Release Notes

Kaspersky Industrial CyberSecurity for Networks 3.0

Версия программы: 3.0.0.473 от 19.04.2021

Версия программы для работы в операционной системе Astra Linux SE 1.6: 3.0.1.24 от 03.06.2021

Дата редакции документа: 22.07.2025

ОТКРЫТЬ СПИСОК ИЗМЕНЕНИЙ ПРИ ОБНОВЛЕНИИ БАЗ И ПРОГРАММНЫХ МОДУЛЕЙ

Kaspersky Industrial CyberSecurity for Networks – программа для защиты инфраструктуры промышленных предприятий от угроз информационной безопасности и для обеспечения непрерывности технологических процессов. Kaspersky Industrial CyberSecurity for Networks анализирует трафик промышленной сети для выявления отклонений в значениях технологических параметров, обнаружения признаков сетевых атак, контроля работы и текущего состояния устройств в сети. Программа входит в состав решения Kaspersky Industrial CyberSecurity.

ОСНОВНЫЕ ВОЗМОЖНОСТИ

Kaspersky Industrial CyberSecurity for Networks выполняет следующие функции:

• Контролирует активы предприятия, представленные устройствами промышленной сети. Обнаруживает активность устройств и сведения об устройствах на основании данных, полученных из сетевых пакетов.
• Проверяет взаимодействия между устройствами промышленной сети на соответствие заданным правилам контроля взаимодействий. Формирование правил контроля взаимодействий может выполняться автоматически в режиме обучения.
• Отображает сетевые взаимодействия между устройствами промышленной сети в виде карты сети. При отображении объекты визуально выделяются по различным признакам (например, объекты, требующие внимания).
• Обнаруживает уязвимости устройств по сохраненным сведениям об устройствах.
• Извлекает из сетевых пакетов значения параметров технологического процесса, управляемого автоматизированной системой управления технологическим процессом (далее также "АСУ ТП"), и проверяет допустимость этих значений по заданным правилам контроля процесса. Формирование правил контроля процесса может выполняться автоматически в режиме обучения.
• Обнаруживает в трафике системные команды, переданные или полученные устройствами, которые участвуют в автоматизации технологического процесса. Оповещает об обнаруженных неразрешенных системных командах и ситуациях, которые могут быть признаками нарушения безопасности промышленной сети.
• Контролирует операции чтения и записи проектов для программируемых логических контроллеров, сохраняет полученную информацию о проектах и сравнивает эту информацию с ранее полученной информацией.
• Анализирует трафик промышленной сети на наличие признаков атак, не оказывая влияния на промышленную сеть и не привлекая внимания потенциального нарушителя. Обнаруживает признаки атак с помощью заданных правил обнаружения вторжений и встроенных алгоритмов проверки аномалий в сетевых пакетах.
• Регистрирует события и передает сведения о них в сторонние системы, а также в Kaspersky Security Center.
• Анализирует зарегистрированные события и при обнаружении определенных последовательностей событий регистрирует инциденты по встроенным правилам корреляции. Инциденты группируют события, имеющие некоторые общие признаки или относящиеся к одному процессу.
• Сохраняет в базе данных трафик, относящийся к зарегистрированным событиям. Трафик может сохраняться автоматически (если для событий включено автоматическое сохранение трафика) или по запросу на загрузку трафика.
• Предоставляет возможности работы через графический интерфейс пользователя и через интерфейс прикладного программирования (API).

ЧТО НОВОГО

В Kaspersky Industrial CyberSecurity for Networks 3.0 появились следующие возможности и доработки:

• Оптимизирована реализация установки и удаления компонентов программы – действия по начальной настройке программы выполняются в специальном разделе на странице веб-интерфейса, добавлены скрипты локальной установки и локального удаления компонентов программы, добавление и удаление сенсоров можно выполнять при подключении через веб-интерфейс без необходимости переустановки компонентов программы.
• Расширена функциональность веб-интерфейса Сервера – при подключении к Серверу через веб-интерфейс пользователю доступны возможности настройки всех функций программы. Для мониторинга системы в онлайн-режиме добавлены виджеты с возможностями настройки отображения.
• Контроль уязвимостей устройств – добавлена функциональность обнаружения уязвимостей устройств по имеющимся сведениям об устройствах.
• Расширена функциональность контроля технологического процесса – добавлены функции автоматического определения параметров контроля процесса, обучения правилам, расширен список значений тегов для мониторинга.
• Функциональность контроля устройств стала частью общей функциональности контроля активов – при этом увеличено ограничение максимального количества устройств, расширен список поддерживаемых категорий устройств и расширены возможности автоматического определения сведений об устройствах. Для контроля активов реализована обработка подсетей, автоматическая группировка устройств по критериям, добавлены функции импорта и экспорта с использованием различных форматов.
• Расширена и доработана функциональность карты сети – увеличено максимальное количество узлов для отображения, добавлены возможности отображения на карте сети узлов и соединений по информации в выбранных событиях или инцидентах (выполняется переход из раздела "События" в раздел "Карта сети" с фильтрацией объектов), автоматическая группировка устройств по критериям (по подсетям, по категориям и по производителям устройств) выполняется на карте сети для всех узлов или для узлов выбранной группы.
• Реализован общий список разрешающих правил – к правилам контроля взаимодействий (ранее "правила контроля сети") добавлены разрешающие правила для событий. Реализованы шаблоны правил, задающие начальные значения параметров. Контроль взаимодействий осуществляется с учетом известных программе подсетей.
• Изменена реализация интерфейса прикладного программирования (API) – для обработки запросов через Kaspersky Industrial CyberSecurity for Networks API используется архитектурный стиль взаимодействия REST (Representational State Transfer). Безопасность взаимодействия с программой обеспечивается шифрованием соединений по протоколу HTTPS.
• Реализована функциональность коннекторов – сторонние системы могут подключаться к Kaspersky Industrial CyberSecurity for Networks через коннекторы, которые обеспечивают безопасный и контролируемый обмен данными с программой с использованием Kaspersky Industrial CyberSecurity for Networks API. В части отправки событий в сторонние системы коннекторы заменяют адресаты, использовавшиеся в предыдущих версиях. При этом через коннекторы программа может также отправлять в сторонние системы сообщения программы и записи аудита.
• Расширен набор данных в политике безопасности – политика безопасности в программе содержит данные, распределенные по разделам, которые можно выбирать при экспорте или импорте политики.
• Расширена поддержка протоколов прикладного уровня и устройств для контроля процесса – реализованы дополнительные возможности анализа трафика поддерживаемых протоколов и устройств и добавлены новые поддерживаемые протоколы и устройства. Набор поддерживаемых протоколов и устройств может расширяться при установке обновлений.
• Реализовано обнаружение проблем безопасности в протоколах шифрования – программа регистрирует события при обнаружении устаревших версий протоколов шифрования, слабых алгоритмов или проблем с используемыми сертификатами.

В версии Kaspersky Industrial CyberSecurity for Networks 3.0.1 появились следующие возможности и доработки:

• Реализована поддержка работы в операционной системе Astra Linux SE 1.6.
• Расширена функциональность обработки правил обнаружения вторжений – добавлена поддержка внутренних идентификаторов правил, реализовано применение отдельных правил из наборов, в которых обнаружены ошибки в некоторых правилах.
• Добавлена утилита для экспорта событий в файлы формата XML – в файлах сохраняются данные, которые могут использоваться в государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
• Добавлен скрипт для проверки целостности файлов, установленных из пакетов комплекта поставки программы.
• Добавлен скрипт изменения времени действия для сеансов подключения к Серверу через веб-интерфейс и для токенов аутентификации в Kaspersky Industrial CyberSecurity for Networks API.

КОМПЛЕКТ ПОСТАВКИ

В комплект поставки Kaspersky Industrial CyberSecurity for Networks 3.0 входят следующие файлы:

• скрипт централизованной установки компонентов программы: kics4net-deploy-<номер версии программы>.bundle.sh;
• скрипт локальной установки компонентов программы: kics4net-install.sh;
• скрипт локального удаления компонентов программы: kics4net-remove.sh;
• пакеты для установки компонентов программы в операционной системе CentOS:
  • пакет для установки Сервера и сенсоров: kics4net-<номер версии программы>.x86_64.rpm;
  • пакет для установки системных коннекторов: kics4net-connectors-<номер версии программы>.x86_64.rpm;
  • пакет для установки системы полнотекстового поиска: kics4net-fts-<номер версии программы>.x86_64.rpm;
  • пакет для установки СУБД: kics4net-postgresql-<номер версии СУБД>.x86_64.rpm;
  • пакет для установки системы обнаружения вторжений: kics4net-suricata-<номер версии системы>.x86_64.rpm;
  • пакет для установки веб-сервера для сенсора программы: kics4net-websensor-<номер версии программы>.x86_64.rpm;
  • пакет для установки веб-сервера для Сервера программы: kics4net-webserver-<номер версии программы>.x86_64.rpm;
  • пакет для установки Агента администрирования из состава комплекта поставки Kaspersky Security Center: klnagent64-<номер версии Агента администрирования>.x86_64.rpm;
• пакеты для установки плагина управления Kaspersky Industrial CyberSecurity for Networks для Kaspersky Security Center: kics4net-sc-plugin_<номер версии плагина>_<код локализации>.msi;
• пакет с документацией с описанием запросов для Kaspersky Industrial CyberSecurity for Networks API: publicapi_doc.tar.gz;
• пакет с описаниями спецификаций для Kaspersky Industrial CyberSecurity for Networks API: publicapi_swagger.tar.gz;
• файлы с текстом Лицензионного соглашения на русском и английском языках;
• файлы с текстом Политики конфиденциальности на русском и английском языках;
• файлы с информацией о версии (Release Notes) на русском и английском языках.

Комплект поставки для версии Kaspersky Industrial CyberSecurity for Networks 3.0.1 указан в формуляре на программу.

АППАРАТНЫЕ И ПРОГРАММНЫЕ ТРЕБОВАНИЯ

Аппаратные требования

Kaspersky Industrial CyberSecurity for Networks имеет следующие минимальные требования к аппаратному обеспечению компьютеров для установки компонентов программы:

• Компьютер, который будет выполнять функции Сервера:
  • центральный процессор: Intel Core i7;
  • объем оперативной памяти: 32 ГБ;
  • объем свободного пространства на жестком диске: 750 ГБ и дополнительно по 250 ГБ для каждой точки мониторинга на этом компьютере.
• Компьютер, который будет выполнять функции сенсора:
  • центральный процессор: Intel Core i5 / i7;
  • объем оперативной памяти: 4 ГБ и по 2 ГБ для каждой точки мониторинга на этом компьютере;
  • объем свободного пространства на жестком диске: 50 ГБ и по 250 ГБ для каждой точки мониторинга на этом компьютере.

При использовании сенсоров пропускная способность выделенной сети Kaspersky Industrial CyberSecurity между Сервером и каждым сенсором должна быть не менее 50% от суммарного входящего трафика на сенсор (по всем точкам мониторинга сенсора).

Программные требования для Kaspersky Industrial CyberSecurity for Networks 3.0

Kaspersky Industrial CyberSecurity for Networks 3.0 имеет следующие требования к программному обеспечению компьютеров для установки компонентов программы:

• Операционная система CentOS версии 8.3.2011 и выше.
• Операционная система одной и той же версии должна быть установлена на всех компьютерах, на которых устанавливаются компоненты программы.
• Для установки компонентов программы в операционной системе CentOS должны быть выполнены следующие условия:
  • Установлен пакет для синхронизации времени chrony версии 3.1 и выше.
  • Выключена система принудительного контроля доступа SELinux.
  • Установлен пакет dnf-utils.
  • Установлен интерпретатор языка Python версии 2.7.
  • Настроена символическая ссылка на установленную версию пакета python2.
  • Установлен пакет python2-pyyaml.
• Для работы компонентов программы на компьютере, который будет выполнять функции Сервера, в операционной системе CentOS дополнительно должны быть выполнены следующие условия:
  • Установлен интерпретатор языка Python версии 3.6 и выше, а также пакеты для работы коннекторов и скриптов преобразования данных python3-tqdm, python3-certifi, python3-dateutil, python3-pyyaml, python3-pytz, python3-urllib3, python3-psycopg2, python3-cffi (если коннекторы будут работать на других компьютерах, перечисленные пакеты также требуется установить на эти компьютеры).
  • Установлен почтовый сервер (Mail Transfer Agent – MTA) Postfix для отправки сообщений электронной почты через коннектор электронной почты.
  • Установлен интерпретатор языка Perl версии 5.10 и выше (если устанавливается Агент администрирования Kaspersky Security Center).

Для установки плагина управления Kaspersky Industrial CyberSecurity for Networks для Kaspersky Security Center на компьютере Сервера администрирования Kaspersky Security Center должно быть установлено обновление Windows KB2999226. Установка обновления требуется, если проблемы, устраняемые этим обновлением, актуальны для установленной версии операционной системы и конфигурации установленного программного обеспечения на компьютере Сервера администрирования (см. описание к указанному обновлению).

Для подключения через веб-интерфейс могут использоваться следующие браузеры:

• Google Chrome версии 89 и выше.
• Mozilla Firefox версии 86 и выше.
• Microsoft Edge версии 89 и выше.

Программа Kaspersky Industrial CyberSecurity for Networks 3.0 совместима с Kaspersky Security Center версии 11 или 12.

Программные требования для Kaspersky Industrial CyberSecurity for Networks 3.0.1

Kaspersky Industrial CyberSecurity for Networks 3.0.1 имеет следующие требования к программному обеспечению компьютеров для установки компонентов программы:

• Операционная система Astra Linux SE 1.6 с установленным обновлением 20200722SE16.
• Операционная система одной и той же версии должна быть установлена на всех компьютерах, на которых устанавливаются компоненты программы.
• Для установки компонентов программы в операционной системе Astra Linux SE 1.6 должны быть выполнены следующие условия:
  • Установлены стандартные компоненты операционной системы "Средства работы в сети" и "Сетевые сервисы" (дополнительно к стандартным компонентам, включенным по умолчанию для установки в операционной системе).
  • В операционной системе активен межсетевой экран, реализуемый программой настройки сетевой защиты UFW (для автоматической настройки сетевой фильтрации).
  • В операционной системе подключены репозитории с актуальными стабильными версиями пакетов для установки (например, подключены репозитории на дисках, содержащих обновление установочного диска операционной системы и обновление диска со средствами разработки).
  • Установлен интерпретатор языка Python версии 2.7.
  • Установлен пакет libcap2-bin.
  • Настроена символическая ссылка на установленную версию пакета python2.
  • Установлен пакет python2-pyyaml.
  • Установлен пакет python-apt.
  • Установлен пакет сервера SSH (для централизованной установки компонентов программы).
  • Включена локаль en_US.utf8 (на компьютере, с которого будет выполняться централизованная установка компонентов программы).
• Для работы компонентов программы на всех компьютерах, которые будут выполнять функции Сервера и сенсоров, в операционной системе Astra Linux SE 1.6 должны быть выполнены следующие условия:
  • Разрешены информационные потоки без ограничений со стороны механизма мандатного разграничения доступа (для всех объектов доступа установлена нулевая мандатная метка).
  • В операционной системе выключен механизм замкнутой программной среды.
• Для работы компонентов программы на компьютере, который будет выполнять функции Сервера, в операционной системе Astra Linux SE 1.6 дополнительно должны быть выполнены следующие условия:
  • Установлен интерпретатор языка Python версии 3.5, а также пакеты для работы коннекторов и скриптов преобразования данных python3-urllib3 python3-yaml python3-tz python3-dateutil python3-psycopg2 python3-cffi (если коннекторы будут работать на других компьютерах, перечисленные пакеты также требуется установить на эти компьютеры).
  • Установлен и настроен почтовый сервер (Mail Transfer Agent – MTA) для отправки сообщений электронной почты через коннектор электронной почты.
  • Установлен интерпретатор языка Perl версии 5.10 и выше (если устанавливается Агент администрирования Kaspersky Security Center).

Для установки плагина управления Kaspersky Industrial CyberSecurity for Networks для Kaspersky Security Center на компьютере Сервера администрирования Kaspersky Security Center должно быть установлено обновление Windows KB2999226. Установка обновления требуется, если проблемы, устраняемые этим обновлением, актуальны для установленной версии операционной системы и конфигурации установленного программного обеспечения на компьютере Сервера администрирования (см. описание к указанному обновлению).

Для подключения через веб-интерфейс могут использоваться следующие браузеры:

• Google Chrome версии 89.
• Mozilla Firefox версии 86.
• Microsoft Edge версии 89.
• Chromium для Astra Linux версии 83.

Программа Kaspersky Industrial CyberSecurity for Networks 3.0.1 совместима с Kaspersky Security Center версии 11 или 12.

ИСПРАВЛЕННЫЕ ОШИБКИ

Установка

• [1807458] Исправлено: невозможно изменять имена и адреса Сервера и сенсоров без переустановки компонентов программы на узлах.

Интерфейс пользователя

• [3217584] Исправлено: если в таблице событий была принудительно закрыта область деталей (с помощью кнопки в правом верхнем углу), эта область не будет появляться при установке или снятии флажков напротив событий или инцидентов.
• [3294936] Исправлено: не поддерживается автоматическое разворачивание дерева стека протоколов при поиске в окне для фильтрации по протоколам (например, для фильтрации по графе "Протокол" в таблице событий). Результаты поиска могут быть скрыты в свернутых элементах дерева.
• [3728329] Исправлено: окно Консоли программы для ввода учетных данных пользователя можно свернуть в кнопку на панели задач. При этом возможность работы с главным окном Консоли остается недоступна.
• [3754605] Исправлено: в Консоли программы при редактировании полей с числовыми значениями в окне "Управление журналами" курсор занимает крайнее правое положение в поле ввода после каждого действия по изменению значения.

События и инциденты

• [2444775] Исправлено: в Консоли программы предоставляется возможность настройки времени разрешения повтора для некоторых системных типов событий, не предусматривающих подавление (например, тестовые события по технологиям). Заданные значения времени разрешения повтора для таких событий не применяются.
• [3370474] Исправлено: при включении фильтрации таблицы событий по заданному периоду (например, путем выключения автоматического обновления таблицы) для начальной и конечной границ периода используется время компьютера, с которого выполняется подключение через веб-браузер. Если это время не синхронизировано и отстает от времени Сервера (без учета разницы часовых поясов), в таблицу не загружаются события, зарегистрированные в пределах разницы во времени между компьютером и Сервером.
• [3388315] Исправлено: для инцидентов всегда указана одна и та же точка мониторинга независимо от того, какие точки мониторинга указаны для вложенных событий.
• [1946917] Исправлено: для событий контроля сети отсутствует возможность включать/выключать регистрацию отдельных типов событий.

Контроль устройств

• [3092206] Исправлено: в веб-браузере Microsoft Edge при перетаскивании изображения карты сети объекты могут перемещаться неравномерно.

Контроль технологического процесса

• [3079632] Исправлено: при регистрации событий, связанных с обнаружением взаимодействий устройств по протоколу Yokogawa Vnet/IP, в качестве адресной информации получателя сетевых пакетов в событии в некоторых случаях регистрируется IP-адрес групповой передачи, а не IP-адрес устройства для контроля процесса в политике безопасности. Это связано с особенностями передачи команд управления технологическим процессом по этому протоколу.
• [1809642] Исправлено: для всех ПЛК можно выбрать любой тип данных тега независимо от того, поддерживается ли выбранный тип данных этим ПЛК.
• [3780909] Исправлено: после сохранения неизвестного тега в хранилище обнаруженных тегов программа не обновляет информацию о параметрах этого тега (например, при изменении типа данных тега).
• [3924316] Исправлено: ограничена поддержка устройств Honeywell C300 для систем управления Experion PKS / PlantCruise: не отслеживаются значения параметров технологического процесса.
• [1956116] Исправлено: программа не поддерживает некоторые типы данных тегов.

Внешние системы

• [1268342] Исправлено: при пересылке событий в SIEM-систему поддерживается только протокол TCP.

Обслуживание программы

• [2588631] Исправлено: при переполнении жесткого диска из-за недостаточного объема свободного пространства в Консоли программы может быть выведено сообщение "Ошибка при удалении файла метаданных для записи трафика".
• [3365890] Исправлено: время, отображаемое в поле "Эффективное время работы" на странице раздела "Теги" веб-интерфейса программы, включает не только время нормальной работы программы (без сбоев), но также и время, в течение которого программа работала со статусом "Произошла ошибка".
• [3779902] Исправлено: если установка обновлений на компьютере сенсора завершилась неудачно из-за недоступности одного из процессов программы (например, процесса filter), следующий запуск отложенного обновления происходит только после успешного перезапуска сервиса kics4net.

ОГРАНИЧЕНИЯ И ИЗВЕСТНЫЕ ОШИБКИ

Установка

• Для работы скрипта централизованной установки компонентов программы kics4net-deploy-<номер версии программы>.bundle.sh необходимо наличие пакетов для установки программы.
  • Решение: рекомендуется хранить дистрибутив установленной версии программы в одной директории со скриптом kics4net-deploy-<номер версии программы>.bundle.sh для внесения изменений в параметры установки.
• Для соединений между узлами Kaspersky Industrial CyberSecurity for Networks и для подключения через API используются только самоподписанные сертификаты SSL-соединений.
• [3369804] При новой централизованной установке компонентов программы без каких-либо изменений параметров (не добавлены узлы для установки компонентов и не настроены другие параметры) скрипт kics4net-deploy-<номер версии программы>.bundle.sh не выводит предупреждений об отсутствии заданных параметров. В этом случае компоненты программы не устанавливаются, но при завершении работы скрипт выводит сообщение об успешной установке.
  • Решение: выполните централизованную установку компонентов программы с настроенными параметрами: добавьте узлы Сервера и сенсоров и при необходимости настройте другие параметры установки.
• [3385870] При полном централизованном удалении компонентов программы список параметров удаления не содержит пункт об удалении Агента администрирования, если не были настроены дополнительные параметры в меню "Параметры удаления".
  • Решение: при настройке параметров полного удаления программы выберите пункт меню "Параметры удаления" и укажите нужное действие по запросу "Удалить Агент администрирования" (запрос выводится при обнаружении установленного Агента администрирования).
• [4808342] После централизованной установки сенсора подключение к нему через веб-интерфейс возможно только по IP-адресу, который был указан для этого узла при настройке параметров установки.
  • Решение: если вы хотите подключаться к сенсору через веб-интерфейс по любому IP-адресу, доступному на узле сенсора, вы можете установить сенсор с помощью скрипта локальной установки компонентов программы kics4net-install.sh.

Интерфейс пользователя

• Описания уязвимостей устройств представлены на английском языке независимо от языка локализации программы.
• Описания техник MITRE ATT&CK в событиях и инцидентах представлены на английском языке независимо от языка локализации программы.
• [2494064] В качестве разделителя MAC-адреса необходимо использовать знак ":". Знак "-" не поддерживается.
• [4799248] В некоторых случаях при удалении групп устройств с последующим автоматическим объединением оставшихся групп устройства из этих групп могут быть выведены на верхний уровень иерархии в дереве групп.
• [4519524] При фильтрации таблицы тегов по графе "Устройства" фильтрация выполняется только по именам устройств (указываемые адреса устройств не учитываются при фильтрации).
• [3200916] Если в заголовке графы таблицы событий отображается не полное название (из-за недостаточной ширины графы), для этого названия может не отображаться всплывающая подсказка при наведении курсора мыши.
  • Решение: увеличьте ширину графы.
• [4803787] Если при настройке параметров коннектора в поле для ввода адреса указано значение, не соответствующее шаблону адреса, в подсказке для этого поля приводится шаблон значения в виде регулярного выражения.
• [4343928] При выполнении операций с группами устройств параметры в записях аудита могут не содержать никаких значений, если отсутствуют данные для этих значений (например, в записи аудита будет пустое значение параметра для имени новой родительской группы при перемещении группы на верхний уровень иерархии в дереве).

События и инциденты

• После применения политики безопасности на Сервере программа закрывает все ранее зарегистрированные события и сохраняет дату и время применения политики в графе "Завершение" (если в этой графе для события было пустое значение). Для всех этих событий разрешается повторная регистрация, как и в случае перезагрузки Сервера.
• [4800699] Если сохранение трафика включено и настроено только для типа события "Инцидент" (код типа события 8000000001) и не включено для типов событий, которые могут войти в инциденты, то в некоторых случаях трафик может не сохраняться для событий инцидента. На сохранение трафика влияют различные факторы, к которым в частности относятся задержка регистрации инцидента относительно появления входящих в него событий, параметры сохранения файлов дампа трафика, скорость поступления трафика.
  • Решение: для более вероятной загрузки трафика рекомендуется включить сохранение трафика для нужных типов событий и настроить параметры хранения трафика в базе данных в соответствии с интенсивностью его поступления и регистрации событий.
• [3344303] При загрузке трафика для нескольких событий значение времени в именах файлов полученного архива может не совпадать со временем регистрации событий на Сервере (указывается время другого часового пояса).
• [3951845] Имена файлов внутри загруженных архивов с трафиком для событий могут быть представлены в локализации, отличающейся от локализации для имен файлов архивов.
• [3091037] Если инцидент имеет вложенные инциденты, при прокрутке структуры вложенных элементов в таблице событий может перестать отображаться родительский инцидент.
• [3391289] При регистрации событий обнаружения признаков ARP-спуфинга время начала в описаниях событий указывается по стандарту UTC.

Контроль активов

• [3338215] При объединении устройств, в адресной информации которых указаны только IP-адреса, не сохраняется значение даты и времени последнего появления.
• [4768430] Устройства, для которых указан IP-адрес из подсети с типом "Публичная" и при этом известен MAC-адрес, могут отображаться на карте сети в качестве неизвестных устройств. При обнаружении взаимодействий таких устройств с IP-адресами из частных подсетей программа не включает эти устройства в узел WAN.
• [3371248] При попытке сохранить устройство, содержащее несколько сетевых интерфейсов, в которых для всех указан одинаковый IP-адрес и только первый интерфейс не содержит MAC-адреса, ошибка об отсутствии МАС-адреса выводится для всех интерфейсов, кроме первого.
• [3296453] Если на карте сети узел перемещен с наложением на линию соединения с другими узлами, автоматическое устранение этого наложения (за счет оптимизации размещения незакрепленных узлов) происходит не во всех случаях.
• [4727899] При поиске оптимального размещения для незакрепленного узла на карте сети узел может перемещаться в зоне своего текущего расположения в течение нескольких секунд.
• При добавлении устройства в результате импорта конфигурации из внешнего проекта, если в проекте отсутствует адресная информация, программа присваивает добавленному устройству IP-адрес 0.0.0.0. При импорте конфигурации из следующего внешнего проекта, также не содержащего адресной информации для устройств, может произойти подмена сведений о первом устройстве. Кроме того, в этом случае не все данные из внешнего проекта могут быть импортированы в программу.
  • Решение: после импорта конфигурации устройств и тегов из внешнего проекта проверьте и при необходимости укажите правильную адресную информацию устройств, добавленных в результате импорта.

Контроль целостности сети

• [3021344] Для взаимодействий по протоколу SNMP программа обеспечивает только обнаружение взаимодействий и определение этого протокола без обнаружения системных команд и тегов.

Контроль технологического процесса

• [1842016] При плотном трафике после нарушения работы и перезапуска программа Kaspersky Industrial CyberSecurity for Networks может создать дубликаты последних событий.
  • Решение: можно игнорировать дубликаты событий.
• [1789024] Программа неправильно обрабатывает старший бит тега uint64.
  • Решение: для тегов с типом данных uint64 создавайте правила только для значений в пределах от -2^62 до 2^62-1.
• [4756136] Для тегов с типом данных bool или string доступна возможность настройки масштабирования (при этом заданные параметры масштабирования не применяются для таких тегов).
• [4717099] В описаниях событий обнаружения системных команд по протоколам MMS и GOOSE стандарта IEC 61850 в качестве разделителей в именах экземпляров логических узлов используются знаки $ вместо точек.
• [2487647] Ограничена поддержка протокола BDUBus: при использовании шифрованного соединения по этому протоколу не отслеживаются системные команды после установки соединения.
• [1838543] Две разных ситуации в трафике протокола IEC 60870-5-104 вызывают одно событие "Несоответствие адреса регистра (REGISTER ADDRESS MISMATCH)".
• [2528058] Ограничена поддержка устройств ABB серии Relion 670: на некоторых устройствах (например, ABB REL670 с версией встроенного ПО 2.0.0) не используется протокол ABB SPA-Bus, а для протокола FTP используется шифрованный вариант (TLS). В результате для таких устройств отслеживается только системная команда "Обнаружена команда (INITIALIZE CONNECTION)", поступающая по протоколу FTP. После установки соединения программа может регистрировать события "Ошибка (PARSING ERROR: UNKNOWN COMMAND)".
• [2487474] Ограничена поддержка устройств ЭКРА 243: в зависимости от версии установленного ПО на этих устройствах могут не отслеживаться некоторые системные команды.
• [3094764] При обнаружении взаимодействий по протоколу DMS поверх транспортного протокола UDP, программа не контролирует значения тегов, которые передаются сервером в рамках подписки клиента на получение актуальных значений этих тегов.
• [4756649] При автоматическом определении параметров контроля процесса программа добавляет для устройства параметры только одного из поддерживаемых протоколов – того протокола, трафик которого был обнаружен ранее.
  • Решение: если устройство для контроля процесса взаимодействует по нескольким протоколам, вы можете вручную добавить параметры протоколов, которые не были определены автоматически.
• [4757273] При автоматическом определении параметров контроля процесса если для устройства заданы пользовательские параметры по одному из поддерживаемых протоколов, программа не добавляет для этого устройства параметры, которые были определены по другому поддерживаемому протоколу.
  • Решение: если устройство для контроля процесса взаимодействует по нескольким протоколам, вы можете вручную добавить параметры протоколов, которые не были определены автоматически.

Внешние системы

• [1268351] Программа передает данные в SIEM-систему в формате CEF 20. Данные не трансформируются в формат стандарта Syslog.
  • Решение: при необходимости передавать данные в формате стандарта Syslog нужно настраивать передачу данных в формате стандарта Syslog, а не SIEM-систем.

Обслуживание программы

• [4788300] В сведениях об узле Сервера или сенсора значение параметра "Максимально возможный объем данных программы" является оценочным. В некоторых случаях файлы программы могут занять больше пространства на диске, чем указанное значение объема.
• [2466729] При нарушении работы процесса filter программа может зарегистрировать не все события, соответствующие этому периоду, или создать дубликаты событий.
• [3519607] Если при включении точки мониторинга возникла ошибка, это состояние сохранится и после устранения причины ошибки (например, в случае включения сетевого интерфейса после включения точки мониторинга).
  • Решение: после устранения причины возникновения ошибки выключите и снова включите точку мониторинга.
• [4805965] После удаления сенсора через веб-интерфейс или после перевода Сервера в начальное состояние (с помощью скрипта kics4net-reset-to-defaults.sh, который расположен в директории /opt/kaspersky/kics4net/sbin/), на узле сенсора программа может продолжать создавать файлы дампа трафика.
  • Решение: для прекращения создания файлов дампа трафика вы можете предварительно выключить точки мониторинга на узле сенсора.

© 2023 АО "Лаборатория Касперского".

В начало