NP
Извините. А где у них вообще dpi? Вы про xfirewall 5?
Size: a a a
2021 August 06
AI
Нет, Vipnet Coordinator Industrial Gateway
DD
Потому что не все перечиленные являются FW)))
DD
Поддержка разбора на трафике ( даже без анализа) пром протоколов вплоть до прикладного уровня это всегда экспертно и ресурсно ёмкая в плане реализации штука. Простой dpi НЕ потребляет много ресурсов железа. Но когда реализуется полноценный анализ и выявление на основе не только сигнатурного но и поведенческого метода, да еще с корреляцияей ( а чтобы коррелировать надо ещё нормализовать трафик в события) то придётся переезжать на что-то по серьёзнее, чем то на чём работают те же VIP netЫ. Соответственно, о качестве срабатывания продуктов косвенно можно судить по сайзингу аппаратной части. А так, да, серьёзные протоколы, типа CIP, требуют серьёзной экспертной начинки в софте, как и в части разбора, так и в части детекта.
НД
Поведенческий анализ можно разными способами делать. У того же Dark trace метод в заявке на патент описан - там ничего ресурсоемкого
НД
Более того, большая часть алгоритмов поиска аномалий на временных будет вычислительно проще, чем разбор трафика до l7
DS
Правильно настроенные асушные сети должны быть относительно статичными (я сейчас про и сетевые коммуникации, и про активы), так что некоторые аномалии можно относительно дёшево ловить. Если внутри коммуникаций искать аномалии, это чуть дороже
DD
Когда это будет реализовано в реальном продукте то с удовольствием посмотрим на аппаратную часть
DD
А так же на ресурсоёмкость поддержки экспетной части в продукте в актуалном состоянии.
KF
Добрый вечер! Посоветуйте мануалы по claroty)
AS
Может лучше по KICS?
K
Ага, как приделать агента 2.6 который ставили через ksc10 к ksc12?
K
Нашел костыль, но мне не не нравится
KF
Не работал с касперский. Здесь больше с ним работают ?
AS
Ну открытых данных по объему рынка нет, но в России это одно из популярных решений
I
Там модуль есть специальный
K
Можно подробнее?
KF
Буду рад, если кто поделится структурой стандартов промышленных сетей (какие есть авторитетные ресурсы). Мне с osi, пока тяжело понять эту область.
MS
Вот я соглашусь, в асу все очень статично. Если не пытаться отслеживать поведение, а просто переложить конфигурацию, то все достаточно дёшево получается.