оПТИМАЛЬНЫЙ НАБОР ИНСТРУМЕНТОВ ДЛЯ БОРЬБЫ С КИБЕРАТАКАМИ
- 8 000 000кибератак в сутки
- 4класс защиты СОВ уровня сети
- более 40 000сигнатур компьютерных атак в базе решающих правил
ФОРПОСТ позволяет строить территориально распределённые СОА любой глубины вложенности, включая подчинённые «локальные» центры управления.
Все основные компоненты ФОРПОСТ сохраняют работоспособность и подконтрольность при исчезновении связи с центрами управления и передают информацию о зафиксированных событиях в центры управления при восстановлении связи.
Для обеспечения взаимной аутентификации компонента распределённой СОА, а также требуемого уровня безопасности и доверенности самого ПО в ФОРПОСТ используются отечественные криптографические алгоритмы.
ФОРПОСТ обеспечивает сертифицированную возможность разворачивать виртуальные IDS/IPS. Имеет комплексный подход к поиску нарушения ИБ и блокировки КА.
Актуальность применения ФОРПОСТ связана с:
• требованиями государственных регуляторов в части ИБ (ФСБ и ФСТЭК России);
• прямыми требованиями на использование СОА и других технических средств ГосСОПКА для обеспечения информационной безопасности в автоматизированных системах и ИТКС:
-являющихся государственными (ГИС);
-обрабатывающих персональные данные граждан Российской федерации (ИСПДн);
-являющимися элементами критических инфраструктурных объектов (КИИ);
-классифицированных и аттестованных в соответствии с требованиями ФСТЭК РоссииКакие данные анализирует
СОА «ФОРПОСТ» и почему
С помощью только сигнатурного метода не возможно выявить:
- «атаки нулевого дня»;
- «целевые атаки»;
- действия высокоуровневых нарушителей информационной безопасности, включая действие спецслужб;
- зафиксировать компьютерный инцидент.
ФОРПОСТ собирает и анализирует информацию по:
- сетевому трафику – сигнатурный, статистический и «аномальный» метод;
- событиям на узлах защищаемой системы, на которые можно установить программный агент (как минимум Армы и серверы) – всё что можно получить из журналов ОС, проверка ПО на неизменность;
- событиям на узлах защищаемой системы, на которые нельзя установить программный агент (сетевое оборудование: межсетевые экраны, маршрутизаторы, сетевые коммутаторы и т.п.) – контролируем неизменность «прошивок»/управляющей информации/ событий, фиксируемые этим оборудованием.
СОА «ФОРПОСТ» и какими средствами
- Выявление компьютерных атак в сетевом трафике происходит с помощью глубокого анализа сетевого трафика (DPI) с использованием базы решающих правил (базы сигнатур, синтаксически совместимой с базой ПО SNORT) и с помощью компонента Форпост «Сетевой датчик». Набор программных модулей, используемый в «Сетевом датчике», как правило, устанавливается на отдельное физическое или виртуальное устройство. Быстродействие «Сетевого датчика» целиком зависит от количества и тактовой частоты ядер процессоров используемой аппаратной платформы. На сетевом датчике также происходит статистическая обработка сетевого трафика и происходит поиск аномалий в нём. Информация о выявленных компьютерных атаках и аномалиях поступает в центр управления и анализа.
- Хранение и анализ данных от узловых датчиков происходит централизовано в компоненте Форпост «Центр управления и анализа».
- Компонент Форпост «Узловой датчик» может производить предобработку (выборку, выход параметров за границы и т.п) информации о событиях на АРМах и серверах.
- Компонент Форпост «Узловой датчик контроля сетевого оборудования» реализует сбор информации по всем доступным для контроля и управления сетевым, каналообразующим и прочим оборудованием физическим портам и протоколам информационного обмена.
Основные преимущества СОА «ФОРПОСТ»
Программный комплекс с возможностью построения как небольших, так и территориально распределённых иерархических СОА, дополнительно обеспечивающих мониторинг и управление комплексом технических средств защищаемой информационной системы.
3 различных источника сбора информации о событиях в информационной системе:
- сетевые датчики – выявление компьютерных атак сигнатурным методом и выявление статистических аномалий сетевого трафика непосредственно на этом датчике;
- узловые датчики и датчики контроля сетевого оборудования – выявление изменений в программном обеспечении, управляющей информации и аномальных отклонений в работе комплекса технических средств.
Интерфейсы интеграции с внешними системами:
- cистемами оперативной поддержки принятия решений;
- SIEM;
- ГосСОПКА.
2 варианта исполнения консоли управления программным комплексом:
- консоль управления с использованием «Толстого клиента» для больших систем;
- web консоль для единичных ПАКов IDS/IPS.
Выявление компьютерных атак и компьютерных инцидентов. Обеспечивается защита от компьютерных атак:
- оборудования пограничного и коммутационного сегментов;
- серверов и ПАКов ИС;
- информации, размещённой на них;
- взаимодействие с ГосСОПКА и узлами корпоративной СОПКА
- взаимодействие с SIEM.
© АО «Концерн Автоматика», 2023
127106, Москва, ул. Ботаническая, д.25
+7 (495) 250-33-33 доб. 77704
itpu@aoavt.ru