Комплекс программных средств системы обнаружения атак "Аргус" версии 1.6

Комплекс программных средств системы обнаружения атак «Аргус» версии 1.6 зарегистрирован в Едином реестре российских программ для электронных вычислительных машин и баз данных (№7115 от 03.11.2020, №12698 от 28.01.2022).

Комплекс программных средств системы обнаружения атак «Аргус» версии 1.6 разработан ГК ЦСС. 

Комплекс программных средств системы обнаружения атак «Аргус» версии 1.6 (КПС СОА «Аргус») может исполняться на серверах, построенных на базе архитектур МЦСТ Эльбрус (Эльбрус-8С, Эльбрус-8СВ) и/или Intel x86-64^[1] или в средах виртуализации, эмулирующие аппаратную платформу Intel x86-64, а также в средах операционных систем «РусБИТех-Астра» Astra Linux Special Edition релиз «Смоленск» версия 1.6 (аппаратная платформа Intel x86-64 и/или среды виртуализации, эмулирующие аппаратную платформу Intel x86-64), «РусБИТех-Астра» Astra Linux Special Edition  релиз «Ленинград» версия 8.1 (аппаратная платформа МЦСТ «Эльбрус» 4 и 5 поколения)^[2].

В настоящее время программное обеспечение СОА «Аргус» версии 1.6 сертифицировано на соответствие требованиям:

ФСБ России к средствам обнаружения компьютерных атак (класс ВП):

а) сертификат соответствия СФ/СЗИ-0466, действителен до 30.01.2024

аппаратно-программный комплекс (вариант исполнения «И» - аппаратная платформа Intel x86-64);

б) сертификат соответствия СФ/СЗИ-0467, действителен до 30.01.2024 

аппаратно-программный комплекс (вариант исполнения «Э» - аппаратная платформа МЦСТ «Эльбрус» 4 и 5 поколения);

в) сертификат соответствия СФ/СЗИ-0468, действителен до 30.01.2024

программный комплекс на базе операционной системы специального назначения Astra Linux Special Edition релиз «Ленинград» для аппаратной платформы МЦСТ «Эльбрус» 4 и 5 поколения и релиз «Смоленск» (вариант исполнения «И» - аппаратная платформа Intel x86-64);

г) сертификат соответствия СФ/СЗИ-0469, действителен до 30.01.2024

программный комплекс на базе операционной системы специального назначения Astra Linux Special Edition релиз «Ленинград» для аппаратной платформы МЦСТ «Эльбрус» 4 и 5 поколения и релиз «Смоленск» (вариант исполнения «Э» - аппаратная платформа МЦСТ «Эльбрус» 4 и 5 поколения).

 

ФСТЭК России к системам обнаружения вторжений уровня сети четвертого класса защиты:

а) сертификат соответствия № 4048, действителен до 19.12.2023 

аппаратно-программный комплекс (вариант исполнения «И» - аппаратная платформа Intel x86-64).

 

СОА «Аргус» версии 1.6 обеспечивает реализацию следующих возможностей (жирным выделены возможности, уникальные среди сертифицированных по требованиям ФСБ России и ФСТЭК России к СОА (СОВ) СЗИ):

1. Включение в сеть в Т-режиме и в режиме моста c bypass технологией;
2. Применение анализаторов протоколов для детального исследования заданных параметров сетевого трафика;
3. Сбор, обработка, представление и анализ статистики трафика. Соответствие Netflow-стандартам версии 5,9, IPFIX;
4. Интеграция с HTTP-прокси серверами с целью идентификации обеих сторон обмена информацией (в том числе для решения задачи анализа протокола SSL/TLS);
5. Интеграция с ТИ ГосСОПКА (с использованием ПО "Системы РАМС ИБ");
6. Обнаружение точек отказа сервера приложений (реализация для протокола TCP). С возможностью настройки порогов для объекта защиты;
7. Обнаружение сканирования сети/портов различными протоколами и методами, включая метод TRW (Threshold Random Walk);
8. Обнаружение неправильного (отклонение от RFC и других стандартов) использования протоколов/форматов/кодировок (HTTP, SSH, TCP, ICMP, IDENT, RLOGIN, RSH, RPC, BASE64, DHCP, DNS, INFLATE, IRC, "Общие проблемы текстовых протоколов, связанные с переводом строк, NUL в строке", FTP, FINGER, POP3, SMTP, IMAP, SMB, SSL, ARP, NTP, UDP, NETBIOS, IP);
9. Выявление пакетов в сети с незарегистрированными IP-адресами и/или портами (белые/черные списки);
10. Выявление хостов, превышающих порог общения с другими хостами в сети. Возможность задания исключений, к примеру, для серверов. Возможность использовать для оценки IP-адреса, Порты и выполнять группировку по протоколу транспортного и/или прикладного уровня;
11. Выявление туннелей. Включая возможность анализа инкапсулированного протокола;
12. Реализация механизмов самодиагностики функций ПАК (подсистемы СОА, подсистемы регистрации);
13. Возможность удаленного управления и мониторинга (диагностики), загрузки БДРП на группе ПАК (с использованием служб Системы РАМС ИБ);
14. Противодействие техникам обхода СОА;
15. Количество одновременно анализируемых сетевых интерфейсов от 2 до 8. В том числе мостовых соединений - 4. Может быть ограничено лицензионным соглашением и зависит от исполнения;
16. Обработка MAC-адресов и VLAN-меток (до 3-х уровней тегирования 802.1Q,QinQ - VLAN);
17. Запуск и работа ПО СОА Аргус в среде виртуализации;
18. Количество одновременно работающих анализаторов ограничено возможностями аппаратной составляющей (но не более 32768);
19. Количество одновременно анализируемых сетевых интерфейсов одним анализатором ограничено только лицензионным соглашением;
20. Ведение базы данных решающих правил (БРП) пользователей с возможностью активации любого пользовательского набора;
21. Агрегационные отчеты как во встроенной отчетной системе, так и в сообщениях, отправляемых по электронной почте;
22. Противодействие сетевым КА встроенными средствами управления внешними МЭ. Механизмы управление множествами правил фильтрации межсетевых экранов (в версии 1.6 – МСЭ ССПТ-2 (НПО РТК));
23. Запись и экспорт сетевых пакетов, соответствующих зарегистрированным событиям ИБ (вызвавших срабатывание сигнатур КА);
24. Функции тонкой настройки производительности (вплоть до возможности управления планировщиком ядра);
25. Управление анализом контента на уровне решающих правил: выполнять анализ на уровне группы сетевых пакетов или выполнять анализ на уровне собранной из сетевых пакетов сетевой сессии.