Kaspersky industrial cybersecurity (kics)

Основные составляющие kaspersky industrial cybersecurity for nodes

Противодействие угрозам безопасности серверов и рабочих станций в промышленных системах с помощью KICS for Nodes осуществляется на основе контроля и проверки рабочих станций, а также ряда дополнительных компонентов.

Контроль рабочих станций включает следующие функции и технологии:

• контроль запуска программ;
• контроль запоминающих устройств и CD/DVD-дисководов;
• контроль подключения к сетям Wi-Fi;
• проверку целостности проектов программируемых логических контроллеров (ПЛК), используемых в промышленной сети.

Проверка и защита рабочих станций осуществляется с помощью следующих компонентов:

• файловый антивирус (постоянно находится в оперативной памяти рабочей станции и проверяет все открываемые, сохраняемые и запускаемые файлы);
• управление брандмауэром Windows (позволяет настраивать сетевой экран Windows, управлять политиками и блокировать любые возможности настройки брандмауэра извне);
• защита от шифрования (позволяет обнаруживать и блокировать активность, связанную с вредоносным шифрованием сетевых файловых ресурсов на защищаемой рабочей станции со стороны корпоративной сети);
• мониторинг файловых операций (имеет особую значимость в АСУ ТП, так как любое изменение в файлах может говорить о нарушении режима безопасности);
• анализ журналов (отвечает за контроль целостности защищаемой среды, изучая журналы событий Windows).

Помимо основных компонентов, обеспечивающих защиту промышленных рабочих станций от информационных угроз, KICS for Nodes содержит ряд служебных функций, предусмотренных для того, чтобы поддерживать защиту в актуальном состоянии, расширять возможности использования продукта, оказывать помощь в работе. К их числу относятся:

• отчеты, предоставляющие статистику касающуюся защищаемых устройств, а также выборки событий, содержащие кастомизированные списки событий и всех выполненных программой операций;
• управление карантином (содержит потенциально опасные файлы или вирусы), резервным хранилищем (в него помещаются копии вылеченных и удаленных файлов);
• защита от эксплуатации процессов Windows с помощью Агента защиты, внедряемого в них;
• блокировка удаленных рабочих станций, которые пытаются получить доступ к общим сетевым ресурсам, при обнаружении вредоносной активности с их стороны;
• доверенная зона, представляющая собой список исключений из области защиты или проверки, подготовленный администратором KICS for Nodes;
• поддержка, включающая доступ к обновлению баз и модулей KICS for Nodes, а также консультации специалистов по телефону и электронной почте по вопросам, связанным с установкой, настройкой и использованием программного обеспечения.

KICS for Nodes может взаимодействовать с Kaspersky Security Center (или KSC) – утилитой, которая используется как единая точка мониторинга и управления решениями «Лаборатории Касперского».

Также существует возможность подключения к Kaspersky Security Network (KSN) — облачной базе данных, в которой хранится общедоступная информация о репутации файлов, веб-ресурсов и программного обеспечения от всех узлов, на которых установлены средства защиты «Лаборатории Касперского».

Kaspersky industrial cybersecurity (kics)

Публикация недоступна для просмотра

Заказчик	Интегратор	Год	Проект
– Дельта-Торг	Круг НПФ	2021.09
– Микрон (Mikron)	Инфосекьюрити (Infosecurity)	2021.02
– AGC (ASAHI Glass Company)	Лаборатория Касперского (Kaspersky)	2020.08
– Нижнекамский завод шин ЦМК (Нижнекамский завод цельнометаллокордных шин)	Умные решения Казань	2021.03
– Мосгаз	Антивирусные Решения (ARinteg, АРинтег), Лаборатория Касперского (Kaspersky), Аксофт (Axoft)	2021.01
– Объединенная энергетическая компания (ОЭК)	ДиалогНаука	2021.10
– Российские сети (Россети, ранее Холдинг МРСК)	Лаборатория Касперского (Kaspersky), РТСофт (RTSoft), Kraftway (Крафтвэй корпорэйшн ПЛС)	2021.11
– Вологдаэнерго	Лаборатория Касперского (Kaspersky), РТСофт (RTSoft), Kraftway (Крафтвэй корпорэйшн ПЛС)	2021.11
– Singapore Aquaculture Technologies	Лаборатория Касперского (Kaspersky), Siemens AG (Сименс АГ)	—

Аппаратные и программные требования

Контроль активности рабочих станций с помощью kaspersky industrial cybersecurity for nodes

В связи с тем, что программное обеспечение АСУ ТП отличается от традиционного, а риски, связанные с нарушением работы промышленного объекта, несоизмеримо высоки, традиционные подходы к защите офисных машин не подходят для обороны промышленных компьютеров.

