Обзор функциональности Kaspersky Industrial CyberSecurity for Networks

Функциональность для анализа трафика промышленной сети

В Kaspersky Industrial CyberSecurity for Networks анализ трафика промышленной сети обеспечивает следующая функциональность:

• Контроль активов. Эта функциональность позволяет отслеживать активность устройств и изменение сведений об устройствах на основании данных, полученных в сетевых пакетах. Для автоматического получения сведений об устройствах программа анализирует трафик промышленной сети по правилам определения сведений об устройствах и протоколов взаимодействия устройств. Дополнительно программа может определять параметры устройств для контроля процесса. Также совместно с функциональностью контроля процесса обеспечивается контроль чтения и записи проектов для программируемых логических контроллеров. Для контроля устройств в программе формируется таблица, которая содержит сведения, полученные автоматически из трафика или указанные вручную.
• Контроль взаимодействий. Эта функциональность позволяет отслеживать взаимодействия между устройствами промышленной сети. Обнаруженные взаимодействия проверяются на соответствие разрешающим правилам контроля взаимодействий. При обнаружении взаимодействия, которое описано во включенном правиле, программа считает это взаимодействие разрешенным и не регистрирует событие.
• Контроль технологического процесса (далее также "контроль процесса"). Эта функциональность позволяет отслеживать в трафике значения параметров технологического процесса и системные команды, передаваемые или получаемые устройствами. Для отслеживания значений параметров технологического процесса используются правила контроля процесса, по которым программа определяет недопустимые значения. Списки отслеживаемых системных команд формируются при настройке параметров устройств для контроля процесса.
• Обнаружение вторжений. Эта функциональность позволяет обнаруживать в трафике признаки атак или нежелательную сетевую активность. Для обнаружения используются правила обнаружения вторжений, встроенные алгоритмы проверки сетевых пакетов, а также правила анализа статистики сетевой активности. При обнаружении в трафике условий, заданных в правиле или описанных в алгоритме проверки, программа регистрирует событие по технологии Обнаружение вторжений.

Настройку функциональности для анализа трафика промышленной сети выполняет пользователь программы с ролью Администратор.

Функциональность для решения типовых задач оператора

Для решения типовых задач при наблюдении за состоянием технологического процесса и устройств в Kaspersky Industrial CyberSecurity for Networks можно использовать учетные записи пользователей программы с ролью Оператор. Эти пользователи могут использовать следующую функциональность:

• Отображение сведений для мониторинга системы в онлайн-режиме. Эта функциональность позволяет просматривать наиболее значимые изменения в системе, произошедшие к текущему моменту. При мониторинге системы в онлайн-режиме вы можете контролировать потребление аппаратных ресурсов, различные динамические данные и основные сведения об устройствах и событиях.
• Отображение данных на карте сетевых взаимодействий. Эта функциональность позволяет визуально отображать обнаруженные взаимодействия между устройствами промышленной сети. При просмотре карты сетевых взаимодействий вы можете быстро определить проблемные объекты или объекты с другими признаками и просмотреть сведения об этих объектах. Для удобного представления информации предусмотрены возможности распределения устройств на карте сетевых взаимодействий автоматически или вручную. В дополнение к функциональности карты сетевых взаимодействий в программе отображается таблица сетевых сеансов, предоставляющая больше возможностей для расследования инцидентов и анализа статистики сетевых соединений.
• Отображение данных на топологической карте. Эта функциональность позволяет визуально отображать схему физических подключений устройств в промышленной сети. При просмотре топологической карты вы можете изучить структуру соединений устройств через устройства сетевого оборудования и просмотреть сведения об устройствах и их соединениях. Для удобного представления информации предусмотрены возможности распределения устройств на топологической карте автоматически или вручную.
• Отображение сведений о событиях и инцидентах. Эта функциональность позволяет загрузить зарегистрированные события и инциденты из базы данных Сервера и отобразить эти сведения как в таблице событий, так и в виде взаимодействовавших объектов на карте сетевых взаимодействий. По умолчанию, чтобы обеспечить возможность мониторинга новых событий и инцидентов, программа загружает события и инциденты с наиболее поздним временем последнего появления. Также вы можете загружать события и инциденты за любой период. При просмотре таблицы событий вы можете изменять статусы событий и инцидентов, копировать и экспортировать данные, загружать трафик и выполнять другие действия.
• Отображение значений тегов в онлайн-режиме. Эта функциональность позволяет просматривать текущие значения параметров технологического процесса, которые обнаружены в трафике на текущий момент. Информация о получаемых значениях отображается в таблице тегов, сформированной для контроля процесса.
• Отображение сведений об обнаруженных рисках. Эта функциональность позволяет обнаруживать риски, которым подвержены ресурсы информационной системы. Программа определяет риски по результатам анализа трафика и по полученным сведениям об устройствах. Информацию о рисках можно просматривать как при работе с устройствами, так и в общей таблице рисков.
• Отображение сведений для централизованного контроля в Kaspersky Security Center Web Console. Эта функциональность позволяет просматривать сведения о состоянии безопасности информационных систем, в которых функционируют компоненты программы (включая варианты развертывания с несколькими Серверами Kaspersky Industrial CyberSecurity for Networks). При работе с Kaspersky Security Center Web Console вы можете просматривать сведения в веб-виджетах и на картах размещения компонентов, выполнять поиск устройств и событий в Kaspersky Industrial CyberSecurity for Networks, а также переходить из Kaspersky Security Center Web Console на страницы веб-интерфейса Серверов.

