alexei Petukhov表示,“就被攻击的ICS TP计算机的百分比而言,俄罗斯已进入前20个国家。” 不幸的是,在俄罗斯没有惯例来宣传生产现场发生的事件,但我们的经验表明,Norsk Hydro面临的情况可以在国内工业企业中重演。

    有关对Norsk Hydro的攻击的详细分析,请阅读此处

    一个普遍的误解是,通过划分工业和企业网络并排除对Internet的访问,公司可以保证自身的安全性。 但是事实并非如此。 现在已经计划并实施了很长时间的攻击-攻击者会仔细准备攻击并仔细考虑黑客的情况。 而且,攻击者的动机可能完全不同。 勒索软件和勒索软件试图攻击尽可能多的设备,情报机构旨在对基础设施造成最大的破坏,等等。 但是,任何攻击都有其自身的周期,该周期始终始于情报。 猫头鹰已经可以在此阶段检测到网络犯罪分子并通知威胁,从而在攻击的初始阶段阻止攻击者的活动。

    攻击将继续进行,昨天有必要为它们做准备。

  2. 内部威胁


    最常见的威胁不是外部威胁,而是内部威胁。 员工对职位或薪水不满意,可以将公司的能力用于自己的目的。 被解雇的工人通过出售对Darknet的访问权限或利用基础设施来满足他们的个人兴趣而留下书签。 实际上,我们遇到的情况是工作站安装了用于远程计算机控制的软件,以进行操作管理或在家工作。 在这样的故事中,常常出现两难的境地,通常导致“保安人员”和“学校保安人员”之间的对抗:更重要的是-易于维护或安全吗? 在企业中,您经常会看到工作站没有任何禁止触摸的保护措施,因为任何影响都可能导致过程关闭。 但是对于入侵者(外部或内部),这将是攻击的主要目标。 该公司不应遭受损失,因为您信任员工并留有操纵余地。

  3. 法例


    该州正在建设GosSOPKA系统,该系统按计划不仅应该将所有已确定的工作中的事件告知FSB,而且还应成为俄罗斯发生的计算机攻击的完整数据库。 现在我们处在起步阶段,很难说国家机构何时才能实现目标。 尽管如此,2017年发布了187-“关于俄罗斯联邦关键信息基础设施的安全性”,随后又由FSTEC发出了一些命令,这些命令还确定了对CII对象进行分类的程序以及确保其安全的措施。 在为每个对象分配了重要的类别后,公司必须确保对其进行保护。 因此,2017年12月25日的FSTEC第239号命令向我们介绍了该实体(国家机构,国家机构,俄罗斯法人以及以所有权,租赁权或其他任何法律依据拥有IP,ITS,ACS的个体企业家)采取的措施保护对象KII时必须适用。 对于类别2或1的对象的所有者,监管机构按指示的顺序确定了使用入侵检测工具的要求。 我们坚信,由于低估类别的做法,此类解决方案将对KII的所有对象有用。

    FSTEC 2017年12月25日第239号命令的要求
    第七节 -入侵防御(COB)要求对类别2和1的关键信息基础设施使用COB.1“检测和防止计算机攻击”的要求。

OWL功能


我们认为,解决方案应提供以下功能。

  1. 监视技术网络,以支持过程控制系统主要制造商的技术协议。
  2. 自动设备类型检测(AWP,服务器,PLC)。
  3. 能够控制过程。
  4. 技术网络中的入侵检测。
  5. 将记录的事件转移到第三方监视系统(SIEM),并对其进行分析。
  6. 技术网络图的图形构造。
  7. 创建和上传报告。
  8. 协助调查事件。

我们如何选择解决方案进行比较


在选择研究解决方案时,我们遵循三个主要标准:该产品在俄罗斯市场上的占有率,我们自己的项目经验以及该解决方案与其他供应商产品的兼容性。

如今,在俄罗斯市场上至少提出了5种解决方案,可以将其视为工业网络中的SOW:

