Обзор Kaspersky Industrial CyberSecurity for Nodes


Обзор Kaspersky Industrial CyberSecurity for Nodes

Kaspersky Industrial CyberSecurity for Nodes 2.5 представляет собой средство антивирусной защиты серверов, рабочих станций оператора и инженерных станций в автоматизированных системах управления технологическими процессами (АСУ ТП) от информационных угроз. KICS for Nodes обеспечивает защиту как от внутреннего, так и от внешнего нарушителя и покрывает основные типы угроз для рабочих станций и серверов в технологической сети АСУ ТП. Программное обеспечение ведет контроль подключаемых устройств, запускаемых приложений и соединений с сетями Wi-Fi, контролирует целостность файлов и папок, анализирует события системных журналов Windows, защищает от вредоносных программ, шифровальщиков и вирусных эпидемий, а также проверяет проекты программируемых логических контроллеров (ПЛК) на целостность.

Сертификат AM Test Lab

Номер сертификата: 274

Дата выдачи: 04.12.2019

Срок действия: 04.12.2024

Реестр сертифицированных продуктов »

 

  1. Введение
  2. Основные составляющие Kaspersky Industrial CyberSecurity for Nodes
  3. Установка и предварительная настройка Kaspersky Industrial CyberSecurity for Nodes
  4. Работа с консолью Kaspersky Industrial CyberSecurity for Nodes
    1. 4.1. Настройка доверенной зоны с помощью Kaspersky Industrial CyberSecurity for Nodes
    2. 4.2. Управление задачами Kaspersky Industrial CyberSecurity for Nodes
    3. 4.3. Постоянная защита промышленных рабочих станций оператора с помощью Kaspersky Industrial CyberSecurity for Nodes
    4. 4.4. Постоянная защита промышленной сети с помощью Kaspersky Industrial CyberSecurity for Nodes
    5. 4.5. Контроль активности рабочих станций в промышленной сети с помощью Kaspersky Industrial CyberSecurity for Nodes
    6. 4.6. Диагностика системы с помощью Kaspersky Industrial CyberSecurity for Nodes
    7. 4.7. Обновление баз и модулей Kaspersky Industrial CyberSecurity for Nodes
  5. Выводы

 

Введение

В наши дни восприятие АСУ ТП как чего-то априори защищенного и недоступного для других извне является большим заблуждением. Исследование «Лаборатории Касперского» подтверждает это и, более того, явно показывает, что в промышленной инфраструктуре основными векторами распространения вредоносных программ являются интернет, съемные носители и электронная почта.

В то же время использование традиционного корпоративного антивируса в производственной среде способно вызвать ряд потенциальных проблем. К их числу можно отнести, например, следующие: отсутствие поддержки старых операционных систем, необходимость выполнять перезагрузку операционной системы после установки и обновления антивируса, высокое потребление ресурсов защищаемой системы, которое может привести к ее отказу; повышение вероятности ложного срабатывания из-за специфичности защищаемых ресурсов; несовместимость корпоративных систем обнаружения вторжений (IDS) с промышленными протоколами, необходимость подключения к облачным репутационным базам. Предотвращая негативное воздействие на защищаемую систему, эксплуатанты таких средств защиты иногда просто отключают компоненты антивирусной программы, поскольку она видит в некоторых составляющих АСУ ТП признаки вредоносных объектов. Названные недостатки определяют потребность в том, чтобы защищать рабочие станции и серверы, используемые в промышленном сегменте (далее — «промышленные компьютеры») с помощью специализированного программного обеспечения, которое не только адаптировано к работе в подобной среде, но и способно обеспечить передовое качество защиты производственных узлов от вредоносного и неправомерного воздействия, не допустив при этом ложных срабатываний.

Программное обеспечение от «Лаборатории Касперского» под названием «Kaspersky Industrial CyberSecurity for Nodes» (далее — KICS for Nodes) закрывает вышеуказанные потребности. Оно представляет собой промышленный антивирус для защиты серверов и рабочих станций в АСУ ТП, который в сравнении с обычным корпоративным антивирусом потребляет меньше системных ресурсов, поддерживает возможность установки, обновления и удаления без перезагрузки, работы в полностью неблокирующем режиме, а также обнаружения угроз нулевого дня.

