Инструкции

Данный раздел содержит набор инструкций по подготовке ОС, развертыванию и работе с продуктами KICS и MLAD

Гайд по работе с коммутаторами и трафиком

Гайд по работе с коммутаторами и трафиком

Гайд по работе с коммутатором Cisco

Первое подключение к коммутатору

Для базовой настройки коммутатора Cisco 2960 вам понадобится:

После того, как вы подключили коммутатор к питанию и он включился, необходимо подключить консольный порт к самому коммутатору и к компьютеру. 

Для входа в терминал коммутатора необходимо использовать утилиты вроде Putty или MobaXTerm.

Подключение к коммутатору необходимо выполнять по COM порту со следующими параметрами:

image.png

Первоначальная настройка


1. Когда вы подключаетесь к коммутатору в первый раз и установочный мастер предлагает пошаговую настройку (Continue with configuration dialog? [yes/no]), необходимо отказаться от нее.

2. После этого загрузится пользовательский режим вводы «Switch>» — перейдите в привилегированный режим:

Switch>enable 
Password: (нажмите «Enter», пароль по умолчанию отсутствует) 
Switch# (режим привилегированного доступа обозначается символом #)

3. Измените имя коммутатора. Для этого нужно активировать режим глобальной конфигурации, что позволит настраивать конфигурацию всего коммутатора:

Если в сети есть много коммутаторов, то уникальное имя должен иметь каждый из них. В дальнейшем это поможет определить, что конфигурация реализуется именно на том устройстве, что нужно. Длинные имена использовать не рекомендуется, лучше выбирать короткие.

Switch# configure terminal 
Switch(config)# hostname 
Switch00 (новое имя – Switch00) 
Switch00(config)#

4. Задайте пароль для привилегированного режима:

Switch00(config)# enable secret <ваш пароль> 
Switch00(config)# service password-encryption (добавляем сохранение паролей в зашифрованном виде)

5. Рекомендация: запретите несанкционированный поиск в DNS:

При вводе неправильной команды коммутатор не будет искать доменное имя

Switch00(config)# no ip domain-lookup
Switch00(config)#

6. Установите IP-адрес для порта управления коммутатором:

Switch00(config)# interface fa0/0
Switch00(config-if)# no shutdown
Switch00(config-if)# ip address 192.168.0.1 255.255.255.0 (На порт fa0/0 установили адрес 192.168.0.1 255.255.255.0)
Switch00(config-if)# exit
Switch00(config)#

7. Установите пароль для консольного подключения:

Switch00(config)# line console 0
Switch00(config-line)# password <ваш пароль>
Switch00(config-line)# login
Switch00(config-line)# exit

Базовая настройка коммутатора Cisco 2960 на этом завершается.

Настройка VLAN

Создание VLAN

Настройка Virtual LANs (VLANs) позволяет создавать виртуальные сегменты сети и логически разделять трафик между ними. Рассмотрим, что нужно сделать для установки VLAN.

1. Перейдите в режим глобальной конфигурации:

Switch00# configure terminal 
Switch00(config)#

2. Создайте VLAN, например VLAN 10 с именем:

Switch00(config)# vlan 10 
Switch00(config-vlan)# name Platform01
Switch00(config-vlan)# exit

3. Назначьте порты VLAN:

Switch00(config)# interface <т_и> <н_и> (например, fa0/1)
Switch00(config-if)# switchport mode access 
Switch00(config-if)# switchport access vlan 10 
Switch00(config-if)# exit

Назначаем порт на VLAN 10. <ти> — тип интерфейса, например FastEthernet или GigabitEthernet, <н_и> — номер интерфейса, который вы хотите настроить, например 0/1.

4. После завершения настройки не забудьте сохранить изменения:

Switch00# copy running-config startup-config
Назначение Access и Trunk портов на коммутаторе

Некоторые обозначения:

access port – это порт, который принадлежит к одному VLAN, и может передавать нетегированный информационный трафик;

trunk port – это коммутационный порт, посредством которого может передаваться тегированный трафик от одного либо нескольких VLAN.

Коммутаторы Cisco ранних версий работали с двумя протоколами: 802.1Q, ISL. Второй из них относится к проприетарному протоколу, который применяется в коммутационных платформах Cisco. Этот протокол позволяет инкапсулировать фрейм с целью передачи данных о причастности к тому или иному VLAN. Современные модели этот протокол не поддерживают, а работают только с 802.1Q.

Для назначения коммутационного порта доступа в VLAN 10 нужно написать следующие команды:

Switch00(config)# interface fa0/1
Switch00(config-if)# switchport mode access
Switch00(config-if)# switchport access vlan 10

Настройка диапазона коммутационных портов с fa0/4 до fa0/5 выполняется следующим образом: sw1(config)# interface range fa0/4 - 5

Чтобы иметь возможность передачи трафика от нескольких VLAN посредством одного порта, его следует перевести в режим trunk. Конкретные режимы интерфейса (режим умолчания отличаются для разных моделей):

По умолчанию для режима trunk разрешаются все VLAN. Чтобы через любой из поддерживаемых VLAN выполнялась передача данных, он должен быть активным. В активную фазу он переходит тогда, когда его создали на коммутаторе и один из его портов находится в режиме up/up.

VLAN создается на коммутаторе посредством команды vlan. Также он может формироваться автоматически на коммутаторе, когда к нему добавляются интерфейсы в режиме access.

