Kaspersky Industrial CyberSecurity for Networks – программа для защиты инфраструктуры промышленных предприятий от угроз информационной безопасности и для обеспечения непрерывности технологических процессов. Kaspersky Industrial CyberSecurity for Networks анализирует трафик промышленной сети для выявления отклонений в значениях технологических параметров, обнаружения признаков сетевых атак, контроля работы и текущего состояния устройств в сети. Программа входит в состав решения Kaspersky Industrial CyberSecurity.
Kaspersky Industrial CyberSecurity for Networks выполняет следующие функции:
Контролирует активы предприятия, представленные устройствами промышленной сети. Обнаруживает активность устройств и сведения об устройствах на основании данных, полученных при анализе сетевых пакетов и/или от приложений "Лаборатории Касперского", которые выполняют функции защиты рабочих станций и серверов.
Контролирует устройства и их взаимодействия с учетом принадлежности их MAC- или IP-адресов к адресным пространствам.
Проверяет взаимодействия между устройствами промышленной сети на соответствие заданным правилам контроля взаимодействий. Формирование правил контроля взаимодействий может выполняться автоматически в режиме обучения.
Отображает взаимодействия между устройствами промышленной сети в виде карты сетевых взаимодействий. При отображении объекты визуально выделяются по различным признакам (например, объекты, требующие внимания).
Отображает схему физических подключений устройств в промышленной сети в виде топологической карты. При отображении объекты визуально выделяются по различным признакам (например, по статусу объектов).
Обнаруживает риски по результатам анализа трафика и по полученным сведениям об устройствах.
Позволяет проводить аудит безопасности устройств с использованием заданий аудита настроек и уязвимостей, заданий контроля конфигураций и заданий активных опросов.
Извлекает из сетевых пакетов значения параметров технологического процесса, управляемого автоматизированной системой управления технологическим процессом (далее также "АСУ ТП"), и проверяет допустимость этих значений по заданным правилам контроля процесса. Формирование правил контроля процесса может выполняться автоматически в режиме обучения.
Обнаруживает в трафике системные команды, переданные или полученные устройствами, которые участвуют в автоматизации технологического процесса. Оповещает об обнаруженных неразрешенных системных командах и ситуациях, которые могут быть признаками нарушения безопасности промышленной сети.
Контролирует операции чтения и записи проектов для программируемых логических контроллеров по данным из трафика промышленной сети.
Анализирует трафик промышленной сети на наличие признаков атак, не оказывая влияния на промышленную сеть и не привлекая внимания потенциального нарушителя. Обнаруживает признаки атак с помощью заданных правил обнаружения вторжений и встроенных алгоритмов проверки аномалий в сетевых пакетах.
Регистрирует сетевые сеансы, создаваемые устройствами для соединений с другими устройствами.
Регистрирует события и передает сведения о них в сторонние системы, а также в Kaspersky Security Center.
Анализирует зарегистрированные события и при обнаружении определенных последовательностей событий регистрирует инциденты по встроенным правилам корреляции. Инциденты группируют события, имеющие некоторые общие признаки или относящиеся к одному процессу.
Сохраняет в базе данных трафик, относящийся к зарегистрированным событиям. Трафик может сохраняться автоматически (если для событий включено автоматическое сохранение трафика) или по запросу на загрузку трафика.
Получает, обрабатывает и предоставляет данные от приложений, входящих в состав системы защиты конечных устройств (англ. Endpoint Protection Platform, EPP). С помощью EPP-приложений предоставляет возможность запуска действий по реагированию на устройствах.
По данным, поступающим из различных источников, контролирует на устройствах списки оборудования, пользователей, приложений, патчей, исполняемых файлов и других компонентов конфигураций. При изменении этих списков Kaspersky Industrial CyberSecurity for Networks регистрирует соответствующие события.
Предоставляет отчеты со сведениями о состоянии устройств и безопасности системы, а также о результатах аудита безопасности.
Предоставляет возможность загрузки трафика из хранилищ с файлами дампа трафика. Для загрузки может использоваться как внутреннее хранилище узла (созданное автоматически), так и внешнее хранилище, если оно подключено на узле.
Предоставляет возможности работы через графический интерфейс пользователя и через интерфейс прикладного программирования (API).
Предоставляет данные для централизованного контроля систем с Kaspersky Industrial CyberSecurity for Networks в Kaspersky Security Center Web Console.