Kaspersky ICS EDR
Данная статья является информационной и описывает решение Kaspersky ICS EDR
Что такое ICS EDR?
ICS EDR (Industrial CyberSecurity Endpoint Detection and Response) - это решение, предназначенное для защиты промышленных объектов и АСУ ТП. В отличии от обычного EDR, который используется в IT сегменте, ICS EDR используется только в OT сегменте и позволяет защищать важные компоненты промышленных предприятий от кибеугроз.
Сравнение EDR и ICS EDR
| Критерий | Обычный EDR | ICS EDR |
|---|---|---|
| Цель защиты | Информация, ИТ-ресурсы | Физический технологический процесс |
| Критичность ошибок | Потеря данных, простой ИТ | Аварии, разрушения, угроза жизни |
| Тип инфраструктуры | IT-сеть | OT-сеть (АСУ ТП) |
| Допустимое вмешательство | Можно изолировать, выключить, перезапустить | Нельзя останавливать оборудование |
| Основной объект мониторинга | Файлы, процессы, память | Команды управления, логика ПЛК, состояние процесса |
| Работа с ПЛК | Не поддерживается | Глубокая поддержка ПЛК разных вендоров |
| Промышленные протоколы | Почти не анализируются | Глубокий анализ: Modbus, OPC UA, DNP3, Profinet и др. |
| Ложные срабатывания | Допустимы | Крайне опасны |
| Модель угроз | Кибершпионаж, вымогательство | Саботаж, аварии, разрушения |
| Обновления и патчи | Регулярные | Редкие, строго контролируемые |
| Отказоустойчивость | Стандартная | Критически высокая |
| Допустимое время простоя | Часы | Секунды = катастрофа |
| Пример атак | ransomware | Stuxnet, Triton, Industroyer |
| Тип реагирования | Security-центр | Диспетчерская + ИБ + инженеры |
| Основной риск | Потеря данных | Потеря управления технологическими процессами |
Функциональные возможности Kaspersky ICS EDR
| Функции | |
|
YARA-проверка |
|
|
KSC: Сетевая изоляция узла |
|
|
KSC: Запретить запуск |
|
|
KSC: Обнаружение аномалий с помощью Sigma-правил |
|
|
KSC: Поиск IOC |
|
|
KSC: Завершить процесс |
|
|
KSC: Запустить процесс |
|
|
KSC: Поместить файл на карантин |
|
|
KSC: Удалить файл |
|
|
KSC: Получить файл |
|
|
KSC: Аудит безопасности |
|
|
Интеграция с KICS for Networks: передача сведений об узле |
|
|
Интеграция с KICS for Networks: аудит безопасности, анализ уязвимостей, контроль конфигурации |
|
|
Интеграция с KICS for Networks: передача событий |
|
|
Интеграция с KICS for Networks: передача сетевых сессий |
|
|
Интеграция с KICS for Networks: передача графа атаки на узле |
|
|
Реагирование из KICS for Networks: изоляция узла |
|
|
Реагирование из KICS for Networks: запрет запуска |
|
|
Реагирование из KICS for Networks: поместить на карантин |
|
|
Реагирование из KICS for Networks: удалить файл |