 

Основные составляющие Kaspersky Industrial CyberSecurity for Nodes

Противодействие угрозам безопасности серверов и рабочих станций в промышленных системах с помощью KICS for Nodes осуществляется на основе контроля и проверки рабочих станций, а также ряда дополнительных компонентов.

Контроль рабочих станций включает следующие функции и технологии:

  • контроль запуска программ;
  • контроль запоминающих устройств и CD/DVD-дисководов;
  • контроль подключения к сетям Wi-Fi;
  • проверку целостности проектов программируемых логических контроллеров (ПЛК), используемых в промышленной сети.

Проверка и защита рабочих станций осуществляется с помощью следующих компонентов:

  • файловый антивирус (постоянно находится в оперативной памяти рабочей станции и проверяет все открываемые, сохраняемые и запускаемые файлы);
  • управление брандмауэром Windows (позволяет настраивать сетевой экран Windows, управлять политиками и блокировать любые возможности настройки брандмауэра извне);
  • защита от шифрования (позволяет обнаруживать и блокировать активность, связанную с вредоносным шифрованием сетевых файловых ресурсов на защищаемой рабочей станции со стороны корпоративной сети);
  • мониторинг файловых операций (имеет особую значимость в АСУ ТП, так как любое изменение в файлах может говорить о нарушении режима безопасности);
  • анализ журналов (отвечает за контроль целостности защищаемой среды, изучая журналы событий Windows).

Помимо основных компонентов, обеспечивающих защиту промышленных рабочих станций от информационных угроз, KICS for Nodes содержит ряд служебных функций, предусмотренных для того, чтобы поддерживать защиту в актуальном состоянии, расширять возможности использования продукта, оказывать помощь в работе. К их числу относятся:

  • отчеты, предоставляющие статистику касающуюся защищаемых устройств, а также выборки событий, содержащие кастомизированные списки событий и всех выполненных программой операций;
  • управление карантином (содержит потенциально опасные файлы или вирусы), резервным хранилищем (в него помещаются копии вылеченных и удаленных файлов);
  • защита от эксплуатации процессов Windows с помощью Агента защиты, внедряемого в них;
  • блокировка удаленных рабочих станций, которые пытаются получить доступ к общим сетевым ресурсам, при обнаружении вредоносной активности с их стороны;
  • доверенная зона, представляющая собой список исключений из области защиты или проверки, подготовленный администратором KICS for Nodes;
  • поддержка, включающая доступ к обновлению баз и модулей KICS for Nodes, а также консультации специалистов по телефону и электронной почте по вопросам, связанным с установкой, настройкой и использованием программного обеспечения.

KICS for Nodes может взаимодействовать с Kaspersky Security Center (или KSC) – утилитой, которая используется как единая точка мониторинга и управления решениями «Лаборатории Касперского».

Также существует возможность подключения к Kaspersky Security Network (KSN) — облачной базе данных, в которой хранится общедоступная информация о репутации файлов, веб-ресурсов и программного обеспечения от всех узлов, на которых установлены средства защиты «Лаборатории Касперского». Поскольку работа с KSN требует наличия доступа в интернет, а в промышленных инфраструктурах подобное встречается крайне редко, есть возможность использования локальной облачной репутационной базы (Kaspersky Private Security Network, или KPSN).

 

Установка и предварительная настройка Kaspersky Industrial CyberSecurity for Nodes

Установка KICS for Nodes может выполняться как из сервера администрирования Kaspersky Security Center, так и с помощью отдельного установочного файла, который включает основные и вспомогательные компоненты: консоль, плагин управления, обеспечивающий интеграцию с KSC для централизованного администрирования KICS for Nodes, утилиту Kaspersky Virus Removal Tool, предназначенную для предварительной проверки и лечения зараженных рабочих станций под управлением операционных систем семейства Microsoft Windows до начала установки KICS for Nodes, а также комплект документации.

 

Рисунок 1. Начальное окно установки KICS for Nodes

 Начальное окно установки KICS for Nodes

 

Первым инсталлируемым компонентом является само программное обеспечение KICS for Nodes. Можно выбрать определенную функциональность компонента. Основные составляющие будут более подробно рассмотрены ниже.

