ViPNet IDS NS – это программно-аппаратный комплекс для обнаружения вторжений в информационные системы, функционирующий на основе динамического анализа сетевого и прикладного трафика стека протоколов TCP/IP
Применение сетевых сенсоров ViPNet IDS NS позволяет:
Выявлять атаки на информационные системы и уведомлять о них для оперативного реагирования.
Защищать ИСПДн, ГИС и АСУ ТП в соответствии с требованиями руководящих документов, в части систем обнаружения вторжений (СОВ.1 и СОВ.2).
Повышать уровень защищенности информационных систем, центров обработки данных, рабочих станций пользователей, серверов и телекоммуникационного оборудования.
Проводить расследования инцидентов информационной безопасности (ИБ).
Преимущества
1. Встроенные профили правил* сигнатурного метода выявления сетевых атак:
мобильные устройства
рабочие станции
веб-серверы
почтовые серверы
сетевое оборудование
серверы баз данных
файловые хранилища
DNS серверы
помогают оптимизировать и адаптировать перечень активных правил под особенности защищаемой сети, что повышает эффективность выявления инцидентов безопасности. 2. Возможность использования собственных правил сигнатурного метода выявления сетевых атак. 3. Выявление местоположения вероятного источника атаки с точностью до страны и города.
Базы описаний атак, базы выявления вредоносных вложений файлов разрабатываются и обновляются российской компанией «Перспективный мониторинг».
Функциональные характеристики
Основные функции ViPNet IDS NS:
Непрерывно анализирует сетевой трафик, начиная с канального и заканчивая прикладным уровнем модели взаимодействия открытых систем (OSI).
С использованием сигнатурного и эвристического методов автоматически выявляет сетевые атаки.
Все события фиксируются в журнале, при необходимости, включая сетевой пакет с потенциальной атакой.
Отображает информацию о выявленных событиях ИБ в режиме реального времени.
Оповещает об обнаруженных событиях по электронной почте.
Передает информацию о событиях в системы анализа и мониторинга по протоколу syslog в формате CEF (Common Event Format):
В систему автоматического выявления инцидентов ViPNet TIAS.
В системы управления событиями ИБ (SIEM).
ViPNet IDS NS предоставляет следующие инструменты для мониторинга и анализа информации о событиях:
Журнал записей о событиях ИБ с настраиваемым параметрическим поиском.
Карточки с детальной информацией о событии.
Возможность выгрузки образцов перехваченных пакетов и вредоносных файлов для последующего анализа с помощью стороннего программного обеспечения.
Возможность экспорта записей журнала событий в файл для последующего анализа с помощью стороннего программного обеспечения.
Возможность построения статистических отчетов по информации о событиях в виде таблиц, диаграмм и графиков.
Автоматическое обновление баз решающих правил (сигнатур сети) и баз Malware detection позволяет успешно выявлять атаки новых типов. Благодаря тонкой настройке решающих правил, ViPNet IDS NS может гибко адаптироваться под инфраструктуру заказчика.
Все это в совокупности повышает эффективность обнаружения атак и позволяет поддерживать общий уровень защищенности сети на высоком уровне.
Использование ViPNet IDS NS в составе решения ViPNet TDR позволяет:
Сократить среднее время обнаружения инцидента с 30 до 2 минут по сравнению с ручным анализом событий.
Снизить затраты на эксплуатацию системы обнаружения вторжений.
Упростить реагирование на угрозы ИБ.
Модификации
Наименование исполнения
ViPNet IDS NS100
ViPNet IDS NS1000
ViPNet IDS NS2000
ViPNet IDS NS10000
Производительность
Пропускная способность, Гбит/с
до 0,4
до 1
до 6
до 10
Аппаратные характеристики
Наименование аппаратной платформы
ViPNet IDS NS100 N1
ViPNet IDS NS1000 Q3
ViPNet IDS NS2000 Q4
ViPNet IDS NS10000 Q1
Форм-фактор
Настольное исполнение
Rackmount — высота 1U
Rackmount — высота 1U
Rackmount — высота 1U
Размеры (ШхВхГ), мм
170 x 138 x 41,5
430 x 44 x 440
430 x 44 x 440
430 x 44 x 440
Масса, кг
Не более 0,5
Не более 15
Не более 15
Не более 15
Тип блока питания
Внешний, идет в комплекте
Встроенный
Встроенный с резервированием по схеме 1+1
Встроенный с резервированием по схеме 1+1
Электропитание
Сеть переменного тока
Сеть переменного тока
Сеть переменного тока
Сеть переменного тока
Напряжение сети электропитания, В
От 100 до 240
От 100 до 240
От 100 до 240
От 100 до 240
Номинальная мощность, Вт
60
250
2 х 300
2 х 300
Порты ввода-вывода
VGA — 1 порт
Консольный RJ45 — 1 порт
USB 2.0/3.0 — 2 порта
VGA — 1 порт
COM (RS-232) — 1 порт
USB 3.0/3.1 — 6 портов
VGA — 1 порт
COM (RS-232) — 1 порт
USB 3.0/3.1 — 6 портов
VGA — 1 порт
COM (RS-232) — 1 порт
USB 3.0/3.1 — 6 портов
Какие инструменты для мониторинга и анализа информации о событиях предоставляет в графическом веб-интерфейсе ViPNet IDS NS?
