当应用程序检测到企业 LAN 上受监控设备中的漏洞时,就会记录漏洞风险。漏洞是设备软件或硬件中的缺陷,攻击者可以利用该缺陷破坏信息系统或获取未经授权的信息访问。
应用程序通过分析可用的设备信息来检测漏洞。可以帮助识别设备已知漏洞的信息将被与已知漏洞数据库中的某些字段进行比较。已知漏洞的数据库已内置于应用程序中。该数据库由卡巴斯基专家维护,包含有关最相关或最常见的设备漏洞的信息。
已知漏洞数据库包含漏洞的描述以及受这些漏洞影响的设备的描述。此外,该数据库还以文本或公共资源链接的形式包含保护系统的建议。已知漏洞数据库包含来自各种来源(可能包括设备和软件供应商以及各种安全组织)的描述和建议。数据库中的描述和建议都是英文的。
应用程序安装后,使用原有的已知漏洞数据库。您可以通过安装更新来使数据库保持最新。
Kaspersky Anti Targeted Attack Platform 将有关设备的可用信息与已知漏洞数据库中描述受漏洞影响的设备的字段进行比较。应用程序使用以下设备信息来检测漏洞:
在已知漏洞数据库中,设备描述以 CPE (Common Platform Enumeration) 格式存储。应用程序将可用的设备信息与这些描述进行比较,自动将信息转换为 CPE 格式。对于每个漏洞,匹配描述的内容会列在“匹配的 CPE”部分的风险详细信息区域中。
识别漏洞的主要参数是其在 Common Vulnerabilities and Exposures (CVE) 列表中的 ID。此识别号称为 CVE ID。如果漏洞尚未有 CVE ID,则指定从其他公共资源获取的带有漏洞描述的 ID。
Kaspersky Anti Targeted Attack Platform 支持获取俄罗斯联邦技术和出口管制局(FSTEC)在信息安全威胁数据库(以下也称为“BDU”)中提供的漏洞 ID 和描述链接。如果下载的漏洞信息包含来自 FSTEC's BDU 的此类信息,则应用程序会以“BDU:<year>-<number>”格式的相应 ID 的形式显示此信息。
页面顶部