Comparison of industrial COB: ISIM vs. Kics



    The sensational attacks on Norwegian aluminum producer Norsk Hydro and the Venezuelan energy system once again showed that industrial enterprises are still vulnerable to hackers. We decided to figure out which specialized OWLs - intrusion detection systems - help to combat such cybercrimes and are able to “see” intruders in the network segments of ICS. Choosing from five solutions, we settled on two - KICS for Networks from Kaspersky Lab and ISIM from Positive Technologies - and compared them according to 40 criteria. What we did, you can find out under the cut.

    Why owls to industrial enterprises


    1. External threats


      According to Alexei Petukhov , head of Kaspersky Industrial CyberSecurity in the Russian Federation, “Russia has entered the TOP-20 countries in terms of the percentage of ICS TP computers attacked.” Unfortunately, in Russia it is not customary to spread about incidents occurring at the production site, but our experience suggests that the situation that Norsk Hydro faced could be repeated in domestic industrial enterprises.

      A detailed analysis of the attack on Norsk Hydro read here .

      There is a common misconception that by dividing industrial and corporate networks and excluding access to the Internet, the company guarantees itself security. But this is not so. Now attacks are planned and implemented for a rather long time - attackers carefully prepare for an attack and think through a hacking scenario in detail. Moreover, the motivation of attackers can be completely different. Ransomware and ransomware try to hit as many devices as possible, intelligence agencies aim to inflict maximum damage to the infrastructure, etc. But any attack has its own cycle, which always begins with intelligence. Owls are able to detect cybercriminals already at this stage and to notify about the threat, stopping the activities of attackers at the initial stage of the attack.

      The attacks will continue further, and it was necessary to prepare for them yesterday.

    2. Internal threats


      The most common threats are not external, but internal. Unhappy with the position or salary, employees can use corporate capacities for their own purposes. Dismissed workers leave bookmarks by selling access to Darknet or by exploiting infrastructure for their personal interests. In practice, we were faced with cases when workstations were installed software for remote computer control for operational management or work from home. In such stories, a dilemma often arises, which usually leads to a confrontation between “security guards” and “school assistants”: which is more important - ease of maintenance or safety? Often at enterprises you can see workstations without any protection that are forbidden to touch, since any impact can lead to a shutdown of the process. But for the intruder (external or internal) this will be the main goal of the attack. The company should not suffer because you trust your employees and leave room for manipulation.

    3. Legislation


      The state is building the GosSOPKA system, which, as planned, should not only inform the FSB of all identified incidents at work, but also become a full-fledged database of computer attacks occurring in Russia. Now we are at the beginning of the road, and it is difficult to say when the state bodies will reach the goal. Nevertheless, in 2017, 187-ФЗ “On the Security of Critical Information Infrastructure of the Russian Federation” was issued, followed by a number of orders from the FSTEC, which also determine the procedure for categorizing CII objects and measures to ensure their safety. After assigning a category of significance to each object, the company must ensure its protection. So, the FSTEC Order No. 239 of December 25, 2017 tells us about the measures that the subject (state bodies, state institutions, Russian legal entities, as well as individual entrepreneurs, to whom by right of ownership, leases or on any other legal basis belong to IP, ITS, ACS) is obliged to apply when protecting objects KII. For owners of objects of category 2 or 1, the regulator in the indicated order establishes the requirement to use an intrusion detection tool. We are convinced that due to the practice of underestimating categories, such solutions will be useful to all objects of KII.

      Requirements of the Order of the FSTEC No. 239 dated December 25, 2017
      Section VII. - Intrusion Prevention (COB) requires the COB.1 “Detection and Prevention of Computer Attacks” requirement for critical information infrastructure facilities of category 2 and 1.

    OWL functionality


    In our opinion, solutions should provide the following features.

    1. Monitoring the technological network with the ability to support the technological protocols of the main manufacturers of process control systems.
    2. Automatic detection of device type (AWP, server, PLC).
    3. Ability to control the process.
    4. Intrusion detection in a technological network.
    5. Transfer of recorded events to third-party monitoring systems (SIEM) with the possibility of their analysis.
    6. Graphic construction of a technological network map.
    7. Creating and uploading reports.
    8. Assistance in investigating incidents.