Функциональность для управления работой программы

Для управление работой программы в части общей настройки и контроля использования пользователь программы с ролью Администратор может использовать следующую функциональность:

• Управление параметрами развертывания на узлах. Эта функциональность позволяет добавить в программу узлы сенсоров и точки мониторинга для получения трафика, управлять технологиями и изменять другие параметры развертывания. Вы можете приостанавливать и возобновлять наблюдение за сегментами промышленной сети, включать режим обучения технологий, выключать и включать технологии, а также настраивать параметры сохранения данных программы на узлах.
• Управление адресными пространствами. Эта функциональность позволяет контролировать устройства и их взаимодействия с учетом принадлежности их MAC- и IP-адресов к адресным пространствам. Функциональность также позволяет проверять обнаруженные IP-адреса по спискам подсетей адресных пространств. Вы можете настраивать параметры правил и подсетей адресных пространств.
• Проведение активных опросов устройств. Эта функциональность позволяет проводить активные опросы устройств с использованием коннекторов для получения наиболее точной и полной информации об устройствах и их конфигурациях непосредственно от самих устройств. Функциональность проведения активных опросов устройств доступна после добавления лицензионного ключа в Kaspersky Industrial CyberSecurity for Networks. Вы можете указать сведения, которые вы хотите получить об устройствах с помощью активного опроса, а также методы для получения этих сведений.
• Проведение аудита безопасности устройств. Эта функциональность позволяет оценивать соответствие устройств стандартам безопасности и выполнять другие проверки (например, поиск уязвимостей или определение установленного программного обеспечения на устройствах). Функциональность проведения аудита безопасности устройств доступна после добавления лицензионного ключа в Kaspersky Industrial CyberSecurity for Networks. Вы можете запускать задания аудита безопасности вручную или настроить расписание автоматического запуска каждого задания. Программа может формировать отчеты с результатами сканирований устройств по правилам аудита безопасности.
• Совместная работа с EPP-приложениями. Эта функциональность позволяет выбрать узлы с установленными компонентами программы, которые будут получать и обрабатывать данные от приложений "Лаборатории Касперского", выполняющих функции защиты рабочих станций и серверов. Эти приложения входят в состав системы защиты конечных устройств (англ. Endpoint Protection Platform, EPP) и устанавливаются на конечные устройства внутри IT-инфраструктуры организации (далее также "EPP-приложения"). При получении данных от EPP-приложений Kaspersky Industrial CyberSecurity for Networks может регистрировать события, добавлять устройства и обновлять сведения об устройствах. При взаимодействии с программой Kaspersky Endpoint Agent в Kaspersky Industrial CyberSecurity for Networks доступны возможности выполнения действий на устройствах: сканирование устройств в рамках заданий аудита безопасности, запуск действий по реагированию.
• Разделение доступа к функциям программы. Эта функциональность позволяет разграничить доступ пользователей к функциям программы. Разграничение доступа выполняется на основе ролей учетных записей пользователей программы.
• Контроль состояния программы. Эта функциональность позволяет контролировать текущее состояние Kaspersky Industrial CyberSecurity for Networks, а также просматривать сообщения программы и записи аудита действий пользователей за любой период. Доступ к журналу с сообщениями программы имеют также пользователи с ролью Оператор.
• Обновление баз и программных модулей. Эта функциональность позволяет загружать и устанавливать обновления, повышающие эффективность анализа трафика и обеспечивающие максимальную защиту от угроз в промышленной сети. Функциональность обновления доступна после добавления лицензионного ключа в Kaspersky Industrial CyberSecurity for Networks или в Kaspersky Security Center. Вы можете запускать установку обновлений автоматически в соответствии с заданным расписанием или вручную.
• Функциональность настройки типов регистрируемых событий. Эта функциональность позволяет сформировать и настроить список типов событий для регистрации в Kaspersky Industrial CyberSecurity for Networks и передачи в сторонние системы (например, в SIEM-систему), а также в Kaspersky Security Center.
• Управление журналами. Эта функциональность позволяет изменить параметры сохранения данных в журналах работы программы. Вы можете настраивать параметры хранения записей в журналах и параметры сохранения трафика в базе данных. Также вы можете изменять уровни ведения журналов работы процессов. Для файлов дампа трафика, сохраняемых на узлах с установленными компонентами программы, предусмотрены возможности настройки записи и хранения как во внутреннем хранилище, так и во внешнем хранилище. При необходимости вы можете загружать трафик из хранилищ в файлы формата PCAP.
• Управление отчетами. Эта функциональность позволяет формировать отчеты по шаблонам отчетов (шаблоны отчетов используются для получения сведений о состоянии информационной системы) и по результатам сканирований устройств при проведении аудита безопасности. При настройке параметров получения отчетов вы можете указать получателей отчетов и настроить параметры расписания для автоматического формирования отчетов. Вы также можете вручную запускать формирование отчетов и скачивать полученные файлы. Доступ к сформированным отчетам имеют также пользователи с ролью Оператор.
• Использование интерфейса прикладного программирования. Эта функциональность позволяет использовать в сторонних программах набор функций, реализуемых через Kaspersky Industrial CyberSecurity for Networks API. С помощью Kaspersky Industrial CyberSecurity for Networks API вы можете получать данные о событиях, о тегах, отправлять события в Kaspersky Industrial CyberSecurity for Networks и выполнять другие действия.