Для создания статического trunk нужно порта нужно написать следующие команды:

Switch00(config)# interface fa0/22
Switch00(config-if)# switchport trunk encapsulation dot1q
Switch00(config-if)# switchport mode trunk

Изначально, по умолчанию, в trunk разрешаются все VLAN. Также можно создать ограничение перечня VLAN, которые можно передавать через тот или иной trunk. Чтобы указать список разрешенных VLAN для порта fa0/22 нужно выполнить:

Switch00(config)# interface fa0/22
Switch00(config-if)# switchport trunk allowed vlan 10

Настройка SPAN

Рекомендации по настройке SPAN
Создание локального сеанса SPAN

Войдите в привилегированный режим EXEC и выполните следующие действия, чтобы создать сеанс SPAN и указать исходные (контролируемые) порты или VLAN, а также порты назначения (контролируемые):

 

Команда

Цель

Шаг 1

configure terminal

Войдите в режим глобальной конфигурации.

Шаг 2

no monitor session { session_number | all | local | remote }

 

Удалите любую существующую конфигурацию SPAN для сеанса.

Для session_number диапазон составляет от 1 до 66.

Укажите all , чтобы удалить все сеансы SPAN, local , чтобы удалить все локальные сеансы, или remote, чтобы удалить все удаленные сеансы SPAN.

Шаг 3

monitor session session_number source { interface interface-id | vlan vlan-id } [ , | - ] [ both | rx | tx ]

Укажите сеанс SPAN и порт источника (контролируемый порт).

Для session_number диапазон составляет от 1 до 66.

Для interface-id укажите исходный порт или исходную VLAN для мониторинга.

  • Для параметра source interface-id укажите порт источника для мониторинга. Допустимые интерфейсы включают физические интерфейсы и логические интерфейсы порт-канал ( port-channel port-channel-number ) . Допустимые номера порт-каналов — от 1 до 6.

  • Для vlan-id укажите исходную VLAN для мониторинга. Диапазон значений — от 1 до 4094 (исключая RSPAN VLAN).

Примечание. Один сеанс может включать несколько источников (портов или VLAN), определенных в серии команд, но вы не можете объединить исходные порты и исходные VLAN в одном сеансе.

(Необязательно) - ] Укажите серию или диапазон интерфейсов. Введите пробел до и после запятой; введите пробел до и после дефиса.

(Необязательно) Укажите направление трафика для отслеживания. Если направление трафика не указано, SPAN отслеживает как исходящий, так и входящий трафик.

  • both — отслеживать как входящий, так и исходящий трафик. Этот вариант используется по умолчанию.

  • rx — Мониторинг полученного трафика.

  • tx —Мониторинг отправленного трафика.

Примечание. Вы можете использовать команду monitor session_number source несколько раз для настройки нескольких исходных портов.

Шаг 4

monitor session session_number destination { interface interface-id [, | -] [ encapsulation {dot1q | replicate}]}

Укажите сеанс SPAN и порт назначения (порт мониторинга).

Для session_number укажите номер сеанса, введенный на шаге 3.

Примечание. Для локального SPAN необходимо использовать один и тот же номер сеанса для исходного и целевого интерфейсов.

Для interface-id укажите порт назначения. Интерфейс назначения должен быть физическим портом; он не может быть EtherChannel или VLAN.

(Необязательно) - ] Укажите серию или диапазон интерфейсов. Введите пробел до и после запятой; введите пробел до и после дефиса.

(Необязательно) Введите encapsulation dot1q, чтобы указать, что интерфейс назначения использует метод инкапсуляции IEEE 802.1Q.

(Необязательно) Введите encapsulation replicate , чтобы указать, что целевой интерфейс копирует метод инкапсуляции исходного интерфейса. Если этот параметр не выбран, по умолчанию пакеты отправляются в исходном формате (без тегов).

Примечание. Вы можете использовать команду monitor session session_number destination несколько раз для настройки нескольких портов назначения.

Шаг 5

end

Вернитесь в привилегированный режим EXEC.

Шаг 6

show monitor [session session_number]

 

show running-config

Проверьте конфигурацию.

Шаг 7

копировать running-config startup-config

(Необязательно) Сохраните конфигурацию в файле конфигурации.

Пример настройки SPAN на коммутаторе для VLAN 10:

Switch00>enbale
Switch00#conf t
Switch00(config)#no monitor session all
Switch00(config)#monitor session 1 source vlan 10 both
Switch00(config)#monitor session 1 destination interface f0/24 encapsulation replicate
Switch00(config)#end
Switch00#wr

Настройка SNMP

Настройка SNMP на коммутаторах и маршрутизаторах Cisco позволит вам мониторить состояние девайсов и сохранить свои нервы/время, в случаях, когда они начинают сбоить (игра на опережение). В целом, выглядит это так: сетевое устройство будет отправлять информацию о CPU, памяти, температуре, I/O и прочих на NMS (Network Management System) сервер.

Чтобы настроить SNMP на коммутаторе необходимо выполнить следующие команды:

Switch00>enable
Switch00#conf t
Switch00(config)#snmp-server 
Switch00(config)#snmp-server community public RO (только read-only права для публичной строки сообщества) 
Switch00(config)#snmp-server community private RW (read-write права для приватной строки сообщества)
Switch00(config)#snmp-server enable traps (Включение SNMP trap)
Switch00(config)#snmp-server host 192.168.0.100 public (здесь может быть любой адрес NMS сервера)
Switch00(config)#exit 
Switch00#write memory 

Настройка удаленного доступа SSH/Telnet

Настройка Telnet
Switch00# clock set 18:32:00 08 January 2024 (установка текущего времени и даты)
Switch00# conf t
Switch00(config)# line vty 0 2 (переход к режиму конф-и терминальных линий
Switch00(config-line)# transport input telnet (подключение только по telnet)
Switch00(config-line)# password <ваш пароль> (активируем пароль для telnet сессий)
Switch00(config-line)#login local (Вход по имени пользователя и паролю из локальной базы данных)
Switch00(config-line)#logging synchronous (запрещает вывод каких-либо консольных сообщений, которые в свою очередь могут прервать ввод команд в консольном режиме)
Switch00(config—line)# end
Switch00# copy running-config startup-config (сохраняем настройки)

Учитывая, что информация при telnet-соединениях передается в открытом виде, рекомендуется использовать SSH-соединения, которые обеспечат шифрование трафика.

