В чем преимущество KICS for Nodes

Введение

В эпоху цифровизации промышленности кибербезопасность становится ключевым вопросом. Современные предприятия все чаще сталкиваются с угрозами не только для IT-инфраструктуры, но и для критически важных производственных систем — автоматизированных систем управления технологическими процессами (АСУ ТП).

Промышленная среда требует особой защиты: здесь недопустимы сбои, ограничено обновление ПО, а простой может стоить миллионы. Стандартные антивирусы часто оказываются неэффективными или даже опасными.

Поэтому на первый план выходят специализированные решения. В этом блоке статей мы рассмотрим ключевые преимущества Kaspersky Industrial CyberSecurity for Nodes и объясним, почему он оптимален для защиты критически важных систем.

Сравнение промышленного антивируса KICS for Nodes с корпоративным антивирусом Kaspersky Endpoint Security.

Функциональное сравнение

Функциональная возможность	KICS for Nodes	KES	Комментарий
Гибкая настройка антивирусной защиты	+	-	KICS for Nodes позволяет выбрать уровень полноты проверки и мер реагирования отдельно для каждой проверяемой области, тем самым позволяя администратору более гибко управлять нагрузкой на машину и временем выполнения проверки. В KES возможно задать один общий уровень безопасности проверки для всех проверяемых областей.
Защита от эксплойтов	+	+/-	Защита памяти процессов от эксплойтов в режиме мониторинга или блокировки. В KES можно выбрать только режим «блокировать операцию» / «Информировать». В KICS for Nodes также можно выбрать несколько техник защиты для каждого процесса.
Мониторинг доступа к реестру	+	-	Отслеживание действий, выполненных с указанными ветвями и разделами реестра, в областях мониторинга, заданных в параметрах задачи. В KES функционал отсутствует.
Аудит безопасности	+	-	KICS for Nodes при интеграции с KEA и KICS for Networks поддерживает стандарт OVAL, позволяющий выполнять аудит безопасности и compliance-проверки (с возможностью загрузки правил, позволяющих осуществлять проверки на соответствия требованиям ФСТЭК России по защите объектов КИИ, в частности приказа ФСТЭК России №239).
Быстрое создание белого списка программ	+	+/-	KICS for Nodes в отличие от KES позволяет без участия KSC и без какой-либо дополнительной нагрузки на индустриальную сеть создать белый список исполняемых файлов на хосте и далее любыми другими средствами (по сети или с использованием флешки) сделать backup сгенерированных правил или перенести его на KSC. Для реализации работы по белым спискам в KES потребуется обязательная связность с KSC, запуск задачи интвентаризации (время выполнения - несколько часов, более половины рабочего дня), при этом список обнаруженных файлов передаётся в KSС для дальнейшем предобработки, после завершения работы задачи потребуется ручное формирование категорий программ и занесение их в белый список. Подобная сложность приводит к тому, что обычно в KES используется только чёрный список.
Контроль устройств	+	+/-	KES поддерживает функционал контроля подключаемых устройств, однако в KES отсутствует возможность автоматически сформировать список доверенных устройств на основе подключенных или подключавшихся ранее устройств.
Контроль устройств в неблокирующем режиме	+	-	В KES нет возможности использования контроля устройств в режиме мониторинга, у пользователя есть возможность запросить доступ. В контексте АСУ ТП это (как и многие другие блокирующие воздействия со стороны СЗИ) может оказать негативное влияние на технологический процесс.
Сетевой экран	+	+	В KICS присутствует возможность управления сетевым экраном Windows, в KES – свой межсетевой экран.
Мониторинг файловых операций (контроль целостности произвольных файлов на диске)	+	+/-	Контроль целостности произвольных файлов на диске позволит отслеживать изменение не только исполняемых файлов, но и не исполняемых, которые являются критически важными для правильного функционирования АСУ ТП. Например, SCADA проектов, PLC проектов, которые располагаются в системе бэкапа или на рабочих станциях инженеров. Контроль операций выполняется в пассивном режиме без блокирования файлов и с отсутствием прерываний в работе целевого ПО. В KES этот компонент доступен только для серверных версий Windows.
Мониторинг файловых операций (контроль целостности произвольных файлов на диске)	+	+/-	Контроль целостности произвольных файлов на диске позволит отслеживать изменение не только исполняемых файлов, но и не исполняемых, которые являются критически важными для правильного функционирования АСУ ТП. Например, SCADA-проектов, PLC-проектов, которые располагаются в системе бэкапа или на рабочих станциях инженеров. Контроль операций выполняется в пассивном режиме без блокирования файлов и с отсутствием прерываний в работе целевого ПО. В KES этот компонент доступен только для серверных версий Windows.
Мониторинг целостности файлов на основе эталона	+	-	Программа позволяет контролировать целостности файлов в области мониторинга посредством сравнения хеша файлов (MD5 или SHA256) с эталонным значением. Задача Мониторинг целостности файлов на основе эталона отслеживает следующие изменения файлов в области мониторинга: область мониторинга содержит файл, который отсутствует в эталоне; в области мониторинга отсутствует файл, который присутствует в эталоне; хеш файла в области мониторинга отличается от хеша этого файла в эталоне.
Анализ журналов Windows	+	+/-	Технология анализирует поведение программ внутри системы на основе анализа логов операционной системы. Любой зловред в процессе своей жизнедеятельности оставляет след внутри операционной системы, который он по мере необходимости подчищает, чтобы оставаться незамеченным. Непрерывный автоматизированный анализ логов операционной системы позволяет обнаружить еще не известные зловреды по информации в логах ОС. Такой подход в сочетании с информационным (неблокирующим) режимом компонента защиты, позволяет обнаруживать новых зловредов без угрозы нарушить работу технологического процесса, т.к. используются стандартные средства операционной системы. Наличие компонента позволит отказаться от стороннего ПО для передачи логов Windows в централизованное средство работы с событиями инцидентами. В KES этот компонент доступен только для серверных версий Windows.
Контроль целостности проектов ПЛК	+	-	Поддерживаются модели SIMATIC S7-300 (Siemens); SIMATIC S7-400 (Siemens); SIMATIC S7-400H в режиме работы с резервированием (Siemens); Schneider Electric Modicon M340; Schneider Electric Modicon M580; устройства на базе CODESYS V3; ОВЕН ПЛК210; Fastwel CPM723-01; Прософт-Системы Regul R500; Siemens SIMATIC S7-1500; Siemens SIMATIC S7-1200; Siemens серии SIPROTEC 4. В KES функционал отсутствует.
Мониторинг производительности продукта по SNMP	+	-	Для АСУ ТП систем с высоким уровнем интеграции с системами мониторинга на базе SNMP, например, цифровых подстанций. KICS for Nodes предоставляет возможности отслеживать уровень производительности и загруженности системы безопасности по SNMP протоколу, предоставляя тем самым администратору единый интерфейс мониторинга за производительностью всей системы.
Интеграция KICS for Nodes и KICS for Networks	+	-	Интеграция позволяет осуществлять реагирование на события (изолировать узел, запрет запуска, переместить файл в карантин) и передавать телеметрию с конечных узлов для обогащения информации о сетевом окружении, обогащать информацию об инцидентах информациях о процессах и пользователях за счет корреляции событий от KICS for Nodes. KES с KICS for Networks не интегрируется.
Отправка событий по Syslog в SIEM напрямую без использования KSC	+	-	В KICS for Nodes предусмотрена возможность отправки зарегистрированных событий безопасности в SIEM без обязательной использования для этого KSC.
Интеграция статуса безопасности узлов АСУ ТП с HMI-интерфейсом	+	-	В комплекте с KICS for Nodes поставляется утилита Kaspersky Security Gateway, позволяющая транслировать статус безопасности устройств из KSC в интерфейс оператора по протоколам OPC DA и IEC 60870-5-104.
Наличие портативной версии продукта на USB	+	-	KICS for Nodes имеет портативную версию, позволяющую использовать продукт, не устанавливая его на защищаемый компьютер (запуская с USB носителя). KES портативной версии не имеет.

