风险检测功能允许在您的信息系统中实施持续(周期性)风险管理。为了帮助您管理风险,Kaspersky Anti Targeted Attack Platform 提供了有关检测到的风险的信息,您可以使用这些信息采取必要的补救或缓解措施。
持续风险管理流程的实施方案涉及以下步骤:
此步骤使用设备活动检测和设备信息检测方法执行(必须启用这些方法)。此步骤,应用程序会自动检测新设备并更新设备信息。如果未自动检测到网络上的某些设备,则需要手动添加它们或从外部项目导入它们。
您必须在设备设置中启用自动更新,以获取确定设备分类和操作特性的所有信息(例如,型号和软件版本)。如果由于某种原因无法自动更新此类信息,则必须手动保持此信息的最新状态。
应用程序使用有关设备的可用信息被动扫描设备是否存在风险。应用程序还分析公司 LAN 流量中的网络交互以检测风险。风险检测通过风险检测方法实现(必须启用该方法)。
您还可以主动轮询设备以快速获取其信息。在对设备进行主动轮询时,如果选择了相应的风险分析方法,您还可以检测特定类型的风险。要主动轮询设备,您需要向应用程序添加一个或多个主动轮询连接器。
在更新应用程序已知漏洞数据库后,或者添加或更新用于匹配的设备信息后(例如,保存软件型号和版本信息后),会自动检测漏洞类别的风险。
对于检测到的每一个风险,应用程序都会计算一个分数。分数反映风险的严重程度。根据分数,风险的严重程度可以是低(分数 0.0–3.9)、中(分数 4.0–7.9)或高(分数 8.0–10.0)。
根据严重性级别和分数,并考虑到信息系统中设备的特殊使用方式,您可以根据重要性对检测到的风险进行分类。如果您评估风险不大,则可以手动将其状态从“活动”状态(检测后默认分配)更改为“已接受”状态,例如,如果无法重现利用漏洞的先决条件。当改变风险状态时,我们建议添加或编辑评论。
所有需要采取措施的风险都应保持“活动”状态。
在此步骤中,您必须对检测到的风险采取补救或缓解措施。为此,请检查所有检测到的“活动”风险,从得分最高的风险开始。在您的信息系统中采取必要的措施(例如,修补设备的漏洞,安装修复该漏洞的软件更新,如果不可能,则将该设备与外部网络隔离)。对于某些风险(例如,漏洞),提供了推荐操作的信息。
Kaspersky Anti Targeted Attack Platform 不参与修复检测到的风险。
此步骤与扫描时的风险检测类似。完成此步骤后,风险表中将不再有任何“活动”风险。
对于应用程序在被动扫描期间检测到的大多数风险(例如,漏洞),如果检测这些风险的条件不再满足,应用程序将自动分配“已修复”状态。例如,在设备的软件版本发生更改后,应用程序会将因之前指定的漏洞软件版本而注册的漏洞风险分配为“已修复”状态。“已修复”状态也被分配给已知漏洞数据库中不再具有描述的风险(如果下载更新后从数据库中删除了描述)。
当设备被移除时,应用程序也会删除与这些设备相关的风险。
如果修复后,检测风险的条件没有改变(例如,存在漏洞的设备与外部网络隔离,但是该设备的信息没有改变),则可以手动将“已接受”状态分配给此风险。当改变风险状态时,我们建议添加或编辑评论。
某些风险无法自动分配“已修复”状态(例如,无法将“已修复”自动分配给在设备主动轮询期间检测到的风险)。对于此类风险,您还必须在风险补救完成后手动分配“已接受”状态。
如果某个风险与某个事件相关联,您可以在将事件状态更改为“已解决”的同时为该风险分配“已接受”状态。