  • 卡巴斯基实验室的KICS for Networks;
  • Positive Technologies的ISIM;
  • 尽快从InfoWatch获得;
  • 来自USSB的数据
  • SCADA由Cyber​​bit提供。

我们从全部产品中选择了我们认为目前在俄罗斯市场上最受欢迎的3种解决方案:卡巴斯基实验室的KICS for Networks,Positive Technologies的ISIM和InfoWatch的ASAP。

在谈判期间,InfoWatch决定不参加比较。 同事们正准备发布其产品的新版本,在进行比较分析时,还没有准备好将其提供给我们进行测试。 我们很乐意将此解决方案添加到比较的下一个版本中。

关于卡巴斯基实验室和Positive Technologies的解决方案,两家公司都为我们提供了独立研究的发行版,并在测试过程中迅速回答了我们的问题。 为了支持KICS for Networks和ISIM解决方案,我们还发挥了作用,因为我们已经在测试和商业运营中实施了它们。 此外,两种产品都可以集成到其他集成解决方案中。 例如,ISIM与Max Patrol SIEM一起可以很好地工作,并且经常对两种产品进行测试。 卡巴斯基实验室拥有KICS for Nodes,这是一种专用解决方案(防病毒),用于保护位于工业网络中的服务器,控制器和工作站。 在这篇评论中,我们没有将比较与其他产品的集成的完整性作为自己的目标,而仅将自己局限于所选解决方案的功能。 但是,这是选择实施系统时的重要因素。

比较如何


为了进行定性比较,我们确定了标准并将其分为5组。 基础是客户在选择解决方案时最常提出的问题。 我们没有详细分析产品中使用的技术,而是仅研究了影响解决方案选择的最重要的技术。

然后,我们在Jet Infosystems虚拟服务器上部署了展台,并观看了最新产品:KICS for Networks 2.8和ISIM 1.5.390。

根据研究结果,我们编制了一个比较表并将其发送给供应商以供批准。 他们在评论中补充了他们认为必要的评估。 在比较表的单独列和斜体中给出了供应商的评论 。 我们的发现显示在“评论”部分,并且可能与供应商的位置不同。

安装解决方案的功能

ISIM


该产品是基于Debian 8部署的。供应商提供了带有所有必需软件包的OS发行版。 产品手册中详细介绍了所有有关安装和配置操作系统的建议。 PT ISIM软件的初始设置归结为调整时区和配置网络接口,这使安装变得简单,快速和直观。 所有管理和监视功能均通过Web界面执行。

网络KICS


产品部署基于CentOS进行。 带有所有必需软件包的OS发行版由供应商提供。 没有从制造商那里安装操作系统的建议。
安装软件时,将配置节点,管理服务器,传感器和Web服务器。 可以用俄语或英语进行安装。 没有发现安装过程中的困难和细微差别。

发牌

ISIM


该产品有3个版本。
  • ISIM Free是一个功能极其截断的版本。 设计用来熟悉该产品。
  • ISIM Net是公司的主要产品。 在大多数情况下,客户会选择它。 它具有所有必要的功能。
  • ISIM Pro是ISIM Net的高级版本。 它具有高级且独特的功能(助记符图)。 它的性能可与KICS for Networks 2.8媲美。

所有产品均采用可以在虚拟环境中部署的软件形式。 Net和Pro的版本可以作为固件提供。

价格可根据要求提供(封闭价目表)。

网络KICS


该产品具有一个版本。 在发布时,是2.8。

我们比较了ISIM Pro的特性。

它以可以在虚拟环境和硬件系统中部署的软件形式出现。

价格可根据要求提供(封闭价目表)。


SOW(工业IDS)的比较回顾


注意事项 斜体表表示供应商的评论。
参量
代号
有空
完全支持此属性或项目。
缺乏
不支持此属性或项目。
部分地
此属性/元素的实现不完整或不正确。

表1.“功能”标准组的比较


在这个小组中,我们比较了工业交通监控系统的主要功能组件。 为了进行比较,我们选择了对于工业控制系统中的流量分析至关重要的技术。 我们认为,这些标准应该存在于所有SOV中,既要专门处理技术流量,又要识别工业企业所面临的威胁。

表1
号p / p测试和检查的名称结果PT ISIM
(以斜体显示)
评论
供应商)		网络KICS
(斜体的卖方评论)		Jet信息系统的评论
1.1自动化主机清单是否存在自动主机清单功能有空有空
1.2基于类SNORT签名的检测是否存在基于类似SNORT签名的检测功能有空
类似SNORT的签名由开发人员使用,开发和/或修改。		有空
由Suricata代替SNORT使用。		差异是由于使用了由供应商选择的技术。 技术上的差异不会影响解决方案的工作质量。
1.3
创建和修改规则以检测网络和应用程序层异常事件的能力
是否存在创建和/或更改规则的能力
有空
有空
ISIM在Pro版本中具有此功能。
KICS for Networks的功能与Pro版本相对应。
1.4
基于监视技术参数变化的功能,在工业控制系统的应用级别识别事件和异常
基于控制技术参数变化的功能是否存在事件检测功能
有空
有空
1.5
定制工业交通分析的能力
是否存在用于工业交通分析的设置
有空
分析功能有两种配置方式。 首先是通过授权/取消授权网络节点和连接(在Net和Pro版本中)来纠正接口中的网络交互规则。 第二个是在配置器中(Pro版本)创建应用程序级规则。
有空
Net和Pro的ISIM版本在技术流量分析的设置深度上有所不同。
KICS for Networks在此参数方面可与ISIM Pro版本相媲美。
1.6
分割流量副本的能力
是否存在从多个系统中分离流量副本的能力
有空
根据界面中的呈现方式,分析方式和导出方式,可以实现流量副本的分离。 为了进行演示,该接口提供了通过逻辑或物理隔离的标志对网络节点和连接进行分组的功能。 在分析部分,通过在事件表示界面中设置过滤器(为每个单独的段或系统选择事件),然后为过滤后的事件导出流量副本,可以实现将流量与多个系统或网段分离。
有空流量分离对于工业网络组件的逻辑分离和事件过滤的便利是必需的。
KICS for Networks将流量副本分为监视点。
ISIM按监视点和网络拓扑图上的布局进行划分。
1.7
根据开箱即用的规则(检测)识别网络异常
是否存在预定义规则
有空
该产品使用内置的,更新的PT ISTI行业规则库。
有空
1.8
网络完整性监控(发现网络上的新设备)
是否存在网络完整性监视功能
有空
有空
1.9
用户身份验证和身份验证
是否存在用户标识和认证
有空
有空
1.10
支持的行业协议
支持的行业协议列表
APC FG;

CIP

DIGSI



IEC104;

彩信

MODBUS TCP;

OPC DA;

PROFINET(2种类型);

S7 comm(2种);

SPABUS

UMAS

Vnet / IP

DeltaV专员;

DeltaV FWUpgrade;

+ 3种协议,
由NDA关闭
ABB SPA巴士;

Allen-Bradley EtherNet / IP;

CODESYS V3网关;

DCE / RPC;

适用于ABB AC 700F设备的DMS;

DNP3;

过程控制100艾默生DeltaV;

的FTP

通用电气SRTP;

IEC 60870-5-104;

IEC 61850:GOOSE,MMS(包括MMS报告),采样值;

三菱MELSEC系统Q;

Modbus TCP

欧姆龙鳍;

OPC UA二进制文件;

西门子工业以太网;

西门子S7comm,S7comm-plus;

横河电机Vnet / IP;

相对论BDUBus;

修改ABB AC800M设备的MMS协议;

用于ECRA 200系列设备的ModbusTCP协议修改;

带有西门子DIGSI 4系统软件的设备协议
两种解决方案都支持核心行业协议。

整合标准
本节讨论与第三方上游分析系统的集成,以进行进一步处理。
号p / p测试和检查的名称结果PT ISIM
(以斜体显示)
评论
供应商)		网络KICS
(斜体的卖方评论)		Jet信息系统的评论
1.11
与外部SIEM类系统集成
是否存在将信息传输到外部SIEM类系统的能力
有空
有空
Syslog数据传输
1.12与工业控制系统集成是否存在将信息传输到自动化过程控制系统的能力有空
可以使用标准产品工具将有关事件的所有必要信息传输到任何自动化过程控制系统,以进行进一步处理。		有空
OPC DA,IEC 104		ISIM
1.通过Syslog将数据传输到ACS TP。 它要求在过程控制系统方面进行其他配置。

2. HMI PAC,提供Pro版本。 它安装在自动化过程控制系统中,以显示有关ISIM事件的信息。

3.通过“干触点”从ISIM进行数据传输,以将信号传输到指示灯。

网络KICS
通过OPC或IEC104协议传输有关单个工作站安全状态的信息。
1.13
在不影响技术领域的情况下收集流量的能力,使用流量副本的能力(SPAN / TAP)
流量收集的有无不影响技术领域
有空
有空

制裁风险的影响
号p / p测试和检查的名称结果PT ISIM
(以斜体显示)
评论
供应商)		网络KICS
(斜体的卖方评论)		Jet信息系统的评论
1.14制造商不可能限制使用该软件的权利-许可证到期将导致解决方案功能的完全停止。制造商是否存在限制软件使用权的潜在可能性缺乏
许可证到期时,产品保持完全运行状态(可能进行更新的除外)		缺乏解决方案继续起作用,但是没有更新软件和威胁数据库的可能性。
1.15制造商不可能拒绝支持所提供的设备和/或软件,包括拒绝更换备件,提供更新或提供建议。制造商是否拒绝支持所提供的设备和/或软件的潜在可能性的存在或不存在不见了不见了没有制裁的影响。
制造商仅在现有技术支持的框架内提供服务。
1.16正在研究制造商拒绝提供决策规则数据库(签名)更新的可能性。制造商拒绝提供决策规则依据的潜在可能性的存在与否不见了不见了没有制裁的影响。
制造商仅在进行中的技术支持中提供签名。

附加标准
号p / p测试和检查的名称结果PT ISIM
(以斜体显示)
评论
供应商)		网络KICS
(斜体的卖方评论)		Jet信息系统的评论
1.17技术网络资产管理技术网络功能资产管理的存在与否有空
自动检测资产的类型,制造商,基本属性		有空
1.18
网络拓扑和网络连接的动态可视化
网络拓扑和网络交互的功能动态可视化的存在与否。
有空
有空
1.19以助记符图的形式可视化工艺过程助记符图形式的可视化功能的存在与否有空缺乏在ISIM中,功能仅在Pro版本中存在。
1.20
(, )



ISIM Pro.
KICS for Networks .
1.21
/



Embedded SIEM core (PT solution)/ Event correlation;

Assets profiling;

Hosts, communication & events white listening;

PT ISTI / Expert industrial threat base;

Customizing incidents network & application level;

Model correlation technology;

Attack chain detecting and visualization		.
1.22( , /)( ) – 31GBps.
– 3x120 mBps SPAN-.
, 104. .		.

ISIM Net Pro - . .
KICS for Networks .



表2.标准组“常规”的比较


在这个小组中,我们考虑了SOW的易用性和体系结构功能。我们已经确定了系统实施期间提出的主要标准,用户在选择解决方案时会考虑这些标准。

表2
№ /

结果
PT ISIM
( )
KICS for Networks
( )
« »
2.1
-
/ 19"

-, 19'' .


KICS for Networks .
ISIM .
2.2


- ,

KICS for Networks , - .
ISIM -.
2.3





ISIM - Overview, .

KICS for Networks KSC .
2.4
可扩展性


. .

KICS for Networks 12 .
2.5





.
2.6




2.7




KICS for Networks , , .
ISIM, , .



表3.按标准组“服务”进行的比较


该组包括供应商提供的其他服务的条件。我们选择了客户感兴趣的最受欢迎的服务。

表3
№ /

结果
PT ISIM
( )
KICS for Networks
( )
« »
3.1

24/7 8/5

24 / 7 8 / 5

24 / 7
.
3.2




3.3



( , , Incident Response ..)

, , Incident Response .
3.4





3.5

2018 .







表4.标准组“成本”的比较


供应商不提供OWL的拥有成本。

表4
№ /

结果
PT ISIM
( )
KICS for Networks
( )
« »
4.1

3


, , « ». .



表5.按“规范”组进行的比较


该组包含客户对所有信息安全解决方案的基本要求。FSTEC和FSB证书的可用性对于与公共部门有联系的公司而言非常重要。分析报告显示了该解决方案在国际市场上的成熟程度。

表5
№ /

结果
PT ISIM
( )
KICS for Networks
( )
« »
5.1
()


2019.


KICS for Networks 2.6
5.2
()


( ) 2019.

()

_KICS for Networks.pdf		KICS for Networks 2.6
5.3
Gartner
Gartner





KICS for Networks Representative Vendor: OT Network Monitoring and Visibility; Anomaly Detection, Incident Response and Reporting; OT Security Service.
5.4
Forrester Research
Forrester Research




New Tech: Industrial Control Systems (ICS) Security Solutions, Q1 2019. Forrester's Landscape Overview Of 21 Providers
«Established vendors are already competing in This Market While this market has seen a flurry of new entrants in the past two to three years, established cybersecurity vendors are also evolving their product lines to address ics-specifc use cases. Large security vendors like Kaspersky Lab and Symantec, existing network security vendors like Fortinet, and vulnerability management vendors like Tenable and Tripwire are all currently active in the ics security market (see Figure 1)»
5.5


( )

« » .



审查解决方案的利弊


在这里,我们对优点和缺点进行主观评估。优势很容易转化为劣势,反之亦然。

网络KICS


优点:

  • 能够通过管理控制台添加单个网络监视事件。
  • 能够从CSV文件导入标签,以及基于流量识别生成标签列表(对于某些协议)。
  • 所有功能都可在一个许可证中使用。
  • 所有功能都存在于一个解决方案中。
  • .

缺点:

  • , . - .
  • Kaspersky Security Center.
  • .
  • -.


ISIM


优点:

  • , .
  • -.
  • .
  • .
  • .
  • PDF.

缺点:

  • .
  • Pro.
  • -.

结论


由于出现了新威胁,并且迫切需要及时发现它们,因此OWL市场正在积极发展。竞争鼓励制造商寻找自己的利基市场,拿出“芯片”来区分自己的决策。供应商开发产品,响应用户需求,并且随着每个版本的发布,使用解决方案变得更加容易。

如何做出选择。我们考虑的解决方案的优缺点对于每个企业都是不同的。例如,如果使用仅受一个入侵检测系统支持的协议,那么选择就显而易见。尽管不能排除供应商愿意与您见面并为产品添加必要的功能。

一个重要因素是价格。 ISIM在功能选择上有一个更有趣的方法(由于有两个产品版本),而用于网络的KICS建立在“多合一”的原则上。请务必向制造商合作伙伴询问最初购买解决方案的费用。用3-5年的时间来了解解决方案的拥有成本(购买+支持)并不是多余的。

如果公司已经使用了本次审查中考虑的供应商之一的其他解决方案,则值得考虑。我们在工业企业遇到了不同的变化。一些工业公司使用KICS for Nodes保护工作站,并使用ISIM作为入侵检测工具。组合解决方案也有权存在。

了解哪种解决方案最适合您的最佳方法是尝试或向已经具有实施经验的公司寻求建议。

审查的电子版和印刷版将很快发布。
这篇评论的撰写者:Vitaliy Siyanov,Anton Elizarov,Andrey Kostin,Sergey Kovalev,Denis Terekhov。

Source: https://habr.com/ru/post/zh-CN450956/

More articles:


All Articles