 

Рисунок 2. Окно выбора компонентов установки KICS for Nodes

 Окно выбора компонентов установки KICS for Nodes

 

Таблица 1. Рекомендуемые аппаратные и программные требования к установке KICS for Nodes

ПроцессорPentium 3 — для 32-разрядных операционных систем Microsoft Windows;
Pentium 4 — для 64-разрядных операционных систем
Оперативная память256 МБ — при установке компонента «Контроль запуска программ» на устройстве под управлением 32-разрядных операционных систем Microsoft Windows XP Embedded / Windows XP / Windows Embedded POSReady 2009;
512 МБ — при установке всех компонентов программного обеспечения на устройстве под управлением 32-разрядных операционных систем Microsoft Windows XP Embedded / Windows XP / Windows Embedded POSReady 2009;
1 ГБ — при установке всех компонентов программного обеспечения на устройстве под управлением других 32-разрядных операционных систем Microsoft Windows;
2 ГБ — при установке всех компонентов программного обеспечения на устройстве под управлением 64-разрядных операционных систем Microsoft Windows
Свободный объем на жестком дискеДля установки компонента «Контроль запуска программ» — 50 МБ;
для установки всех компонентов Kaspersky Industrial CyberSecurity for Nodes — 500 МБ
Операционные системыWindows XP Professional SP2 и выше x86; Windows Vista SP2 x86/x64; семейство Windows 7: Professional x86/x64, Enterprise / Ultimate x86/x64, Professional SP1 и выше x86/x64, Enterprise / Ultimate SP1 и выше x86/x64; семейство Windows 8: Pro x86/x64, Enterprise x86/x64, 8.1 Pro / Enterprise x86/x64; семейство Windows 10: Pro x86/x64, Enterprise x86/x64, Redstone 1 / Redstone 2; серверные операционные системы Windows Server: 2003 Standard/Enterprise SP2 и выше x86/x64, 2008 Standard / Enterprise SP1 и выше, 2008 R2 Standard / Enterprise, 2008 R2 Standard / Enterprise SP1, 2012 Essentials / Standard / Foundation / Datacenter x64, 2012 R2 Essentials / Standard / Foundation / Datacenter x64, 2016; встраиваемые системы: Windows XP Embedded x86, Windows Embedded Standard 7 x86/x64, Windows Embedded 8.1 Industry Pro x86/x64, Windows Embedded 8.0 Standard x86/x64
Индустриальные системы (ПЛК)Siemens™ SIMATIC™ series S7-300, Siemens SIMATIC series S7-400, Schneider Electric Modicon M340, Schneider Electric Modicon M580

 

Стоит отметить, что с помощью KICS for Nodes осуществляется контроль состояния безопасности промышленных компьютеров. В случае возникновения инцидента информационной безопасности на защищаемом устройстве его статус защищенности изменяется. Статус защищенности устройства отображается в Kaspersky Security Center. Информация об изменении статуса также может передаваться в SCADA-систему. Специальная утилита Kaspersky Security Gateway в данном случае выступает промежуточным звеном, соединяющим Kaspersky Security Center со SCADA-системой. В данном случае требуется настроить в SCADA-системе получение информации об угрозах. Обмен информацией о состоянии АСУ ТП осуществляется с помощью Kaspersky Security Gateway по протоколу OPC 2.0 DA или IEC 60870-5-104.

Таким образом, становится возможным создать процедуру работы с инцидентами ИБ, позволяющую оперативно реагировать на обнаруженные угрозы даже в условиях недостаточного количества специалистов по информационной безопасности. Типовой сценарий интеграции KICS for Nodes и SCADA-системы выглядит следующим образом: на SCADA-системе программируется «сигнальная лампа», которая отображает статус защищенности промышленных машин на объекте. В случае возникновения инцидента «сигнальная лампа» меняет свой цвет (например, на «красный»), что сообщает оператору о необходимости вызвать специалиста по информационной безопасности.

