Прием, который злоумышленники могут применять для проведения сетевой атаки типа "человек посередине" (Man in the middle) в сетях с использованием протокола ARP (Address Resolution Protocol).
Аббревиатура от Common Vulnerabilities and Exposures. База данных общеизвестных уязвимостей и рисков информационной безопасности. Уязвимостям присваиваются идентификационные номера в формате CVE-<год>-<номер>.
Интегрированная система комплексной защиты конечных устройств (например, мобильных устройств, компьютеров или ноутбуков) с помощью различных технологий безопасности. Пример Endpoint Protection Platform – программа Kaspersky Endpoint Security для бизнеса.
Программа, входящая в состав системы защиты конечных устройств (англ. Endpoint Protection Platform, EPP). EPP-программы устанавливаются на конечные устройства внутри IT-инфраструктуры организации (например, мобильные устройства, компьютеры или ноутбуки). Примером EPP-программы является Kaspersky Endpoint Security для Windows в составе EPP-решения Kaspersky Endpoint Security для бизнеса.
Аббревиатура от Supervisory Control And Data Acquisition. Программный пакет, который обеспечивает контроль технологических процессов оператором в реальном времени.
Аббревиатура от Security Information and Event Management. Решение для управления информацией и событиями в системе безопасности организации.
Аббревиатура от "автоматизированная система управления технологическим процессом". Группа технических и программных средств, предназначенных для автоматизации управления технологическим оборудованием на промышленных предприятиях.
Технология регистрации инцидентов, а также событий, которые поступают в Kaspersky Industrial CyberSecurity for Networks от сторонних систем с использованием методов Kaspersky Industrial CyberSecurity for Networks API.
Вычислительная сеть, которая состоит из компьютеров, предназначенных для работы программ из состава решения Kaspersky Industrial CyberSecurity, и сетевого оборудования для обеспечения взаимодействия компьютеров. Выделенная сеть должна быть недоступна из других сетей.
Комплекс устройств, обеспечивающих своевременное отключение аварийных энергообъектов от энергосистемы и выполняющих необходимые для обеспечения нормальной работы энергосистемы действия в автоматическом или полуавтоматическом режимах.
В Kaspersky Industrial CyberSecurity for Networks инцидентом является событие, которое регистрируется при получении определенной последовательности событий. Инциденты группируют события, имеющие некоторые общие признаки или относящиеся к одному процессу. Kaspersky Industrial CyberSecurity for Networks регистрирует инциденты по правилам корреляции событий.
Модель для визуального отображения обнаруженных взаимодействий между устройствами. Карта сети содержит следующие объекты: узлы, представляющие устройства, группы устройств и соединения между узлами/группами устройств.
Технология регистрации событий, связанных с обнаружением информации об устройствах в трафике или в полученных данных от EPP-программ (например, событие при обнаружении активности ранее неизвестного устройства).
Технология регистрации событий, связанных с обнаружением в трафике системных команд для устройств (например, обнаружение неразрешенной системной команды).
Технология регистрации событий, связанных с нарушениями технологического процесса (например, обнаружено превышение заданного значения температуры).
Технология регистрации событий, связанных с целостностью промышленной сети или с безопасностью взаимодействий (например, обнаружено взаимодействие устройств по неразрешенному протоколу).
Технология регистрации событий, связанных с обнаружением в трафике аномалий, которые являются признаками атак (например, обнаружены признаки ARP-спуфинга).
Набор данных, которые определяют параметры работы Kaspersky Industrial CyberSecurity for Networks.
Описание разрешенного взаимодействия для устройств промышленной сети. При обнаружении сетевого взаимодействия, которое удовлетворяет включенному правилу контроля взаимодействий, Kaspersky Industrial CyberSecurity for Networks не регистрирует событие.
Набор условий для значений тегов. При выполнении условий правила контроля процесса Kaspersky Industrial CyberSecurity for Networks регистрирует событие.
Набор условий для проверки последовательностей событий в Kaspersky Industrial CyberSecurity for Networks. При обнаружении последовательности событий, удовлетворяющих условиям правила корреляции событий, Kaspersky Industrial CyberSecurity for Networks регистрирует инцидент.
Набор условий, по которым система обнаружения вторжений анализирует трафик. Правило описывает аномалию трафика, которая может быть признаком атаки в промышленной сети.
Промышленный контроллер, используемый для автоматизации технологических процессов на предприятии.
Микропрограмма, написанная для ПЛК. Хранится в памяти ПЛК и выполняется в рамках технологического процесса, использующего ПЛК. Проект ПЛК может состоять из блоков, которые по отдельности передаются и принимаются по сети при чтении или записи проекта.
Вычислительная сеть, соединяющая узлы автоматизированной системы управления технологическим процессом промышленного предприятия.
Совокупность прав доступа, определяющая набор доступных пользователю действий при подключении к Серверу через веб-интерфейс. В Kaspersky Industrial CyberSecurity for Networks предусмотрены роли Администратор и Оператор.
Компонент Kaspersky Industrial CyberSecurity for Networks. Сенсор устанавливается на отдельном компьютере (не на компьютере, который выполняет функции Сервера Kaspersky Industrial CyberSecurity for Networks). Сенсор получает и анализирует данные из вычислительных сетей, к которым подключены сетевые интерфейсы компьютера. Для получения и анализа трафика промышленной сети на сетевые интерфейсы должны быть добавлены точки мониторинга. Результаты анализа данных сенсор передает на Сервер.
Компонент Kaspersky Industrial CyberSecurity for Networks. Сервер принимает данные, обрабатывает и предоставляет их пользователям программы. Сервер может принимать данные от сенсоров или самостоятельно получать и анализировать данные из вычислительных сетей, к которым подключены сетевые интерфейсы компьютера.
Блок данных в трафике промышленной сети, содержащий команду управления устройством (например, START PLC) или системное сообщение, связанное с функционированием устройства (например, REQUEST NOT FOUND).
Запись, содержащая информацию, которая требует внимания специалиста по безопасности АСУ ТП. Kaspersky Industrial CyberSecurity for Networks сохраняет зарегистрированные события в базе данных. Для просмотра зарегистрированных событий нужно подключиться к Серверу программы через веб-интерфейс. При необходимости можно настроить передачу событий в Kaspersky Security Center и сторонние системы.
Отображаемый объект на карте сети, который обозначает взаимодействие узлов в виде линии связи между узлами.
Переменная, которая содержит значение какого-либо параметра технологического процесса (например, температуры).
Механизм, позволяющий пользователю получить доступ к нескольким программным ресурсам, используя одну учетную запись.
Заданный набор параметров для регистрации событий в Kaspersky Industrial CyberSecurity for Networks. Каждому типу события присваивается уникальный номер (код типа события).
Точка приема поступающих данных. Добавляется на сетевой интерфейс узла с установленным Сервером или сенсором Kaspersky Industrial CyberSecurity for Networks и используется для получения копии трафика промышленной сети (например, c порта сетевого коммутатора, настроенного на передачу зеркалированного трафика).
Компьютер, на котором установлен Сервер или сенсор Kaspersky Industrial CyberSecurity for Networks, либо объект на карте сети, представляющий одно или несколько устройств.
Устройство, подключенное к вычислительной сети и идентифицируемое по адресной информации, которую можно сохранить в Kaspersky Industrial CyberSecurity for Networks (например, программируемый логический контроллер, удаленный терминал, интеллектуальное электронное устройство).
Недостаток в программном или аппаратном обеспечении устройства, используя который злоумышленник может повлиять на работу информационной системы или получить несанкционированный доступ к информации.
В начало