Настройка SSH
Switch00# clock set 18:32:00 08 January 2024 (установка текущего времени и даты)
Switch00# conf t
Switch00(config)# ip domain name google.com (задаем домен, если его нет пишется любой)
Switch00(config)# crypto key generate rsa (генерируем RSA-ключа под ssh)
Switch00(config)# ip ssh version 2 (указываем версию SSH-протокола)
Switch00(config)# ip ssh autentification-retries 3 (устанавливаем допустимое число попыток подключения по SSH)
Switch00(config)# service password-encryption (добавляем сохранение паролей в зашифрованном виде )
Switch00(config)# line vty 0 2 (переход к режиму конф-и терминальных линий
Switch00(config-line)# transport input ssh (подключение только по SSH)
Switch00(config-line)# exec timeout 20 0 (активируем автоматическую смерть SSH-сессии через 20 минут)
Switch00(config—line)# end
Switch00# copy running-config startup-config (сохраняем настройки)

Для того, чтобы не ограничиваться одним протоколом и использовать как SSH так и Telnet, можно заменить команду transport input ssh на transport input all

Гайд по работе с коммутаторами и трафиком

Гайд по работе с трафиком в KICS for Networks

Основные утилиты для работы с трафиком

Данная статья рассматривает основные утилиты и методы для локального проигрывания трафика, включая подготовку данных, их воспроизведение и анализ результатов.

tcpreplay

tcpreplay - основной инструмент воспроизведения, который является наиболее популярным и функциональным инструментом для воспроизведения сетевого трафика из PCAP-файлов. Утилита позволяет точно воспроизводить ранее захваченный трафик с контролем скорости передачи и различными опциями редактирования пакетов.

Базовое использование tcpreplay:

# Простое воспроизведение файла
tcpreplay -i eth0 traffic.pcap

# Воспроизведение с максимальной скоростью
tcpreplay -i eth0 --topspeed --preload-pcap sample.pcap

# Воспроизведение с заданной скоростью (PPS)
tcpreplay -i eth0 -p 1000 sample.pcap

# Воспроизведение с заданной пропускной способностью
tcpreplay -i eth0 --mbps=100 sample.pcap

где: 

tcpreplay-edit

Для адаптации трафика к тестовой среде KICS for Networks используется tcpreplay-edit:

# Изменение IP-адресов
tcpreplay-edit --srcipmap=192.168.1.0/24:10.0.1.0/24 \
               --dstipmap=192.168.2.0/24:10.0.2.0/24 \
               --infile=original.pcap --outfile=modified.pcap

# Изменение портов
tcpreplay-edit --portmap=80:8080,443:8443 \
               --infile=original.pcap --outfile=modified.pcap

# Рандомизация адресов
tcpreplay-edit --seed=12345 --randomize-ips \
               --infile=original.pcap --outfile=randomized.pcap

tcpdump

Для захвата трафика используется утилита tcpdump:

# Захват всего трафика на интерфейсе
tcpdump -i eth0 -w industrial_traffic.pcap

# Захват с фильтрацией по протоколу
tcpdump -i eth0 -w modbus_traffic.pcap 'port 502'

# Захват с ограничением размера файла
tcpdump -i eth0 -w traffic.pcap -C 100 # файлы по 100MB

# Захват с временным ограничением
timeout 300 tcpdump -i eth0 -w traffic_5min.pcap

# Modbus TCP (порт 502)
tcpdump -i eth0 'port 502' -w modbus.pcap

# DNP3 (порт 20000)
tcpdump -i eth0 'port 20000' -w dnp3.pcap

# IEC 61850 (порты 102, 843)
tcpdump -i eth0 'port 102 or port 843' -w iec61850.pcap

# PROFINET DCP
tcpdump -i eth0 'ether proto 0x8892' -w profinet.pcap

# Комбинированные фильтры
tcpdump -i eth0 '(port 502 or port 20000 or port 102) and not icmp' -w industrial.pcap

Анализ трафика с помощью Wireshark

Wireshark является незаменимым инструментом для анализа промышленного трафика
перед его воспроизведением. При захвате трафика вы увидите что-то подобное:

image.png

Разберем более подробно это окно:

  1. Панель фильтров, позволяющая найти необходимую информацию. Подробнее о неё рассказано в пятой главе руководства.

  2. Панель наименований, разделяющая информацию из пункта 3 на номер, временя с начала захвата трафика, источник и адресат, а также используемый протокол, размер пакета и небольшую информацию о сетевом пакете.

  3. Панель пакетов, обновляющаяся в реальном времени. Здесь информация о пакетах разделена по столбцам, определённым на панели наименований.

  4. Панель уровней, описывающая уровни модели OSI выбранного сетевого пакета.

  5. Панель метаданных, представляющая данные в шестнадцатеричном коде и символах.

Вот некоторые полезные фильтры которые можно применять в поисковой строке wireshark:

# Modbus трафик
modbus

# DNP3 сообщения
dnp3

# IEC 61850 GOOSE
goose

# PROFINET Real-Time
pn_rt

# Ethernet/IP
enip

# Анализ ошибок в протоколах
expert.severity == "Error"

# Поиск по IP адресу отправителя
ip.src == x.x.x.x

# Поиск по IP адресу получателя
ip.dst == x.x.x.x

# Поиск по TCP порту 80
tpc.port == 80

# Также могут использоваться логические операторы, например:
И «and/&&»
ИЛИ «or/||»
НЕ «not/!»

Гайды по развертыванию


Гайды по развертыванию

Развертывание MLAD

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или ICS community и НЕ является официальной рекомендацией вендора

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/MLAD/5.0/ru-RU/247959.htm

Убедитесь, что все пункты из статьи подготовки в системе соблюдены

Актуальные для развёртывания запросите у сотрудников Лаборатории Касперского

Установка Kaspersky MLAD выполняется в соответствии с описанной процедурой установки программы. Установка и использование Kaspersky MLAD возможны только на одном сервере. Установка и использование разных служб и коннекторов на нескольких серверах невозможны.


