Система обеспечения информационной безопасности на базе Kaspersky Industrial CyberSecurity
Вредоносные атаки на промышленные системы, включая промышленные системы управления (ICS) и системы диспетчерского управления и сбора данных (SCADA), значительно возросли в последние годы. Как показали атаки Stuxnet и BlackEnergy, злоумышленникам достаточно одного зараженного USB-накопителя или единой электронной почты с фишинг-фишингом, чтобы преодолеть воздушный разрыв и проникнуть в изолированную сеть. Традиционной безопасности уже недостаточно для защиты промышленной среды от киберугроз. По мере роста угроз, нацеленных на критически важную инфраструктуру, выбор правильного консультанта и технологического партнера для защиты ваших систем никогда не был более важным.
Функциональные возможности Kaspersky Industrial CyberSecurity
Система обеспечивает защиту от киберугроз промышленных систем, установленных на технологических объектах. Защита обеспечиваться путём одновременной реализации Системой следующих мер:
• Минимизация риска наступления инцидентов ИБ;
• Минимизация риска деструктивного воздействия на технологический процесс вследствие произошедшего инцидента ИБ;
• Своевременное оповещение персонала о выявленных угрозах и инцидентах;
• Предоставление детальной информации о произошедших инцидентах ИБ в целях их последующего анализа и расследования.
Объектами мониторинга и защиты от киберугроз являются:
• Промышленные и технологические сети объекта (объектов);
• Подключаемые к промышленным сетям (на базе Ethernet) контроллеры телеметрии, ПЛК, станции автоматизации, интеллектуальные цифровые устройства защиты и автоматики;
• АРМы диспетчеров/инженеров и серверы верхнего уровня (серверы базы данных, серверы сбора и передачи технологической информации), входящие в состав АСУ ТП.
Подсистема защиты конечных узлов обеспечивает комплексную защиту узлов промышленных устройств системы управления и обладать следующей функциональностью:
1. Постоянная защита конечных узлов от заражения вредоносным программным обеспечением;
2. Периодическая проверка конечных узлов на наличие вредоносного программного обеспечения;
3. Контроль запуска приложений (белый список) в блокирующем и неблокирующем режимах;
4. Контроль подключения внешних устройств (USB-носители, CD-приводы, мобильные устройства MTP, модемы) в блокирующем и неблокирующем режимах;
5. Контроль подключений к Wi-Fi сетям;
6. Управление настройками межсетевого экрана ОС Windows;
7. Защита от шифрования файлов на общих сетевых ресурсах;
8. Контроль изменений произвольных файлов на диске;
9. Анализ журналов операционной системы;
10. Защита от эксплойтов;
11. Контроль целостности проектов ПЛК (моделей Siemens SIMATIC S7-300, S7-400, S7-400H в режиме резервирования, Schneider Electric M340, M580);
12. Централизованное управление и распространение обновлений антивирусных баз;
13. Регистрация инцидентов.
ПО подсистемы совместимо с ПО, обеспечивающим и поддерживающим выполнение технологического процесса (ПО SCADA, инженерные системы конфигурирования и разработки) от следующих производителей:
Siemens (PCS7, SPPA T3000, WinCC, WinCC OA);
Schneider Electric (Citect, SCADA, Clear SCADA, Unity Pro);
Aveva (Wonderware System Platform);
Emerson (DeltaV, Ovation);
Yokogawa (Centum VP, ProSafe RS);
Foxboro (EcoStructure).
Архитектура системы обеспечения информационной безопасности на базе Kaspersky Industrial CyberSecurity
Подсистема комплексной защиты конечных узлов
Применима для устройств верхнего уровня АСУ ТП (АРМ инженеров, технологов, диспетчеров , операторов, серверов базы данных, серверов телемеханики, серверов сбора и передачи технологической информации).
Подсистема мониторинга технологической сети
Подсистема обеспечивает пассивный анализ сетевого трафика, его обработку и регистрацию событий ИБ.
Подсистема централизованного администрирования
Подсистема обеспечиват централизованное управление параметрами подсистемы защиты конечных узлов, а также осуществлять сбор информации о событиях информационной безопасности от подсистемы защиты конечных узлов и подсистемы мониторинга технологической сети.
Интеграция KICS с внешними системами
Система обеспечивает возможность оперативного оповещения персонала о выявленных событиях и инцидентах ИБ путём отправки электронных писем и/или коротких сообщений SMS.
Система имеет возможность передачи выявленных событий и инцидентов ИБ на уровень корпоративной системы управления кибербезопасностью (SIEM-системы). Требуется поддержка механизмов интеграции с такими SIEM-системами как ArcSight, QRadar, Splunk с возможностью использования принятых для таких систем прикладных протоколов, а также по протоколу syslog.
В объём поставки включено ПО и лицензии необходимые для реализации данных функций.
Централизованное администрирование в KICS
Сервер централизованного администрирования обеспечивает возможность удалённого конфигурирования подсистемы защиты конченых узлов посредством единообразного пользовательского интерфейса. Сервер также обеспечивает долговременное хранение и отображение поступающих оповещений от подсистемы мониторинга технологической сети и подсистемы защиты конечных узлов.
Ниже приведена детализация функциональных особенностей сервера централизованного администрирования:
• Централизованное назначение политик безопасности подключённым узлам промышленной сети.
• Управление обновлениями программного обеспечения;
• Долговременное хранение оповещений о выявленных событиях и инцидентах ИБ в защищённой базе данных.
• Отображение журнала оповещений о выявленных событиях и инцидентах ИБ в удобной пользователю форме.
• Построение консолидированных отчётов о статусе кибербезопасности.
• Предоставление информации о текущем статусе ИБ внешним системам по протоколам МЭК 60870-5-104 и OPC DA 2.0.
• Отображение статуса защищённости технологической сети;
• Возможность удалённого администрирования сервера с нескольких рабочих мест (с настраиваемым разграничением прав пользователей).
Для получения технического задания на KICS, дополнительной информации о возможности применения решения Kaspersky Industrial CyberSecurity на вашем предприятии отправьте запрос на info@legal-soft.ru или свяжитесь со специалистом по тел. 8812-309-28-17