当应用程序检测到受监控的工业网络设备中的漏洞时,就会记录漏洞风险。漏洞是设备硬件或软件中的缺陷或瑕疵,黑客可以利用它来影响信息系统的运行或获取未经授权的信息访问。
该应用程序通过分析有关设备的可用信息来检测漏洞。将用于查找设备已知漏洞的相关信息与已知漏洞数据库中的特定字段进行比较。已知漏洞数据库内置于应用程序中。该数据库由卡巴斯基专家创建,他们在其中填充了有关工业网络设备最新或最常遇到的漏洞的信息。
已知漏洞数据库包含漏洞的描述以及受这些漏洞影响的设备的描述。该数据库还包含以文本或公开资源链接形式提供的系统安全建议。来自各种来源的描述和建议被上传到已知漏洞数据库。这些来源可能是设备或软件的制造商,或者是各种专门从事工业安全的组织。数据库中的描述和建议以英文提供。
应用程序安装后,将使用初始预配置的已知漏洞数据库。您可以通过安装更新来使数据库保持最新。
Kaspersky Industrial CyberSecurity for Networks 将可用的设备信息与已知漏洞数据库中描述受漏洞影响的设备的特定字段进行比较。为了检测漏洞,该应用程序使用有关设备的以下信息:
在已知漏洞数据库中,设备的描述以 CPE (Common Platform Enumeration) 语言格式存储。应用程序将可用的设备信息与这些描述进行比较,自动将信息转换为 CPE 语言格式。
对于每个漏洞,在“匹配的 CPE”部分的风险详细信息区域中提供了匹配的描述。
如果设备信息与已知漏洞数据库中的相应字段匹配,应用程序将注册漏洞风险并将有关漏洞的信息上传到检测到的风险数据库。
用于识别漏洞的主要参数是其在 Common Vulnerabilities and Exposures (CVE) 列表中的识别号。此识别号称为“CVE ID”。如果漏洞尚未分配 CVE ID,则通过从包含漏洞描述的其他公开资源获取的识别号来识别。
Kaspersky Industrial CyberSecurity for Networks 可让您获取俄罗斯联邦技术和出口管制局 (FSTEC) 在信息安全威胁数据库 (也称为 BDU) 中提供的标识符和漏洞描述链接。如果下载的漏洞信息包含来自 FSTEC BDU 的此类信息,则应用程序会以 BDU 格式将此信息显示为其相应的标识符:<年>-<号码>。
页首