Установка MLAD в интерактивном режиме

1. Распакуйте архив Kaspersky_MLAD_5.0.0.<номер сборки>_ru-RU_en-US.tar.xz, входящий в состав комплекта поставки:

tar xf Kaspersky_MLAD_5.0.0.<номер сборки>_ru-RU_en-US.tar.xz

После распаковки архива появится директория mlad-release-5.0.0-<номер сборки>.

2. Перейдите в директорию mlad-release-5.0.0-<номер сборки>:

cd mlad-release-5.0.0-<номер сборки>

3. Запустите скрипт установки setup.sh:

sudo ./setup.sh

4. Следуйте указаниям мастера установки программы.

На этом установка MLAD будет завершена

Установка Kaspersky MLAD будет прервана, если целостность архива программы нарушена. Для получения корректного архива программы обратитесь к специалистам "Лаборатории Касперского".


Установка MLAD в неинтерактивном режиме

1. Распакуйте архив Kaspersky_MLAD_5.0.0.<номер сборки>_ru-RU_en-US.tar.xz, входящий в состав комплекта поставки:

tar xf Kaspersky_MLAD_5.0.0.<номер сборки>_ru-RU_en-US.tar.xz

После распаковки архива появится директория mlad-release-5.0.0-<номер сборки>.

2. Перейдите в директорию mlad-release-5.0.0-<номер сборки>:

cd mlad-release-5.0.0-<номер сборки>

3. Запустите скрипт установки setup.sh:

sudo ./setup.sh -q -e accept -f <полный путь к директории для установки программы>

-q означает, что программа будет установлена в неинтерактивном режиме. При установке программы в неинтерактивном режиме Kaspersky MLAD создает первого пользователя программы с ролью системного администратора и задает ему имя пользователя и пароль по умолчанию. Для получения имени и пароля пользователя, используемых по умолчанию, обратитесь к квалифицированному техническому специалисту Заказчика, сотруднику "Лаборатории Касперского" или сертифицированному интегратору.

-e accept означает, что вы принимаете условия Лицензионного соглашения. Согласие с условиями Лицензионного соглашения является обязательным условием для установки программы. Если вы не указываете ключ -e accept, установка программы будет прервана.

Прочитать текст Лицензионного соглашения можно в текстовых файлах license_ru.txt и license_en.txt, которые расположены в директории legal.

-f <полный путь к директории для установки программы> означает, что программа будет установлена в указанную директорию. Если вы не указывает ключ -f, программа будет установлена в директорию по умолчанию /opt/kaspersky/mlad.

На этом установка MLAD будет завершена

Первый запуск MLAD

По умолчанию Kaspersky MLAD использует утилиту systemctl для запуска и остановки программы. В случае непредвиденного перезапуска сервера, на котором установлена программа, утилита systemctl автоматически запускает Kaspersky MLAD.

Рекомендуется использовать утилиту systemctl для управления состоянием программы.

1. Запустите MLAD следующей командой в терминале:

sudo systemctl start mlad

Остановка MLAD выполняется следующей командой в терминале: sudo systemctl stop mlad. При остановке программа запоминает статусы служб. При запуске программы работа служб будет восстановлена с прежними статусами.

2. Подключитесь к веб-интерфейсу MLAD через поддерживаемый браузер Google Chrome версии 107 и выше, выбив в адресную строку адрес сервера. На открывшейся странице ввода учетных данных введите адрес электронной почты в качестве имени пользователя и пароль.

При первом подключении к веб-интерфейсу в качестве системного администратора используйте указанные при установке программы имя и пароль первого пользователя с ролью системного администратора.

3. Загрузка конфигурации тегов и активов иерархической структуры в Kaspersky MLAD

4. Настройка коннекторов

5. Настройка служб

6. Подключение к источнику данных

7. Создание учетных записей для пользователей

Гайды по развертыванию

Развертывание KICS for Networks

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или ICS community и НЕ является официальной рекомендацией вендора

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/KICSforNetworks/4.3/ru-RU/83112.htm

Убедитесь, что все пункты из статьи подготовки соблюдены

Актуальные для развёртывания запросите у сотрудников Лаборатории Касперского

Централизованная установка

централизованная установка предполагает использование установки KICS for Networks удаленно по ssh.

Для этого на узле, где будет происходить установка нужно изменить параметры ssh.

sudo nano /etc/ssh/sshd_config

После этого надо изменить строку 

#PermitRootLogin prohibit-password

на

PermitRootLogin yes

После каждого использования скрипта централизованной установки компонентов программы (в том числе для централизованного удаления или для усиления защиты компьютеров) в целях безопасности требуется закрыть доступ к компьютерам по протоколу SSH. Вы можете закрыть доступ, используя команду в консоли операционной системы компьютера sudo systemctl disable --now sshd. Для последующего возобновления доступа по протоколу SSH (если возникнет необходимость в повторном использовании скрипта централизованной установки компонентов программы) вы можете использовать команду sudo systemctl enable --now sshd.

После этого необходимо разархивировать установочный архив командой: 

sudo tar -xzvf kics4net-release_<номер версии программы>.tar.gz

перейти в директорию:

cd kics4net-release_<номер версии программы>/linux-<версия дистрибутива: astra | centos>/

И запустите скрипт централизованный установки командой:

sudo sh ./kics4net-deploy-<номер версии программы>.bundle.sh/

Дождитесь завершения работы скрипта.

После установки веб-интерфейс KICS for Networks будет доступен по адресу https://<IP адрес сервера>.