    How did we choose solutions for comparison


    When choosing solutions for research, we were guided by three main criteria: the presence of the product on the Russian market, our own project experience and the compatibility of the solution with other vendor products.

    Today, at least 5 solutions are presented on the Russian market that can be considered as SOW in industrial networks:

    • KICS for Networks from Kaspersky Lab;
    • ISIM from Positive Technologies;
    • ASAP from InfoWatch;
    • Datapk from USSB;
    • SCADAShiled by Cyberbit.

    From the whole variety, we chose 3 solutions that, in our opinion, are now the most popular in the Russian market: KICS for Networks from Kaspersky Lab, ISIM from Positive Technologies and ASAP from InfoWatch.

    During the negotiations, InfoWatch decided not to participate in the comparison. Colleagues are preparing to release a new version of their product and at the time of the comparative analysis were not ready to provide it to us for testing. We will be happy to add this solution to the next version of our comparison.

    As for the solutions from Kaspersky Lab and Positive Technologies, both companies provided us with distributions for independent study and quickly answered our questions during the testing process. In favor of KICS for Networks and ISIM solutions, we also played a role in the fact that earlier we already implemented them both for testing and in industrial operation. In addition, both products can be integrated into other integrated solutions. For example, ISIM works great in conjunction with Max Patrol SIEM, and often both products are tested. Kaspersky Lab has KICS for Nodes, a specialized solution (antivirus) for protecting servers, controllers and workstations located on an industrial network. In this review, we did not set ourselves the goal of comparing the completeness of integration with other products and limited ourselves to the functionality of the selected solutions. Nevertheless, this is an important factor when choosing a system for implementation.

    How was the comparison


    For a qualitative comparison, we determined the criteria and divided them into 5 groups. The basis was the questions most frequently asked by our customers when choosing a solution. We did not analyze the technologies used in the products in detail, but studied only the fundamentally important ones that affect the choice of a particular solution.

    Then we deployed stands on the Jet Infosystems virtual servers and watched the latest products: KICS for Networks 2.8 and ISIM 1.5.390.

    According to the results of the study, we compiled a comparative table and sent it to the vendors for approval. They supplemented with their comments those assessments that they considered necessary. Comments of vendors are given in separate columns of comparative tables and in italics. Our findings are presented in the “Comments” section and may differ from the position of the vendors.

    Features for installing solutions

    ISIM


    Разворачивание продукта происходит на базе Debian 8. Дистрибутив ОС со всеми необходимыми пакетами предоставляется вендором. Все рекомендации по установке и настройке ОС подробно и доступно расписаны в руководстве по продукту. Первоначальная настройка ПО PT ISIM сводится к корректировке часового пояса и конфигурированию сетевых интерфейсов, что делает установку простой, быстрой и интуитивно понятной. Все функции управления и мониторинга осуществляются через веб-интерфейс.

    KICS for Networks


    Разворачивание продукта происходит на базе CentOS. Дистрибутив ОС со всеми необходимыми пакетами предоставляется вендором. Рекомендаций по установке ОС от производителя нет.
    При установке ПО производится настройка узла, сервера управления, сенсоров, веб-сервера. Установка может проводиться на русском или английском языках. Трудностей и нюансов при установке не выявлено.

    Licensing

    ISIM


    Продукт имеет 3 версии.
    • ISIM Free – версия с крайне усеченным функционалом. Предназначена для знакомства с продуктом.
    • ISIM Net – основной продукт компании. В большинстве случаев заказчики выбирают именно его. Имеет весь необходимый функционал.
    • ISIM Pro – продвинутая версия ISIM Net. Имеет расширенный и уникальный функционал (мнемосхемы). По характеристикам сопоставима с KICS for Networks 2.8.

    Все продукты поставляются в виде ПО, которое можно развернуть в виртуальной среде. Версии Net и Pro могут поставляться как программно-аппаратные комплексы.

    Стоимость предоставляется по запросу (закрытый прайс-лист).

    KICS for Networks


    Продукт имеет одну версию. На момент публикации – 2.8.

    По характеристикам сопоставим ISIM Pro.

    Поставляется в виде ПО, которое можно развернуть как в виртуальной среде, так и на аппаратном комплексе.

    Стоимость предоставляется по запросу (закрытый прайс-лист).