Нефункциональное сравнение

Область	KICS for Nodes	KES	Комментарий
Сниженное потребление ресурсов	+	-	В основу KICS for Nodes положена масштабируемая архитектура, которая позволяет управлять количеством сканирующих процессов. Это позволяет использовать продукт как на рабочих станциях, так и на серверных платформах с процессорами, имеющими большое количество ядер. Пользователь может регулировать количество порождаемых процессов, тем самым регулируя объем потребляемых ресурсов. Прогнозируемый объем потребляемых ресурсов, является одним из важнейших требований к средствам защиты, применяемым в АСУ ТП. Также, в KICS for Nodes снижение достигается использованием другой архитектуры ПО, построенной на базе решения для серверных ОС, для которых также критична бесперебойность работы. KES не ограничивает потребление ресурсов процессора.
Установка продукта без графического интерфейса	+	-	KICS for Nodes может быть установлен на хосты АСУ ТП в качестве сервиса без пользовательского интерфейса, что значительно сокращает объем потребляемых системой защиты ресурсов, при этом оператор хоста может быть даже не в курсе о том, что хост находится под защитой. Это позволяет максимизировать объем вычислительных ресурсов для выполнения основных задач АСУ ТП.
Настройки по умолчанию в неблокирующем режиме	+	-/+	В KES по умолчанию в блокирующем режиме работают технологии, применимые к АСУ ТП: защита от файловых угроз, защита от веб-угроз, защита от сетевых угроз, анализ поведения, защита от эксплойтов. Остальные технологии по умолчанию либо отключены, либо работают в режиме информирования. В KICS for Nodes в блокирующем режиме работает технология AMSI-защита.
Расширенный перечень поддерживаемых ОС (поддержка старых ОС)	+	-	KICS for Nodes поддерживает расширенный диапазон операционных систем, включающий Windows XP SP2, Windows Embedded, Windows Server 2003 SP1. Это позволяет защитить АСУ ТП, которым более 10 лет и которые до сих по активно эксплуатируются в промышленной среде. Это позволяет отложить модернизацию АСУ ТП без увеличения рисков информационной безопасности.
Установка и удаление продукта без перезагрузки ОС	+	-	Отсутствие необходимости перезагрузок ОС системы позволяет вести развертывание продукта даже в процессе эксплуатации АСУ ТП.
Проверка антивирусных баз на отсутствие ложных срабатываний на индустриальное ПО	+	-	Лаборатория Касперского имеет прямые договоры с вендорами индустриального ПО. В рамках этих контрактов вендоры индустриального ПО поставляют свои продукты в Лабораторию Касперского. Антивирусные базы для KICS for Nodes проходят дополнительные проверки на отсутствие ложных срабатываний на индустриальное ПО.
Сертификаты совместимости с вендорами АСУ ТП	+	-	Лаборатория Касперского проводит совместно с вендорами промышленного ПО тестирование на совместимость, результатами являются сертификаты совместимости, доступные публично: https://ics.kaspersky.ru/resources/#certification.
Предоставляемые инструкции по внедрению и исключения доверенной зоны	+	-	Как правило, производители промышленного ПО имеют внутренние инструкции по установке различных версий антивирусного ПО, а также рекомендации по наполнению доверенной зоны (исключения для файлов, папок). Лаборатория Касперского формирует доверенную зону на основе рекомендаций вендора.
Поддержка во время внедрения	+	-	Лаборатория Касперского обеспечивает полную поддержку на этапе внедрения решения. Сервис расширенной техподдержки имеет установленные лимиты на ответ по проблеме, возможны выезды специалиста на площадку.

