Методы и режимы контроля устройств

В Kaspersky Industrial CyberSecurity for Networks применяются следующие методы:

• Обнаружение активности устройств. Этот метод позволяет отслеживать активность устройств в трафике промышленной сети по полученным MAC- и / или IP-адресам устройств.
• Обнаружение сведений об устройствах. Этот метод позволяет автоматически получать и обновлять сведения об устройствах на основе полученных данных о взаимодействиях устройств.
• Контроль проектов ПЛК. Этот метод позволяет обнаруживать в трафике информацию о проектах ПЛК, сохранять эту информацию в программе и сравнивать с ранее полученной информацией.

Вы можете включать и выключать применение методов контроля устройств по отдельности.

Для методов контроля устройств предусмотрены следующие режимы:

• Режим обучения. Этот режим предназначен для временного использования. В этом режиме программа считает разрешенными все устройства, активность которых обнаружена в трафике. Вы можете включить режим обучения только для метода обнаружения активности устройств. При этом метод обнаружения активности устройств может применяться совместно с методами обнаружения сведений об устройствах и контроля проектов ПЛК.
• Режим наблюдения. Этот режим предназначен для постоянного использования. В этом режиме при обнаружении активности устройств программа считает разрешенными только те из них, которым присвоен статус Разрешенное.

В режиме обучения программа присваивает статус Разрешенное всем обнаруженным устройствам. Программа не регистрирует события при обнаружении активности устройств или при автоматическом обновлении сведений об устройствах.

Режим обучения контроля устройств должен быть включен на время, достаточное для обнаружения активности нужных устройств. Это время зависит от количества устройств в промышленной сети, периодичности их работы и обслуживания. Рекомендуется включать режим обучения на время не менее одного часа. В крупных промышленных сетях, для обнаружения активности всех нужных устройств, режим обучения можно включить на период от одного до нескольких дней.

В режиме наблюдения (при включенном методе обнаружения активности устройств) программа присваивает статус Неразрешенное всем устройствам, которые проявили активность и являются либо неизвестными программе, либо устройствами со статусом Неиспользуемое. Программа присваивает статус Неиспользуемое устройствам, которые длительное время не проявляли активность и сведения о которых не изменялись (30 дней и более).

При включенном методе обнаружения сведений об устройствах программа автоматически обновляет сведения об устройствах. Например, программа может автоматически обновлять название операционной системы, установленной на устройстве, по мере обнаружения уточняющих данных в трафике этого устройства. Обновляются те сведения, для которых включено автоматическое изменение в параметрах устройств.

Для автоматического получения сведений об устройствах программа анализирует трафик промышленной сети по правилам определения сведений об устройствах и протоколов взаимодействия устройств. Эти правила встроены в программу и применяются независимо от политики безопасности, которая загружена в Консоль или применена на Сервере.

После установки программы используются исходные правила определения сведений об устройствах и протоколов взаимодействия устройств. В большинстве случаев правила выдают верные результаты. Однако возможны ситуации c некорректным определением сведений из-за технических особенностей реализации устройств (например, определение категорий некоторых устройств). Для повышения точности определения специалисты "Лаборатории Касперского" регулярно обновляют базы с наборами правил. Вы можете обновлять правила, устанавливая обновления.

В режиме наблюдения программа регистрирует соответствующие события по технологии Контроль устройств. В зависимости от применяемых методов, события могут регистрироваться в следующих случаях:

• обнаружение активности неизвестных устройств или устройств со статусом Неиспользуемое;
• автоматическое изменение сведений об устройствах;
• обнаружение операций чтения или записи проектов и блоков проектов ПЛК.

При включенном методе контроля проектов ПЛК программа может регистрировать большое количество событий, связанных с обнаружением операций чтения и записи проектов / блоков. Как правило, большое количество событий регистрируется на начальном этапе использования метода. Для сокращения общего количества регистрируемых событий после установки программы по умолчанию метод контроля проектов ПЛК выключен. Вы можете включить этот метод в любое время.

В начало