Разработчик: ИнфоТеКС

ViPNet IDS NS – это программно-аппаратный комплекс для обнаружения вторжений в информационные системы, функционирующий на основе динамического анализа сетевого и прикладного трафика стека протоколов TCP/IP.

Сегодня случаи несанкционированного проникновения в компьютерные сети приобретают массовый характер. При этом типы и способы компьютерных атак становятся все более разнообразными. Именно поэтому системы обнаружения компьютерных атак являются важнейшим компонентом инфраструктуры безопасности любой организации.

Система ViPNet IDS значительно повысит существующий уровень безопасности ваших информационных систем, центров обработки данных, рабочих станций пользователей, а также серверов и телекоммуникационного оборудования.

Программно-аппаратный комплекс (ПАК) ViPNet IDS — эффективная и надежная система обнаружения компьютерных атак (вторжений) в корпоративные информационные системы. Работа системы строится на основе динамического анализа сетевого трафика, начиная с канального уровня и заканчивая прикладным уровнем модели взаимодействия открытых систем (OSI).

ViPNet IDS оперативно предотвращает развитие компьютерной атаки. При обнаружении вторжения система регистрирует событие, идентифицирует атаку и моментально оповещает администратора.

Сценарии использования

Применение ViPNet IDS совместно с другими продуктами линейки ViPNet Network Security:
• Обнаружение атак на информационную систему и их оперативное предотвращение.
• Повышение уровня защищенности информационных систем, центров обработки данных, рабочих станций пользователей, серверов и телекоммуникационного оборудования.
• Расследование инцидентов информационной безопасности.

Подключение к каналам связи для их мониторинга

ViPNet IDS подключается к каналам связи контролируемых информационных систем по Т-образной схеме с использованием коммутатора со SPAN-портом или TAP-устройства. Трафик, проходящий через коммутатор, зеркалируется и передается на ПАК.  Таким образом, ViPNet IDS не влияет на характер прохождения трафика через канал.

Управление

• Администратор может управлять системой ViPNet IDS как удаленно через веб-интерфейс, так и локально посредством консоли Linux.
• Администраторы получают доступ к управлению системой ViPNet IDS на основе ролевой модели.
Обнаружение атак
• Обнаружение сетевых атак в режиме близком к реальному масштабу времени.
• Обнаружение сетевых атак на основе сигнатурного и эвристического методов выявления аномалий в сетевом трафике.
• Поддержка сетевых интерфейсов 1 Гбит/c и 10 Гбит/c.
• База сигнатур атак, поставщиком которой является российская компания «Перспективный мониторинг», содержит более 20 000 правил обнаружения и обновляется ежемесячно.
Запись событий
• Регистрация информации об обнаруженных событиях и атаках для последующего анализа.
• Сохранение IP-пакетов, содержащих атаку и возможность их экспорта в PCAP-файл для расследования и использования в качестве доказательной базы. Возможность передачи информации о зарегистрированных событиях в систему централизованного мониторинга ViPNet StateWatcher.

Управление и анализ

• Интуитивно понятный русскоязычный графический интерфейс управления и мониторинга.
• Уведомление администратора системы информационной безопасности о зарегистрированных событиях посредством электронной почты.
• Аналитическая обработка и отображение обобщенной статистической информации о выявленных атаках.
• Выборочный контроль трафика отдельных узлов сети по их IP-адресам.

ViPNet IDS HS — система обнаружения вторжений, осуществляющая мониторинг и обработку событий внутри хоста. ViPNet IDS HS использует сигнатурный и эвристический методы анализа атак на основе правил и сигнатур, разработанных в России. За счет централизованного управления агентами, настройками и группами правил на хостах администраторы по информационной безопасности могут оперативно реагировать на события безопасности в сети.

Назначение:

Ключевыми словами, которыми можно описать назначение данного продукта, являются:
• Наблюдение за всеми активностями, происходящими в операционной системе, такими как файловая или сетевая активность, изменения в реестре, процессах или ключевых логах.
• Оповещение: по результатам наблюдения система выявляет атаки и незамедлительно оповещает об этом администратора. Администратор получает оповещения в интерфейсе управляющего приложения или по email.

ViPNet IDS HS отлично дополнит Вашу систему безопасности за счёт:
• эвристического анализа - способного обнаружить атаки, для которых еще нет антивирусных сигнатур;
• удобного расположения - так как приложение на хосте способно обнаруживать сетевые атаки, которые не видны сетевым IDS (например, атаки в зашифрованном трафике).

Архитектура продукта:
• Агент — собирает информацию о функционировании хостов и выполняет ее первичный анализ. Агент представляет собой ПО, которое устанавливается на хостах.
• Сервер — получает, хранит и анализирует информацию от Агентов.
• Консоль управления — предоставляет графический интерфейс для управления Агентами и мониторинга их состояния.

Поддерживаемые ОС

• MS Windows 10 (32/64), 8.1 (32/64), 8 (32/64), 7 SP1 (32/64).
• MS Windows Server 2012 R2, 2012, 2008 R2, 2008 (32/64).
Базы правил разрабатываются российской компанией ЗАО «Перспективный мониторинг»

Сценарии использования

ViPNet IDS HS можно использовать как совместно с другими продуктами ViPNet, так и отдельно.

Основные задачи:
• Обнаружение атак на информационную систему и их оперативное предотвращение.
• Построение ИСПДн, ГИС и АСУ ТП в соответствии с требованиями приказов, в части систем обнаружения вторжений (СОВ.1 и СОВ.2).
• Повышение уровня защищенности информационных систем, центров обработки данных, рабочих станций пользователей, серверов и телекоммуникационного оборудования.
• Помощь в расследовании инцидентов безопасности за счет агрегирования и журналирования событий.

