Глоссарий
ARP-спуфинг
Прием, который злоумышленники могут применять для проведения сетевой атаки типа "человек посередине" (Man in the middle) в сетях с использованием протокола ARP (Address Resolution Protocol).
CVE
Аббревиатура от Common Vulnerabilities and Exposures. База данных общеизвестных уязвимостей и рисков информационной безопасности. Уязвимостям, описанным в этой базе данных, присваиваются идентификационные номера в формате CVE-<год>-<номер>.
Endpoint Protection Platform (EPP)
Интегрированная система комплексной защиты конечных устройств (например, мобильных устройств, компьютеров или ноутбуков) с помощью различных технологий безопасности. Пример Endpoint Protection Platform – решение Kaspersky Endpoint Security для бизнеса.
EPP-приложение
Приложение, входящее в состав системы защиты конечных устройств (англ. Endpoint Protection Platform, EPP). EPP-приложения устанавливаются на конечные устройства внутри IT-инфраструктуры организации (например, мобильные устройства, компьютеры или ноутбуки). Примером EPP-приложения является Kaspersky Endpoint Security for Windows в составе EPP-решения Kaspersky Endpoint Security for Business.
IOC
Indicator of Compromise (индикатор компрометации). Набор данных о вредоносном объекте или действии.
IOC-файл
Файл, содержащий набор индикаторов IOC, при совпадении с которыми приложение считает событие обнаружением. Вероятность обнаружения может повыситься, если в результате проверки были найдены точные совпадения данных об объекте с несколькими IOC-файлами.
SCADA
Аббревиатура от Supervisory Control And Data Acquisition. Программный пакет, который обеспечивает контроль технологических процессов оператором в реальном времени.
SIEM
Аббревиатура от Security Information and Event Management. Решение для управления информацией и событиями в системе безопасности организации.
Адресное пространство (АП)
Сегмент сети, определяемый по каким-либо правилам, которые задают множества адресов, VLAN-идентификаторов или точек мониторинга.
АСУ ТП
Аббревиатура от "автоматизированная система управления технологическим процессом". Группа технических и программных средств, предназначенных для автоматизации управления технологическим оборудованием на промышленных предприятиях.
Внешние системы
Технология регистрации инцидентов, а также событий, которые поступают в Kaspersky Industrial CyberSecurity for Networks от сторонних систем с использованием методов Kaspersky Industrial CyberSecurity for Networks API.
Выделенная сеть Kaspersky Industrial CyberSecurity
Вычислительная сеть, которая состоит из компьютеров, предназначенных для работы программ из состава решения Kaspersky Industrial CyberSecurity, и сетевого оборудования для обеспечения взаимодействия компьютеров. Выделенная сеть должна быть недоступна из других сетей.
Интеллектуальное электронное устройство (IED)
Комплекс устройств, обеспечивающих своевременное отключение аварийных энергообъектов от энергосистемы и выполняющих необходимые для обеспечения нормальной работы энергосистемы действия в автоматическом или полуавтоматическом режимах.
Инцидент
В Kaspersky Industrial CyberSecurity for Networks инцидентом является событие, которое регистрируется при получении определенной последовательности событий. Инциденты группируют события, имеющие некоторые общие признаки или относящиеся к одному процессу. Kaspersky Industrial CyberSecurity for Networks регистрирует инциденты по правилам корреляции событий.
Карта сетевых взаимодействий
Модель для визуального отображения обнаруженных взаимодействий между устройствами. Карта сетевых взаимодействий содержит следующие объекты: узлы, представляющие устройства, группы устройств и соединения между узлами/группами устройств.
Контроль активов
Технология регистрации событий, связанных с обнаружением информации об устройствах в трафике или в полученных данных от EPP-приложений (например, событие при обнаружении активности ранее неизвестного устройства).
Контроль системных команд
Технология регистрации событий, связанных с обнаружением в трафике системных команд для устройств (например, обнаружение неразрешенной системной команды).
Контроль технологического процесса
Технология регистрации событий, связанных с нарушениями технологического процесса (например, обнаружено превышение заданного значения температуры).
Контроль целостности сети
Технология регистрации событий, связанных с целостностью промышленной сети или с безопасностью взаимодействий (например, обнаружено взаимодействие устройств по неразрешенному протоколу).
Неуправляемый коммутатор
Устройство с отсутствующей адресной информацией, для которого обнаружены или потенциально возможны соединения на топологической карте.
Неуправляемый коннектор
Управляемый вручную программный модуль для обмена данными с программой.
Обнаружение вторжений
Технология регистрации событий, связанных с обнаружением в трафике аномалий, которые являются признаками атак (например, обнаружены признаки ARP-спуфинга).
Политика безопасности
Набор данных, которые определяют параметры работы Kaspersky Industrial CyberSecurity for Networks.
Правило контроля взаимодействий
Описание разрешенного взаимодействия для устройств промышленной сети. При обнаружении сетевого взаимодействия, которое удовлетворяет включенному правилу контроля взаимодействий, Kaspersky Industrial CyberSecurity for Networks не регистрирует событие.