Локальная установка

Установка сервера

Для локальной установки необходимо разархивировать установочный архив командой: 

sudo tar -xzvf kics4net-release_<номер версии программы>.tar.gz

После этого перейти в директорию:

cd kics4net-release_<номер версии программы>/linux-<версия дистрибутива: astra | centos>/

И запустить скрипт установки со следующими параметрами

sudo sh ./kics4net-install.sh --server --product-language=<english | russian>

Дождитесь завершения работы скрипта kics4net-install.sh. 

Чтобы локально установить сенсор Kaspersky Industrial CyberSecurity for Networks выполните команду sudo sh ./kics4net-install.sh --sensor

После установки веб-интерфейс KICS for Networks будет доступен по адресу https://<IP адрес сервера>.

Гайды по развертыванию

Лучшие практики развертывания KICS for Nodes \ KICS for Linux Nodes

 

В этой части статьи мы поговорим о рекомендациях по настройкам политик безопасности KICS for Nodes \ KICS for Linux Nodes.

Детальные и универсальных рекомендаций тут вряд ли возможны, потому что:

·      технологические процессы бывают разные,

·      архитектуры систем АСУ ТП бывают разные,

·      функциональные роли, способы и режимы эксплуатации узлов, на которые устанавливается KICS for Nodes \ KICS for Linux Nodes тоже бывают разные.

Но, всё же, мы попробуем дать общие рекомендации и соображения, которые стоит учесть при настройках политик безопасности.

Первоначальное использование всех технологий детектирования рекомендуется в режиме информирования («Только сообщать», «Только статистика») во избежание негативного влияния ложных срабатываний на работу технологический процесс.

На дальнейших этапах при настройке политик следует учитывать два вида рисков:

·      риски, обусловленные угрозами безопасности информации;

·      риски негативного влияния на работу защищаемого узла, обусловленные некорректными настройками KICS for Nodes.

Если конкретнее, то нужно учитывать следующие факторы:

1)    Функциональная роль узла. Чем важнее корректная работа узла для технологического процесса, тем больше нужно уделить внимания возможности ложного срабатывания технологий защиты, чтобы минимизировать влияние на технологический процесс. Для минимизации рисков ложных срабатываний рекомендуется использовать следующие методы:

·           Работа технологий детектирования в режиме в режиме информирования (особенно это касается технологий, использующих обновляемые базы сигнатур: антивирусная защита, защита от эксплойтов, защита от сетевых угроз, защита шифрования сетевых файлов и папок. Потому что файлы и сетевые взаимодействия, которые до обновления баз не считались вредоносными, после обновления могут начать таковыми считаться.

·           Испытания корректности функционирования узла с заданными/обновленными политиками, обновленными базами в тестовой среде: стенд производителя/поставщика системы АСУ ТП, виртуальные машины;

·           Поэтапная установка/обновление баз KICS for Nodes в системе АСУ ТП. Например, в системе есть 10 узлов, на которые нужно установить KICS for Nodes. Если есть такая возможность, то лучше их устанавливать по частям, чтобы в случае каких-либо сложностей иметь эти сложности на минимальном количестве узлов в каждый отдельный момент времени.

·           Если система АСУ ТП резервированная, то устанавливать/обновлять базы KICS for Nodes не на обоих каналах сразу, а сперва на одном канале, и в случае, если достаточно длительное время всё идёт хорошо, - на втором канале.

2)    Подверженность узла угрозам безопасности информации. Если для узла обеспечивается эшелонированная защита от угроз безопасности информации (меры физической защиты, защита периметра, мониторинг сети, встроенные средства защиты и другие меры), то с учетом функциональной роли узла стоит рассмотреть возможность более длительного использования защитных технологий в режиме информирования. А если узел подвержен угрозам безопасности с высокой вероятностью, например:

·           подключен к Интернету,

·           находится на периметре сети и взаимодействует со смежными системами,

·           не обеспечиваются достаточные меры физической защиты),

то с учетом функциональной роли узла рекомендуется более краткосрочное применение технологий обнаружения в режиме информирования, чтобы узел меньшее количество времени находился в состоянии без активной защиты.

С учетом этих двух основных факторов применим дифференцированный подход и поделим все защищаемые устройства на 4 группы:

Кто-то может ввести более детальную градацию с 6 (2х3), 9 (3х3) группами.

Название группы узлов

Зеленая группа

Желтая группа

Оранжевая группа

Красная группа

Риски ИБ

Низкие

Высокие

Низкие

Высокие

Важность для ТП

Низкая

Низкая

Высокая

Высокая

С учетом специфики каждой группы для них можно рассмотреть следующие наборы настроек:

Название группы узлов

Зеленая группа

Желтая группа

Оранжевая группа

Красная группа

Риски ИБ

Низкие

Высокие

Низкие

Высокие

Важность для ТП

Низкая

Низкая

Высокая

Высокая

Время применения защитных технологий в режиме информирования перед включением активного режима (для исключения влияния ложных срабатываний)

Короткое

Короткое

Постоянное или длительное

Длительное или постоянное

Настройки постоянной антивирусной защиты

Максимально глубокие настройки, насколько позволяет аппаратная конфигурация узла

Максимально глубокие настройки, насколько позволяет аппаратная конфигурация узла

Поверхностные настройки или отключение

Средние настройки

Применение периодической антивирусной проверки (проверка по требованию)

Максимально глубокие настройки проверки, насколько позволяет аппаратная конфигурация узла

Максимально глубокие настройки проверки, насколько позволяет аппаратная конфигурация узла

Средние настройки проверки по требованию;

Использование портативного сканера.

Максимальное глубокие настройки проверки по требованию;

Использование портативного сканера.