    Comparative review of SOW (industrial IDS)


    Note. The table in italics indicates the comments of the vendors.
    Parameter
    		Designation
    Availability
    		This property or item is fully supported.
    Lack of
    		This property or item is not supported.
    Partially
    		There is an incomplete or incorrect implementation of this property / element.

    Table 1. Comparison of the group of criteria "Functional"


    In this group, we compare the main functional components of industrial traffic monitoring systems. For comparison, we chose technologies that are fundamental for traffic analysis in industrial control systems. We believe that these criteria should be present in all SOVs, both specializing in the processing of technological traffic, and for identifying threats that arise at industrial enterprises.

    Table 1
    № п/пНаименование испытаний и проверокРезультатPT ISIM
    (курсивом
    комментарии
    вендора)    		KICS for Networks
    (курсивом комментарии вендора)    		Комментарии «Инфосистемы Джет»
    1.1Автоматизированная инвентаризация узлов сетиНаличие или отсутствие функционала автоматизированной инвентаризации узлов сетиНаличиеНаличие
    1.2Детектирование на базе SNORT-подобных сигнатурНаличие или отсутствие функционала детектирования на базе SNORT-подобных сигнатурНаличие
    Используются SNORT-подобные сигнатуры, разработанные и/или модифицированные силами разработчика.    		Наличие
    Используется Suricata вместо SNORT.    		Различия обусловлены применяемыми технологиями, которые выбраны вендорами. Различие технологий не влияет на качество работы решений.
    1.3
    		Возможность создания и изменения правил выявления инцидентов аномалий сетевого и прикладного уровней
    		Наличие или отсутствие возможности создания и/или изменения правил
    		Наличие
    		Наличие
    		У ISIM данный функционал доступен в версии Pro.
    KICS for Networks по функционалу соответствует версии Pro.
    1.4
    		Выявление инцидентов и аномалий на прикладном уровне АСУ ТП на основе функции контроля изменения технологических параметров
    		Наличие или отсутствие функционала выявления инцидентов на основе функции контроля изменения технологических параметров
    		Наличие
    		Наличие
    1.5
    		Возможность настройки анализа промышленного трафика
    		Наличие или отсутствие опций настройки анализа промышленного трафика
    		Наличие
    Настройка функций анализа выполняется двумя способами. Первый – коррекция правил сетевого взаимодействия в интерфейсе путем авторизации/деавторизации сетевых узлов и соединений (в версиях Net и Pro). Второй – создание правил прикладного уровня в конфигураторе (в версии Pro).
    		Наличие
    		ISIM версии Net и Pro различаются глубиной настройки параметров анализа технологического трафика.
    KICS for Networks сопоставим по этому параметру с Pro версией ISIM.
    1.6
    		Возможность разделения копий трафика
    		Наличие или отсутствие возможности разделения копий трафика от нескольких систем
    		Наличие
    Разделение копий трафика возможно в части представления в интерфейсе, в части анализа и в части экспорта. Для представления в интерфейсе предусмотрена возможность группировки сетевых узлов и соединений по признакам логического или физического разделения. В части анализа разделение трафика от нескольких систем или сегментов сети реализуется путем настройки фильтров в интерфейсе представления событий (выборка событий по каждому отдельному сегменту или системе) с последующим экспортом копий трафика по отфильтрованным событиям.
    		НаличиеРазделение трафика необходимо для логического разделения компонентов промышленной сети и удобства фильтрации событий.
    KICS for Networks разделяет копии трафика по точкам мониторинга.
    ISIM делит по точкам мониторинга и по компоновке на карте топологии сети.
    1.7
    		Выявление сетевых аномалий на основе правил (детектов), работающих «из коробки»
    		Наличие или отсутствие предустановленных правил
    		Наличие
    Продукт использует встроенную, обновляемую базу промышленных правил PT ISTI.
    		Наличие
    1.8
    		Контроль целостности сети (обнаружение новых устройств в сети)
    		Наличие или отсутствие функции контроля целостности сети
    		Наличие
    		Наличие
    1.9
    		Идентификация и аутентификация пользователей
    		Наличие или отсутствие идентификации и аутентификации пользователей
    		Наличие
    		Наличие
    1.10
    		Поддерживаемые промышленные протоколы
    		Перечень поддерживаемых промышленных протоколов
    		APC FG;

    CIP;

    DIGSI;

    GOOSE;

    IEC104;

