Гайды по развертыванию
- Развертывание MLAD
- Развертывание KICS for Networks
- Лучшие практики развертывания KICS for Nodes \ KICS for Linux Nodes
Развертывание MLAD
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или ICS community и НЕ является официальной рекомендацией вендора
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/MLAD/5.0/ru-RU/247959.htm
Убедитесь, что все пункты из статьи подготовки в системе соблюдены
Актуальные для развёртывания запросите у сотрудников Лаборатории Касперского
Установка Kaspersky MLAD выполняется в соответствии с описанной процедурой установки программы. Установка и использование Kaspersky MLAD возможны только на одном сервере. Установка и использование разных служб и коннекторов на нескольких серверах невозможны.
Установка MLAD в интерактивном режиме
1. Распакуйте архив Kaspersky_MLAD_5.0.0.<номер сборки>_ru-RU_en-US.tar.xz, входящий в состав комплекта поставки:
tar xf Kaspersky_MLAD_5.0.0.<номер сборки>_ru-RU_en-US.tar.xz
После распаковки архива появится директория mlad-release-5.0.0-<номер сборки>.
2. Перейдите в директорию mlad-release-5.0.0-<номер сборки>:
cd mlad-release-5.0.0-<номер сборки>
3. Запустите скрипт установки setup.sh:
sudo ./setup.sh
4. Следуйте указаниям мастера установки программы.
На этом установка MLAD будет завершена
Установка Kaspersky MLAD будет прервана, если целостность архива программы нарушена. Для получения корректного архива программы обратитесь к специалистам "Лаборатории Касперского".
Установка MLAD в неинтерактивном режиме
1. Распакуйте архив Kaspersky_MLAD_5.0.0.<номер сборки>_ru-RU_en-US.tar.xz, входящий в состав комплекта поставки:
tar xf Kaspersky_MLAD_5.0.0.<номер сборки>_ru-RU_en-US.tar.xz
После распаковки архива появится директория mlad-release-5.0.0-<номер сборки>.
2. Перейдите в директорию mlad-release-5.0.0-<номер сборки>:
cd mlad-release-5.0.0-<номер сборки>
3. Запустите скрипт установки setup.sh:
sudo ./setup.sh -q -e accept -f <полный путь к директории для установки программы>
-q означает, что программа будет установлена в неинтерактивном режиме. При установке программы в неинтерактивном режиме Kaspersky MLAD создает первого пользователя программы с ролью системного администратора и задает ему имя пользователя и пароль по умолчанию. Для получения имени и пароля пользователя, используемых по умолчанию, обратитесь к квалифицированному техническому специалисту Заказчика, сотруднику "Лаборатории Касперского" или сертифицированному интегратору.
-e accept означает, что вы принимаете условия Лицензионного соглашения. Согласие с условиями Лицензионного соглашения является обязательным условием для установки программы. Если вы не указываете ключ -e accept, установка программы будет прервана.
Прочитать текст Лицензионного соглашения можно в текстовых файлах license_ru.txt и license_en.txt, которые расположены в директории legal.
-f <полный путь к директории для установки программы> означает, что программа будет установлена в указанную директорию. Если вы не указывает ключ -f, программа будет установлена в директорию по умолчанию /opt/kaspersky/mlad.
На этом установка MLAD будет завершена
Первый запуск MLAD
По умолчанию Kaspersky MLAD использует утилиту systemctl для запуска и остановки программы. В случае непредвиденного перезапуска сервера, на котором установлена программа, утилита systemctl автоматически запускает Kaspersky MLAD.
Рекомендуется использовать утилиту systemctl для управления состоянием программы.
1. Запустите MLAD следующей командой в терминале:
sudo systemctl start mlad
Остановка MLAD выполняется следующей командой в терминале: sudo systemctl stop mlad. При остановке программа запоминает статусы служб. При запуске программы работа служб будет восстановлена с прежними статусами.
2. Подключитесь к веб-интерфейсу MLAD через поддерживаемый браузер Google Chrome версии 107 и выше, выбив в адресную строку адрес сервера. На открывшейся странице ввода учетных данных введите адрес электронной почты в качестве имени пользователя и пароль.
При первом подключении к веб-интерфейсу в качестве системного администратора используйте указанные при установке программы имя и пароль первого пользователя с ролью системного администратора.
