vipnet ids 1000 что это
2.4 ViPNet IDS 2
Сегодня случаи несанкционированного проникновения в компьютерные сети приобретают массовый характер. При этом типы и способы компьютерных атак становятся все более разнообразными. Именно поэтому системы обнаружения компьютерных атак являются важнейшим компонентом инфраструктуры безопасности любой организации.
Система ViPNet IDS значительно повысит существующий уровень безопасности ваших информационных систем, центров обработки данных, рабочих станций пользователей, а также серверов и телекоммуникационного оборудования.
Программно-аппаратный комплекс (ПАК) ViPNet IDS — эффективная и надежная система обнаружения компьютерных атак (вторжений) в корпоративные информационные системы. Работа системы строится на основе динамического анализа сетевого трафика, начиная с канального уровня и заканчивая прикладным уровнем модели взаимодействия открытых систем (OSI).
ViPNet IDS оперативно предотвращает развитие компьютерной атаки. При обнаружении вторжения система регистрирует событие, идентифицирует атаку и моментально оповещает администратора.
Сценарии использования
Применение ViPNet IDS совместно с другими продуктами линейки ViPNet Network Security:
Подключение к каналам связи для их мониторинга
ViPNet IDS подключается к каналам связи контролируемых информационных систем по Т-образной схеме с использованием коммутатора со SPAN-портом или TAP-устройства. Трафик, проходящий через коммутатор, зеркалируется и передается на ПАК. Таким образом, ViPNet IDS не влияет на характер прохождения трафика через канал.
ИнфоТеКС оставляет за собой право без уведомления вносить изменения в поставляемую продукцию (характеристики, внешний вид, комплектность), не ухудшающие ее потребительских свойств.
Управление и анализ
ViPNet IDS
Общие сведения
В настоящее время велика опасность несанкционированного проникновения в чужие сети, и практика это доказывает. В связи с этим многие организации прибегают к помощи разного рода системам обнаружения шпионских компьютерных атак.
Существуют разные виды систем обнаружения атак. ViPNet IDS – это система обнаружения вторжений, построенная на базе операционной системы Linux. Она представляет собой сетевое устройство, анализирующее сетевой трафик стека протоколов, и обнаруживающее любые вторжения.
Система одинаково успешно используется как в органах государственной власти, так и в обычных организациях. ViPNet IDS позволяет значительно повысить безопасность информационных систем, баз данных, рабочих компьютеров, а также телекоммуникационного оборудования.
ViPNet IDS поставляется в двух вариантах исполнения:
ПАК ViPNet IDS 1000
ПАК ViPNet IDS 2000
Телекоммуникационный сервер AquaServer T40 S44, на основе процессора Intel® Core™ i5
Телекоммуникационный сервер AquaServer T50 D57, на основе двух процессоров Intel® Xeon™ E5645
19” Rack 1U (для установки в стойку глубиной от 480 мм и более) 430х43х380 (ШхВхГ)
19” Rack 1U (для установки в стойку глубиной 900 мм или 1000 мм) 444x43x685 (ШхВхГ)
Адаптированная ОС Linux
Совместимость с другими продуктами
С ViPNet State Watcher версии 4.2 и выше, ViPNet Coordinator HW (для защиты канала управления)
Число сетевых портов
4×10/100/1000 Мбит/c RJ 45
2×10/100/1000 Мбит/c RJ 45,
2×10 Гбит/c SFP+
Совместимость с другими продуктами
С ViPNet State Watcher версии 4.2 и выше, ViPNet Coordinator HW (для защиты канала управления)
Функциональность
Система очень функциональна. Она выполняет множество задач:
Схема включения
ViPNet IDS подключается к каналам связи по T-образной схеме. К Span-порту коммутатора подключается интерфейс ПАК, куда поступает анализируемый сетевой трафик. ПАК управляется через WEB-интерфейс (рис. 2).
Один из сетевых интерфейсов ПАК подключается к Span-порту коммутатора, на данный интерфейс поступает весь сетевой трафик, подвергаемый анализу. Управление и мониторинг ПАКа осуществляется с использованием WEB-интерфейса через отдельно выделенный административный сетевой порт с рабочей машины, имеющей доступ к ПАК.