    MMS;

    MODBUS TCP;

    OPC DA;

    PROFINET (2 вида);

    S7 comm (2 вида);

    SPABUS;

    UMAS;

    Vnet/IP;

    DeltaV Commissioner;

    DeltaV FWUpgrade;

    + 3 протокола,
    закрытые по NDA
    		ABB SPA-Bus;

    Allen-Bradley EtherNet/IP;

    CODESYS V3 Gateway;

    DCE/RPC;

    DMS для устройств ABB AC 700F;

    DNP3;

    Контроль процесса 100 Emerson DeltaV;

    FTP;

    General Electric SRTP;

    IEC 60870-5-104;

    IEC 61850: GOOSE, MMS (вкл. MMS Reports), Sampled Values;

    Mitsubishi MELSEC System Q;

    Modbus TCP;

    OMRON FINS;

    OPC UA Binary;

    Siemens Industrial Ethernet;

    Siemens S7comm, S7comm-plus;

    Yokogawa Vnet/IP;

    Релематика BDUBus;

    Модификация протокола MMS для устройств ABB AC800M;

    Модификация протокола ModbusTCP для устройств ЭКРА серии 200;

    Протокол устройств с системным ПО Siemens DIGSI 4
    		Оба решения поддерживают основные промышленные протоколы.

    Критерии интеграции
    В данном разделе рассматривается интеграция со сторонними вышестоящими системами анализа для последующей обработки.
    № п/пНаименование испытаний и проверокРезультатPT ISIM
    (курсивом
    комментарии
    вендора)    		KICS for Networks
    (курсивом комментарии вендора)    		Комментарии «Инфосистемы Джет»
    1.11
    		Интеграция с внешними системами класса SIEM
    		Наличие или отсутствие возможности передачи информации во внешние системы класса SIEM
    		Наличие
    		Наличие
    		Передача данных по Syslog
    1.12Интеграция с промышленными системами управленияНаличие или отсутствие возможности передачи информации в АСУ ТПНаличие
    Вся необходимая информация об инцидентах может быть передана в любую АСУ ТП штатными средствами продукта для последующей обработки.    		Наличие
    OPC DA, МЭК 104    		ISIM
    1. Передача данных в АСУ ТП через Syslog. Требует дополнительной настройки на стороне систем АСУ ТП.

    2. ПАК HMI, доступный в версии Pro. Устанавливается в АСУ ТП для вывода информации об инцидентах с ISIM.

    3. Передача данных от ISIM через «сухие контакты» для передачи сигнала на световой индикатор.

    KICS for Networks
    Передача информации о статусе защищенности отдельного АРМ через протоколы OPC или IEC104.
    1.13
    		Возможность сбора трафика без влияния на технологический сегмент, возможность работы с помощью копии трафика (SPAN/TAP)
    		Наличие или отсутствие сбора трафика без влияния на технологический сегмент
    		Наличие
    		Наличие

    Влияние санкционных рисков
    № п/пНаименование испытаний и проверокРезультатPT ISIM
    (курсивом
    комментарии
    вендора)    		KICS for Networks
    (курсивом комментарии вендора)    		Комментарии «Инфосистемы Джет»
    1.14Отсутствует потенциальная возможность ограничения производителем прав использования ПО – окончание срока действия лицензии приведет к полной остановке функций решения.Наличие или отсутствие потенциальной возможности ограничения производителем прав использования ПООтсутствие
    По окончании срока действия лицензии продукт сохраняет полную работоспособность (кроме возможности обновления)    		ОтсутствиеРешения продолжают работать, но отсутствует возможность обновления ПО и баз угроз.
    1.15Отсутствует потенциальная возможность отказа производителя от поддержки поставленного оборудования и/или ПО, в том числе отказ от замены запчастей, предоставления обновлений, оказания консультаций.Наличие или отсутствие потенциальной возможности отказа производителя от поддержки поставленного оборудования и/или ПООтсутствуетОтсутствуетОтсутствует влияние санкций.
    Производители оказывают сервис только в рамках действующей технической поддержки.
    1.16Изучается возможность отказа производителя от предоставления обновлений баз решающих правил (сигнатур).Наличие или отсутствие потенциальной возможности отказа производителя от предоставления обновлений баз решающих правилОтсутствуетОтсутствуетОтсутствует влияние санкций.
    Производители предоставляют сигнатуры только в рамках действующей технической поддержки.