3. Загрузка конфигурации тегов и активов иерархической структуры в Kaspersky MLAD
4. Настройка коннекторов
5. Настройка служб
6. Подключение к источнику данных
7. Создание учетных записей для пользователей
Развертывание KICS for Networks
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или ICS community и НЕ является официальной рекомендацией вендора
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/KICSforNetworks/4.3/ru-RU/83112.htm
Убедитесь, что все пункты из статьи подготовки соблюдены
Актуальные для развёртывания запросите у сотрудников Лаборатории Касперского
Централизованная установка
централизованная установка предполагает использование установки KICS for Networks удаленно по ssh.
Для этого на узле, где будет происходить установка нужно изменить параметры ssh.
sudo nano /etc/ssh/sshd_config
После этого надо изменить строку
#PermitRootLogin prohibit-password
на
PermitRootLogin yes
После каждого использования скрипта централизованной установки компонентов программы (в том числе для централизованного удаления или для усиления защиты компьютеров) в целях безопасности требуется закрыть доступ к компьютерам по протоколу SSH. Вы можете закрыть доступ, используя команду в консоли операционной системы компьютера sudo systemctl disable --now sshd. Для последующего возобновления доступа по протоколу SSH (если возникнет необходимость в повторном использовании скрипта централизованной установки компонентов программы) вы можете использовать команду sudo systemctl enable --now sshd.
После этого необходимо разархивировать установочный архив командой:
sudo tar -xzvf kics4net-release_<номер версии программы>.tar.gz
перейти в директорию:
cd kics4net-release_<номер версии программы>/linux-<версия дистрибутива: astra | centos>/
И запустите скрипт централизованный установки командой:
sudo sh ./kics4net-deploy-<номер версии программы>.bundle.sh/
Дождитесь завершения работы скрипта.
После установки веб-интерфейс KICS for Networks будет доступен по адресу https://<IP адрес сервера>.
Локальная установка
Установка сервера
Для локальной установки необходимо разархивировать установочный архив командой:
sudo tar -xzvf kics4net-release_<номер версии программы>.tar.gz
После этого перейти в директорию:
cd kics4net-release_<номер версии программы>/linux-<версия дистрибутива: astra | centos>/
И запустить скрипт установки со следующими параметрами
sudo sh ./kics4net-install.sh --server --product-language=<english | russian>
Дождитесь завершения работы скрипта kics4net-install.sh.
Чтобы локально установить сенсор Kaspersky Industrial CyberSecurity for Networks выполните команду sudo sh ./kics4net-install.sh --sensor
После установки веб-интерфейс KICS for Networks будет доступен по адресу https://<IP адрес сервера>.
Лучшие практики развертывания KICS for Nodes \ KICS for Linux Nodes
В этой части статьи мы поговорим о рекомендациях по настройкам политик безопасности KICS for Nodes \ KICS for Linux Nodes.
Детальные и универсальных рекомендаций тут вряд ли возможны, потому что:
· технологические процессы бывают разные,
· архитектуры систем АСУ ТП бывают разные,
· функциональные роли, способы и режимы эксплуатации узлов, на которые устанавливается KICS for Nodes \ KICS for Linux Nodes тоже бывают разные.
Но, всё же, мы попробуем дать общие рекомендации и соображения, которые стоит учесть при настройках политик безопасности.
Первоначальное использование всех технологий детектирования рекомендуется в режиме информирования («Только сообщать», «Только статистика») во избежание негативного влияния ложных срабатываний на работу технологический процесс.
На дальнейших этапах при настройке политик следует учитывать два вида рисков:
· риски, обусловленные угрозами безопасности информации;
· риски негативного влияния на работу защищаемого узла, обусловленные некорректными настройками KICS for Nodes.
Если конкретнее, то нужно учитывать следующие факторы:
1) Функциональная роль узла. Чем важнее корректная работа узла для технологического процесса, тем больше нужно уделить внимания возможности ложного срабатывания технологий защиты, чтобы минимизировать влияние на технологический процесс. Для минимизации рисков ложных срабатываний рекомендуется использовать следующие методы:
· Работа технологий детектирования в режиме в режиме информирования (особенно это касается технологий, использующих обновляемые базы сигнатур: антивирусная защита, защита от эксплойтов, защита от сетевых угроз, защита шифрования сетевых файлов и папок. Потому что файлы и сетевые взаимодействия, которые до обновления баз не считались вредоносными, после обновления могут начать таковыми считаться.
· Испытания корректности функционирования узла с заданными/обновленными политиками, обновленными базами в тестовой среде: стенд производителя/поставщика системы АСУ ТП, виртуальные машины;
· Поэтапная установка/обновление баз KICS for Nodes в системе АСУ ТП. Например, в системе есть 10 узлов, на которые нужно установить KICS for Nodes. Если есть такая возможность, то лучше их устанавливать по частям, чтобы в случае каких-либо сложностей иметь эти сложности на минимальном количестве узлов в каждый отдельный момент времени.
