Комплексное решение для анализа уязвимостей и уровня защищённости промышленных сетей позволяет получить полную информационную картину состояния сети: её топологию, конфигурации всех устройств 3-го уровня, неправильные настройки межсетевых экранов, присутствующие уязвимости и возможные способы атаки на сеть. Система анализа абсолютно не затрагивает работу сети и образующих её устройств (возможна даже работа в полном «офф-лайне»), так как все действия производятся с программной моделью сети.
Состав и функционал системы
Firewall Assurance – пакет предназначен для:
- автоматического анализа соответствия конфигураций межсетевых экранов государственным и отраслевым стандартам (PCI DSS, NIST, NERC и т. д.), собственным политикам безопасности и рекомендациям вендоров;
- выдачи рекомендаций по устранению несоответствий (какие правила, на каких устройствах следует изменить/добавить);
- анализа журналов работы межсетевых экранов с целью оптимизации их работы, выявления затененных и избыточных правил.
Change manager (дополнительный модуль)
Данный модуль позволяет организовать процесс внесения изменений в настройки межсетевых экранов в виде рабочего процесса (“workflow”). После внедрения модуля, любое изменение в правилах соответствующего межсетевого экрана станет возможным только после утверждения заявки на изменение всеми уполномоченными лицами в соответствии с установленным рабочим процессом. Существует возможность до утверждения изменения оценить влияние готовящегося изменения в конфигурации межсетевого экрана на модели сети.
Network Assurance – пакет предназначен для:
- построения динамической (“живой”) модели сети (в модель включаются сетеобразующие устройства и устройства защиты, работающие на третьем уровне сетевой модели OSI – маршрутизаторы, МЭ и т. д.);
- оперативного получения исчерпывающей информации обо всех возможных маршрутах сети;
- оперативного решения проблем доступа – предоставления информация об источнике проблем вплоть до конкретного правила на конкретном устройстве;
- предварительной оценки возможных последствий от планируемых изменений в конфигурацию сети;
- представления исчерпывающей информации при расследовании инцидентов – данные по конкретным, шаг за шагом, изменениям, которые привели в итоге к конкретному инциденту;
- оценки соответствия конкретных сетеобразующих устройств и сетевой инфраструктуры в целом государственным и отраслевым стандартам (PCI DSS, NIST, NERC и т. д.), собственным политикам безопасности и рекомендациям вендоров.
Risk Control
предназначен для регулярной оценки состояния защищенности узлов сети. В процессе оценки используется информация о сетевой инфраструктуре, конфигурациях устройств защиты (МЭ, IPS/IDS и т. д.), данные от сканеров безопасности и устройств управления патчами, тонко настраиваемых средствами пакета моделях нарушителей.
Результатом работы Risk Control является выявление вероятных векторов атак (как прямых, так и многошаговых) на узлы промышленной СПД (предварительно описанных средствами пакета).
По каждому из векторов дается четкий и подробный план по его прерыванию и минимизации риска до приемлемого уровня.
В процессе подготовки плана происходит приоритезация угроз. Пример - из массы (от тысяч до сотен тысяч) уязвимостей, обнаруженных сканером безопасности, в результате работы пакета выбираются только те, которые непосредственно могут быть использованы для атаки на описанные узлы в существующем информационном контексте (как правило, не более 1%-2% от общего числа).
Основные преимущества предлагаемого решения:
- Люди ответственные за IT-безопасность вашей организации могут быть опытными профессионалами, но они остаются людьми – они могут ошибаться, их возможности обработки информации ограничены. Предлагаемое нами решение позволит Вам располагать актуальной информацией о состоянии сети и угрозах для неё.
- Для критически важных сетей невозможно использовать классические методы анализа безопасности (например, тесты на проникновение) так как они подразумевают вмешательство в работу сети. Установка патчей и обновлений ПО не всегда возможны, так как они тоже влияют на работу сети и в некоторых случаях недоступны (для унаследованного оборудования). Предлагаемое решение позволит проанализировать уязвимости сети без вмешательства в её работу (возможен режим работы системы вообще без подключения к сети – вся необходимая информация будет передаваться с устройств на USB-накопителях). Также существует возможность посмотреть результат изменения настроек сети на её модели, и спланировать, таким образом, лучший сценарий их применения.
- Решение «из коробки» поддерживает устройства выпускаемые производителями промышленного сетевого оборудования – RuggedCom.
- Для развертывания программного комплекса Skybox Security предоставляется (как опция) аппаратная платформа, созданная для работы в жестких промышленных условиях.
- В отличие от решений конкурентов, предлагаемое решение является модульным. В полной конфигурации решение позволяет анализировать на базе одной платформы настройки межсетевых экранов, топологию сети и потенциальные способы атаки на сеть, то есть заменяет собой три отдельных продукта других производителей.