Частота запуска проверки по требованию

Часто, по расписанию

Часто, по расписанию

Вручную, в период «технологического окна» в фоновом режиме

Вручную, в период «технологического окна» в фоновом режиме

Действия, выполняемые над зараженными и возможно зараженными объектами

Карантин/Удалять

Карантин/Удалять

Только сообщать

Только сообщать

Настройки остальных технологий детектирования

Максимально глубокие настройки, насколько позволяет аппаратная конфигурация узла

Максимально глубокие настройки, насколько позволяет аппаратная конфигурация узла

Поверхностные настройки

Средние настройки

1)    Необходимость использования отдельных технологий детектирования. Если какая-либо технология детектирования в контексте конкретного узла не даёт никакой дополнительной защиты от угроз безопасности и это подтверждено проектом и моделью угроз, то стоит рассмотреть возможность отключения этой технологии, чтобы они не потребляли ресурсы узла и не вызывали ложных срабатываний. В случае с KICS for Nodes для Windows отдельные функциональные модули можно даже не устанавливать, ведь функциональный модуль не сможет оказать негативное влияние на работу узла, если он не установлен.

2)    Одной из наиболее затратных в плане ресурсов задач является проверка по требованию, поэтому в случае наличия ограничений ресурсов на узле можно её оптимизировать следующими способами:

·           выполнение задачи в фоновом режиме;

·           снижение частоты периодического запуска задачи или запуск задачи вручную в период технологического окна;

·           снижение глубины работы эвристического анализатора или его отключение;

·           настройка объектов проверки;

·           проверка только новых и измененных файлов;

·           настройка параметров производительности

Подготовка ОС для развертывания продуктов

Подготовка ОС для развертывания продуктов

Подготовка ОС для развертывания MLAD

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/MLAD/5.0/ru-RU/247959.htm

Актуальные для развёртывания запросите у сотрудников Лаборатории Касперского.


Подготовка целевой машины

Дистрибутивы

Ubuntu LTS 22.04: https://releases.ubuntu.com/jammy/ (cкачайте iso ...-live-server-amd64.iso или ...-desktop-amd64.iso)

Ubuntu LTS 24.04: https://releases.ubuntu.com/noble/ (cкачайте iso ...-live-server-amd64.iso или ...-desktop-amd64.iso)


Общие требования

Аппаратные требования для каждого защищаемого объекта нужно уточнять с учетом применяемой модели, количества обрабатываемых тегов и событий, средней скорости получения данных (количества наблюдений в секунду) и объема хранимых данных. Чем больше объем обрабатываемых данных и сложность используемой ML-модели, тем больше аппаратных ресурсов потребуется для установки серверной части Kaspersky MLAD.

Процессор

Список поддерживаемых процессоров:

Вы можете установить Kaspersky MLAD на сервер с другим 64-битным процессором архитектуры x86 2013 года выпуска и позже.

Процессор должен соответствовать вышеперечисленным минимальным аппаратным требованиям и поддерживать следующие расширения, необходимые для библиотеки TensorFlow 2.15.1:

Минимальные аппаратные требования:

Если в Kaspersky MLAD будет поступать большой поток данных, требуется увеличить объем свободного пространства на жестком диске.

Требования к компьютеру пользователя:


Необходимые пакеты

Основные пакеты:

Устанавливать программное обеспечение на сервер Kaspersky MLAD требуется с официального Docker-репозитория

Подключение репозиториев Docker:
# добавление официального Docker GPG ключа:
sudo apt-get update
sudo apt-get install ca-certificates curl -y
sudo install -m 0755 -d /etc/apt/keyrings
sudo curl -fsSL https://download.docker.com/linux/ubuntu/gpg -o /etc/apt/keyrings/docker.asc
sudo chmod a+r /etc/apt/keyrings/docker.asc

# добавление репозитория в источники apt:
echo \
  "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.asc] https://download.docker.com/linux/ubuntu \
  $(. /etc/os-release && echo "${UBUNTU_CODENAME:-$VERSION_CODENAME}") stable" | \
  sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

sudo apt-get update
Установка последний версии Docker:
sudo apt-get install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin -y
Проверка корректной установки Docker:
sudo docker run hello-world

После выполнения команды у вас должен скачаться и запуститься Docker-контейнер hello-world, который можно увидеть выполнив команду sudo docker ps -a

После установки Docker и Docker Compose убедитесь, что версии соответствуют требованиям:

docker --version
docker compose version
Подготовка ОС для развертывания продуктов

Подготовка ОС для развертывания KICS for Networks

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или ICS community и НЕ является официальной рекомендацией вендора

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KICSforNetworks/4.3/ru-RU/83112.htm

Актуальные пакеты для развёртывания запросите у сотрудников Лаборатории Касперского

Установка ОС

Установка CentOS 9 Stream

KICS for Networks 4.2 работает под управлением CentOS Stream 9. Рекомендуется использовать образ ОС, расположенный по данной ссылке.

Скачанный образ необходимо записать на USB-носитель (например, Win32 Disk Imager или Rufus).

Для выполнения установки ОС CentOS Stream 9 выполнить следующие шаги.

Подключить загрузочный USB-носитель к серверу KICS for Networks и загрузиться с USB-носителя, затем выбрать “Install CentOS Stream 9”.

image.png

Подключить загрузочный USB-носитель к серверу KICS for Networks и загрузиться с USB-носителя, затем выбрать “Install CentOS Stream 9”.

image.png

Выбрать язык интерфейса установки ОС CentOS Stream 9, который вам удобен. Например, Russian (по умолчанию выбран English).

image.png

Нажать кнопку «Продолжить».

