Отечественные системы обнаружения атак/вторжений
Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.
В вышедшем на прошлой неделе обзоре корпоративных IPS-решений на российском рынке от Anti-Malware всё хорошо, кроме, собственно, самого обзора именно российских решений. Позволю себе немного дополнить коллег.
Как и большинство продуктов на нашем рынке средств информационной безопасности, системы детектирования/предотвращения атак можно классифицировать по следующим двум признакам:
- сертификация:
- отсутствует
- сделана минимальная «для галочки»
- высокий уровень сертификации
- признанность (распространённость) продукта:
- известен и используется в мире
- присутствует только на региональном рынке
В зависимости от сочетания этих двух параметров можно так описать тип вендора, принимая во внимание, конечно, что на практике, ситуация чаще всего будет смешанная.
Теперь, собственно, перейдём к отечественным IPS/IDS, сам факт существование которых во многом определяется наличием соответствующих требований регуляторов. Формализованные требования к этому классу решений достаточно давно (с 2002 года) существуют у ФСБ, а с прошлого года появились и у ФСТЭК.
ФСБ называет этот класс устройств СОА (системы обнаружения атак) и выделяет 4 класса - от Г до А (от низшего к высшему), при этом каждый последующий класс включает весь функционал предыдущих. Требования ФСБ имеют пометку «Для служебного пользования» и просто так их не достать.
ФСТЭК такие системы называет СОВ (системы обнаружения вторжений), что невероятно удобно, так как сертификацию ФСБ и ФСТЭК ни за что не спутаешь =) С сутью требований ФСТЭК чуть легче: есть хотя бы общая информация в письме на сайте ФСТЭК, где поясняется, что всего устанавливается шесть классов защиты СОВ (шестой - низший). Соответствующие профили защиты для классов с шестого по четвёртый на сайте ФСТЭК отсутствуют (хотя в письме указано иное), но в Интернет их найти при желании можно.
Всего по требованиям ФСБ, согласно Перечня... сертифицировано шесть продуктов (все отечественные), а по новым требованиям ФСТЭК пока только четыре (два отечественных и два импортных). При этом есть ещё IDS, сертифицированные во ФСТЭК на соответствие техническим условиям (ТУ) ещё до вступления в силу новых требований к СОВ, но сегодня нас интересуют только отечественные производители, а таковы среди этих решений только два.
Итоговый список отечественных IDS и их сертификатов выглядит так:
[caption id="attachment_5093" align="aligncenter" width="708"]
Отечественные системы обнаружения атак[/caption]
Со мной можно спорить, но по моему мнению все данные продукты чётко попадают в категорию "Бумаженщиков", как бы обидно такое определение для них ни звучало.
К сожалению, по некоторым решениям общедоступные сведения есть только обрывочные, что связано, видимо, с их очень специфической областью применения. По части отечественных систем обнаружения атак чуть ли не самым информативным источником оказалась вот эта презентация представителя ФСБ Д.Н. Сатанина. Найденные в сети Интернет описания всех продуктов добавил в соответствующий раздел Каталога СЗИ и дабы не дублировать информацию из Каталога в посте, привожу только ссылки на продукты:
- Аргус, версия 1.0
- Аргус, версия 1.5
- Детектор атак «Континент» (на базе АПКШ Континент 3.7)
- Рубикон
- Ручей-М
- Тор
- Форпост
- ViPNet IDS
Каталог СЗИ пока в стадии наполнения и вполне может содержать неточности, хотя я этого старался максимально избежать. Что же касается полноты, то объём информации и число представленных средств защиты информации обязательно будут увеличиваться.
Комментарии из Telegram
Комментарии ВКонтакте