· Если система АСУ ТП резервированная, то устанавливать/обновлять базы KICS for Nodes не на обоих каналах сразу, а сперва на одном канале, и в случае, если достаточно длительное время всё идёт хорошо, - на втором канале.
2) Подверженность узла угрозам безопасности информации. Если для узла обеспечивается эшелонированная защита от угроз безопасности информации (меры физической защиты, защита периметра, мониторинг сети, встроенные средства защиты и другие меры), то с учетом функциональной роли узла стоит рассмотреть возможность более длительного использования защитных технологий в режиме информирования. А если узел подвержен угрозам безопасности с высокой вероятностью, например:
· подключен к Интернету,
· находится на периметре сети и взаимодействует со смежными системами,
· не обеспечиваются достаточные меры физической защиты),
то с учетом функциональной роли узла рекомендуется более краткосрочное применение технологий обнаружения в режиме информирования, чтобы узел меньшее количество времени находился в состоянии без активной защиты.
С учетом этих двух основных факторов применим дифференцированный подход и поделим все защищаемые устройства на 4 группы:
Кто-то может ввести более детальную градацию с 6 (2х3), 9 (3х3) группами.
|
Название группы узлов |
Зеленая группа |
Желтая группа |
Оранжевая группа |
Красная группа |
|
Риски ИБ |
Низкие |
Высокие |
Низкие |
Высокие |
|
Важность для ТП |
Низкая |
Низкая |
Высокая |
Высокая |
С учетом специфики каждой группы для них можно рассмотреть следующие наборы настроек:
|
Название группы узлов |
Зеленая группа |
Желтая группа |
Оранжевая группа |
Красная группа |
|
Риски ИБ |
Низкие |
Высокие |
Низкие |
Высокие |
|
Важность для ТП |
Низкая |
Низкая |
Высокая |
Высокая |
|
Время применения защитных технологий в режиме информирования перед включением активного режима (для исключения влияния ложных срабатываний) |
Короткое |
Короткое |
Постоянное или длительное |
Длительное или постоянное |
|
Настройки постоянной антивирусной защиты |
Максимально глубокие настройки, насколько позволяет аппаратная конфигурация узла |
Максимально глубокие настройки, насколько позволяет аппаратная конфигурация узла |
Поверхностные настройки или отключение |
Средние настройки |
|
Применение периодической антивирусной проверки (проверка по требованию) |
Максимально глубокие настройки проверки, насколько позволяет аппаратная конфигурация узла |
Максимально глубокие настройки проверки, насколько позволяет аппаратная конфигурация узла |
Средние настройки проверки по требованию; Использование портативного сканера. |
Максимальное глубокие настройки проверки по требованию; Использование портативного сканера. |
|
Частота запуска проверки по требованию |
Часто, по расписанию |
Часто, по расписанию |
Вручную, в период «технологического окна» в фоновом режиме |
Вручную, в период «технологического окна» в фоновом режиме |
|
Действия, выполняемые над зараженными и возможно зараженными объектами |
Карантин/Удалять |
Карантин/Удалять |
Только сообщать |
Только сообщать |
|
Настройки остальных технологий детектирования |
Максимально глубокие настройки, насколько позволяет аппаратная конфигурация узла |
Максимально глубокие настройки, насколько позволяет аппаратная конфигурация узла |
Поверхностные настройки |
Средние настройки |
1) Необходимость использования отдельных технологий детектирования. Если какая-либо технология детектирования в контексте конкретного узла не даёт никакой дополнительной защиты от угроз безопасности и это подтверждено проектом и моделью угроз, то стоит рассмотреть возможность отключения этой технологии, чтобы они не потребляли ресурсы узла и не вызывали ложных срабатываний. В случае с KICS for Nodes для Windows отдельные функциональные модули можно даже не устанавливать, ведь функциональный модуль не сможет оказать негативное влияние на работу узла, если он не установлен.
2) Одной из наиболее затратных в плане ресурсов задач является проверка по требованию, поэтому в случае наличия ограничений ресурсов на узле можно её оптимизировать следующими способами:
· выполнение задачи в фоновом режиме;
· снижение частоты периодического запуска задачи или запуск задачи вручную в период технологического окна;
· снижение глубины работы эвристического анализатора или его отключение;
· настройка объектов проверки;
· проверка только новых и измененных файлов;
· настройка параметров производительности