Защита от сетевых угроз

Компонент Защита от сетевых угроз выполняет проверку входящего сетевого трафика на наличие действий, характерных для сетевых атак. При обнаружении попытки сетевой атаки, нацеленной на ваш компьютер, Kaspersky Industrial CyberSecurity for Nodes блокирует сетевую активность со стороны атакующего компьютера. Описания известных в настоящее время видов сетевых атак и методов борьбы с ними содержатся в базах приложения. Список сетевых атак, которые обнаруживает компонент Защита от сетевых угроз, пополняется в процессе обновления баз и модулей приложения.

По умолчанию задача Защита от сетевых угроз выполняется в режиме Информировать. В этом режиме Kaspersky Industrial CyberSecurity for Nodes проверяет входящий сетевой трафик на наличие активности, характерной для сетевых атак, и фиксирует в журнале компонента события об обнаруженной активности, но не блокирует соединение с компьютерами, проявляющими такую активность, и не добавляет IP-адреса компьютеров в список заблокированных сетевых сессий.

В режиме Блокировать Kaspersky Industrial CyberSecurity for Nodes блокирует соединение с компьютерами, проявляющими активность, характерную для сетевых атак, а в некоторых случаях добавляет IP-адреса таких компьютеров в список заблокированных сетевых сессий.

Список заблокированных узлов можно просмотреть в хранилище заблокированных узлов.

Kaspersky Industrial CyberSecurity for Nodes очищает список заблокированных узлов при перезапуске приложения или при изменении настроек Защиты от сетевых угроз.

Можно восстановить доступ к заблокированным узлам, а также указать количество суток, часов и минут, по истечении которых с момента блокировки узлы получают доступ к сетевым файловым ресурсам, настроив параметры хранилища заблокированных узлов.

IP-адреса узлов, проявляющих активность, характерную для сетевых атак, удаляются из списка заблокированных узлов в следующих случаях:

Приложение Kaspersky Industrial CyberSecurity for Nodes удалено.
IP-адрес удален из списка заблокированных узлов вручную.
Истек срок блокировки узла.
Выключен режим Блокировать.

Для корректной работы Kaspersky Industrial CyberSecurity for Nodes на виртуальных машинах в инфраструктуре Microsoft Hyper-V необходимо выполнять настройку виртуальных коммутаторов Hyper-V после установки Kaspersky Industrial CyberSecurity for Nodes.

Как включить и настроить Защиту от сетевых угроз в Консоли администрирования Kaspersky Security Center

В дереве Консоли администрирования Kaspersky Security Center разверните узел Управляемые устройства.
Выберите группу администрирования, для которой вы хотите настроить задачу.
Выберите вкладку Политики.
Откройте окно свойств политики двойным щелчком мыши на имени политики, которую вы хотите настроить.
В открывшемся окне свойств политики перейдите в раздел Контроль активности в сети.
В блоке Защита от сетевых угроз нажмите на кнопку Настройка.
Откроется окно Защита от сетевых угроз на вкладке Общие.
Установите флажок Защита от сетевых угроз, чтобы включить компонент Защита от сетевых угроз.
В разделе Режим работы выберите режим работы задачи:
- Блокировать. Если выбран этот режим, Kaspersky Industrial CyberSecurity for Nodes проверяет входящий сетевой трафик на наличие активности, характерной для сетевых атак, блокирует соединение с компьютерами, проявляющими такую активность, а в некоторых случаях добавляет IP-адреса компьютеров в список заблокированных сетевых сессий. Приложение также фиксирует в журнале компонента события об обнаруженной активности, характерной для сетевых атак.
- Информировать. Если выбран этот режим, Kaspersky Industrial CyberSecurity for Nodes проверяет входящий сетевой трафик на наличие активности, характерной для сетевых атак, но не блокирует соединение с компьютерами, проявляющими такую активность, и не добавляет IP-адреса компьютеров в список заблокированных сетевых сессий. Приложение фиксирует в журнале компонента события об обнаруженной активности, характерной для сетевых атак.
Используйте флажок Считать атаками сканирование портов и интенсивные сетевые запросы, чтобы включить или выключить обнаружение соответствующих атак.
Атака типа Сканирование портов заключается в сканировании UDP- и TCP-портов, а также сетевых служб на компьютере. Атака позволяет определить степень уязвимости компьютера перед более опасными видами сетевых атак. Сканирование портов также позволяет злоумышленнику определить операционную систему на компьютере и выбрать подходящие для нее сетевые атаки.

Атака типа Интенсивные сетевые запросы (англ. Network Flooding) – атака на сетевые ресурсы организации (например, веб-серверы). Атака заключается в отправке большого количества запросов для превышения пропускной способности сетевых ресурсов. В результате пользователи не могут получить доступ к сетевым ресурсам организации.