Для продолжения установки необходимо провести дополнительные настройки. Далее будут проведены поочередная настройка клавиатуры, часового пояса и раздела HDD, учетной записи для root и добавление нового пользователя (например, kics).

image.png

Выбрать основную раскладку клавиатуры (рекомендуется выбрать «English». С помощью клавиш управления перемещаем выбранный язык на верхнюю строку списка. Если ранее при выборе языка ОС был выбран «English», добавить «Russian» раскладку при необходимости c помощью «+». Выбирать удобные «горячие клавиши» для переключения раскладки с помощью кнопки «Параметры». Нажать кнопку «Готово».

image.png

Проверить и при необходимости скорректировать часовой пояс (рекомендуется выбирать пояс, соответствующий месту нахождения севера, на сенсорах должно быть идентичные временные настройки независимости от места их установки). Нажать кнопку «Готово».

image.png

Выбрать «Место установки», выбрать диск, выбрать параметр «По-своему». Нажать кнопку «Готово».

image.png

В окне «Разметка вручную» выбрать «Создать их автоматически», нажать кнопку «Готово».

image.png

При необходимости, допускается выделить необходимое место на диске под пользовательский каталог «/home». Оставшееся место выделить под корневой каталог «/» (вся информация хранится в корневом каталоге). Нажать кнопку «Готово».

image.png

Нажать кнопку «Принять изменения».

image.png

Важно!!! Если предполагается одновременное развертывание «Серверной» и «Сенсорной» части KICS for Networks c помощью «deploy script», то Логин/Пароль root пользователя на машинах, под которым запускает установка KICS for Networks, должны быть одинаковыми. Позже их можно будет изменить.

Задать пароль для пользователя «root». Отметить чекбокс «Разрешить вход пользователем root». Нажать «Готово».

image.png

Добавить нового пользователя (например: kics). Отметить чекбокс «Сделать этого пользователя администратором». Задать пароль для создаваемого пользователя. Нажать «Готово».

image.png

Остальные параметры можно оставить без изменений. Нажать «Начать установку».

image.png

Дождаться завершения установки. Нажать «Перезагрузить» для завершения установки.

image.png

Пройти авторизацию.

Нажать кнопку «Нет спасибо».

image.png

ОС CentOS Stream 9 готова к установке KICS for Networks 4.2.

Установка Astra Linux 1.8

Подключить загрузочный USB-носитель к серверу KICS for Networks и загрузиться с USB-носителя, затем выбрать “Установить Astra Linux"

image.png

Выбрать часовой пояс, если у сервера есть доступ к интернету,  то можно выбрать NTP сервер.

image.png

Далее необходимо выбрать ручную разметку диска

image.png


в ручной разметке диска рекомендуется выполнять такое разбиение:

  1. Раздел /home 10 ГБ.
  2. Раздел /boot/efi 600 МБ.
  3. раздел /boot 1024 МБ.
  4. раздел / все остальное место на диске.

Далее необходимо выполнить шаги как на скринах ниже.

image.png


image.png


image.png


{1521B275-69D5-4E59-AADB-60B445A6623D}.png

image.png

image.png

image.png

image.png

image.png


image.png


Далее необходимо выбрать дополнительные пакеты, которые будут установлены. Рекомендуется добавить пакет SSH

image.png


Далее необходимо создать пользователя, который будет локальным администратором ОС.

image.png


На последнем шаге приводится сводка по установке ОС, можно поставить галку на чекбокс "Перезагрузить после завершения установки"

image.png


На этом процесс установки ОС будет завершен.

Настройка сетевых интерфейсов

Настройка интерфейсов для Astra Linux отличается только интерфейсом ОС. Ниже приведен процесс настройки сетевых интерфейсов для ОС CentOS Stream 9.

Для работы KICS for Networks необходимо как минимум 2 сетевых интерфейса:

·                MGMT – менеджмент интерфейс необходим для подключения к Web интерфейсу решения, поэтому IP-адрес выбирается исходя из карты IP-адресов конкретной площадки с учетом, чтобы все заинтересованные пользователи могли иметь к нему доступ. Данный порт так же может быть задействован для связи с сенсорами на удаленных площадках (для этого все сенсоры должны быть доступны для этой сети), но Вы так же можете выделить взаимодействие с сенсорами в отдельную подсеть;

·                SPAN – интерфейс на который подается копия трафика с коммутаторов. Для каждой точки мониторинга на сервере и сенсоре должен быть сконфигурирован аналогичный сетевой интерфейс.

Для конфигурации сетевых интерфейсов перейти в сетевые настройки CentOS Stream 9.

image.png


Настроить сетевые интерфейсы для MGMT и SPAN (количество сетевых интерфейсов SPAN зависит от количества точек съема трафика).

image.png


Настройка MGMT

Установить чек-бокс «Подключаться автоматически».

image.png


Настроить имя интерфейса (например, «MGMT»), выбрать MAC-адрес, соответствующий интерфейсу.

image.png


Выбрать метод IPv4 – «Вручную». Настроить IP-адрес для MGMT интерфейса.

image.png


Отключить IPv6. Нажать кнопку «Применить».

image.png


Настройка SPAN

Установить чек-бокс «Подключаться автоматически».

image.png


Настроить имя интерфейса (например, «SPAN»), выбирать MAC, соответствующий интерфейсу.

image.png


Отключить IPv4.

image.png


Отключить IPv6. Нажать «Применить».

image.png


Установка пакетов

Установка пакетов для CentOS 9 Stream

Для начала необходимо воспользоваться подготовительным скриптом установки и сформировать zip архив с необходимыми пакетами. Для этого нужно воспользоваться опцией 4 подготовительного скрипта kics4net-preptool-2.3.sh. 

В случае если у вас нет доступа к интернету, то скачайте уже готовый zip архив с облака и перенесите его на сервер.

sudo sh ./kics4net-preptool-2.3.sh

1. Prepare host for deployment
2. Disable GUI (recommended for sensor nodes)
3. Enable GUI
4. Download/update required packages

После этого можно выполнять опцию 1 подготовительного скрипта для установки пакетов из архива.

Подготовительный скрипт kics4net-preptool-2.3.sh должен лежать в той же директории что и zip архив.