Различные источники отслеживаемых событий. ViPNet IDS HS охватывает все значимые события на хосте и выполняет:
• анализ системных журналов ОС (Windows event log);
• анализ журналов и логов приложений;
• мониторинг результатов команд;
• мониторинг изменения файлов, папок, реестра ОС;
• анализ трафика, проходящего через хост.

Методы определения атак:
• сигнатурный;
• эвристический.

Анализ событий и на хосте, и на сервере. Для снижения нагрузки на сеть и сервер первичная аналитика происходит на самом хосте. Анализ не замедляет работу хоста и незаметен для работы пользователя.

Централизованное управление:
• управление датчиками ViPNet IDS HS;
• организация групповых рассылок правил;
• получение исчерпывающей информации о состоянии хоста и событиях на нем в соответствии с заданными настройками.

Оповещение администратора ИБ о событиях безопасности.
В продукте реализована функциональность оповещения администратора ИБ о критических атаках посредством электронной почты. При этом все события, атаки отображаются в консоли управления продуктом.

Масштабируемость системы.
Клиент-серверная архитектура позволяет масштабировать систему согласно изменениям защищаемой ИС.

ViPNet TIAS (Threat Intelligence Analytics System) — программно-аппаратный комплекс предназначенный для автоматического выявления инцидентов на основе анализа событий информационной безопасности.
На десятки тысяч событий, регистрируемых сенсорами обнаружения вторжений, приходятся единицы реальных инцидентов информационной безопасности.
ViPNet TIAS в автоматическом режиме анализирует весь поток входящих событий от сенсоров, находит взаимосвязи между ними и выявляет действительно значимые угрозы, являющиеся инцидентами информационной безопасности.
Автоматическое выявление инцидентов информационной безопасности в ViPNet TIAS строится на основе комбинирования двух методов:
• Сигнатурный метод анализа, основанный на использовании метаправил выявления инцидентов.
• Математическая модель принятия решений, разработанная на основе статистического анализа угроз с использованием методов машинного обучения.
База метаправил и математическая модель принятия решений разрабатывается и обновляется экспертами компании «Перспективный мониторинг» на основе знаний об угрозах, получаемых в результате анализа инструментов и техник выполнения атак — Threat Intelligence.

Сценарии использования

• Системы обнаружения вторжений ViPNet IDS сетевого и хостового уровня генерируют события информационной безопасности.
• ViPNet TIAS автоматически собирает информацию о событиях с подключенных к нему сенсоров ViPNet IDS и серверов ViPNet IDS HS.
• ViPNet TIAS анализирует события с помощью обученной математической модели и метаправил.
• В результате анализа одно или несколько нежелательных, или неожиданных событий, предполагающих высокую вероятность нарушения работы сети или представляющих угрозу для безопасности, определяются как инцидент информационной безопасности.
• При обнаружении инцидентов ViPNet TIAS регистрирует данный факт, определяет зависимые события, обогащает их информацией с дополнительных источников и генерирует рекомендации по устранению последствий;
• ViPNet TIAS с помощью веб-интерфейса и по электронной почте оповещает о произошедшем инциденте.
• Специалист по информационной безопасности расследует инциденты, устраняет причины и последствия их возникновения в сети.

Преимущества

• Сокращение среднего времени обнаружения инцидента с 30 до 2 минут по сравнению с ручным анализом событий квалифицированным специалистом.
• Снижение затрат на эксплуатацию системы обнаружения вторжений за счёт сокращения нагрузки на персонал, обслуживающий систему и снижения требований к их квалификации;
• Упрощение реагирования на угрозы информационной безопасности благодаря автоматически формируемым рекомендациям и автоматическому сбору связанных с инцидентом событий;
• Возможность удаленного проведения расследования инцидентов информационной безопасности высококвалифицированными аналитиками компании «Перспективный мониторинг»;
• Подключение дополнительных сервисов от компании «Перспективный мониторинг».
• Разворачивание и ввод в эксплуатацию за 1 рабочий день без изменения инфраструктуры заказчика.
• Техническая поддержка специалистами компании ИнфоТеКС.
• Методологическое сопровождение и консультационные услуги от экспертов компании «Перспективный мониторинг».
• Обучение специалистов в учебном центре «ИнфоТеКС».

Сертификация во ФСТЭК России

ViPNet TIAS находится на сертификации на отсутствие НДВ 4 уровень по ТУ
ViPNet TIAS позволяет осуществлять мониторинг угроз информационной безопасности и оперативно реагировать на них в случаях, когда:

• Не хватает квалифицированного персонала;
• Не хватает времени на отработку каждого сообщения о событии информационной безопасности;
• Отсутствуют инструменты, позволяющие автоматизировать процесс анализа событий и расследования причин возникновения угроз.

Дополнительно ViPNet TIAS предоставляет возможности:

• Создавать отчеты по событиям и инцидентам;
• Выгружать информацию об инцидентах во внешние системы, в том числе в систему ГосСОПКА;
• Подключать дополнительные источники для обогащения информации о событиях при проведении расследований.

Функциональные характеристики

ViPNet TIAS выполняет следующие функции:
• Производит сбор событий из источников обнаружения вторжений (ViPNet IDS);
• Анализирует поступающие события и автоматически выявляет инциденты информационной безопасности;
• Оповещает об инцидентах через веб-интерфейс и по электронной почте;
• Обогащает информацию об инцидентах и событиях сведениями с дополнительных источников;
• Предоставляет графический интерфейс для мониторинга угроз информационной безопасности в режиме реального времени;
• Предоставляет графический интерфейс для анализа при расследовании инцидентов;
• Предоставляет инструменты для самостоятельного анализа событий и выявления инцидентов;
• Позволяет создавать отчеты о событиях и выявленных инцидентах.