Если функция включена, Kaspersky Industrial CyberSecurity for Nodes контролирует сетевой трафик на наличие сканирования портов и интенсивных сетевых запросов. При обнаружении такого поведения приложение уведомляет пользователя и отправляет соответствующее событие в Kaspersky Security Center. Приложение предоставляет информацию о компьютере, с которого выполняются запросы. Эта информация нужна для принятия своевременных действий по реагированию. При этом Kaspersky Industrial CyberSecurity for Nodes не блокирует компьютер, с которого выполняются запросы, так как такой трафик может быть штатным поведением в сети организации.

По умолчанию функция выключена.
Если необходимо, установите флажок Блокировать атакующие устройства на N мин.
Если флажок установлен, компонент Защита от сетевых угроз блокирует сетевое соединение с атакующим компьютером после первой попытки сетевой атаки в течение заданного времени, чтобы автоматически защитить компьютер пользователя от возможных будущих сетевых атак с этого адреса. Минимальное время, на которое атакующий компьютер можно добавить в список блокирования, составляет одну минуту. Максимальное – 999 минут.

Если выбран режим Информировать, Kaspersky Industrial CyberSecurity for Nodes не блокирует сетевое соединение.

По умолчанию флажок установлен.
В блоке Защита от MAC-спуфинга установите или снимите флажок Включить защиту от атак с подменой MAC-адресов.
Атака c подменой MAC-адреса (MAC-спуфинг) заключается в изменении MAC-адреса сетевого устройства (сетевой карты). В результате злоумышленник может перенаправить данные, отправленные на устройство, на другое устройство и получить доступ к этим данным.

Если флажок установлен, Kaspersky Industrial CyberSecurity for Nodes проверяет входящий сетевой трафик на действия, характерные для атак с подменой MAC-адресов, и выполняет действия в соответствии с выбранным режимом работы Защиты от сетевых угроз.

Для корректной работы Kaspersky Industrial CyberSecurity for Nodes на виртуальных машинах в инфраструктуре Microsoft Hyper-V необходимо выполнять настройку виртуальных коммутаторов Hyper-V после установки Kaspersky Industrial CyberSecurity for Nodes.

Если флажок снят, Kaspersky Industrial CyberSecurity for Nodes не проверяет входящий сетевой трафик на действия, характерные для атак с подменой MAC-адресов.

По умолчанию флажок снят.
Если необходимо, добавьте исключения из блокирования.
Kaspersky Industrial CyberSecurity for Nodes может распознать сетевую атаку и заблокировать безопасное сетевое соединение, по которому передается большое количество пакетов (например, от камер наблюдения). Для работы с доверенными устройствами вы можете добавить IP-адреса этих устройств в список исключений. Также вы можете выбрать протокол и порт, по которым передаются данные, чтобы разрешить отдельную сетевую активность.

Выбор протокола и портов для исключений добавлен в Kaspersky Industrial CyberSecurity for Nodes версии 4.5. Убедитесь, что приложение и плагин управления обновлены до версии 4.5 или выше. Если вы используете более раннюю версию приложения или плагина управления, Kaspersky Industrial CyberSecurity for Nodes разрешает активность компьютеров только по IP-адресу.
1. Выберите вкладку Исключения.
2. Установите флажок Не контролировать адреса, указанные в исключениях, чтобы Kaspersky Industrial CyberSecurity for Nodes не проверяло входящий сетевой трафик со стороны исключенных IP-адресов.
3. Нажмите на кнопку Добавить.
4. В окне Исключения введите IP-адрес компьютера, сетевые атаки с которого не должны блокироваться.
5. Если требуется, выберите протокол и порты, по которым передаются данные.
6. Нажмите на кнопку ОК.
7. Выполните пункты c-f для каждого добавляемого исключения.
Сохраните внесенные изменения.

Как включить и настроить Защиту от сетевых угроз в Консоли приложения

В дереве Консоли приложения выберите узел Постоянная защита компьютера → Защита от сетевых угроз.
В панели результатов перейдите по ссылке Свойства.
Откроется окно Свойства: Защита от сетевых угроз.
Установите флажок Защита от сетевых угроз, чтобы включить компонент Защита от сетевых угроз.
В разделе Режим работы выберите режим работы задачи:
- Блокировать. Если выбран этот режим, Kaspersky Industrial CyberSecurity for Nodes проверяет входящий сетевой трафик на наличие активности, характерной для сетевых атак, блокирует соединение с компьютерами, проявляющими такую активность, а в некоторых случаях добавляет IP-адреса компьютеров в список заблокированных сетевых сессий. Приложение также фиксирует в журнале компонента события об обнаруженной активности, характерной для сетевых атак.
- Информировать. Если выбран этот режим, Kaspersky Industrial CyberSecurity for Nodes проверяет входящий сетевой трафик на наличие активности, характерной для сетевых атак, но не блокирует соединение с компьютерами, проявляющими такую активность, и не добавляет IP-адреса компьютеров в список заблокированных сетевых сессий. Приложение фиксирует в журнале компонента события об обнаруженной активности, характерной для сетевых атак.
Используйте флажок Считать атаками сканирование портов и интенсивные сетевые запросы, чтобы включить или выключить обнаружение соответствующих атак.
Если необходимо, установите флажок Блокировать атакующие устройства на N мин.
В блоке Защита от MAC-спуфинга установите или снимите флажок Включить защиту от атак с подменой MAC-адресов.
Если необходимо, добавьте исключения из блокирования.
Kaspersky Industrial CyberSecurity for Nodes может распознать сетевую атаку и заблокировать безопасное сетевое соединение, по которому передается большое количество пакетов (например, от камер наблюдения). Для работы с доверенными устройствами вы можете добавить IP-адреса этих устройств в список исключений. Также вы можете выбрать протокол и порт, по которым передаются данные, чтобы разрешить отдельную сетевую активность.

