Функциональность обнаружения рисков позволяет реализовать непрерывное (циклическое) управление рисками в вашей информационной системе. Для управления рисками Kaspersky Industrial CyberSecurity for Networks предоставляет информацию об обнаруженных рисках, на основе которой вы можете предпринять нужные меры по их устранению или минимизации.
Сценарий реализации для процесса непрерывного управления рисками состоит из следующих этапов:
Этот этап реализуется с использованием методов обнаружения активности устройств и обнаружения сведений об устройствах (применение методов должно быть включено). На этом этапе программа автоматически обнаруживает новые устройства и обновляет сведения об устройствах. Если в промышленной сети есть устройства, которые не были обнаружены автоматически, вам нужно добавить их вручную или импортировать из внешних проектов.
Для всех сведений, определяющих классификацию и эксплуатационные особенности устройств (например, информация о модели и версии программного обеспечения на устройстве), требуется включить автоматическое изменение в параметрах устройств. Если автоматическое изменение таких сведений не может выполняться по каким-либо причинам, эти сведения следует актуализировать вручную.
Программа выполняет пассивное сканирование устройств на наличие рисков, используя имеющиеся сведения об устройствах. Также для обнаружения рисков программа анализирует сетевые взаимодействия в трафике промышленной сети. Обнаружение рисков реализуется с использованием метода обнаружения рисков (применение метода должно быть включено).
Вы также можете выполнять активный опрос устройств для быстрого получения сведений от этих устройств. При активном опросе устройств дополнительно предоставляются возможности обнаружения некоторых типов рисков, если выбраны соответствующие методы для анализа рисков. Для проведения активного опроса устройств вам нужно добавить в программу один или несколько коннекторов типа Active poll.
Обнаружение рисков категории Уязвимость происходит автоматически после обновления базы данных известных уязвимостей в программе или после добавления/изменения тех сведений об устройствах, которые используются для сравнения (например, после сохранения информации о модели и версии программного обеспечения на устройстве).
Для каждого обнаруженного риска программа выполняет расчет значения оценки. Оценка определяет уровень критичности риска. В зависимости от числового значения оценки риск может относиться к уровням критичности Низкий (оценки 0.0–3.9), Средний (оценки 4.0–7.9) или Высокий (оценки 8.0–10.0).
На основании уровней критичности со значениями оценок, а также с учетом факторов, связанных с особенностями использования устройств в вашей информационной системе, вы можете классифицировать обнаруженные риски по их значимости. Если вы оцениваете риск как незначительный, его статус можно вручную изменить со статуса Актуальный (присвоен риску по умолчанию после обнаружения) на статус Принят, например, в случае, если условия для эксплуатации уязвимости не могут быть воспроизведены. При изменении статуса риска рекомендуется добавить или изменить комментарий к нему.
Все риски, по которым требуется выполнить какие-либо дополнительные действия, следует оставить со статусом Актуальный.
На этом этапе вам нужно выполнить действия, которые позволят устранить обнаруженные риски или минимизировать угрозы, связанные с возможной реализацией этих рисков. Для этого проверьте все обнаруженные риски со статусом Актуальный, начиная с рисков, имеющих наибольшие значения оценок. Выполните нужные действия в вашей информационной системе (например, для устранения уязвимости устройства установите необходимое обновление программного обеспечения, а если это невозможно, то изолируйте это устройство от внешних сетей). Для некоторых рисков (например, для уязвимостей) представлена информация о рекомендуемых действиях.
Действия по устранению обнаруженных рисков выполняются без участия Kaspersky Industrial CyberSecurity for Networks.
Этот этап аналогичен этапу обнаружения рисков при сканировании. В результате выполнения этого этапа в таблице рисков не должно остаться рисков со статусом Актуальный.
Для большинства рисков, которые программа обнаруживает при пассивном сканировании (например, уязвимости), программа автоматически присваивает статус Устранен, если перестали выполняться условия для обнаружения этих рисков. Например, после изменения сведений о версии программного обеспечения на устройстве программа присваивает статус Устранен риску категории Уязвимость, который был зарегистрирован из-за указанной ранее уязвимой версии программного обеспечения. Статус Устранен также присваивается тем рискам, для которых больше нет описания в базе данных известных уязвимостей (в случае удаления описания из базы данных после загрузки обновлений).
При удалении устройств программа удаляет и риски, которые были связаны с этими устройствами.
Если после выполнения действий по устранению риска не изменились условия для его обнаружения (например, уязвимое устройство изолировано от внешних сетей, но сведения об этом устройстве не изменились), вы можете вручную присвоить этому риску статус Принят. При изменении статуса риска рекомендуется добавить или изменить комментарий к нему.
Некоторые риски не предусматривают автоматического присвоения статуса Устранен (например, автоматическое присвоение статуса Устранен не выполняется для рисков, обнаруженных при активном опросе устройств). Для таких рисков также требуется вручную присвоить статус Принят после выполнения действий по устранению риска.
Если риск связан с событием, вы можете присвоить этому риску статус Принят одновременно с изменением статуса события на статус Обработано.