Использование
ViPNet IDS защищает информацию различными способами:
Преимущества ViPNet IDS
Данная система имеет много преимуществ:
Сертификация по требованиям ФСТЭК России
Сертификат соответствия ФСТЭК удостоверяет, что система обнаружения атак ViPNet IDS – это средство защиты информации, кроме информации, являющейся государственной тайной.
Гарантийное обслуживание
На систему ViPNet IDS действует гарантия 1 год.
Техническая поддержка
Система ViPNet IDS является продуктом ОАО «ИнфоТеКС». Для ее приобретения нужно обратиться к официальным партнерам организации. Если необходимо техническое сопровождение и обновление баз решающих правил, заключается Договор на 1 год. При необходимости его можно продлить.
Купить «ПАК ViPNet IDS 1000», «ПАК ViPNet IDS 2000»
ViPNet IDS 1000
Сегодня случаи несанкционированного проникновения в компьютерные сети приобретают массовый характер. При этом типы и способы компьютерных атак становятся все более разнообразными. Именно поэтому системы обнаружения компьютерных атак являются важнейшим компонентом инфраструктуры безопасности любой организации.
Система ViPNet IDS значительно повысит существующий уровень безопасности ваших информационных систем, центров обработки данных, рабочих станций пользователей, а также серверов и телекоммуникационного оборудования.
Программно-аппаратный комплекс (ПАК) ViPNet IDS — эффективная и надежная система обнаружения компьютерных атак (вторжений) в корпоративные информационные системы. Работа системы строится на основе динамического анализа сетевого трафика, начиная с канального уровня и заканчивая прикладным уровнем модели взаимодействия открытых систем (OSI).
ViPNet IDS оперативно предотвращает развитие компьютерной атаки. При обнаружении вторжения система регистрирует событие, идентифицирует атаку и моментально оповещает администратора.
Применение ViPNet IDS совместно с другими продуктами линейки ViPNet Network Security:
Подключение к каналам связи для их мониторинга
ViPNet IDS подключается к каналам связи контролируемых информационных систем по Т-образной схеме с использованием коммутатора со SPAN-портом или TAP-устройства. Трафик, проходящий через коммутатор, зеркалируется и передается на ПАК. Таким образом, ViPNet IDS не влияет на характер прохождения трафика через канал.
Управление
Обнаружение атак
Запись событий
Управление и анализ
ViPNet IDS оперативно предотвращает развитие компьютерной атаки. При обнаружении вторжения система регистрирует событие, идентифицирует атаку и моментально оповещает администратора.
Vipnet ids 1000 что это
ViPNet IDS NS – это программно-аппаратный комплекс для обнаружения вторжений в информационные системы, функционирующий на основе динамического анализа сетевого и прикладного трафика стека протоколов TCP/IP.
Сегодня случаи несанкционированного проникновения в компьютерные сети приобретают массовый характер. При этом типы и способы компьютерных атак становятся все более разнообразными. Именно поэтому системы обнаружения компьютерных атак являются важнейшим компонентом инфраструктуры безопасности любой организации.
Система ViPNet IDS значительно повысит существующий уровень безопасности ваших информационных систем, центров обработки данных, рабочих станций пользователей, а также серверов и телекоммуникационного оборудования.
Программно-аппаратный комплекс (ПАК) ViPNet IDS — эффективная и надежная система обнаружения компьютерных атак (вторжений) в корпоративные информационные системы. Работа системы строится на основе динамического анализа сетевого трафика, начиная с канального уровня и заканчивая прикладным уровнем модели взаимодействия открытых систем (OSI).
ViPNet IDS оперативно предотвращает развитие компьютерной атаки. При обнаружении вторжения система регистрирует событие, идентифицирует атаку и моментально оповещает администратора.
Сценарии использования
Применение ViPNet IDS совместно с другими продуктами линейки ViPNet Network Security:
• Обнаружение атак на информационную систему и их оперативное предотвращение.
• Повышение уровня защищенности информационных систем, центров обработки данных, рабочих станций пользователей, серверов и телекоммуникационного оборудования.
• Расследование инцидентов информационной безопасности.
Подключение к каналам связи для их мониторинга
ViPNet IDS подключается к каналам связи контролируемых информационных систем по Т-образной схеме с использованием коммутатора со SPAN-портом или TAP-устройства. Трафик, проходящий через коммутатор, зеркалируется и передается на ПАК. Таким образом, ViPNet IDS не влияет на характер прохождения трафика через канал.
