资产管理方法与模式

Kaspersky Industrial CyberSecurity for Networks 使用以下方法进行资产管理：

• 设备活动检测。此方法允许您根据获得的设备的 MAC 和/或 IP 地址来监控工业网络流量中设备的活动。
• 设备信息检测。此方法可让您使用从流量或其他来源收到的数据作为基础，自动获取和更新有关应用程序已知的设备的信息。
• PLC 项目控制 此方法使您能够检测流量中有关 PLC 项目的信息，将这些信息保存在应用程序中，并将其与以前获得的信息进行比较。
• 风险检测。此方法使您能够根据有关设备及其交互的信息来检测信息安全风险。
• 网络会话检测 此方法分析工业网络流量以检测设备为连接其他设备而创建的网络会话。

您可以启用或禁用单独的资产管理方法。

关于设备活动检测方法

设备活动检测方法有以下几种模式：

• 学习模式。此模式仅供临时使用。在这种模式下，所有在流量中检测到活动的设备都被视为获得应用程序的授权。您只能为设备活动检测方法启用学习模式。设备活动检测方法可以与其他资产管理方法一起应用。
• 监控模式。此模式适合持续使用。在这种模式下，当检测到设备活动时，应用程序仅将那些已分配“已授权”状态的设备视为已授权。

根据所选的模式，应用程序自动为设备分配状态。

在学习模式下，当应用程序检测到设备活动或设备信息自动更新时，它不会注册事件。

您可以配置设备活动检测方法的学习模式。必须启用资产管理学习模式足够长的时间来检测相关设备的活动。这个时间取决于工业网络中的设备数量以及它们的运行和维修频率。我们建议您启用学习模式至少一个小时。在大型工业网络中，可以启用学习模式一段时间（从一天到几天），以检测所有必需设备的活动。

接收到的设备 MAC 地址和 IP 地址会经过以下特殊考虑进行处理：

• 对于起到工业网段之间网络交换机功能的设备，必须设置路由器指示器。如果应用程序未自动定义该指示器，则必须手动设置。否则，应用程序可能无法使用通过此路由设备在不同工业网络段中交互的设备填充设备表。设置指示器后，当有相应的流量涉及到交互设备时，交互设备将被添加到设备表中。
• 如果在流量中仅检测到设备 IP 地址（该 IP 地址无法与特定的 MAC 地址匹配），则会根据应用程序已知的子网列表检查该 IP 地址。设备活动检测方法仅忽略属于“公共”子网的 IP 地址。

关于设备信息检测方法

当启用设备信息检测方法时，应用程序会自动更新已知设备的信息。例如，当应用程序检测到设备流量中的更新数据时，它可以更新设备上安装的操作系统的名称。

默认情况下，所有信息均启用自动更新。对于某些类型的信息，您可以在设备设置中在以下情况下禁用自动更新：手动添加设备、合并设备和更改设备信息。

为了自动获取有关设备的信息，应用程序可以使用：

• 内置的用于检测设备和设备通信协议信息的规则。

  安装后，应用程序使用默认规则来识别有关设备的信息以及设备之间的通信协议。为了提高识别信息的精确性，卡巴斯基专家会定期更新包含规则集的数据库。您可以通过安装更新​​来更新规则。

• 来自 EPP 应用程序的数据包含有关设备的信息。

  应用程序处理来自 EPP 应用程序的数据，其中包含有关设备的信息（例如，部件信息）。

• 根据来自“Kaspersky ICS CERT vulnerabilities database for SCADA”的规则处理来自 EPP 应用程序的数据。

  来自“Kaspersky ICS CERT vulnerabilities database for SCADA”的规则可以对从 EPP 应用程序收到的数据进行额外分析。根据分析结果，应用程序可以间接确定有关设备的一些信息（例如，设备类别）。“用于 SCADA 的卡巴斯基 ICS CERT 漏洞数据库”是一套基于系统的安全审计规则。这些规则集与数据库和应用程序模块更新一起提供和更新。因此，要使用此集合中的规则，请安装更新。

关于应用方法时注册的事件

在监控模式下，应用程序根据资产管理技术注册相应的事件。根据所应用的方法，可以在以下情况下注册事件：

• 检测未知设备或状态为已存档的设备的活动。
• 设备信息的自动更改。
• 检测项目和 PLC 项目块的读/写操作。
• 检测漏洞风险以及与这些风险相关的变化。

当启用“PLC 项目控制”时，应用程序可能会注册大量与检测项目或块的读/写操作相关的事件。通常，使用此方法时，初始阶段会注册大量事件。为了减少注册事件的总数，应用程序安装后默认禁用 PLC 项目控制方法。您可以随时启用此方法。

页首