Компонент «Контроль запуска программ» работает по принципу белого списка и автоматически оповещает и/или блокирует (в зависимости от настроек) запуск приложений, которые в нем не содержатся. Старт какой-либо программы также можно разрешить на основании репутации в KSN.

Рисунок 13. Настройка правил контроля запуска программ в консоли KICS for Nodes

Компонент содержит следующие параметры:

• режим работы задачи («статистический», при котором KICS for Nodes не будет блокировать запуск программ, даже если они не содержатся в белом списке, но будет формировать соответствующее сообщение, и «активный», который позволяет использовать только приложения, содержащиеся в белом списке);
• область применения правил (исполняемые файлы, скрипты и MSI-пакеты, DLL-модули);
• использование Kaspersky Security Network (привлекать или не привлекать данные о репутации программ из KSN);
• элемент «Контроль пакетов установки», который позволяет осуществлять инсталляцию программ и обновлений без необходимости перенастраивать белый список приложений;
• возможность запретить запуск командных интерпретаторов без исполняемых команд.

Рисунок 14. Настройка компонента «Контроль запуска программ» в консоли KICS for Nodes

Компонент «Контроль устройств» управляет использованием внешних носителей информации, защищая рабочую станцию от угроз безопасности, возникающих по причине использования неразрешенных устройств, подключаемых через USB-разъем: флеш-накопителей или внешних приводов другого типа (например, считывателей гибких дисков или мобильных устройств MTP).

Рисунок 15. Настройка правил контроля устройств в консоли KICS for Nodes

При попытке подключения внешних устройств к защищаемой рабочей станции данный компонент блокирует их, если не находит для них разрешающих правил. Соответственно, в таком случае устройство получает статус недоверенного. «Контроль устройств» также имеет два режима работы: блокирующий и неблокирующий.

Рисунок 16. Настройка компонента «Контроль устройств» в консоли KICS for Nodes

Компонент «Контроль Wi-Fi» служит для отслеживания попыток подключить защищаемую рабочую станцию к беспроводным сетям. Он также работает по принципу белого списка и блокирует соединения с любыми сетями Wi-Fi, если они не разрешены в параметрах задачи.

Контроль может осуществляться в одном из двух режимов: активном, который описан выше, и в режиме регистрации, который только сообщает о подключениях к сетям Wi-Fi и фиксирует данную информацию в журнале выполнения задачи, не блокируя подключение защищаемой машины к беспроводным сетям.

Рисунок 17. Настройка компонента «Контроль Wi-Fi» в консоли KICS for Nodes

Компонент «Управление сетевым экраном», который не входит в набор рекомендуемой инсталляции и не устанавливается по умолчанию, позволяет передать KICS for Nodes монопольные права на управление встроенным межсетевым экраном Windows. Важно отметить, что эта часть продукта не выполняет фильтрацию сетевого трафика, а принимает на себя контроль параметров и правил сетевого экрана операционной системы и не допускает возможность его настройки другими способами.

Раз в минуту KICS for Nodes опрашивает брандмауэр и контролирует статус его работы, а также проверяет состояние правил, добавленных после установки решения. Если параметры не совпадают, программа форсированно передает конфигурацию задачи сетевому экрану Windows.

Обновление баз и модулей kaspersky industrial cybersecurity for nodes

Обновление является одной из самых важных задач для антивирусной защиты рабочей станции. В KICS for Nodes поддерживаются четыре задачи такого рода: актуализация сигнатурных баз, обновление модулей программного комплекса, копирование обновлений (загружает сигнатуры в указанное место без их установки; по умолчанию не активирована) и откат обновления баз (предназначена для тех случаев, когда, например, обновление завершилось с ошибкой; по умолчанию не активирована).

Для того чтобы не допустить ситуации, при которой новые версии баз не смогут корректно работать с уже установленным программным обеспечением, обновления KICS for Nodes тестируются на совместимость с разработками ведущих производителей АСУ ТП.