 

Рисунок 3. Пример интеграции KICS for Nodes с HMI SCADA-системы. «Сигнальная лампа»

 Пример интеграции KICS for Nodes с HMI SCADA-системы. «Сигнальная лампа»

 

Рисунок 4. Пример интеграции KICS for Nodes с HMI SCADA-системы. Информация о статусе защищенности устройств

 Пример интеграции KICS for Nodes с HMI SCADA-системы. Информация о статусе защищенности устройств

 

Перед рассмотрением основной функциональности необходимо представить типовую схему развертывания KICS for Nodes, где оно является одним из компонентов комплексного решения Kaspersky Industrial CyberSecurity, также включающего модули KICS for Networks, Kaspersky Security Gateway и Kaspersky Security Center.

 

Рисунок 5. Пример развертывания KICS for Nodes в составе комплексного решения KICS

 Пример развертывания KICS for Nodes в составе комплексного решения KICS

 

KICS for Nodes устанавливается на узле производственной сети, защищает промышленные компьютеры от киберугроз, неправомерных воздействий, а также контролирует целостность прошивок на ПЛК, включенных в область проверки. Кроме этого, оно отслеживает инциденты безопасности и передает их в консоль KICS for Nodes и сервер администрирования KSC для обработки сотрудником, наблюдающим за безопасностью технологического процесса на предприятии, а также специалистом по ИБ.

Управление задачами и функциональными возможностями KICS for Nodes может осуществляться как из сервера администрирования KSC, так и из консоли KICS for Nodes. В данном обзоре будет рассмотрена работа с консолью KICS for Nodes.

 

Работа с консолью Kaspersky Industrial CyberSecurity for Nodes

Консоль KICS for Nodes представляет собой средство управления доступной функциональностью, которое может быть установлено как на защищаемой рабочей станции, так и на другом узле в сети организации.

Настройка доверенной зоны с помощью Kaspersky Industrial CyberSecurity for Nodes

Доверенная зона является списком исключений из области защиты или антивирусной проверки, который формируется вручную или из предустановленных шаблонов (записи, рекомендованные Microsoft и «Лабораторией Касперского»). В доверенную зону можно включать как файлы, так и процессы (в том числе и процессы резервного копирования).

 

Рисунок 6. Настройка доверенной зоны в консоли KICS for Nodes

 Настройка доверенной зоны в консоли KICS for Nodes

 

Исключения содержат объекты, указанные по их местоположению. В KICS for Nodes реализована поддержка маски not-a-virus, которая позволяет пропускать во время проверки легальные программы и веб-ресурсы.

Вкладка «Доверенные процессы» содержит работающие процессы, которые необходимо исключить из задач антивирусной проверки.

Опция «Операции резервного копирования» позволяет исключить из проверки действия по чтению файлов, если эта активность осуществляется установленными на рабочей станции средствами резервного копирования.

Управление задачами Kaspersky Industrial CyberSecurity for Nodes

В виде задач в KICS for Nodes реализованы следующие функции: постоянная защита, проверка по требованию, контроль запуска программ, контроль устройств, контроль подключения к сетям Wi-Fi, управление сетевым экраном Windows, защита от шифрования, мониторинг файловых операций (контроль целостности файлов и папок), анализ системных журналов Windows, контроль целостности проектов ПЛК и обновление. Также задачи делятся на локальные и групповые. Стоит отметить, что они поддерживают гибкую настройку различных прав доступа для их запуска, а также старт / приостановку / возобновление / завершение по расписанию.

KICS for Nodes поддерживает экспорт в конфигурационный файл и импорт из него всех своих параметров. Такой конфигурационный файл можно использовать в качестве шаблона и/или резервной копии настроек KICS for Nodes. При управлении KICS for Nodes с помощью Kaspersky Security Center возможно создать иерархию политик, содержащих параметры работы продукта. В этом случае параметры родительской политики наследуются дочерними политиками.

Постоянная защита промышленных компьютеров с помощью Kaspersky Industrial CyberSecurity for Nodes

Данный модуль включает защиту файлов, противодействие вредоносным программам, вирусным эпидемиям и эксплуатации уязвимостей, а также компонент «Использование KSN».