Управление
• Администратор может управлять системой ViPNet IDS как удаленно через веб-интерфейс, так и локально посредством консоли Linux.
• Администраторы получают доступ к управлению системой ViPNet IDS на основе ролевой модели.
Обнаружение атак
• Обнаружение сетевых атак в режиме близком к реальному масштабу времени.
• Обнаружение сетевых атак на основе сигнатурного и эвристического методов выявления аномалий в сетевом трафике.
• Поддержка сетевых интерфейсов 1 Гбит/c и 10 Гбит/c.
• База сигнатур атак, поставщиком которой является российская компания «Перспективный мониторинг», содержит более 20 000 правил обнаружения и обновляется ежемесячно.
Запись событий
• Регистрация информации об обнаруженных событиях и атаках для последующего анализа.
• Сохранение IP-пакетов, содержащих атаку и возможность их экспорта в PCAP-файл для расследования и использования в качестве доказательной базы. Возможность передачи информации о зарегистрированных событиях в систему централизованного мониторинга ViPNet StateWatcher.
Управление и анализ
• Интуитивно понятный русскоязычный графический интерфейс управления и мониторинга.
• Уведомление администратора системы информационной безопасности о зарегистрированных событиях посредством электронной почты.
• Аналитическая обработка и отображение обобщенной статистической информации о выявленных атаках.
• Выборочный контроль трафика отдельных узлов сети по их IP-адресам.
ViPNet IDS HS — система обнаружения вторжений, осуществляющая мониторинг и обработку событий внутри хоста. ViPNet IDS HS использует сигнатурный и эвристический методы анализа атак на основе правил и сигнатур, разработанных в России. За счет централизованного управления агентами, настройками и группами правил на хостах администраторы по информационной безопасности могут оперативно реагировать на события безопасности в сети.
Назначение:
Ключевыми словами, которыми можно описать назначение данного продукта, являются:
• Наблюдение за всеми активностями, происходящими в операционной системе, такими как файловая или сетевая активность, изменения в реестре, процессах или ключевых логах.
• Оповещение: по результатам наблюдения система выявляет атаки и незамедлительно оповещает об этом администратора. Администратор получает оповещения в интерфейсе управляющего приложения или по email.
Архитектура продукта:
• Агент — собирает информацию о функционировании хостов и выполняет ее первичный анализ. Агент представляет собой ПО, которое устанавливается на хостах.
• Сервер — получает, хранит и анализирует информацию от Агентов.
• Консоль управления — предоставляет графический интерфейс для управления Агентами и мониторинга их состояния.
Поддерживаемые ОС
• MS Windows 10 (32/64), 8.1 (32/64), 8 (32/64), 7 SP1 (32/64).
• MS Windows Server 2012 R2, 2012, 2008 R2, 2008 (32/64).
Базы правил разрабатываются российской компанией ЗАО «Перспективный мониторинг»
Сценарии использования
ViPNet IDS HS можно использовать как совместно с другими продуктами ViPNet, так и отдельно.
Основные задачи:
• Обнаружение атак на информационную систему и их оперативное предотвращение.
• Построение ИСПДн, ГИС и АСУ ТП в соответствии с требованиями приказов, в части систем обнаружения вторжений (СОВ.1 и СОВ.2).
• Повышение уровня защищенности информационных систем, центров обработки данных, рабочих станций пользователей, серверов и телекоммуникационного оборудования.
• Помощь в расследовании инцидентов безопасности за счет агрегирования и журналирования событий.
Различные источники отслеживаемых событий. ViPNet IDS HS охватывает все значимые события на хосте и выполняет:
• анализ системных журналов ОС (Windows event log);
• анализ журналов и логов приложений;
• мониторинг результатов команд;
• мониторинг изменения файлов, папок, реестра ОС;
• анализ трафика, проходящего через хост.
Методы определения атак:
• сигнатурный;
• эвристический.
Анализ событий и на хосте, и на сервере. Для снижения нагрузки на сеть и сервер первичная аналитика происходит на самом хосте. Анализ не замедляет работу хоста и незаметен для работы пользователя.
Централизованное управление:
• управление датчиками ViPNet IDS HS;
• организация групповых рассылок правил;
• получение исчерпывающей информации о состоянии хоста и событиях на нем в соответствии с заданными настройками.
Оповещение администратора ИБ о событиях безопасности.