Задача «Обновление баз программы» копирует сигнатуры из источника обновлений на защищаемую рабочую станцию и мгновенно их использует в выполняющейся задаче постоянной защиты, т.е. не нуждается в перезагрузке узла и самого KICS for Nodes.

Задача «Обновление модулей программы» проверяет, доступны ли новые версии функциональных блоков программного комплекса. Изменения такого рода могут быть срочными (устраняют ошибки и уязвимости в компонентах KICS for Nodes) и плановыми (добавляют новые / улучшают существующие функции).

Обновление баз и модулей может выполняться одним из следующих способов.

• Локальная загрузка данных с помощью специальной утилиты Kaspersky Update Utility на компьютер, имеющий доступ в интернет. Затем базы копируются на переносной носитель информации и передаются в промышленный сегмент для обновления KICS for Nodes. Каждая машина может быть обновлена отдельно; также возможно централизованное обновление через Kaspersky Security Center.
• Загрузка через интернет — либо сразу на KICS for Nodes, либо на KSC, используемый для управления продуктом.

По этому поводу стоит отметить, что KSC поддерживает иерархию инсталляций. Один из наиболее распространенных сценариев развертывания заключается в том, чтобы расположить родительский KSC в зоне общего пользования, а дочерний — в промышленном сегменте. Обновления в этом случае скачиваются родительским KSC и передаются на дочерний.

Рисунок 22. Настройка компонента «Обновление баз программы» в консоли KICS for Nodes

Помимо общей оптимизации, характерной для всего комплекса KICS for Nodes, в модуле обновления баз и компонентов также поддерживается важная для промышленных систем функция, рассчитанная на оптимизацию использования дисковой подсистемы: при выполнении задачи «Обновление баз программы» файлы размещаются на виртуальном диске в оперативной памяти.

Поддерживаемые протоколы и устройства в kaspersky industrial cybersecurity for networks

В KICS for Networks поддерживаются как открытые, так и закрытые промышленные протоколы, разбор которых является ноу-хау «Лаборатории Касперского»:

• ABB SPA-Bus;
• Allen-Bradley EtherNet/IP;
• BECKHOFF ADS/AMS;
• CODESYS V3 Gateway;
• DCE/RPC;
• DMS для устройств ABB AC 700F;
• DNP3;
• Emerson ControlWave Designer;
• Emerson DeltaV;
• FTP;
• General Electric SRTP;
• IEC 60870: IEC 60870-5-101, IEC 60870-5-104;
• IEC 61850: GOOSE, MMS (включая MMS Reports), Sampled Values;
• Mitsubishi MELSEC System Q;
• Modbus TCP;
• OMRON FINS;
• OPC UA Binary;
• Siemens Industrial Ethernet;
• Siemens S7comm, S7comm-plus;
• Yokogawa Vnet/IP;
• релематика BDUBus;
• модификация протокола MMS для устройств ABB AC 800M;
• модификация протокола Modbus TCP для устройств ЭКРА серии 200;
• протокол взаимодействия устройств Moxa серии NPort IA 5000;
• протокол начальной настройки устройств «Прософт-Системы»;
• протокол устройств с системным ПО Siemens DIGSI 4.

Поддерживаемые устройства:

• устройства с установленным серверным ПО (FTP-сервер, сервер OPC DA, сервер OPC UA);
• сетевое оборудование (Moxa серии NPort IA 5000, устройства ввода-вывода, поддерживающие протоколы DCE/RPC, FTP, IEC 60870-5-101, IEC 60870-5-104, Modbus TCP, OPC UA Binary).

Поддерживаемые устройства ПЛК:

• ABB AC 700F, 800M;
• Allen-Bradley серий ControlLogix, CompactLogix;
• BECKHOFF серий CX;
• Emerson DeltaV серий MD, MD Plus, MQ;
• Emerson серии ControlWave;
• General Electric RX3i;
• Mitsubishi System Q E71;
• OMRON серии CJ2M;
• Schneider Electric серии Modicon: M580, M340, Momentum;
• Siemens SIMATIC серий S7-200, S7-300, S7-400, S7-1200, S7-1500;
• Yokogawa ProSafe-RS;
• Yokogawa серий AFV10, AFV30, AFV40;
• ПЛК с системой исполнения для CODESYS V3;
• Прософт-Системы Regul R500.

