风险检测功能可让您在信息系统中实施持续(周期性)的风险管理。出于风险管理目的,Kaspersky Industrial CyberSecurity for Networks 提供了有关检测到的风险的信息,您可以根据这些信息采取适当措施消除或减轻这些风险。
实施持续风险管理流程的场景包括以下阶段:
此阶段通过使用设备活动检测和设备信息检测方法(这些方法必须启用)来实现。在此阶段,应用程序会自动检测新设备并更新设备信息。如果工业网络包含未自动检测到的设备,则需要手动添加或从外部项目导入它们。
对于定义设备分类和操作规格的所有信息(例如有关设备型号和软件版本的信息),您必须在设备设置中启用自动更新。如果由于某种原因无法完成该信息的自动更新,则应手动更新该信息。
该应用程序利用可用的设备信息,被动地扫描设备是否存在风险。该应用程序还通过分析工业网络流量中的网络交互来检测风险。风险检测采用风险检测方法实现(必须启用该方法)。
您还可以对设备进行主动轮询,以快速获取有关这些设备的信息。在对设备进行主动轮询时,如果选择了相应的风险分析方法,您还可以检测特定类型的风险。要对设备进行主动轮询,必须向应用程序中添加一个或多个主动轮询连接器。
漏洞风险在已知漏洞数据库更新后,或增加、修改用于比对的设备信息后(如保存设备型号和软件版本信息后)被自动检测。
该应用程序会计算每个检测到的风险的分数值。该分数决定了风险的严重级别。根据分数,风险的严重程度可能为低、中或高。
您可以根据检测到的风险的严重程度和分数进行分类,也可以根据与信息系统中使用的设备的操作细节相关的其他因素进行分类。如果您评估某个风险可以忽略不计,则可以手动将其状态从活动 (默认分配给检测到的风险)更改为已接受。例如,如果无法重现利用漏洞的条件,则可以这样做。当改变风险状态时,建议添加或编辑该风险的评论。
所有需要采取额外行动的风险都应保持为活动。
在此阶段,您需要采取行动来帮助消除检测到的风险或最大限度地减少与这些风险的潜在实现相关的威胁。为此,请检查所有检测到的、状态为“活动”的风险,从得分最高的风险开始。在您的信息系统中执行必要的操作(例如,消除设备漏洞、安装所需的软件更新;如果无法更新,则将该设备与外部网络隔离)。有关建议的缓解措施的信息 针对特定风险(例如漏洞)提供。
对检测到的风险采取的修复操作无需 Kaspersky Industrial CyberSecurity for Networks 的参与。
这个阶段类似于通过扫描检测风险。当此阶段完成后,风险表将不再包含任何“活动”风险。
如果检测到这些风险的条件不再满足,则应用程序在被动扫描期间检测到的大多数风险(例如漏洞)都会自动分配已修复状态。例如,在设备上的软件版本发生变化后,应用程序会将因软件先前版本存在漏洞而注册的漏洞风险分配为已修复状态。对于已知漏洞数据库中不再具有描述的风险(例如,如果在上传更新已修复“已修复”状态。
删除设备时,应用程序也会删除与这些设备相关的风险。
如果您已采取措施降低风险,但风险检测条件没有改变(例如,某个易受攻击的设备已与外部网络隔离,但该设备的信息没有改变),您可以手动将此风险状态指定为已接受 。当改变风险状态时,建议添加或编辑该风险的评论。
某些风险无法自动分配已修复状态(例如,无法将已修复自动分配给在设备主动轮询期间检测到的风险)。对于这些类型的风险,您还必须在采取风险缓解措施后手动分配已接受状态。
如果某个风险与某个事件相关联,您可以在将事件状态更改为“已解决”的同时,为该风险分配“已接受”状态。