Обновление платформы промышленной безопасности KICS
«Лаборатория Касперского» сообщила о расширении возможностей XDR-платформы для защиты промышленных предприятий Kaspersky Industrial CyberSecurity (KICS). В обновленной версии усилена функция аудита безопасности за счет улучшенного контроля конфигураций и поддержки новых типов активов. Теперь можно проводить активные опросы по расписанию, чтобы автоматически формировать карту сетевых соединений. Среди других важных изменений – интеграция с Kaspersky SD-WAN, которая позволит увеличить количество точек мониторинга.
KICS – это специализированная платформа для промышленной безопасности, в ее основе лежат два взаимосвязанных компонента – Kaspersky Industrial CyberSecurity for Nodes (защита панелей оператора, рабочих станций и серверов) и Kaspersky Industrial CyberSecurity for Networks (мониторинг безопасности промышленной сети). Эти два решения благодаря нативной интеграции позволяют реализовать базовые сценарии XDR.
Обновленная платформа KICS позволяет проводить аудит настроек безопасности, а также отслеживать изменения с помощью агентного и безагентного опроса хостов Windows и Linux, сетевых устройств и ПЛК для сбора конфигураций. Для всех типов поддерживаемых активов предоставляется готовый набор правил «из коробки», сведения о них могут быть собраны вручную или по расписанию. Накопленный архив конфигураций можно использовать для мониторинга и анализа изменений.
Решение также может определять новые типы активов – установленное ПО, исправления, списки локальных пользователей и обнаруженные исполняемые файлы. Компонент KICS for Nodes, установленный на хосте (Windows и Linux), передает информацию о них KICS for Networks с периодическими обновлениями. Это позволяет автоматически фиксировать изменения в сети и получать оповещения в случае отклонений. Объединение списков ПО и пользователей упрощает анализ инцидентов: это помогает ИБ-специалистам выявлять хосты с подозрительными исполняемыми файлами, а также отслеживать определенные действия пользователей в рамках зарегистрированных событий.
KICS составляет топологическую карту сети, которая содержит актуальную информацию о соединениях между активами, а также об изменении состояния безопасности устройств, на которые не установлены агенты (компьютеров или коммутаторов). Если пассивный мониторинг не позволяет собрать достаточное количество данных, можно провести активный опрос. После обновления активные опросы можно делать и по расписанию: это позволяет автоматизировать построение топологической карты и получать актуальные данные о соединениях, атрибутах активов и настройках безопасности. По результатам каждого запуска будет формироваться подробный отчет с результатами опросов и списком возможных проблем.
В решении появилась функция расширенного контроля конфигурации IEC 61850 на основе справочного SCD-файла (substation configuration description). SCD-файлы создаются на этапе проектирования подстанции и описывают ее полную конфигурацию – IED, компьютеры, сетевые настройки связи, необходимые значения для управления процессами. KICS for Networks поддерживает импорт SCD-файлов для анализа конфигурации, извлечения атрибутов активов и настроек IEC 61850. Также он предоставляет отчет об обнаруженных ошибках и неправильных конфигурациях. Мониторинг сети подстанции на основе имеющихся образцов позволяет вовремя обнаруживать несанкционированные сетевые подключения, аномальную активность, сбои или ошибки в IEC 61850-соединениях, указывающие на неправильную работу оборудования или неверную конфигурацию.
Интеграция с Kaspersky SD-WAN позволит предприятиям с географически распределенной инфраструктурой увеличить количество точек мониторинга с 50 до 100. Если сенсоры KICS for Networks не получается разместить на каком-то объекте из-за размера оборудования или ограничений по подключению, можно организовать удаленный мониторинг, путем передачи трафика напрямую на узел KICS for Networks, расположенный в центральном офисе. Технология SD-WAN позволит быстро и безопасно развертывать новые программно определяемые сети между филиалами компании, чтобы передавать копию промышленного трафика от исходного коммутатора к узлу мониторинга. Решение также поддерживает коммутаторы на базе Cisco IOS для большей гибкости построения сетей.
Еще одно важное обновление – портативное решение KICS Portable Scanner теперь будет поставляться на защищенных носителях «Рутокен», что повысит его общую безопасность и усилит защиту конфиденциальных данных клиентов. Оно предназначено для защиты физически изолированных систем – они встречаются на производствах, которым это необходимо по требованиям безопасности, а также в организациях с географически труднодоступными объектами. KICS Portable Scanner поддерживает сканирование устройств, работающих на старых ОС (Windows 2000), имеет функцию аудита уязвимостей и несоответствия стандартам, а также способен проводить инвентаризацию активов и сбор сэмплов трафика с изолированных сегментов АСУ ТП или спорадически подключаемых ноутбуков.