    Дополнительные критерии
    № п/пНаименование испытаний и проверокРезультатPT ISIM
    (курсивом
    комментарии
    вендора)    		KICS for Networks
    (курсивом комментарии вендора)    		Комментарии «Инфосистемы Джет»
    1.17Управление активами технологической сетиНаличие или отсутствие функционала управления активами технологической сетиНаличие
    Автоматическое определение типа, производителя, базовых атрибутов актива    		Наличие
    1.18
    		Динамическая визуализация сетевой топологии и сетевого взаимодействия
    		Наличие или отсутствие функционала динамической визуализации сетевой топологии и сетевого взаимодействия.
    		Наличие
    		Наличие
    1.19Визуализация технологического процесса в виде мнемосхемыНаличие или отсутствие функционала визуализации в виде мнемосхемыНаличиеОтсутствиеВ ISIM функционал присутствует только в версии Pro.
    1.20
    		Изменение расположения элементов (динамическая, статическая привязка)
    		Наличие или отсутствие функционала изменения расположения элементов
    		Наличие
    		Наличие
    		В ISIM функционал присутствует только в версии Pro.
    В KICS for Networks по умолчанию.
    1.21
    		Корреляция событий / проприетарные технологии обнаружения аномалий и инцидентов
    		Наличие или отсутствие функционала корреляции событий обнаружения аномалий и инцидентов
    		Наличие

    Embedded SIEM core (PT solution)/ Event correlation;

    Assets profiling;

    Hosts, communication & events white listening;

    PT ISTI / Expert industrial threat base;

    Customizing incidents network & application level;

    Model correlation technology;

    Attack chain detecting and visualization    		НаличиеФункционал присутствует во всех версиях.
    1.22Производительность сетевого сенсора (обрабатываемый трафик, Гб/сек)Производительность аппаратного обеспечения (сетевой карты) – 3х1GBps.
    Гарантированная производительность прикладного программного обеспечения без потери качества базовой функциональности – 3x120 mBps SPAN-трафика.
    Указанные параметры соответствуют результатам измерений, проводившихся на базе трафика протокола МЭК 104. Показатели для трафика на других протоколах могут отличаться от указанных.    		Не предоставленоДанный критерий показывает производительность аппаратной платформы и прикладного программного обеспечения.

    ISIM в версиях Net и Pro может поставляться в программно-аппаратном исполнении. В таблице даны комментарии вендора по указанному исполнению.
    У KICS for Networks отсутствует аппаратная платформа.



    Table 2. Comparison of the group of criteria "General"


    In this group we consider the ease of use and architectural features of the SOW. We have identified the main criteria that are presented during the implementation of the system and are considered by users when choosing a solution.

    table 2
    № п/п
    		Наименование испытаний и проверок
    		Результат
    		PT ISIM
    (курсивом комментарии вендора)
    		KICS for Networks
    (курсивом комментарии вендора)
    		Комментарии «Инфосистемы Джет»
    2.1
    		Форм-фактор
    		Наличие или отсутствие аппаратных компонентов в промышленном исполнении и/или под 19" стойку
    		Наличие
    Продукт может быть предоставлен в различных форм-факторах, включая варианты для размещения в 19’’ стойке.
    		Отсутствие
    Поставка в виде ПО
    		Для KICS for Networks необходима аппаратная платформа.
    ISIM может поставляться как ПО или как ПАК.
    2.2
    		Удобство управления
    		Наличие
    Единый веб-интерфейс для выполнения всех операций, связанных с работой с продуктом
    		Наличие
    		В KICS for Networks настройка параметров реализована в консоли администрирования, веб-интерфейс выполняет только функцию мониторинга.
    В ISIM управление и мониторинг реализованы в веб-интерфейсе.
    2.3
    		Централизованное управление
    		Наличие или отсутствие средства централизованного управления решением
    		Отсутствие
    		Отсутствие
    Только мониторинг
    		В ISIM в целях обеспечения централизованного управления используется дополнительный программно-аппаратный компонент Overview, не рассматриваемый в рамках данного тестирования.

