Kaspersky ICS EDR

Данная статья является информационной и описывает решение Kaspersky ICS EDR

Что такое EDR?

Технология EDR или Endpoint Detection and Response - это технология кибербезопасности, которая предназначена для мониторинга активности на устройствах (рабочие станции, сервера и тд), выявления подозрительных действий и быстрого реагирования на потенциальные инциденты.

Что такое Kaspersky ICS EDR?

Kaspersky ICS EDR (Industrial CyberSecurity Endpoint Detection and Response) - это решение, предназначенное для защиты промышленных объектов и АСУ ТП. В отличии от обычного EDR, который используется в IT сегменте, ICS EDR используется только в OT сегменте и позволяет защищать важные компоненты промышленных предприятий от кибеугроз.

Сравнение EDR иKaspersky ICS EDR

являетсядополнениемкрешениеIndustrialотEDR

Основными

решениямиICSотсостоитвследующем:

Kaspersky

спецификутовремякакEDRориентированкорпоративногосегментасети:атаки,другое.EDRфункционируетне актуальнымиОС.важнадляпромышленныхEDREDRзакрываеттолькотребования,которыекорпоративногосегмента

~~Критерий~~	~~Обычный~~Kaspersky ~~EDR~~	CyberSecurity. Основные отличия Kaspersky ICS EDR
~~Цель~~Kaspersky ~~защиты~~	~~Информация,~~EDR ~~ИТ-ресурсы~~	~~Физический~~классического ~~технологический~~EDR ~~процесс~~
~~Критичность~~ ~~ошибок~~	~~Потеря~~ICS ~~данных,~~EDR ~~простой~~учитывает ИТ	~~Аварии,~~OT ~~разрушения,~~сегмента. ~~угроза~~В ~~жизни~~
~~Тип~~обычный ~~инфраструктуры~~	~~IT-сеть~~	~~OT-сеть~~на ~~(АСУ~~угрозы ~~ТП)~~
~~Допустимое~~целевые ~~вмешательство~~	~~Можно~~APT, ~~изолировать,~~ransomware ~~выключить,~~и ~~перезапустить~~	~~Нельзя~~ Kaspersky ~~останавливать~~ICS ~~оборудование~~
~~Основной объект мониторинга~~	~~Файлы, процессы, память~~	~~Команды управления, логика ПЛК, состояние процесса~~
~~Работа~~только с ~~ПЛК~~	Неверсиями ~~поддерживается~~	~~Глубокая~~Данная ~~поддержка~~функциональная ~~ПЛК~~возможность ~~разных~~критически ~~вендоров~~
~~Промышленные~~предприятий. ~~протоколы~~	~~Почти~~ Kaspersky неICS ~~анализируются~~	~~Глубокий~~закрывает ~~анализ:~~большинство ~~Modbus,~~регуляторных ~~OPC~~требований ~~UA,~~в ~~DNP3,~~области ~~Profinet~~защиты иКИИ. ~~др.~~
~~Ложные~~те ~~срабатывания~~	~~Допустимы~~	~~Крайне~~касаются ~~опасны~~
~~Модель угроз~~	~~Кибершпионаж, вымогательство~~	~~Саботаж, аварии, разрушения~~
~~Обновления и патчи~~	~~Регулярные~~	~~Редкие, строго контролируемые~~
~~Отказоустойчивость~~	~~Стандартная~~	~~Критически высокая~~
~~Допустимое время простоя~~	~~Часы~~	~~Секунды = катастрофа~~
~~Пример атак~~	~~ransomware~~	~~Stuxnet, Triton, Industroyer~~
~~Тип реагирования~~	~~Security-центр~~	~~Диспетчерская + ИБ + инженеры~~
~~Основной риск~~	~~Потеря данных~~	~~Потеря управления технологическими процессами~~

Функциональные возможности Kaspersky ICS EDR

Функции	KICS for Nodes 4.5		KICS for Linux Nodes 2.0
Функции	EDR	без EDR	EDR	без EDR
YARA-проверка	+	-	N/A	N/A
KSC: Сетевая изоляция узла	+	-	N/A	N/A
KSC: Запретить запуск	+	-	N/A	N/A
KSC: Обнаружение аномалий с помощью Sigma-правил	+	-	N/A	N/A
KSC: Поиск IOC	+	-	+	-
KSC: Завершить процесс	+	-	+	-
KSC: Запустить процесс	+	-	+	-
KSC: Поместить файл на карантин	+	-	+	-
KSC: Удалить файл	+	-	+	-
KSC: Получить файл	+	-	+	-
KSC: Аудит безопасности	+	+	N/A	N/A
Интеграция с KICS for Networks: передача сведений об узле	+	+	+	+
Интеграция с KICS for Networks: аудит безопасности, анализ уязвимостей, контроль конфигурации	+	+	+	+
Интеграция с KICS for Networks: передача событий	+	+	+	+
Интеграция с KICS for Networks: передача сетевых сессий	+	+	+	+
Интеграция с KICS for Networks: передача графа атаки на узле	+	-	+	-
Реагирование из KICS for Networks: изоляция узла	+	-	+	-
Реагирование из KICS for Networks: запрет запуска	+	-	+	-
Реагирование из KICS for Networks: поместить на карантин	+	-	+	-
Реагирование из KICS for Networks: удалить файл	N/A	N/A	+	-

Kaspersky ICS EDR

Что такое EDR?

Что такое Kaspersky ICS EDR?

Сравнение EDR иKaspersky ICS EDR

Основные отличия Kaspersky ICS EDR

Функциональные возможности Kaspersky ICS EDR