О Kaspersky Industrial CyberSecurity for Networks

Kaspersky Industrial CyberSecurity for Networks – программа для защиты инфраструктуры промышленных предприятий от угроз информационной безопасности и для обеспечения непрерывности технологических процессов. Kaspersky Industrial CyberSecurity for Networks анализирует трафик промышленной сети для выявления отклонений в значениях технологических параметров, обнаружения признаков сетевых атак, контроля работы и текущего состояния устройств в сети. Программа входит в состав решения Kaspersky Industrial CyberSecurity.

Kaspersky Industrial CyberSecurity for Networks выполняет следующие функции:

• Контролирует активы предприятия, представленные устройствами промышленной сети. Обнаруживает активность устройств и сведения об устройствах на основании данных, полученных при анализе сетевых пакетов и/или от приложений "Лаборатории Касперского", которые выполняют функции защиты рабочих станций и серверов.
• Контролирует устройства и их взаимодействия с учетом принадлежности их MAC- или IP-адресов к адресным пространствам.
• Проверяет взаимодействия между устройствами промышленной сети на соответствие заданным правилам контроля взаимодействий. Формирование правил контроля взаимодействий может выполняться автоматически в режиме обучения.
• Отображает взаимодействия между устройствами промышленной сети в виде карты сетевых взаимодействий. При отображении объекты визуально выделяются по различным признакам (например, объекты, требующие внимания).
• Отображает схему физических подключений устройств в промышленной сети в виде топологической карты. При отображении объекты визуально выделяются по различным признакам (например, по статусу объектов).
• Обнаруживает риски по результатам анализа трафика и по полученным сведениям об устройствах.
• Позволяет проводить активные опросы устройств с использованием коннекторов для получения наиболее точной и полной информации об устройствах и их конфигурации.
• Позволяет проводить аудит безопасности устройств для оценки соответствия устройств стандартам безопасности и выполнения других проверок.
• Извлекает из сетевых пакетов значения параметров технологического процесса, управляемого автоматизированной системой управления технологическим процессом (далее также "АСУ ТП"), и проверяет допустимость этих значений по заданным правилам контроля процесса. Формирование правил контроля процесса может выполняться автоматически в режиме обучения.
• Обнаруживает в трафике системные команды, переданные или полученные устройствами, которые участвуют в автоматизации технологического процесса. Оповещает об обнаруженных неразрешенных системных командах и ситуациях, которые могут быть признаками нарушения безопасности промышленной сети.
• Контролирует операции чтения и записи проектов для программируемых логических контроллеров, сохраняет полученную информацию о проектах и сравнивает эту информацию с ранее полученной информацией.
• Анализирует трафик промышленной сети на наличие признаков атак, не оказывая влияния на промышленную сеть и не привлекая внимания потенциального нарушителя. Обнаруживает признаки атак с помощью заданных правил обнаружения вторжений и встроенных алгоритмов проверки аномалий в сетевых пакетах.
• Регистрирует сетевые сеансы, создаваемые устройствами для соединений с другими устройствами.
• Регистрирует события и передает сведения о них в сторонние системы, а также в Kaspersky Security Center.
• Анализирует зарегистрированные события и при обнаружении определенных последовательностей событий регистрирует инциденты по встроенным правилам корреляции. Инциденты группируют события, имеющие некоторые общие признаки или относящиеся к одному процессу.
• Сохраняет в базе данных трафик, относящийся к зарегистрированным событиям. Трафик может сохраняться автоматически (если для событий включено автоматическое сохранение трафика) или по запросу на загрузку трафика.
• Получает и обрабатывает данные от приложений, входящих в состав системы защиты конечных устройств (англ. Endpoint Protection Platform, EPP). Регистрирует события и риски при поступлении данных от EPP-приложений. В событиях, являющихся инцидентами Endpoint Detection and Response, отображает сведения о цепочках развития угроз.
• Предоставляет возможность запуска действий по реагированию для устройств с установленной программой Kaspersky Endpoint Agent.
• Предоставляет отчеты со сведениями о состоянии устройств и безопасности системы, а также о результатах аудита безопасности.
• Предоставляет возможность загрузки трафика из хранилищ с файлами дампа трафика. Для загрузки может использоваться как внутреннее хранилище узла (созданное автоматически), так и внешнее хранилище, если оно подключено на узле.
• Предоставляет возможности работы через графический интерфейс пользователя и через интерфейс прикладного программирования (API).
• Предоставляет данные для централизованного контроля систем с Kaspersky Industrial CyberSecurity for Networks в Kaspersky Security Center Web Console.