    В KICS for Networks реализована интеграция с KSC на уровне передачи событий.
    2.4
    		Масштабируемость
    		Наличие или отсутствие возможности масштабирования
    		Наличие
    Несколько отдельных сенсоров могут быть объединены в одну распределенную систему. Проверка проводится документально по материалам и документации от производителя.
    		Наличие
    		В KICS for Networks доступно подключение до 12 сенсоров.
    2.5
    		Отказоустойчивость
    		Наличие или отсутствие возможности обеспечения отказоустойчивости
    		Отсутствие
    		Отсутствие
    Не применимо для ПО
    		Сенсоры могут быть дублированными на уровне сети.
    2.6
    		Самодиагностика
    		Наличие или отсутствие функций самодиагностики
    		Наличие
    		Наличие
    2.7
    		Резервное копирование и восстановление комплекса
    		Наличие или отсутствие возможности выполнения резервного копирования и восстановления решения
    		Наличие
    		Наличие
    		В KICS for Networks осуществляется резервное копирование журналов, правил, тегов контроллера.
    В ISIM, помимо перечисленного выше, также доступно резервное копирование топологии сети.



    Table 3. Comparison of the group of criteria "Service"


    This group includes criteria for additional services from vendors. We chose the most popular services in which customers are interested.

    Table 3
    № п/п
    		Наименование испытаний и проверок
    		Результат
    		PT ISIM
    (курсивом комментарии вендора)
    		KICS for Networks
    (курсивом комментарии вендора)
    		Комментарии «Инфосистемы Джет»
    3.1
    		Время оказания услуг по технической поддержке
    		Наличие поддержки 24/7 или 8/5
    		Наличие
    24/7 или 8/5
    		Наличие
    24/7
    		Время зависит от вида приобретенной технической поддержки.
    3.2
    		Доступность технической поддержки на русском языке
    		Наличие или отсутствие технической поддержки на русском языке
    		Наличие
    		Наличие
    3.3
    		Профессиональный сервис от производителя
    		Наличие или отсутствие дополнительных сервисов
    		Наличие
    В рамках рамочного контракта или на основе приобретаемых пользователем сертификатов (анализ защищенности систем АСУ ТП, мониторинг, Incident Response и т.д.)
    		Наличие
    		Анализ защищенности систем АСУ ТП, мониторинг, Incident Response и др.
    3.4
    		Обучающие курсы
    		Наличие или отсутствие обучающих курсов от производителя решения
    		Наличие
    		Наличие
    Список курсов
    3.5
    		Обновление
    		Наличие или отсутствие обновлений за 2018 г.
    		Наличие
    Централизованное и локальное в рамках базовой технической поддержки
    		Наличие
    		Наличие промежуточных и глобальных обновлений версии ПО в течение года



    Table 4. Comparison of the group of criteria "Cost"


    The cost of ownership of OWL is not provided by vendors.

    Table 4
    № п/п
    		Наименование испытаний и проверок
    		Результат
    		PT ISIM
    (курсивом комментарии вендора)
    		KICS for Networks
    (курсивом комментарии вендора)
    		Комментарии «Инфосистемы Джет»
    4.1
    		Совокупная стоимость владения
    		Расчет стоимости владения на 3 года
    		Не предоставлено
    		Не предоставлено
    		Расчет стоимости для конкретного случая можно запросить у партнеров, например, у компании «Инфосистемы Джет». У обоих производителей прайс закрытый.



    Table 5. Comparison by the group of criteria “Normative”


    This group contains the basic requirements that customers place on all information security solutions. The availability of FSTEC and FSB certificates is important for companies associated with the public sector. Analytical reports show the level of maturity of the solution in the international market.

    Table 5
    № п/п
    		Наименование испытаний и проверок
    		Результат
    		PT ISIM
    (курсивом комментарии вендора)
    		KICS for Networks
    (курсивом комментарии вендора)
    		Комментарии «Инфосистемы Джет»
    5.1
    		Соответствие требованиям ФСТЭК России (сертификаты)
    		Наличие или отсутствие решения в реестре сертифицированных средств защиты информации
    		Отсутствие
    Получение Сертификата по ТУ запланировано во втором квартале 2019.
    		Наличие
    Сертификат
    		KICS for Networks версия 2.6
    5.2
    		Соответствие требованиям ФСБ России (сертификаты)
    		Наличие или отсутствие решения в перечне сертифицированных средств защиты информации
    		Отсутствие
    Сертификация по соответствию требованиям к СОА (средствам обнаружения атак) планируется в 2019.
    		Наличие
    Система обнаружения атак (СОА) класса Г