Компонент «Постоянная защита файлов» предназначен для проверки антивирусным ядром объектов, к которым происходит обращение во время работы компьютера. KICS for Nodes проверяет файл на наличие угроз и в зависимости от настроек может оповещать о найденной угрозе, не совершая блокирующих действий и не удаляя потенциально вредоносный файл, либо блокировать подозрительный объект не удаляя его, либо выполнять стандартные действия (лечение, перемещение на карантин или удаление). Настройки задачи позволяют использовать один из предустановленных профилей защиты или настроить свой профиль защиты, подходящий под требования отдельной компании. 

Программа проверяет не только файлы, но и те объекты, которые потенциально могут содержать признаки вредоносной активности: альтернативные потоки файловых систем (NTFS streams), главную загрузочную запись и загрузочные секторы локальных жестких дисков и внешних устройств, а также файловые операции, которые исполняются в контейнерах Windows Server 2016 (изолированная среда, где программное обеспечение может работать без взаимодействия с операционной системой). В связи с тем, что компоненты данной задачи для каждой системы индивидуальны, в KICS for Nodes существует ряд изменяемых параметров: область защиты, уровень безопасности, режим защиты объектов, уровень тщательности проверки эвристическим анализатором, применение доверенной зоны, использование служб KSN, расписание запуска задачи, а также возможность блокировки компьютеров, с которых ведется вредоносная активность.

Возможность блокирования компьютеров (например, при пересылке вредоносных программ) позволяет избежать вирусных эпидемий. Важно отметить, что описанная функциональность дает возможность блокировать SMB-сессию, препятствуя распространению злонамеренных программ через сетевые папки промышленных компьютеров, в то время как связь по остальным протоколам остается неизменной. Это позволяет сохранить работоспособность SCADA-системы, так как не нарушается взаимодействие между HMI и SCADA-сервером. Блокировка компьютеров, с которых ведется вредоносная активность, опциональна и зависит от пожеланий заказчика.

 

Рисунок 7. Настройка компонента «Постоянная защита файлов» в консоли KICS for Nodes

 Настройка компонента «Постоянная защита файлов» в консоли KICS for Nodes

 

Компонент «Использование KSN» (Kaspersky Security Network) позволяет получить оперативные данные о проверяемых объектах. KSN – это совокупность онлайн-служб, предоставляющих доступ к базе знаний «Лаборатории Касперского», информация из которой существенно повышает эффективность работы компонентов KICS for Nodes, увеличивает скорость реакции на неизвестные угрозы, а также помогает выявить источники их возникновения. Для обращений к KSN необходимо предоставить доступ в интернет. В промышленных инфраструктурах доступ в интернет часто отсутствует; специально для защиты закрытых контуров разработана локальная версия KSN – Kaspersky Private Security Network (KPSN). KPSN располагается локально на площадке заказчика и не передает данные за пределы его инфраструктуры.

 

Рисунок 8. Настройка компонента «Использование KSN» в консоли KICS for Nodes

 Настройка компонента «Использование KSN» в консоли KICS for Nodes

 

Компонент «Защита от эксплойтов» представляет собой внешний агент, динамически подгружаемый модуль, который внедряется в защищаемые процессы и решает задачи по контролю их целостности, сводя к минимуму возможность эксплуатации уязвимостей в них. Если обнаружены признаки атаки эксплойта на защищаемый процесс, KICS for Nodes выполняет определенную операцию: завершает его или сообщает о факте компрометации.

 

Рисунок 9. Настройка компонента «Защита от эксплойтов» в консоли KICS for Nodes

 Настройка компонента «Защита от эксплойтов» в консоли KICS for Nodes

 

В связи с популярностью вредоносной криптографии в KICS for Nodes реализован компонент «Защита от шифрования», который проверяет обращения удаленных машин к файлам, расположенным в общих сетевых папках защищаемой рабочей станции. Если в действиях удаленного узла обнаружены признаки злонамеренного шифрования, программа блокирует его доступ к общим сетевым папкам на указанное в настройках KICS for Nodes время. Так же, как и в работе компонента постоянной защиты, блокировке подвергаются только SMB-сессии, а связь по другим протоколам не нарушается.

