Аудит безопасности с помощью Kaspersky Industrial CyberSecurity for Networks
Вы можете использовать Kaspersky Industrial CyberSecurity for Networks для аудита безопасности контролируемых устройств. Аудит безопасности позволяет оценивать соответствие устройств стандартам безопасности и выполнять другие проверки (например, поиск уязвимостей или определение установленного программного обеспечения на устройствах).
Аудит безопасности в Kaspersky Industrial CyberSecurity for Networks выполняется по заданиям, сформированным для выбранных устройств. Вы можете запускать задания аудита безопасности вручную или настроить расписание автоматического запуска каждого задания.
При запуске задания программа инициирует сканирования устройств, входящих в это задание. Результаты выполнения задания вы можете получать по электронной почте или просматривать и загружать нужные данные в веб-интерфейсе программы. По результатам заданий и сканирований программа может выполнять следующие действия:
- Формировать отчеты со сведениями о результатах.
Программа формирует отчеты в виде файлов в формате PDF. Если в параметрах задания включена отправка отчетов по электронной почте, программа автоматически формирует отчеты о каждом выполнении задания и отправляет эти отчеты указанным адресатам. При необходимости вы можете вручную сформировать отчет для завершенного запуска задания или отдельного сканирования устройства и затем экспортировать отчет в файл.
- Регистрировать обнаруженные риски категории Уязвимость.
Для рисков, регистрируемых по результатам заданий аудита безопасности, программа указывает источник уязвимости OVAL. Такие риски регистрируются программой, если в параметрах задания включена регистрация обнаруженных уязвимостей. При этом риски с указанным источником уязвимости OVAL регистрируются и обрабатываются независимо от рисков, для которых указаны другие источники уязвимостей. Таким образом, в таблице рисков могут отображаться риски с одним и тем же CVE-идентификатором (или идентификатором другой базы уязвимостей), но с различными источниками уязвимостей.
В заданиях аудита безопасности должны быть указаны правила, используемые для проведения проверок. Правила могут быть написаны на языке OVAL или на языке XCCDF с использованием OVAL-определений.
Сканирования устройств в рамках задания аудита безопасности можно выполнять одним из следующих способов опроса устройств:
- Локальный агент.
Вы можете использовать этот способ, если на устройствах, выбранных для задания, установлена программа Kaspersky Endpoint Agent и настроена интеграция этой программы с Kaspersky Industrial CyberSecurity for Networks. Этот способ применяется для сканирования с помощью программы Kaspersky Endpoint Agent на каждом устройстве.
- Удаленное подключение.
Этот способ нужно использовать, если на устройствах, выбранных для задания, не установлена программа Kaspersky Endpoint Agent, но есть возможность подключиться к этим устройствам по протоколам, которые обеспечивают безопасное управление и передачу данных. Для этого способа требуется указать в задании один из узлов с установленными компонентами программы, с которого будут выполняться подключения к устройствам. Также требуется указать учетные данные для удаленных подключений (учетные данные хранятся в программе в виде секретов).
Запускать задания аудита безопасности могут только пользователи с ролью Администратор.
Вы можете настраивать аудит безопасности и запускать задания на странице веб-интерфейса Сервера в разделе Аудит безопасности. Если для сканирования устройств будет использоваться способ Удаленное подключение, вы можете создать секреты с нужными учетными данными в разделе Параметры → Секреты.
Для использования функциональности аудита безопасности вам нужно учитывать следующие особенности и ограничения:
- Функциональность доступна после добавления лицензионного ключа.
- Узлы с установленными компонентами программы, через которые выполняются сканирования устройств, должны иметь сетевой доступ к устройствам для отправки и получения данных. Для обеспечения сетевого доступа к устройствам на компьютере узла должен быть сетевой интерфейс с подключением к сети этих устройств. Для этих целей не могут использоваться сетевые интерфейсы точек мониторинга, если на эти сетевые интерфейсы поступает зеркалированный трафик промышленной сети (например, от SPAN-портов сетевых коммутаторов).
- Для способа опроса устройств Удаленное подключение недоступна возможность усиления защиты соединений с устройствами путем проверки сертификатов этих устройств. Злоумышленники могут попытаться подменить эти устройства в сети, пользуясь отсутствием аутентификации устройств с помощью сертификатов.
