風險偵測功能允許在您的資訊系統中實施持續(週期性)風險管理。為了幫助您管理風險,Kaspersky Anti Targeted Attack Platform 提供了有關偵測到的風險的資訊,您可以使用這些資訊採取必要的補救或緩解措施。
持續風險管理流程的實施方案涉及以下步驟:
此步驟使用裝置活動偵測和裝置資訊偵測方法執行(必須啟用這些方法)。此步驟,應用程式會自動偵測新裝置並更新裝置資訊。如果未自動偵測到網路上的某些裝置,則需要手動新增它們或從外部項目匯入它們。
您必須在裝置設定中啟用自動更新,以取得確定裝置分類和操作特性的所有資訊(例如,型號和軟體版本)。如果由於某種原因無法自動更新此類資訊,則必須手動保持此資訊的最新狀態。
應用程式使用有關裝置的可用資訊被動掃描裝置是否有風險。應用程式還分析公司 LAN流量中的網路互動以偵測風險。風險偵測透過風險偵測方法實現(必須啟用該方法)。
您也可以主動輪詢裝置以快速取得其資訊。在對裝置進行主動輪詢時,如果選擇了相應的風險分析方法,您還可以偵測特定類型的風險。若要主動輪詢裝置,您需要為應用程式新增一個或多個主動輪詢連線器。
在更新應用程式已知弱點資料庫後,或新增或更新用於匹配的裝置資訊後(例如,儲存軟體型號和版本資訊後),會自動偵測弱點類別的風險。
對於偵測到的每一個風險,應用程式都會計算一個分數。分數反映風險的嚴重程度。根據分數,風險的嚴重程度可以是低(分數 0.0–3.9)、中(分數 4.0–7.9)或高(分數 8.0–10.0)。
根據嚴重性等級和分數,並考慮到資訊系統中裝置的特殊使用方式,您可以根據重要性對偵測到的風險進行分類。如果您評估風險不大,則可以手動將其狀態從“活動”狀態(偵測後預設指派)變更為“已接受”狀態,例如,如果無法重現利用弱點的先決條件。當改變風險狀態時,我們建議新增或編輯評論。
所有需要採取措施的風險都應保持“活動”狀態。
在此步驟中,您必須對偵測到的風險採取補救或緩解措施。為此,請檢查所有偵測到的“活動”風險,從得分最高的風險開始。在您的資訊系統中採取必要的措施(例如,修補裝置的弱點,安裝修復該弱點的軟體更新,如果不可能,則將該裝置與外部網路隔離)。對於某些風險(例如,弱點),提供了推薦操作的資訊。
Kaspersky Anti Targeted Attack Platform 不參與修復偵測到的風險。
此步驟與掃描時的風險偵測類似。完成此步驟後,風險表中將不再有任何“活動”風險。
對於應用程式在被動掃描期間偵測到的大多數風險(例如,弱點),如果偵測這些風險的條件不再滿足,應用程式將自動分配“已修復”狀態。例如,在裝置的軟體版本發生變更後,應用程式會將因先前指定的弱點軟體版本而註冊的弱點風險指派為“已修正”狀態。“已修復”狀態也被指派給已知弱點資料庫中不再具有描述的風險(如果下載更新後從資料庫中刪除了描述)。
當裝置被移除時,應用程式也會刪除與這些裝置相關的風險。
如果修復後,偵測風險的條件沒有改變(例如,存在弱點的裝置與外部網路隔離,但是該裝置的資訊沒有改變),則可以手動將“已接受”狀態指派給此風險。當改變風險狀態時,我們建議新增或編輯評論。
某些風險無法自動指派“已修正”狀態(例如,無法將“已修正”自動指派給在裝置主動輪詢期間偵測到的風險)。對於此類風險,您還必須在風險補救完成後手動指派“已接受”狀態。
如果某個風險與某個事件相關聯,您可以在將事件狀態變更為“已解決”的同時為該風險指派“已接受”狀態。