Сертификация

ФОИВ	KICS for Nodes	KES	Комментарий
Сертификация ФСТЭК России	+ (ссылка)	+ (ссылка)	KICS for Nodes имеет сертификат ФСТЭК России, подтверждающий соответствие решения требованиям к средствам антивирусной защиты, профилю защиты САВЗ (по 2-му классу), требованиям доверия (по 2-му уровню), профилю защиты СКН (по 2-му классу).
Сертификация ФСБ России	KICS for Nodes имеет сертификат ФСБ России, подтверждающий соответствие решения требованиям к программным антивирусным средствам класса В2.

ФОИВ

KICS for Nodes

KES

Комментарий

Сертификация ФСТЭК России

(ссылка)

KICS for Nodes имеет сертификат ФСТЭК России, подтверждающий соответствие решения требованиям к средствам антивирусной защиты, профилю защиты САВЗ (по 2-му классу), требованиям доверия (по 2-му уровню), профилю защиты СКН (по 2-му классу).

Сертификация ФСБ России

KICS for Nodes имеет сертификат ФСБ России, подтверждающий соответствие решения требованиям к программным антивирусным средствам класса В2.

Совместимость KICS for Nodes с промышленными вендорами.
Совместимость средств кибербезопасности с оборудованием и ПО промышленных вендоров — ключевой аспект при создании защищенной инфраструктуры предприятия. В отличие от традиционных IT-систем, где обновления и изменения конфигурации — обычное дело, промышленный сегмент крайне чувствителен к любым вмешательствам. На предприятиях применяются решения различных производителей — от систем автоматизации и SCADA до специализированного контроллеров. Каждое из них уникально, имеет свои требования к ресурсам и ограничения на установку стороннего ПО. Неправильная работа защитных программ может нарушить технологические процессы, привести к простоям оборудования и финансовым потерям. Поэтому промышленный антивирус должен не только надежно защищать, но и подтверждать совместимость с решениями ведущих вендоров. Этого можно достичь через тестирования, сертификации и тесное сотрудничество разработчиков защитных средств с производителями промышленного оборудования.

Для ознакомления с перечнем сертификатов соответствия KICS for Nodes и сторонних вендоров перейдите по ссылке.
Соответствие нормам и требованиям регуляторов.

С ростом киберугроз и усилением требований к защите критически важной информационной инфраструктуры соответствие средств информационной безопасности нормативам становится обязательным условием для их использования на промышленных предприятиях. Регуляторы и отраслевые организации разрабатывают стандарты и рекомендации для обеспечения устойчивости, надежности и защищенности технологических процессов. Промышленные системы, особенно автоматизированные системы управления технологическими процессами (АСУ ТП), выдвигают особые требования к средствам защиты. Эти решения должны не только эффективно противостоять современным угрозам, но и соответствовать нормам, регулирующим их применение в критически важных средах. Это особенно важно для предприятий энергетики, нефтегазовой отрасли, транспорта и других сегментов, входящих в объекты критической инфраструктуры. Промышленный антивирус, соответствующий требованиям регуляторов, проходит сертификацию, которая подтверждает его безопасность, надежность и корректность работы в специализированной среде. Кроме того, соответствие международным и национальным стандартам облегчает процессы аудита, внедрения и эксплуатации решений, а также снижает риски для бизнеса.

Для ознакомления с перечнем сертификатов соответствия регуляторным требования и нормам можно ознакомиться перейдя по ссылке.
Для более детального изучения требований приказа ФСТЭК №239 и их выполнения с помощью KICS for Nodes рекомендуем ознакомиться со статьей "Реализация мер 239 приказа ФСТЭК".