    ФСБ_KICS for Networks.pdf    		KICS for Networks версия 2.6
    5.3
    		Наличие оценки аналитического агентства Gartner
    		Наличие или отсутствие оценок в аналитических отчетах агентства Gartner
    		Отсутствие
    		Наличие

    Отчет
    Источник
    KICS for Networks указан в трех релевантных категориях как Representative Vendor: OT Network Monitoring and Visibility; Anomaly Detection, Incident Response and Reporting; OT Security Service.
    5.4
    		Наличие оценки аналитического агентства Forrester Research
    		Наличие или отсутствие оценок в аналитических отчетах агентства Forrester Research
    		Отсутствие
    		Наличие

    Отчет
    New Tech: Industrial Control Systems (ICS) Security Solutions, Q1 2019. Forrester's Landscape Overview Of 21 Providers Источник
    «Established vendors are already competing in This Market While this market has seen a flurry of new entrants in the past two to three years, established cybersecurity vendors are also evolving their product lines to address ics-specifc use cases. Large security vendors like Kaspersky Lab and Symantec, existing network security vendors like Fortinet, and vulnerability management vendors like Tenable and Tripwire are all currently active in the ics security market (see Figure 1)»
    5.5
    		Наличие заключений о совместимости с производителями промышленного оборудования
    		Наличие или отсутствие заключений о совместимости
    		Частично (точной информации не предоставлено)
    		Наличие
    Все сертификаты на сайте    		У «Лаборатории Касперского» перечень заключений представлен на сайте.



    Pros and cons of the solutions reviewed


    Here we give our subjective assessment of strengths and weaknesses. Strengths can easily be converted to weaknesses and vice versa.

    KICS for Networks


    Pros:

    • Ability to add individual network monitoring events through the management console.
    • Ability to import tags from a CSV file, as well as generate a list of tags based on traffic recognition (for some protocols).
    • All functionality is available in one license.
    • All functionality is present in one solution.
    • There are protocols for compatibility with the main vendors of industrial control systems.

    Minuses:

    • Configuration is performed only through the management console installed on the server. Through the web interface only monitoring is performed.
    • An event report is generated only through Kaspersky Security Center.
    • The inability to individually configure the network map.
    • Closed price list.


    ISIM


    Pros:

    • Easy installation, configuration and further operation.
    • Simple and intuitive web interface.
    • Monitoring and management are concentrated in one place.
    • Graphical representation of network nodes with the ability to group.
    • Ability to store and export network traffic.
    • Creating reports and uploading them in PDF format.

    Minuses:

    • Creating individual rules for controlling the network only through the vendor.
    • Full functionality is available only in the Pro version.
    • Closed price list.

    findings


    The OWL market is actively developing due to the emergence of new threats and the urgent need to detect them in a timely manner. Competition encourages manufacturers to look for their niche, to come up with “chips” that will distinguish their solutions from others. Vendors develop products, respond to user needs, and with each release it becomes easier to work with solutions.

    How to make a choice. The disadvantages and advantages of the solutions reviewed by us are individual for each enterprise. For example, if you use a protocol that is supported by only one intrusion detection system, the choice becomes obvious. Although it cannot be ruled out that the vendor will be ready to meet you and add the necessary functionality to the product.

    An important factor is the price. ISIM has a more interesting approach with the choice of functionality (due to two product versions), and KICS for networks is built on the principle of "all in one". Be sure to ask manufacturers partners for the cost of the initial purchase of solutions. It will not be superfluous to look at the cost of ownership (purchase + support) by a solution for 3-5 years.

    If the company already uses other solutions of one of the vendors considered in the review, it is worth considering this. We met different variations at industrial enterprises. Some industrial companies use KICS for Nodes to protect workstations, and ISIM as an intrusion detection tool. Combined solutions also have a right to exist.

    The best way to understand which solution is right for you is to pilot or seek advice from companies that already have experience in implementation.

    Electronic and print versions of the review will be released shortly.
    This review was prepared by: Vitaliy Siyanov, Anton Elizarov, Andrey Kostin, Sergey Kovalev, Denis Terekhov.
    Tags:

    Also popular now: