Методы и режимы контроля активов

При контроле активов в Kaspersky Industrial CyberSecurity for Networks применяются следующие методы:

• Обнаружение активности устройств. Этот метод позволяет отслеживать активность устройств в трафике промышленной сети по полученным MAC- и/или IP-адресам устройств.
• Обнаружение сведений об устройствах. Этот метод позволяет автоматически получать и обновлять сведения об устройствах на основе полученных данных из трафика или от EPP-программ.
• Контроль проектов ПЛК. Этот метод позволяет обнаруживать в трафике информацию о проектах ПЛК, сохранять эту информацию в программе и сравнивать с ранее полученной информацией.
• Обнаружение уязвимостей. Этот метод позволяет обнаруживать уязвимости в устройствах по сохраненным сведениям об устройствах.

Вы можете включать и выключать применение методов контроля активов по отдельности.

Для методов контроля активов предусмотрены следующие режимы:

• Режим обучения. Этот режим предназначен для временного использования. В этом режиме программа считает разрешенными все устройства, активность которых обнаружена в трафике. Вы можете включить режим обучения только для метода обнаружения активности устройств. При этом метод обнаружения активности устройств может применяться совместно с другими методами контроля активов.
• Режим наблюдения. Этот режим предназначен для постоянного использования. В этом режиме при обнаружении активности устройств программа считает разрешенными только те из них, которым присвоен статус Разрешенное.

В зависимости от выбранного режима программа автоматически присваивает статусы устройствам.

В режиме обучения программа не регистрирует события при обнаружении активности устройств или при автоматическом обновлении сведений об устройствах.

Режим обучения контроля активов должен быть включен на время, достаточное для обнаружения активности нужных устройств. Это время зависит от количества устройств в промышленной сети, периодичности их работы и обслуживания. Рекомендуется включать режим обучения на время не менее одного часа. В крупных промышленных сетях, для обнаружения активности всех нужных устройств, режим обучения можно включить на период от одного до нескольких дней.

Обработка полученных MAC- и IP-адресов устройств выполняется со следующими особенностями:

• Для устройств, которые выполняют функции сетевого коммутатора между сегментами промышленной сети, должен быть выставлен признак маршрутизирующего устройства. Если этот признак не определен автоматически, то его требуется выставить вручную. Иначе до выставления признака маршрутизирующего устройства программа может не добавить в таблицу устройств те устройства, которые взаимодействуют через это маршрутизирующее устройство в разных сегментах промышленной сети. После выставления признака взаимодействующие устройства будут добавлены в таблицу устройств при появлении соответствующего трафика с их участием.
• Если в трафике обнаружен только IP-адрес устройства (IP-адрес невозможно сопоставить с каким-либо MAC-адресом), этот IP-адрес проверяется на принадлежность известным программе подсетям. Для метода обнаружения активности устройств не учитываются IP-адреса, которые принадлежат только подсетям с типом Публичная.

При включенном методе обнаружения сведений об устройствах программа автоматически обновляет сведения об устройствах. Например, программа может автоматически обновлять название операционной системы, установленной на устройстве, по мере обнаружения уточняющих данных в трафике этого устройства. Обновляются те сведения, для которых включено автоматическое изменение в параметрах устройств.

Для автоматического получения сведений об устройствах программа анализирует трафик промышленной сети по правилам определения сведений об устройствах и протоколов взаимодействия устройств. Эти правила встроены в программу.

После установки программы используются исходные правила определения сведений об устройствах и протоколов взаимодействия устройств. В большинстве случаев правила выдают верные результаты. Однако возможны ситуации c неверным определением сведений из-за технических особенностей реализации устройств (например, определение категорий некоторых устройств). Для повышения точности определения специалисты "Лаборатории Касперского" регулярно обновляют базы с наборами правил. Вы можете обновлять правила, устанавливая обновления.

В режиме наблюдения программа регистрирует соответствующие события по технологии Контроль активов. В зависимости от применяемых методов, события могут регистрироваться в следующих случаях:

• обнаружение активности неизвестных устройств или устройств со статусом Неиспользуемое;
• автоматическое изменение сведений об устройствах;
• обнаружение операций чтения или записи проектов и блоков проектов ПЛК;
• обнаружение уязвимостей и изменений, связанных с уязвимостями.

При включенном методе контроля проектов ПЛК программа может регистрировать большое количество событий, связанных с обнаружением операций чтения и записи проектов или блоков. Как правило, большое количество событий регистрируется на начальном этапе использования метода. Для сокращения общего количества регистрируемых событий после установки программы по умолчанию метод контроля проектов ПЛК выключен. Вы можете включить этот метод в любое время.

В начало