Сетевая изоляция

При интеграции с решениями Detection and Response в рамках действия по реагированию на угрозы устройство может быть изолировано от сети.

Особенности работы сетевой изоляции

После включения сетевой изоляции приложение разрывает все активные и блокирует все новые сетевые соединения TCP/IP на устройстве, кроме следующих:

• Указанных в исключениях из сетевой изоляции.
• Инициированных службами Kaspersky Industrial CyberSecurity for Linux Nodes.
• Между Kaspersky Industrial CyberSecurity for Linux Nodes и сервером администрирования Kaspersky Security Center.
• Между Kaspersky Industrial CyberSecurity for Linux Nodes и сервером Kaspersky Industrial CyberSecurity for Networks.
• С KSN (при интеграции с Kaspersky Managed Detection and Response).

Сетевая изоляция может применяться при выполнении следующих условий:

• Включена интеграция приложения с решением Kaspersky Industrial CyberSecurity Endpoint Detection and Response и / или с приложением Kaspersky Industrial CyberSecurity for Networks.
• Активирован компонент ICS EDR.

При интеграции с Kaspersky Industrial CyberSecurity for Networks специалист по безопасности на основе данных, передаваемых в Kaspersky Industrial CyberSecurity for Networks, может из консоли Kaspersky Industrial CyberSecurity for Networks отправить в Kaspersky Industrial CyberSecurity for Linux Nodes команду для изолирования устройства от сети. Специалист по безопассности может также отправить в Kaspersky Industrial CyberSecurity for Linux Nodes команду для отключения сетевой изоляции устройства.

При интеграции с Kaspersky Industrial CyberSecurity Endpoint Detection and Response сетевая изоляция может применяться в одном из следующих режимов:

• Автоматический режим сетевой изоляции. Устройство может быть изолировано от сети автоматически в результате обнаружения индикаторов компрометации. Если при создании и настройке параметров задачи Поиск IOC в блоке Действия при обнаружении IOC вы установили флажки Применять действия по реагированию при обнаружении IOC и Изолировать устройство от сети, то включение сетевой изоляции происходит автоматически при обнаружении приложением индикаторов компрометации.

  Вы можете настроить следующие параметры сетевой изоляции в автоматическом режиме:

  • Изменить период времени, по истечении которого сетевая изоляция автоматически выключается.
  • Настроить исключения из сетевой изоляции для устройств, изолированных автоматически.

  Если на устройство, изолируемое в автоматическом режиме, распространяется политика, то применяются параметры, заданные в политике. Если политика не распространяется, то применяются параметры, заданные в свойствах устройства.

• Ручной режим сетевой изоляции. Устройство можно изолировать от сети на время исследования обнаруженной угрозы. Вы можете вручную включать сетевую изоляцию устройства в окне с деталями алерта и в свойствах устройства в Web Console.

  Вы можете настроить следующие параметры сетевой изоляции в ручном режиме:

  • Изменить период времени, по истечении которого сетевая изоляция автоматически выключается.
  • Настроить исключения из сетевой изоляции для устройств, изолированных вручную.

Вы можете проверять статус сетевой изоляции устройства и выключать сетевую изоляцию устройства в командной строке.

Изолированному устройству автоматически присваивается тег ISOLATED FROM NETWORK. После выключения сетевой изоляции этот тег автоматически снимается. Общую информацию о получении списка изолированных устройств по тегу см. в справке Kaspersky Industrial CyberSecurity Endpoint Detection and Response.

Выключение сетевой изоляции вручную доступно вне зависимости от того, включена ли интеграция с решениями Detection and Response, а также вне зависимости от того, распространяется ли на устройство действие политики.

Ограничения сетевой изоляции

При использовании сетевой изоляции настоятельно рекомендуется ознакомиться с описанными ограничениями.

Для работоспособности сетевой изоляции требуется, чтобы приложение Kaspersky Industrial CyberSecurity for Linux Nodes было запущено. Во время сбоя в работе приложения Kaspersky Industrial CyberSecurity for Linux Nodes (когда приложение не запущено), блокировка трафика при включении сетевой изоляции решением Kaspersky Industrial CyberSecurity Endpoint Detection and Response не гарантируется.

DHCP и DNS не добавляются автоматически в исключения из сетевой изоляции, поэтому если сетевой адрес какого-то ресурса был изменен во время сетевой изоляции, приложение Kaspersky Industrial CyberSecurity for Linux Nodes не сможет получить к нему доступ.

Исключение процесса из сетевой изоляции по имени поддерживается на устройствах с версией ядра от 4.18 до 6.6 с поддержкой eBPF с BTF.

При использовании сетевой изоляции рекомендуется:

• Использовать прокси-сервер KSN для взаимодействия с Kaspersky Security Network.
• Использовать Kaspersky Security Center в качестве прокси-сервера для активации приложения.

  В случае невозможности использования Kaspersky Security Center в качестве прокси-сервера требуется настроить параметры нужного прокси-сервера и добавить его в исключения.

• Указать Kaspersky Security Center в качестве источника обновлений баз.

В этом разделе Включение и выключение сетевой изоляции устройства вручную в Web Console Настройка длительности сетевой изоляции в автоматическом режиме Настройка параметров сетевой изоляции в ручном режиме Настройка исключений из сетевой изоляции в Web Console Управление сетевой изоляцией устройства в командной строке

В начало