Выбор протокола и портов для исключений добавлен в Kaspersky Industrial CyberSecurity for Nodes версии 4.5. Убедитесь, что приложение и плагин управления обновлены до версии 4.5 или выше. Если вы используете более раннюю версию приложения или плагина управления, Kaspersky Industrial CyberSecurity for Nodes разрешает активность компьютеров только по IP-адресу.
1. Выберите вкладку Исключения.
2. Установите флажок Не контролировать адреса, указанные в исключениях, чтобы Kaspersky Industrial CyberSecurity for Nodes не проверяло входящий сетевой трафик со стороны исключенных IP-адресов.
3. Нажмите на кнопку Добавить.
4. В окне Исключения введите IP-адрес компьютера, сетевые атаки с которого не должны блокироваться.
5. Если требуется, выберите протокол и порты, по которым передаются данные.
6. Нажмите на кнопку ОК.
7. Выполните пункты c-f для каждого добавляемого исключения.
Сохраните внесенные изменения.

Как включить и настроить Защиту от сетевых угроз в Web Console

В главном окне Web Console выберите Активы (Устройства) → Политики и профили политик.
Нажмите на название политики Kaspersky Industrial CyberSecurity for Nodes.
Откроется окно свойств политики.
Выберите вкладку Параметры приложения.
Выберите раздел Контроль активности в сети → Защита от сетевых угроз.
На вкладке Общие установите флажок Включить Защиту от сетевых угроз, чтобы включить компонент Защита от сетевых угроз.
Выберите режим работы задачи:
- Блокировать. Если выбран этот режим, Kaspersky Industrial CyberSecurity for Nodes проверяет входящий сетевой трафик на наличие активности, характерной для сетевых атак, блокирует соединение с компьютерами, проявляющими такую активность, а в некоторых случаях добавляет IP-адреса компьютеров в список заблокированных сетевых сессий. Приложение также фиксирует в журнале компонента события об обнаруженной активности, характерной для сетевых атак.
- Информировать. Если выбран этот режим, Kaspersky Industrial CyberSecurity for Nodes проверяет входящий сетевой трафик на наличие активности, характерной для сетевых атак, но не блокирует соединение с компьютерами, проявляющими такую активность, и не добавляет IP-адреса компьютеров в список заблокированных сетевых сессий. Приложение фиксирует в журнале компонента события об обнаруженной активности, характерной для сетевых атак.
Используйте флажок Считать атаками сканирование портов и интенсивные сетевые запросы, чтобы включить или выключить обнаружение соответствующих атак.
Если необходимо, установите флажок Блокировать атакующие устройства на N мин.
Установите или снимите флажок Включить защиту от атак с подменой MAC-адресов.
Если необходимо, добавьте исключения из блокирования.
Kaspersky Industrial CyberSecurity for Nodes может распознать сетевую атаку и заблокировать безопасное сетевое соединение, по которому передается большое количество пакетов (например, от камер наблюдения). Для работы с доверенными устройствами вы можете добавить IP-адреса этих устройств в список исключений. Также вы можете выбрать протокол и порт, по которым передаются данные, чтобы разрешить отдельную сетевую активность.

Выбор протокола и портов для исключений добавлен в Kaspersky Industrial CyberSecurity for Nodes версии 4.5. Убедитесь, что приложение и плагин управления обновлены до версии 4.5 или выше. Если вы используете более раннюю версию приложения или плагина управления, Kaspersky Industrial CyberSecurity for Nodes разрешает активность компьютеров только по IP-адресу.
1. Выберите вкладку Исключения.
2. Установите флажок Не контролировать адреса, указанные в исключениях, чтобы Kaspersky Industrial CyberSecurity for Nodes не проверяло входящий сетевой трафик со стороны исключенных IP-адресов.
3. Нажмите на кнопку Добавить.
4. В окне Исключения введите IP-адрес компьютера, сетевые атаки с которого не должны блокироваться.
5. Если требуется, выберите протокол и порты, по которым передаются данные.
6. Нажмите на кнопку ОК.
7. Выполните пункты c-f для каждого добавляемого исключения.
Сохраните внесенные изменения.

В начало