 

Рисунок 10. Настройка компонента «Защита от шифрования» в консоли KICS for Nodes

 Настройка компонента «Защита от шифрования» в консоли KICS for Nodes

 

Проверка целостности прошивок ПЛК с помощью Kaspersky Industrial CyberSecurity for Nodes

В функцию защиты промышленной сети входит проверка целостности проектов программируемого логического контроллера. Проект ПЛК представляет собой микропрограмму, хранящуюся в памяти контроллера и выполняющуюся в рамках технологического процесса.

Для работы данной функции необходимо сначала получить сведения об имеющихся ПЛК. После успешного подключения к контроллеру информация о его проекте будет принята за эталонную. В дальнейшем контрольная сумма проекта ПЛК будет сравниваться с эталонной моделью.

 

Рисунок 11. Настройки получения данных о проектах ПЛК в консоли KICS for Nodes

 Настройки получения данных о проектах ПЛК в консоли KICS for Nodes

 

После успешной инвентаризации ПЛК следует настройка параметров задачи: учетной записи, с которой будет осуществляться проверка, расписания и интервала опроса, области защиты.

 

Рисунок 12. Настройка задачи «Проверка целостности проектов ПЛК» в консоли KICS for Nodes

 Настройка задачи «Проверка целостности проектов ПЛК» в консоли KICS for Nodes

Контроль активности рабочих станций с помощью Kaspersky Industrial CyberSecurity for Nodes

В связи с тем, что программное обеспечение АСУ ТП отличается от традиционного, а риски, связанные с нарушением работы промышленного объекта, несоизмеримо высоки, традиционные подходы к защите офисных машин не подходят для обороны промышленных компьютеров. В KICS for Nodes существует функциональность, которая позволяет в автоматическом режиме контролировать запуск программ, работу сетевого экрана Windows и беспроводные соединения, а также отслеживать подключаемые по USB внешние устройства.

Компонент «Контроль запуска программ» работает по принципу белого списка и автоматически оповещает и/или блокирует (в зависимости от настроек) запуск приложений, которые в нем не содержатся. Старт какой-либо программы также можно разрешить на основании репутации в KSN.

 

Рисунок 13. Настройка правил контроля запуска программ в консоли KICS for Nodes

 Настройка правил контроля запуска программ в консоли KICS for Nodes

 

Компонент содержит следующие параметры:

  • режим работы задачи («статистический», при котором KICS for Nodes не будет блокировать запуск программ, даже если они не содержатся в белом списке, но будет формировать соответствующее сообщение, и «активный», который позволяет использовать только приложения, содержащиеся в белом списке);
  • область применения правил (исполняемые файлы, скрипты и MSI-пакеты, DLL-модули);
  • использование Kaspersky Security Network (привлекать или не привлекать данные о репутации программ из KSN);
  • элемент «Контроль пакетов установки», который позволяет осуществлять инсталляцию программ и обновлений без необходимости перенастраивать белый список приложений;
  • возможность запретить запуск командных интерпретаторов без исполняемых команд.

 

Рисунок 14. Настройка компонента «Контроль запуска программ» в консоли KICS for Nodes

 Настройка компонента «Контроль запуска программ» в консоли KICS for Nodes

 

Компонент «Контроль устройств» управляет использованием внешних носителей информации, защищая рабочую станцию от угроз безопасности, возникающих по причине использования неразрешенных устройств, подключаемых через USB-разъем: флеш-накопителей или внешних приводов другого типа (например, считывателей гибких дисков или мобильных устройств MTP).

 

Рисунок 15. Настройка правил контроля устройств в консоли KICS for Nodes

 Настройка правил контроля устройств в консоли KICS for Nodes

 

При попытке подключения внешних устройств к защищаемой рабочей станции данный компонент блокирует их, если не находит для них разрешающих правил. Соответственно, в таком случае устройство получает статус недоверенного. «Контроль устройств» также имеет два режима работы: блокирующий и неблокирующий. Также KICS for Nodes содержит отдельный модуль, осуществляющий антивирусную проверку подключаемых USB-устройств. Это позволяет задать отдельную, более жесткую политику для проверки внешних устройств передачи данных.