ViPNet IDS NS предоставляет в графическом веб-интерфейсе следующие инструменты для мониторинга и анализа информации о событиях:
Список записей с информацией о событиях в журнале.
Фильтр для поиска записей о событиях в журнале по заданным критериям.
Карточки событий с подробной информацией.
Возможность выгрузки образцов перехваченных пакетов и вредоносных файлов для последующего анализа с помощью стороннего программного обеспечения.
Возможность экспорта записей журнала событий в файл для последующего анализа с помощью стороннего программного обеспечения.
Возможность построения статистических отчетов по информации о событиях в виде таблиц, диаграмм и графиков.
Какими методами выполняется анализ сетевого трафика в ViPNet IDS NS?
С целью обнаружения угроз в ViPNet IDS NS выполняется анализ сетевого трафика следующими методами:
Анализ сетевого трафика сигнатурным методом — анализ заголовков протоколов и содержимого сетевых пакетов на основе правил.
Анализ сетевого трафика эвристическим методом — отслеживание отклонений отдельных параметров сетевого трафика от эталонной модели.
Malware detection — сигнатурный анализ передаваемых в сетевом трафике файлов на наличие вредоносного программного обеспечения.
Предварительная обработка сетевого трафика — анализ служебных заголовков протоколов на наличие аномалий, отслеживание попыток сканирования портов и т.д.
Отслеживание ARP-spoofing — анализ служебных заголовков ARP-пакетов и ведение внутренней ARP-таблицы с целью отслеживания попыток сетевых атак типа ARP-spoofing.
Что обеспечивает обработка сетевого трафика, выполняемая в ViPNet IDS NS?
В ViPNet IDS NS выполняется предварительная обработка сетевого трафика, которая обеспечивает:
Анализ служебных заголовков пакетов на наличие аномалий для следующих сетевых протоколов: RPC, HTTP, SMTP, FTP, SSH, MODBUS, GTP, SIP, Telnet, TCP, DNS, SSL, IMAP, DNP3, MODBUS и POP.
Поиск аномалий декодирования и фрагментации пакетов.
Поиск аномалий в DNS-ответах.
Отслеживание попыток сканирования портов и удаленного выполнения произвольного кода.
Поиск конфиденциальных данных (номеров банковских карт, адресов электронной почты и т.д.).
Мониторинг производительности пакетов.
Какой принцип работы ViPNet IDS NS?
ViPNet IDS NS предназначен для защиты локальных сетей организаций (далее — защищаемые сети), которые, как правило, подключены к внешним сетям (например, к Интернету). ViPNet IDS NS обеспечивает защиту локальных сетей как со стороны нарушителей, действующих из внешних сетей, так и со стороны внутренних нарушителей, обладающих правами и полномочиями в защищаемой сети. В ViPNet IDS NS выполняется анализ копий (дубликатов) сетевых пакетов, поступающих на интерфейсы захвата . Дублирование, или зеркалирование сетевого трафика в защищаемой сети выполняется с помощью специальных сетевых устройств — ответвителей трафика (TAP) или коммутаторов со SPAN-портом (далее — устройства дублирования трафика). Устройства дублирования трафика устанавливаются в наиболее важных для наблюдения точках защищаемой ViPNet IDS NS сети или на ее границе. Выбор точки, в которой будет выполняться анализ трафика, зависит от топологии защищаемой сети, схемы подключения к внешним сетям, а также задач по защите сети, возлагаемых на ViPNet IDS NS . Информация о событиях, зарегистрированных ViPNet IDS NS, позволяет своевременно предотвратить угрозу сетевых атак и заражения рабочих станций пользователей вредоносным программным обеспечением с помощью средств сетевого экранирования, антивирусных программ и административных мер, а также может быть использована для анализа защищенности сети и разработки комплекса мер по недопущению подобных инцидентов в будущем.
Какие способы управления ViPNet IDS NS существуют?
Вы можете управлять ViPNet IDS NS следующими способами:
Посредством веб-интерфейса. Данный способ является основным при работе с ViPNet IDS NS. Управление ViPNet IDS NS посредством веб-интерфейса выполняется с помощью веб-браузера, установленного на выделенном компьютере — терминале управления. Управление выполняется удаленно по сети передачи данных по протоколу HTTPS/TLS с использованием односторонней аутентификации и шифрованием передаваемых данных.
Посредством консоли. Данный способ управления используется в основном при вводе ViPNet IDS NS в эксплуатацию, а также при необходимости выполнения некоторых действий, недоступных посредством веб-интерфейса (например, для изменения сетевых настроек управляющего интерфейса или подключения к централизованной системе управления и мониторинга ViPNet IDS MC). Управление ViPNet IDS NS посредством консоли может выполняться как локально, так и удаленно. Для локального управления ViPNet IDS NS необходимо иметь доступ к аппаратной платформе ViPNet IDS NS. Удаленное управление ViPNet IDS NS посредством консоли выполняется по сети передачи данных по протоколу SSH с помощью SSH-клиента, установленного на терминале управления . По умолчанию удаленное управление ViPNet IDS NS по протоколу SSH запрещено настройками.
Задайте свой вопрос специалисту!
Менеджер
Ольга Кукунина
Мы заботимся о наших клиентах и принимаем обращения в любой удобной для Вас форме.
