Методы и режимы контроля активов

Для контроля активов в Kaspersky Industrial CyberSecurity for Networks применяются следующие методы:

• Обнаружение активности устройств. Этот метод позволяет отслеживать активность устройств в трафике промышленной сети по полученным MAC- и/или IP-адресам устройств.
• Обнаружение сведений об устройствах. Этот метод позволяет автоматически получать и обновлять сведения об устройствах, известных программе, на основе полученных данных из трафика или от других источников.
• Контроль проектов ПЛК. Этот метод позволяет обнаруживать в трафике информацию о проектах ПЛК, сохранять эту информацию в программе и сравнивать с ранее полученной информацией.
• Обнаружение рисков. Этот метод позволяет обнаруживать риски информационной безопасности на основе данных об устройствах и их взаимодействиях.
• Обнаружение сетевых сессий. Этот метод позволяет обнаруживать в трафике промышленной сети сетевые сеансы, создаваемые устройствами для соединений с другими устройствами.

Вы можете включать и выключать применение методов контроля активов по отдельности.

О методе обнаружения активности устройств

Для метода обнаружения активности устройств предусмотрены следующие режимы:

• Режим обучения. Этот режим предназначен для временного использования. В этом режиме программа считает разрешенными все устройства, активность которых обнаружена в трафике. Вы можете включить режим обучения только для метода обнаружения активности устройств. При этом метод обнаружения активности устройств может применяться совместно с другими методами контроля активов.
• Режим наблюдения. Этот режим предназначен для постоянного использования. В этом режиме при обнаружении активности устройств программа считает разрешенными только те из них, которым присвоен статус Разрешенное.

В зависимости от выбранного режима программа автоматически присваивает статусы устройствам.

В режиме обучения программа не регистрирует события при обнаружении активности устройств или при автоматическом обновлении сведений об устройствах.

Вы можете настраивать режим обучения для метода обнаружения активности устройств. Режим обучения контроля активов должен быть включен на время, достаточное для обнаружения активности нужных устройств. Это время зависит от количества устройств в промышленной сети, периодичности их работы и обслуживания. Рекомендуется включать режим обучения на время не менее одного часа. В крупных промышленных сетях для обнаружения активности всех нужных устройств режим обучения можно включить на период от одного до нескольких дней.

Обработка полученных MAC- и IP-адресов устройств выполняется со следующими особенностями:

• Для устройств, которые выполняют функции сетевого коммутатора между сегментами промышленной сети, должен быть выставлен признак маршрутизирующего устройства. Если этот признак не был определен программой автоматически, то его требуется выставить вручную. Иначе программа может не добавить в таблицу устройств те устройства, которые взаимодействуют через это маршрутизирующее устройство в разных сегментах промышленной сети. После выставления признака взаимодействующие устройства будут добавлены в таблицу устройств при появлении соответствующего трафика с их участием.
• Если в трафике обнаружен только IP-адрес устройства (IP-адрес невозможно сопоставить с каким-либо MAC-адресом), этот IP-адрес проверяется на принадлежность известным программе подсетям. Для метода обнаружения активности устройств не учитываются IP-адреса, которые принадлежат только подсетям с типом Публичная.

О методе обнаружения сведений об устройствах

При включенном методе обнаружения сведений об устройствах программа автоматически изменяет сведения об известных устройствах. Например, программа может обновлять название операционной системы, установленной на устройстве, по мере обнаружения уточняющих данных в трафике этого устройства.

По умолчанию автоматическое изменение включено для всех сведений. Для некоторых сведений вы можете выключать автоматическое изменение при настройке параметров устройств: при добавлении устройства вручную, при объединении устройств или при изменении сведений об устройстве.

Для автоматического получения сведений об устройствах программа может использовать:

• Встроенные правила определения сведений об устройствах и протоколов взаимодействия устройств.

  После установки программы используются исходные правила определения сведений об устройствах и протоколов взаимодействия устройств. Для повышения точности определения специалисты "Лаборатории Касперского" регулярно обновляют базы с наборами правил. Вы можете обновлять правила, устанавливая обновления.

• Данные от EPP-приложений, содержащие сведения об устройствах.

  Программа обрабатывает поступающие данные от EPP-приложений, в которых непосредственно содержатся сведения об устройствах (например, сведения об оборудовании).

• Данные от EPP-приложений, обработанные по правилам из набора правил с базой данных уязвимостей Kaspersky ICS CERT для АСУ ТП.

  Правила из набора правил с базой данных уязвимостей Kaspersky ICS CERT для АСУ ТП позволяют проводить дополнительный анализ данных, поступающих от EPP-приложений. По результатам анализа программа может косвенно определить некоторые сведения об устройствах (например, категорию устройства). Набор правил База данных уязвимостей Kaspersky ICS CERT для АСУ ТП является системным набором правил аудита безопасности. Этот набор правил поставляется и обновляется вместе с обновлениями баз и программных модулей. Поэтому, чтобы использовать правила из этого набора, вам нужно установить обновления.

О регистрируемых событиях при применении методов

В режиме наблюдения программа регистрирует соответствующие события по технологии Контроль активов. В зависимости от применяемых методов, события могут регистрироваться в следующих случаях:

• обнаружение активности неизвестных устройств или устройств со статусом Неиспользуемое;
• автоматическое изменение сведений об устройствах;
• обнаружение операций чтения или записи проектов и блоков проектов ПЛК;
• обнаружение рисков категории Уязвимость и изменений, связанных с такими рисками.

При включенном методе контроля проектов ПЛК программа может регистрировать большое количество событий, связанных с обнаружением операций чтения и записи проектов или блоков. Как правило, большое количество событий регистрируется на начальном этапе использования метода. Для сокращения общего количества регистрируемых событий после установки программы по умолчанию метод контроля проектов ПЛК выключен. Вы можете включить этот метод в любое время.

В начало