 

Рисунок 16. Настройка компонента «Контроль устройств» в консоли KICS for Nodes

 Настройка компонента «Контроль устройств» в консоли KICS for Nodes

 

Компонент «Контроль Wi-Fi» служит для отслеживания попыток подключить защищаемую рабочую станцию к беспроводным сетям. Он также работает по принципу белого списка и блокирует соединения с любыми сетями Wi-Fi, если они не разрешены в параметрах задачи. Контроль может осуществляться в одном из двух режимов: активном, который описан выше, и в режиме регистрации, который только сообщает о подключениях к сетям Wi-Fi и фиксирует данную информацию в журнале выполнения задачи, не блокируя подключение защищаемой машины к беспроводным сетям.

 

Рисунок 17. Настройка компонента «Контроль Wi-Fi» в консоли KICS for Nodes

 Настройка компонента «Контроль Wi-Fi» в консоли KICS for Nodes

 

Компонент «Управление сетевым экраном», который не входит в набор рекомендуемой инсталляции и не устанавливается по умолчанию, позволяет передать KICS for Nodes монопольные права на управление встроенным межсетевым экраном Windows. Важно отметить, что эта часть продукта не выполняет фильтрацию сетевого трафика, а принимает на себя контроль параметров и правил сетевого экрана операционной системы и не допускает возможность его настройки другими способами. Раз в минуту KICS for Nodes опрашивает брандмауэр и контролирует статус его работы, а также проверяет состояние правил, добавленных после установки решения. Если параметры не совпадают, программа форсированно передает конфигурацию задачи сетевому экрану Windows.

Диагностика системы с помощью Kaspersky Industrial CyberSecurity for Nodes

Диагностика включает два компонента: мониторинг файловых операций и анализ системных журналов Windows.

 

Рисунок 18. Настройка правил мониторинга файловых операций в консоли KICS for Nodes

 Настройка правил мониторинга файловых операций в консоли KICS for Nodes

 

Компонент «Мониторинг файловых операций» предназначен для отслеживания действий, выполненных с указанными файлами или папками. Мониторинг файловых операций осуществляется путем анализа USN-журнала файловой системы NTFS. Благодаря этому KICS for Nodes может сообщить о проводившихся операциях с файлами или папками, даже если они были сделаны в момент, когда продукт был отключен. Кроме того, анализ USN-журнала потребляет гораздо меньше ресурсов защищаемой машины, чем расчет хешей, а также дает больше информации о производимых действиях над наблюдаемыми объектами. Опционально возможно включить расчет хешей для выбранных пользователем файлов. Потребность в мониторинге файловых операций обусловлена тем, что в АСУ ТП некоторые объекты должны оставаться условно неизменными во время нормальной работы системы — например, проекты и файлы SCADA или лог-файлы, записи из которых нельзя удалять.

 

Рисунок 19. Настройка мониторинга файловых операций в консоли KICS for Nodes

 Настройка мониторинга файловых операций в консоли KICS for Nodes

 

Компонент «Анализ журналов операционной системы» обеспечивает дополнительную защиту промышленных компьютеров за счет анализа журналов Windows. Функциональные возможности компонента можно условно поделить на две части. С одной стороны, он позволяет решить проблему анализа системных журналов. Анализ записей журналов Windows является хорошей практикой, но часто у специалистов по информационной безопасности не хватает на него времени. KICS for Nodes может отправить сообщение в консоль, если в анализируемых журналах появилось интересное пользователю событие. С другой стороны, встроенные механизмы корреляции способны найти в большом количестве событий взаимосвязи, сигнализирующие о вредоносной активности на защищаемом устройстве.

 

Рисунок 20. Настройка правил анализа журналов в консоли KICS for Nodes

 Настройка правил анализа журналов в консоли KICS for Nodes

 

Рисунок 21. Настройка компонента «Анализ журналов» в консоли KICS for Nodes

 Настройка компонента «Анализ журналов» в консоли KICS for Nodes

Обновление баз и модулей Kaspersky Industrial CyberSecurity for Nodes

Обновление является одной из самых важных задач для антивирусной защиты рабочей станции. В KICS for Nodes поддерживаются четыре задачи такого рода: актуализация сигнатурных баз, обновление модулей программного комплекса, копирование обновлений (загружает сигнатуры в указанное место без их установки; по умолчанию не активирована) и откат обновления баз (предназначена для тех случаев, когда, например, обновление завершилось с ошибкой; по умолчанию не активирована).