Правило контроля процесса
Набор условий для значений тегов. При выполнении условий правила контроля процесса Kaspersky Industrial CyberSecurity for Networks регистрирует событие.
Правило корреляции событий
Набор условий для проверки последовательностей событий в Kaspersky Industrial CyberSecurity for Networks. При обнаружении последовательности событий, удовлетворяющих условиям правила корреляции событий, Kaspersky Industrial CyberSecurity for Networks регистрирует инцидент.
Правило обнаружения вторжений
Набор условий, по которым система обнаружения вторжений анализирует трафик. Правило описывает аномалию трафика, которая может быть признаком атаки в промышленной сети.
Программируемый логический контроллер (ПЛК)
Промышленный контроллер, используемый для автоматизации технологических процессов на предприятии.
Проект ПЛК
Микропрограмма, написанная для ПЛК. Хранится в памяти ПЛК и выполняется в рамках технологического процесса, использующего ПЛК. Проект ПЛК может состоять из блоков, которые по отдельности передаются и принимаются по сети при чтении или записи проекта.
Промышленная сеть
Вычислительная сеть, соединяющая узлы автоматизированной системы управления технологическим процессом промышленного предприятия.
Риск
Потенциальная угроза для ресурсов информационной системы, обнаруженная при анализе трафика и сведений об устройствах.
Роль учетной записи
Совокупность прав доступа, определяющая набор доступных пользователю действий при подключении к Серверу через веб-интерфейс. В Kaspersky Industrial CyberSecurity for Networks предусмотрены роли Администратор и Оператор.
Сенсор Kaspersky Industrial CyberSecurity for Networks
Компонент Kaspersky Industrial CyberSecurity for Networks. Сенсор устанавливается на отдельном компьютере (не на компьютере, который выполняет функции Сервера Kaspersky Industrial CyberSecurity for Networks). Сенсор получает и анализирует данные из вычислительных сетей, к которым подключены сетевые интерфейсы компьютера. Для получения и анализа трафика промышленной сети на сетевые интерфейсы должны быть добавлены точки мониторинга. Результаты анализа данных сенсор передает на Сервер.
Сервер Kaspersky Industrial CyberSecurity for Networks
Компонент Kaspersky Industrial CyberSecurity for Networks. Сервер принимает данные, обрабатывает и предоставляет их пользователям программы. Сервер может принимать данные от сенсоров или самостоятельно получать и анализировать данные из вычислительных сетей, к которым подключены сетевые интерфейсы компьютера.
Системная команда
Блок данных в трафике промышленной сети, содержащий команду управления (например, START PLC) или системное сообщение, связанное с функционированием устройств или содержащее результат анализа пакетов (например, REQUEST NOT FOUND).
Событие
Запись, содержащая информацию, которая требует внимания специалиста по безопасности АСУ ТП. Kaspersky Industrial CyberSecurity for Networks сохраняет зарегистрированные события в базе данных. Для просмотра зарегистрированных событий нужно подключиться к Серверу программы через веб-интерфейс. При необходимости можно настроить передачу событий в Kaspersky Security Center и сторонние системы.
Соединение на карте сети
Отображаемый объект на карте сети в виде линии связи между узлами. На карте сетевых взаимодействий обозначает взаимодействие узлов. На топологической карте обозначает физическое подключение узлов.
Тег
Переменная, которая содержит значение какого-либо параметра технологического процесса (например, температуры).
Технология единого входа (SSO)
Механизм, позволяющий пользователю получить доступ к нескольким программным ресурсам, используя одну учетную запись.
Тип события
Заданный набор параметров для регистрации событий в Kaspersky Industrial CyberSecurity for Networks. Каждому типу события присваивается уникальный номер (код типа события).
Топологическая карта
Модель для визуального отображения схемы физических подключений устройств в промышленной сети. Топологическая карта содержит следующие объекты: узлы, представляющие устройства и сетевое оборудование, и соединения, представляющие физические подключения узлов.
Точка мониторинга
Точка приема поступающих данных. Добавляется на сетевой интерфейс узла с установленным Сервером или сенсором Kaspersky Industrial CyberSecurity for Networks и используется для получения копии трафика промышленной сети (например, c порта сетевого коммутатора, настроенного на передачу зеркалированного трафика).
Узел
Компьютер, на котором установлен Сервер или сенсор Kaspersky Industrial CyberSecurity for Networks, либо объект на карте сети, представляющий одно или несколько устройств.
Управляемый коннектор
Программный модуль для обмена данных с программой, предоставляющий возможности автоматической регистрации, запуска и управления. Узлами размещения управляемых коннекторов могут быть только узлы с установленными компонентами программы.
Устройство
Устройство, подключенное к вычислительной сети и идентифицируемое по адресной информации, которую можно сохранить в Kaspersky Industrial CyberSecurity for Networks (например, программируемый логический контроллер, удаленный терминал, интеллектуальное электронное устройство).
Уязвимость устройства
Недостаток в программном или аппаратном обеспечении устройства, используя который злоумышленник может повлиять на работу информационной системы или получить несанкционированный доступ к информации.
