ПАК ViPNet IDS – это программно-аппаратный комплекс, предназначенный для обнаружения компьютерных атак (вторжений) в информационные системы на основе динамического анализа сетевого трафика всех уровней моделей взаимодействия открытых систем OSI ISO, начиная с канального и заканчивая прикладным. При обнаружении компьютерной атаки ПАК ViPNet IDS регистрирует факт ее обнаружения, идентифицирует событие и оповещает о нем администратора, что позволяет оперативно принять меры по предотвращению вторжения и обеспечить безопасность защищаемой инфраструктуры.
Основные характеристики СОА ViPNet IDS:
- Возможность обнаружения компьютерных атак на основе сигнатурного и эвристического методов выявления аномалий в сетевом трафике в момент времени, близкого к реальному.
- Регистрация информации об обнаруженных событиях и атаках для последующего анализа. Регистрация географического местоположения источника атаки.
- Регистрация IP-пакетов, содержащих атаку, экспорт их в PCAP файл для последующего проведения расследования и использования в качестве доказательной базы.
- Уведомление администратора системы ИБ о зарегистрированных событиях посредством e-mail, sms-сообщений.
- Аналитическая обработка и отображение обобщенной статистической информации о выявленных атаках.
- Подготовка и вывод на печать отчетов.
- Поддержка 1Гбит/c и 10Гбит/c сетевых интерфейсов.
- Выборочный контроль ресурсов сети на уровне отдельных объектов.
- Интуитивно-понятный русскоязычный графический интерфейс управления и мониторинга.
- Ролевая модель доступа к системе управления.
- Возможность взаимодействия с системой централизованного мониторинга событий ViPNet StateWatcher для повышения эффективности управления и принятия решений при построении распределенной системы с единым центром управления.
- База атак содержит более 20 000 правил обнаружения и ежемесячно обновляется.
- База атак российского производства поставляется ЗАО «Перспективный мониторинг».
- Совместно с другими программными и/или программно-аппаратными продуктами из состава комплекса ViPNet CUSTOM, ПАК ViPNet IDS обеспечивает эффективную реализацию множества сценариев.
Использование российской базы сигнатур
ViPNet IDS использует базу сигнатур, подготовленную ЗАО «Перспективный мониторинг» (входит в ГК ИнфоТеКС). Это единственная российская компания, которая на регулярной основе разрабатывает собственные сигнатуры для систем обнаружения вторжений.
С целью актуализации базы решающих правил ежедневно анализируется свыше 60 тысяч образцов вредоносного кода, в результате чего каждый месяц подключается свыше 150 новых сигнатур AM Rules (свидетельство о госрегистрации №2016620316), которые учитывают российскую специфику атак. Все они соответствуют международным стандартам и синтаксису правил формата Snort и подробно описываются на трёх языках – русском, английском и испанском.
Использование сигнатур, произведенных российской компанией, особенно актуально в связи с курсом на импортозамещение. Существует вероятность умышленного исключения из зарубежных баз сигнатур описаний некоторых образцов вредоносного трафика, вследствие чего часть атак IDS не обнаружит. Кроме того, в последнее время отечественным компаниям зачастую отказывают в поставке баз решающих правил, ссылаясь на антироссийские санкции. Таким образом, использование зарубежных сигнатур несёт определенные риски.
Сертификация в ФСБ России
- Сертификат соответствия ФСБ России № СФ/ СЗИ-0122 на соответствие изделия «Программно-аппаратный комплекс ViPNet IDS 2 (версия 2.4)» требованиям ФСБ России к средствам обнаружения компьютерных атак класса В.
- Сертификат удостоверяет, что изделие «Программно-аппаратный комплекс ViPNet IDS 2 (версия 2.4) (исполнения: ViPNet IDS100, ViPNet IDS1000, ViPNet IDS2000) соответствует требованиям ФСБ России к средствам обнаружения компьютерных атак класса В и может использоваться для обнаружения в автоматическом режиме компьютерных атак (вторжений) на основе анализа сетевого трафика в автоматизированных информационных системах, обрабатывающих информацию, не содержащую сведений, составляющих государственную тайну, государственными организациями и предприятиями.
Сертификация во ФСТЭК России
- Сертификат соответствия ФСТЭК России №3804 удостоверяет, что программно-аппаратный комплекс ViPNet IDS 2 (версия 2.4, разработанный и производимый ОАО «ИнфоТеКС» в соответствии с техническими условиями ФРКЕ.00120-06 97 01 ТУ, является системой обнаружения вторжений уровня сети, соответствует требования документов «Требования к системам обнаружения вторжений» (ФСТЭК России, 2011) и «Профиль защиты систем обнаружения вторжения уровня сети четвертого класса защиты. ИТ.СОВ.С4.ПЗ» (ФСТЭК России, 2012).»