В продукте реализована функциональность оповещения администратора ИБ о критических атаках посредством электронной почты. При этом все события, атаки отображаются в консоли управления продуктом.
Масштабируемость системы.
Клиент-серверная архитектура позволяет масштабировать систему согласно изменениям защищаемой ИС.
ViPNet TIAS (Threat Intelligence Analytics System) — программно-аппаратный комплекс предназначенный для автоматического выявления инцидентов на основе анализа событий информационной безопасности.
На десятки тысяч событий, регистрируемых сенсорами обнаружения вторжений, приходятся единицы реальных инцидентов информационной безопасности.
ViPNet TIAS в автоматическом режиме анализирует весь поток входящих событий от сенсоров, находит взаимосвязи между ними и выявляет действительно значимые угрозы, являющиеся инцидентами информационной безопасности.
Автоматическое выявление инцидентов информационной безопасности в ViPNet TIAS строится на основе комбинирования двух методов:
• Сигнатурный метод анализа, основанный на использовании метаправил выявления инцидентов.
• Математическая модель принятия решений, разработанная на основе статистического анализа угроз с использованием методов машинного обучения.
База метаправил и математическая модель принятия решений разрабатывается и обновляется экспертами компании «Перспективный мониторинг» на основе знаний об угрозах, получаемых в результате анализа инструментов и техник выполнения атак — Threat Intelligence.
Сценарии использования
• Системы обнаружения вторжений ViPNet IDS сетевого и хостового уровня генерируют события информационной безопасности.
• ViPNet TIAS автоматически собирает информацию о событиях с подключенных к нему сенсоров ViPNet IDS и серверов ViPNet IDS HS.
• ViPNet TIAS анализирует события с помощью обученной математической модели и метаправил.
• В результате анализа одно или несколько нежелательных, или неожиданных событий, предполагающих высокую вероятность нарушения работы сети или представляющих угрозу для безопасности, определяются как инцидент информационной безопасности.
• При обнаружении инцидентов ViPNet TIAS регистрирует данный факт, определяет зависимые события, обогащает их информацией с дополнительных источников и генерирует рекомендации по устранению последствий;
• ViPNet TIAS с помощью веб-интерфейса и по электронной почте оповещает о произошедшем инциденте.
• Специалист по информационной безопасности расследует инциденты, устраняет причины и последствия их возникновения в сети.
Преимущества
• Сокращение среднего времени обнаружения инцидента с 30 до 2 минут по сравнению с ручным анализом событий квалифицированным специалистом.
• Снижение затрат на эксплуатацию системы обнаружения вторжений за счёт сокращения нагрузки на персонал, обслуживающий систему и снижения требований к их квалификации;
• Упрощение реагирования на угрозы информационной безопасности благодаря автоматически формируемым рекомендациям и автоматическому сбору связанных с инцидентом событий;
• Возможность удаленного проведения расследования инцидентов информационной безопасности высококвалифицированными аналитиками компании «Перспективный мониторинг»;
• Подключение дополнительных сервисов от компании «Перспективный мониторинг».
• Разворачивание и ввод в эксплуатацию за 1 рабочий день без изменения инфраструктуры заказчика.
• Техническая поддержка специалистами компании ИнфоТеКС.
• Методологическое сопровождение и консультационные услуги от экспертов компании «Перспективный мониторинг».
• Обучение специалистов в учебном центре «ИнфоТеКС».
Сертификация во ФСТЭК России
ViPNet TIAS находится на сертификации на отсутствие НДВ 4 уровень по ТУ
ViPNet TIAS позволяет осуществлять мониторинг угроз информационной безопасности и оперативно реагировать на них в случаях, когда:
• Не хватает квалифицированного персонала;
• Не хватает времени на отработку каждого сообщения о событии информационной безопасности;
• Отсутствуют инструменты, позволяющие автоматизировать процесс анализа событий и расследования причин возникновения угроз.
Дополнительно ViPNet TIAS предоставляет возможности:
• Создавать отчеты по событиям и инцидентам;
• Выгружать информацию об инцидентах во внешние системы, в том числе в систему ГосСОПКА;
• Подключать дополнительные источники для обогащения информации о событиях при проведении расследований.