Поддерживаемые интеллектуальные электронные устройства (Intelligent Electronic Device, IED):

• ABB серии Relion: REF615, RED670, REL670, RET670;
• General Electric серии MULTILIN: B30, C60;
• Schneider Electric Sepam серии 80 NPP;
• Siemens серии SIPROTEC 4: 6MD66, 7SA52, 7SJ64, 7SS52, 7UM62, 7UT63;
• релематика ТОР 300;
• ЭКРА серий 200, БЭ2502, БЭ2704;
• устройства, поддерживающие протокол DNP3;
• устройства, поддерживающие протоколы стандарта IEC 60870: IEC 60870-5-101, IEC 60870-5-104;
• устройства, поддерживающие протоколы стандарта IEC 61850: IEC 61850-8-1 (GOOSE, MMS), IEC 61850-9-2 (Sampled Values);
• устройства, поддерживающие протокол Modbus TCP.

Список поддерживаемых протоколов и устройств постоянно пополняется.

Постоянная защита промышленных компьютеров с помощью kaspersky industrial cybersecurity for nodes

Данный модуль включает защиту файлов, противодействие вредоносным программам, вирусным эпидемиям и эксплуатации уязвимостей, а также компонент «Использование KSN».

Компонент «Постоянная защита файлов» предназначен для проверки антивирусным ядром объектов, к которым происходит обращение во время работы компьютера. KICS for Nodes проверяет файл на наличие угроз и в зависимости от настроек может оповещать о найденной угрозе, не совершая блокирующих действий и не удаляя потенциально вредоносный файл, либо блокировать подозрительный объект не удаляя его, либо выполнять стандартные действия (лечение, перемещение на карантин или удаление).

Программа проверяет не только файлы, но и те объекты, которые потенциально могут содержать признаки вредоносной активности: альтернативные потоки файловых систем (NTFS streams), главную загрузочную запись и загрузочные секторы локальных жестких дисков и внешних устройств, а также файловые операции, которые исполняются в контейнерах Windows Server 2021 (изолированная среда, где программное обеспечение может работать без взаимодействия с операционной системой).

В связи с тем, что компоненты данной задачи для каждой системы индивидуальны, в KICS for Nodes существует ряд изменяемых параметров: область защиты, уровень безопасности, режим защиты объектов, уровень тщательности проверки эвристическим анализатором, применение доверенной зоны, использование служб KSN, расписание запуска задачи, а также возможность блокировки компьютеров, с которых ведется вредоносная активность.

Возможность блокирования компьютеров (например, при пересылке вредоносных программ) позволяет избежать вирусных эпидемий. Важно отметить, что описанная функциональность дает возможность блокировать SMB-сессию, препятствуя распространению злонамеренных программ через сетевые папки промышленных компьютеров, в то время как связь по остальным протоколам остается неизменной.

Рисунок 7. Настройка компонента «Постоянная защита файлов» в консоли KICS for Nodes

Компонент «Использование KSN» (Kaspersky Security Network) позволяет получить оперативные данные о проверяемых объектах. KSN – это совокупность онлайн-служб, предоставляющих доступ к базе знаний «Лаборатории Касперского», информация из которой существенно повышает эффективность работы компонентов KICS for Nodes, увеличивает скорость реакции на неизвестные угрозы, а также помогает выявить источники их возникновения.

Для обращений к KSN необходимо предоставить доступ в интернет. В промышленных инфраструктурах доступ в интернет часто отсутствует; специально для защиты закрытых контуров разработана локальная версия KSN – Kaspersky Private Security Network (KPSN). KPSN располагается локально на площадке заказчика и не передает данные за пределы его инфраструктуры.

Рисунок 8. Настройка компонента «Использование KSN» в консоли KICS for Nodes

Компонент «Защита от эксплойтов» представляет собой внешний агент, динамически подгружаемый модуль, который внедряется в защищаемые процессы и решает задачи по контролю их целостности, сводя к минимуму возможность эксплуатации уязвимостей в них.

Рисунок 9. Настройка компонента «Защита от эксплойтов» в консоли KICS for Nodes

В связи с популярностью вредоносной криптографии в KICS for Nodes реализован компонент «Защита от шифрования», который проверяет обращения удаленных машин к файлам, расположенным в общих сетевых папках защищаемой рабочей станции. Если в действиях удаленного узла обнаружены признаки злонамеренного шифрования, программа блокирует его доступ к общим сетевым папкам на указанное в настройках KICS for Nodes время.

Рисунок 10. Настройка компонента «Защита от шифрования» в консоли KICS for Nodes