Для того чтобы не допустить ситуации, при которой новые версии баз не смогут корректно работать с уже установленным программным обеспечением, обновления KICS for Nodes тестируются на совместимость с разработками ведущих производителей АСУ ТП.

Задача «Обновление баз программы» копирует сигнатуры из источника обновлений на защищаемую рабочую станцию и мгновенно их использует в выполняющейся задаче постоянной защиты, т.е. не нуждается в перезагрузке узла и самого KICS for Nodes.

Задача «Обновление модулей программы» проверяет, доступны ли новые версии функциональных блоков программного комплекса. Изменения такого рода могут быть срочными (устраняют ошибки и уязвимости в компонентах KICS for Nodes) и плановыми (добавляют новые / улучшают существующие функции). В отличие от обновления баз, они могут требовать перезагрузки рабочей станции и / или перезапуска KICS for Nodes в зависимости от каждого конкретного обновления.

Обновление баз и модулей может выполняться одним из следующих способов.

  • Локальная загрузка данных с помощью специальной утилиты Kaspersky Update Utility на компьютер, имеющий доступ в интернет. Затем базы копируются на переносной носитель информации и передаются в промышленный сегмент для обновления KICS for Nodes. Каждая машина может быть обновлена отдельно; также возможно централизованное обновление через Kaspersky Security Center.
  • Загрузка через интернет — либо сразу на KICS for Nodes, либо на KSC, используемый для управления продуктом.

По этому поводу стоит отметить, что KSC поддерживает иерархию инсталляций. Один из наиболее распространенных сценариев развертывания заключается в том, чтобы расположить родительский KSC в зоне общего пользования, а дочерний — в промышленном сегменте. Обновления в этом случае скачиваются родительским KSC и передаются на дочерний.

 

Рисунок 22. Настройка компонента «Обновление баз программы» в консоли KICS for Nodes

 Настройка компонента «Обновление баз программы» в консоли KICS for Nodes

 

Помимо общей оптимизации, характерной для всего комплекса KICS for Nodes, в модуле обновления баз и компонентов также поддерживается важная для промышленных систем функция, рассчитанная на оптимизацию использования дисковой подсистемы: при выполнении задачи «Обновление баз программы» файлы размещаются на виртуальном диске в оперативной памяти.

 

Выводы

Kaspersky Industrial CyberSecurity for Nodes 2.5 является одним из компонентов комплексного решения Kaspersky Industrial CyberSecurity, предназначенного для защиты промышленных систем от современных киберугроз. KICS for Nodes является промышленным антивирусом для защиты промышленных компьютеров, но со множеством специализированных надстроек, которые способны обеспечить надлежащий уровень защиты производственной инфраструктуры.

Достоинства

  • Защита от традиционных угроз компьютерной безопасности: заражения вредоносным программным обеспечением, запуска несовместимых программ, несанкционированного удаленного управления и т.д.
  • Защита от целевых атак на АСУ ТП: компрометации SCADA, HMI, изменения проекта ПЛК и т.д.
  • Гибкие настройки исключений для недопущения ложных срабатываний.
  • Установка и удаление без перезагрузки системы.
  • Обновление баз сигнатур без перезапуска системы и KICS for Nodes.
  • Возможность работы в полностью неблокирующем режиме, в том числе с обнаружением угроз нулевого дня.
  • Минимальное потребление ресурсов.
  • Быстрая установка и интуитивно понятная конфигурация каждого модуля.
  • Возможность централизованного администрирования через Kaspersky Security Center.

Недостатки

  • Отсутствие кроссплатформенности на момент написания обзора (в конце декабря выйдет KICS for Nodes для Linux).

Реестр сертифицированных продуктов »

Записаться на демонстрацию
Запросить пробную версию
Запросить цены
Задать вопрос
Выбор редакции: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.