Функциональные характеристики
ViPNet TIAS выполняет следующие функции:
• Производит сбор событий из источников обнаружения вторжений (ViPNet IDS);
• Анализирует поступающие события и автоматически выявляет инциденты информационной безопасности;
• Оповещает об инцидентах через веб-интерфейс и по электронной почте;
• Обогащает информацию об инцидентах и событиях сведениями с дополнительных источников;
• Предоставляет графический интерфейс для мониторинга угроз информационной безопасности в режиме реального времени;
• Предоставляет графический интерфейс для анализа при расследовании инцидентов;
• Предоставляет инструменты для самостоятельного анализа событий и выявления инцидентов;
• Позволяет создавать отчеты о событиях и выявленных инцидентах.
ViPNet IDS NS
Программно-аппаратный комплекс (ПАК) ViPNet IDS NS – это сетевой сенсор обнаружения сетевых атак и вредоносного программного обеспечения в файлах, передаваемых в сетевом трафике, и предназначенный для интеграции в компьютерные сети с целью повышения уровня защищенности информационных систем, центров обработки данных, рабочих станций пользователей, серверов и коммуникационного оборудования.
ПАК ViPNet IDS NS может использоваться как самостоятельный продукт, а также в составе решений ViPNet Threat Detection and Response (TDR) и совместно с решением ViPNet Channel Protection.
Сценарии использования
Преимущества
Возможность использования собственных правил сигнатурного метода выявления сетевых атак.
Выявление местоположения вероятного источника атаки с точностью до страны и города.
Базы описаний атак, базы выявления вредоносных вложений файлов разрабатываются и обновляются российской компанией «Перспективный мониторинг».
* Профиль правил – это набор правил из базы решающих правил (БРП) для обнаружения атак на определенные сервисы, системы или устройства.
Например, профиль правил «Мобильные устройства» содержит набор правил, позволяющих выявлять сетевые атаки направленные на устройства под управлением операционных систем Android, iOS и приложения для этих ОС. Профиль «Веб-серверы» содержит набор правил, позволяющих выявлять атаки на вер-серверы и веб-платформы (Word Press, Apache, phpMyAdmin, IIS, WebLogic, Jenkins, Drupal, Joomla, Tomcat, Bitrix, ClipperCM и другие).
Если раньше при настройке сетевого сенсора администратору было необходимо просмотреть всю базу правил, имеющую более 20 тыс. уникальных записей и включить те, которые имеют отношение к эксплуатируемым в сети сервисам. Этот процесс требовал глубоких знаний как в ИБ, так и в специфике работы ИТ сервисов.
Теперь благодаря профилям правил настройка ViPNet IDS NS и его БРП занимает считанные минуты. Администратору необходимо из списка профилей выбрать те, которые по описанию подходят к его инфраструктуре и активировать их. Помимо простоты настройки, профили также повышают эффективность работы сетевого сенсора – сенсор анализирует сетевой трафик не по всей базе правил, а только по правилам из активированных профилей. В результате снижается количество ложных срабатываний и оптимизируется производительность сетевого сенсора.
* Профиль правил – это набор правил из базы решающих правил (БРП) для обнаружения атак на определенные сервисы, системы или устройства.
Например, профиль правил «Мобильные устройства» содержит набор правил, позволяющих выявлять сетевые атаки направленные на устройства под управлением операционных систем Android, iOS и приложения для этих ОС. Профиль «Веб-серверы» содержит набор правил, позволяющих выявлять атаки на вер-серверы и веб-платформы (Word Press, Apache, phpMyAdmin, IIS, WebLogic, Jenkins, Drupal, Joomla, Tomcat, Bitrix, ClipperCM и другие).
Если раньше при настройке сетевого сенсора администратору было необходимо просмотреть всю базу правил, имеющую более 20 тыс. уникальных записей и включить те, которые имеют отношение к эксплуатируемым в сети сервисам. Этот процесс требовал глубоких знаний как в ИБ, так и в специфике работы ИТ сервисов.
Теперь благодаря профилям правил настройка ViPNet IDS NS и его БРП занимает считанные минуты. Администратору необходимо из списка профилей выбрать те, которые по описанию подходят к его инфраструктуре и активировать их. Помимо простоты настройки, профили также повышают эффективность работы сетевого сенсора – сенсор анализирует сетевой трафик не по всей базе правил, а только по правилам из активированных профилей. В результате снижается количество ложных срабатываний и оптимизируется производительность сетевого сенсора.