С помощью функциональности контроля активов и обнаружения уязвимостей вы можете реализовать непрерывное (циклическое) управление уязвимостями в устройствах промышленной сети. Для управления уязвимостями Kaspersky Industrial CyberSecurity for Networks предоставляет информацию об обнаруженных уязвимостях, на основе которой вы можете предпринять соответствующие меры по устранению уязвимостей и минимизации рисков. Непрерывность процесса управления уязвимостями обеспечивается за счет автоматического обновления сведений об устройствах и уязвимостях в программе.
Сценарий реализации для процесса непрерывного управления уязвимостями состоит из следующих этапов:
Этот этап реализуется с использованием методов обнаружения активности устройств и обнаружения сведений об устройствах (применение методов должно быть включено). На этом этапе программа автоматически обнаруживает новые устройства и обновляет сведения об устройствах. Для всех сведений, определяющих классификацию и эксплуатационные особенности устройств (например, информация о модели и версии программного обеспечения на устройстве), требуется включить автоматическое изменение в параметрах устройств. Если автоматическое изменение таких сведений не может выполняться по каким-либо причинам, эти сведения следует актуализировать вручную.
Этот этап реализуется с использованием метода обнаружения уязвимостей (применение метода должно быть включено). Сканирование выполняется по имеющимся сведениям об устройствах. Запуск сканирования происходит автоматически после обновления базы данных известных уязвимостей в программе или после добавления/изменения тех сведений об устройствах, которые используются для сравнения с полями в базе данных (например, после сохранения информации о модели и версии программного обеспечения на устройстве).
Для каждой обнаруженной уязвимости указано значение оценки ее критичности по общей системе оценки уязвимостей (Common Vulnerability Scoring System – CVSS). В зависимости от числового значения этой оценки уязвимость может относиться к уровням критичности Низкий (оценки 0.0–3.9), Средний (оценки 4.0–6.9) или Высокий (оценки 7.0–10.0). Уровни критичности обнаруженных уязвимостей влияют на состояния безопасности связанных с ними устройств (так же, как и необработанные события, относящиеся к этим устройствам).
На основании уровней критичности со значениями оценок, а также с учетом факторов, связанных с особенностями работы устройств, можно классифицировать риски эксплуатации обнаруженных уязвимостей. Если риск, связанный с эксплуатацией уязвимости, оценивается как незначительный, эту уязвимость можно перевести из состояния Актуальна (в котором уязвимость находится по умолчанию после обнаружения) в состояние Принята. Например, в случае, если условия для эксплуатации уязвимости не могут быть воспроизведены. Все уязвимости, по которым требуется выполнить какие-либо дополнительные действия, следует оставить в состоянии Актуальна.
На этом этапе вам нужно устранить актуальные уязвимости или минимизировать риски, связанные с их эксплуатацией. Действия по устранению уязвимостей и минимизации рисков могут включать получение, проверку и установку необходимых исправлений или обновлений для устройств, организационные меры (например, изоляция уязвимых устройств от внешних сетей) или замену уязвимых устройств.
Вы можете получить информацию о рекомендуемых действиях, просматривая сведения об обнаруженных уязвимостях. Рекомендации для защиты системы представлены в виде текстов или ссылок на общедоступные ресурсы.
Действия по устранению уязвимостей и минимизации рисков выполняются без участия Kaspersky Industrial CyberSecurity for Networks.
Этот этап аналогичен этапу сканирования устройств на наличие уязвимостей. При изменении сведений об устройстве программа автоматически переводит связанную с ним уязвимость из состояния Актуальна в состояние Устранена, если сведения об устройстве больше не соответствуют полям в базе данных, которые описывают уязвимость с тем же CVE-идентификатором (например, после изменения сведений о версии программного обеспечения на устройстве). Также в состояние Устранена переводятся те уязвимости, для которых больше нет описания в базе данных известных уязвимостей (в случае удаления описания из базы данных после загрузки обновлений). Если устройства с уязвимостями удалены из таблицы устройств, связанные с ними уязвимости также удаляются из базы данных обнаруженных уязвимостей на Сервере.
Если сведения об устройстве, с которым связана уязвимость, не изменились (например, минимизация рисков была выполнена путем изоляции уязвимого устройства от внешних сетей), вы можете вручную перевести эту уязвимость из состояния Актуальна в состояние Принята.
При регистрации события об обнаружении уязвимости изменяется состояние безопасности устройства, для которого обнаружена уязвимость. Состояние безопасности устройства изменяется в зависимости от уровня важности события.
Устройство возвращается в состояние безопасности ОК после присвоения статуса Обработано всем событиям, которые связаны с уязвимостями этого устройства. При переводе уязвимости в состояние Устранена или Принята программа автоматически присваивает статус Обработано соответствующим событиям. Аналогично, если вы присвоили статус Обработано событию об обнаружении уязвимости, которая находится в состоянии Актуальна, эта уязвимость переводится в состояние Принята.