Системы обнаружения и предотвращения вторжений (IPS / IDS, СОВ) анализируют данные и сетевую активность, блокируют вредоносные программы, не позволяют хакерам перехватить контроль над корпоративными сетями и дата-центрами. Разберёмся, какие отечественные СОВ можно выбрать в рамках импортозамещения.
Введение
Системы обнаружения и предотвращения вторжений (IPS / IDS) — это комплексы программных или аппаратных средств, которые выявляют факты несанкционированного доступа в корпоративную систему и предотвращают попытки его получить.
IDS — пассивная система, она ведёт наблюдение и сообщает об угрозах. IPS управляет трафиком и предотвращает доставку сетевых пакетов в зависимости от их содержимого.
Системы IPS / IDS могут быть нескольких видов, они различаются расположением, типами сенсоров и механизмами работы подсистемы анализа. Подробная классификация есть в нашем каталоге СЗИ.
С 31 марта 2022 года президент России запретил закупать иностранный софт для критической информационной инфраструктуры (КИИ). Если нужное программное обеспечение заменить нечем, для покупки потребуется специальное разрешение. С 1 января 2025 года все государственные структуры должны избавиться от зарубежного ПО на всех объектах КИИ.
Общий обзор по импортозамещению в нынешнем политическом и экономическом контексте можно найти в статье «Импортозамещение: сетевая безопасность России в условиях санкций».
Варианты импортозамещения IPS / IDS
Системы СОВ активно развиваются, а вендоры думают над тем, как снизить количество ложных срабатываний и тратить меньше ресурсов для эффективной работы систем.
Таблица 1. Варианты импортозамещения систем обнаружения и предотвращения вторжений (IPS / IDS)
|
IPS / IDS зарубежных производителей |
Отечественные аналоги |
Варианты поставки отечественных IPS / IDS |
Государственная сертификация и сертификация AM Test Lab |
Функциональные возможности отечественных IPS / IDS |
|
Cisco IOS Intrusion Prevention System Cisco Firepower FortiGate IPS IPS Software Blade (Check Point) StoneGate IPS Trend Micro TippingPoint WatchGuard Firebox |
Traffic Inspector Next Generation |
Программно-аппаратный комплекс |
Действующего сертификата ФСТЭК России — нет, в настоящее время в стадии прохождения, ожидаемый срок завершения — осень 2022 года
Сертификат AM Test Lab № 169 от 04.08.2016, закончил действовать 04.08.2021 |
Фильтрует трафик на разных уровнях модели OSI, предоставляет набор сетевых сервисов под управлением единого веб-интерфейса |
|
ViPNet IDS 3 |
Программно-аппаратный комплекс |
Сертификат ФСТЭК России № 4329 (ИТ.СОВ.С4.ПЗ), срок действия — до 24.11.2025 |
Непрерывный мониторинг, выявление угроз и рекомендации по устранению, предотвращение повторений угроз, отчёты |
|
|
«Аргус» |
Программно-аппаратный комплекс |
Сертификат ФСТЭК России № 4048 от 19.12.2018, срок действия — до 19.12.2023 (ИТ.СОВ.С4.ПЗ) |
Выявление вторжений и подозрительных воздействий, расследование инцидентов |
|
|
«Рубикон» |
Программно-аппаратный комплекс |
Действующего сертификата ФСТЭК России — нет |
Защита периметра сетей, решения для систем военного назначения |
|
|
«СОВ Континент» («Код Безопасности») |
Программно-аппаратный комплекс |
Сертификат ФСТЭК России № 4268 от 26.07.2020, срок действия — до 26.06.2025 (ИТ.СОВ.С3.ПЗ) |
Отслеживание событий, управление ими, онлайн-режим предупреждения атак, проверка всех пакетов |
|
|
«С-Терра СОВ» |
Программно-аппаратный комплекс |
Сертификат ФСТЭК России № 4055, срок действия — до 24.12.2023 (ИТ.СОВ.С4.ПЗ) |
Анализ сетевого трафика, механизмы сигнатурного анализа |
Выводы
С 2018 года ФСТЭК России поэтапно повышает требования к поставщикам средств защиты информации. Последний обновлённый перечень датируется августом 2020 года. У производителей должны быть нужные разрешения, в том числе лицензия на разработку СЗИ для гостайны. Получить сертификат ФСТЭК России теперь трудно даже для российского вендора. В актуальной таблице отечественных систем СОВ четыре продукта сертифицированы, один — в процессе прохождения.
Четыре из шести отечественных аналогов, собранных в таблице, имеют сертификаты ФСТЭК России.
Ранее мы рассказывали, какой отечественный WAF могут выбрать российские организации и на какую защиту от DDoS-атак перейти в рамках импортозамещения.
