ViPNet IDS NS система
Программно-аппаратный комплекс (ПАК) ViPNet IDS NS – это сетевой сенсор обнаружения сетевых атак и вредоносного программного обеспечения в файлах, передаваемых в сетевом трафике, и предназначенный для интеграции в компьютерные сети с целью повышения уровня защищенности информационных систем, центров обработки данных, рабочих станций пользователей, серверов и коммуникационного оборудования.
ПАК ViPNet IDS NS может использоваться как самостоятельный продукт, а также в составе решений ViPNet Threat Detection and Response (TDR) и совместно с решением ViPNet Channel Protection.
ПАК ViPNet IDS NS представлен следующими исполнениями:
- ViPNet IDS NS100;
- ViPNet IDS NS1000;
- ViPNet IDS NS2000;
- Виртуальное устройство ViPNet IDS NS VA.
Может быть использован как для небольших офисов, так и для ЦОДов.
Сценарии использования ViPNet IDS NS
Применение сетевых сенсоров ViPNet IDS NS позволяет:
- Выявлять атаки на информационные системы и уведомлять о них для оперативного реагирования.
- Защищать ИСПДн, ГИС и АСУ ТП в соответствии с требованиями руководящих документов, в части систем обнаружения вторжений (СОВ.1 и СОВ.2).
- Повышать уровень защищенности информационных систем, центров обработки данных, рабочих станций пользователей, серверов и телекоммуникационного оборудования.
- Проводить расследования инцидентов информационной безопасности (ИБ).
Преимущества ViPNet IDS NS
Встроенные профили правил* сигнатурного метода выявления сетевых атак:
- мобильные устройства
- рабочие станции
- веб-серверы
- почтовые серверы
- сетевое оборудование
- серверы баз данных
- файловые хранилища
- DNS серверы
помогают оптимизировать и адаптировать перечень активных правил под особенности защищаемой сети, что повышает эффективность выявления инцидентов безопасности.
Возможность использования собственных правил сигнатурного метода выявления сетевых атак.
Выявление местоположения вероятного источника атаки с точностью до страны и города.
Базы описаний атак, базы выявления вредоносных вложений файлов разрабатываются и обновляются российской компанией «Перспективный мониторинг».
* Профиль правил – это набор правил из базы решающих правил (БРП) для обнаружения атак на определенные сервисы, системы или устройства.
Например, профиль правил «Мобильные устройства» содержит набор правил, позволяющих выявлять сетевые атаки направленные на устройства под управлением операционных систем Android, iOS и приложения для этих ОС. Профиль «Веб-серверы» содержит набор правил, позволяющих выявлять атаки на вер-серверы и веб-платформы (Word Press, Apache, phpMyAdmin, IIS, WebLogic, Jenkins, Drupal, Joomla, Tomcat, Bitrix, ClipperCM и другие).
Если раньше при настройке сетевого сенсора администратору было необходимо просмотреть всю базу правил, имеющую более 20 тыс. уникальных записей и включить те, которые имеют отношение к эксплуатируемым в сети сервисам. Этот процесс требовал глубоких знаний как в ИБ, так и в специфике работы ИТ сервисов.
Теперь благодаря профилям правил настройка ViPNet IDS NS и его БРП занимает считанные минуты. Администратору необходимо из списка профилей выбрать те, которые по описанию подходят к его инфраструктуре и активировать их. Помимо простоты настройки, профили также повышают эффективность работы сетевого сенсора – сенсор анализирует сетевой трафик не по всей базе правил, а только по правилам из активированных профилей. В результате снижается количество ложных срабатываний и оптимизируется производительность сетевого сенсора.
Сертификация ViPNet IDS NS в ФСБ России
Средство зашиты информации «Система обнаружения компьютерных атак (вторжений) ViPNet IDS 3» (исполнения: ViPNet IDS NS2000, ViPNet IDS NS10000 в комбинации со средством централизованного управления и мониторинга ViPNet IDS МС. средством анализа событий информационной безопасности ViPNet TIAS (исполнение TIAS 1000)). Изготовленное в соответствии с техническими условиями ФРКЕ.00211-01 97 01 ТУ с учётом изменений согласно извещению № 1 ФРКЕ.00211 .FB.1-2021. Соответствует требованиям ФСБ России к средствам обнаружения компьютерных атак класса В и может использоваться для обнаружения в автоматическом режиме компьютерных атак (вторжений) на основе анализа сетевого трафика в автоматизированных информационных системах, обрабатывающих информацию, не содержащую сведений, составляющих государственную тайну, при условии выполнения требований эксплуатационной документации согласно формуляру ФРКЕ.00211-01 30 01 ФО с учётом изменений согласно извещению №1 ФРКЕ.00211 .FB.1-2021.
Сертификация ViPNet IDS NS во ФСТЭК России
Настоящий сертификат удостоверяет что "Система обнаружения компьютерных атак (вторжений) ViPNet IDS 3" является системой обнаружения вторжений, соответствует требованиям по безопасности информации, установленным в документах «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020)» - по 4 уровню доверия, «Требования к системам обнаружения вторжений» (ФСТЭК России, 2011) и «Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты. ИТ.СОВ.С4.ПЗ» (ФСТЭК России, 2012).
Функциональные характеристики ViPNet IDS NS
Основные функции ПАК ViPNet IDS NS:
- Непрерывно анализирует сетевой трафик, начиная с канального и заканчивая прикладным уровнем модели взаимодействия открытых систем (OSI).
- С использованием сигнатурного и эвристического методов автоматически выявляет сетевые атаки.
- Все события фиксируются в журнале, при необходимости, включая сетевой пакет с потенциальной атакой.
- Отображает информацию о выявленных событиях ИБ в режиме реального времени.
- Оповещает об обнаруженных событиях по электронной почте.
- Передает информацию о событиях в системы анализа и мониторинга по протоколу syslog в формате CEF (Common Event Format):
- В систему автоматического выявления инцидентов ViPNet TIAS.
- В системы управления событиями ИБ (SIEM).
ПАК ViPNet IDS NS предоставляет следующие инструменты для мониторинга и анализа информации о событиях:
- Журнал записей о событиях ИБ с настраиваемым параметрическим поиском.
- Карточки с детальной информацией о событии.
- Возможность выгрузки образцов перехваченных пакетов и вредоносных файлов для последующего анализа с помощью стороннего программного обеспечения.
- Возможность экспорта записей журнала событий в файл для последующего анализа с помощью стороннего программного обеспечения.
- Возможность построения статистических отчетов по информации о событиях в виде таблиц, диаграмм и графиков.
Автоматическое обновление баз решающих правил (сигнатур сети) и баз Malware detection позволяет успешно выявлять атаки новых типов. Благодаря тонкой настройке решающих правил, ViPNet IDS NS может гибко адаптироваться под инфраструктуру заказчика. Все это в совокупности повышает эффективность обнаружения атак и позволяет поддерживать общий уровень защищенности сети на высоком уровне.
Использование ПАК ViPNet IDS NS в составе решения ViPNet TDR позволяет:
- Сократить среднее время обнаружения инцидента с 30 до 2 минут по сравнению с ручным анализом событий.
- Снизить затраты на эксплуатацию системы обнаружения вторжений.
- Упростить реагирование на угрозы ИБ.