После выполнения опции 1 подготовительного скрипта все репозитории заблокируются!

sudo sh ./kics4net-preptool-2.3.sh

(+) 1. Prepare host for deployment
2. Disable GUI (recommended for sensor nodes)
3. Enable GUI
4. Download/update required packages

После выполнения скрипта будет предложено перезагрузить сервер. На этом подготовка сервера к установке KICS for Networks 4.2.x будет завершена.

Установка пакетов для Astra Linux 1.8 

Необходимо выполнить следующие команды для скачивания требуемых пакетов:

sudo apt-cdrom add (если на сервере нет интернета, то вставьте диск, который вы хотите использовать для подключения репозитория.)
sudo apt update

sudo apt install chrony -y
sudo systemctl enable chrony
sudo systemctl start chrony

sudo apt install rsync -y

sudo apt install libcap2-bin -y

sudo apt install python3-apt -y

sudo apt install ssh -y
sudo systemctl enable ssh
sudo systemctl start ssh

sudo apt install postgresql-15 -y
sudo systemctl enable postgresql-15
sudo systemctl start postgresql-15

sudo apt install python3-psycopg2 python3-cryptography python3-paramiko python3-requests -y

sudo apt install perl -y (версии 5.10 и выше, если устанавливается Агент администрирования Kaspersky Security Center).

sudo apt install exim4 -y

Необходимо включить локаль en_US.utf8 командой:

sudo localedef -i en_US -f UTF-8 en_US.utf8

Чтобы настроить почтовый сервер и включить автозапуск сервиса Exim перейдите в консоль операционной системы и выполните следующие шаги:

1. Откройте окно конфигурирования Exim. Для этого введите команду:

sudo dpkg-reconfigure exim4-config

2. В меню выбора типа почтовой конфигурации выберите пункт отправка почты через smarthost; прием по SMTP или через fetchmail.

3. На следующем шаге укажите имя отправителя писем в поле Почтовое имя системы (например, serverkics).

4. На следующем шаге не изменяйте значение по умолчанию 127.0.0.1 в поле IP-адреса, с которых следует ожидать входящие соединения SMTP.

5. На следующем шаге не изменяйте значение по умолчанию в поле Другие места назначения, для которых должна приниматься почта.

6. На следующем шаге оставьте незаполненным поле Машины, для которых доступна релейная передача почты.

7. На следующем шаге укажите IP-адрес или сетевое имя компьютера, который является SMTP-сервером в сети вашей организации (например, mail.example.com).

8. На следующем шаге при необходимости вы можете включить перезапись заголовков исходящей почты.

9. На следующем шаге в запросе Сокращать количество DNS-запросов до минимума (дозвон по требованию) выберите вариант Нет.

10. На следующем шаге в меню выбора метода доставки локальной почты выберите пункт mbox формат в /var/mail/.

11. На последнем шаге откажитесь от разделения конфигурации на отдельные файлы (размещение конфигурации должно быть в одном файле).

12. После закрытия окна конфигурирования откройте файл шаблона exim4.conf.template. Для этого введите команду:

sudo mcedit /etc/exim4/exim4.conf.template

13. Перейдите к концу раздела параметров remote_smtp или remote_smtp_smarthost и добавьте строку:

message_linelength_limit = 10000000

14. Сохраните и закройте файл шаблона.

15. Активируйте сервис Exim и включите его автозапуск. Для этого введите команды

sudo systemctl enable exim4.service
sudo systemctl start exim4.service

16. Предоставьте необходимые права доступа для директории /var/mail/. Для этого введите команду:

chmod 3775 /var/mail/

На этом подготовка сервера к установке KICS for Networks 4.3 будет завершена.

KICS for Networks: настройка парсеров для промышленных протоколов

Сборник статей по настройке параметров контроля процесса

KICS for Networks: настройка парсеров для промышленных протоколов

Инструкция по настройке парсинга протокола DLMS/COSEM в KICS for Networks (версии 4.2 и выше) на примере устройства МИРТЕК-12-РУ

Видеоинструкция доступна по ссылке

  1. Подключение устройства
    Подключите устройство, поддерживающее протокол DLMS/COSEM, к анализируемой сети. Убедитесь, что оно отображается в разделе активов KICS for Networks

    image.png

  2. Идентификация устройства
    Присвойте обнаруженному устройству понятное имя для удобства дальнейшей работы
    image.png
  1. Добавление параметров контроля
    В детальной панели актива откройте контекстное меню «Параметры контроля процесса» → «Добавить»

    image.png

  1. Настройка параметров устройства
  1. Проверка подключения через клиентское приложение
    Откройте клиентское приложение и убедитесь, что IP-адрес и порт устройства совпадают с настройками в KICS for Networks. Инициируйте подключение к устройству (нажмите кнопку «Подключиться»)

    image.png

  1. Подтверждение успешного подключения
    Убедитесь, что устройство подключено корректно

    image.png

  1. Проверка списка тегов в KICS for Networks
    В консоли KICS for Networks должен отобразиться перечень тегов для устройства DLMS/COSEM

    image.png

  1. Считывание параметров устройства
    Запустите считывание данных (нажмите кнопку «Считать»)

    image.png

  1. Проверка корректности данных
    Убедитесь, что в детальной панели тега отображается корректное значение считанного параметра

    image.png

KICS for Networks: настройка парсеров для промышленных протоколов

Инструкция по настройке парсинга протокола OPC UA в KICS for Networks

Подготовка на стороне источника данных (SCADA/ПЛК)

  1. Проверка OPC UA сервера
    Убедитесь, что на контроллере или SCADA-сервере запущен сервер OPC UA и он работает корректно.

image.png



  1. Предварительная проверка тегов (рекомендуется)
    Для локализации возможных проблем на стороне источника данных проверьте доступность и читаемость тегов с помощью стороннего OPC UA-клиента (например, UAExpert).

image.png




Настройка в KICS for Networks

  1. Подключение устройства

image.png



  1. Добавление параметров контроля

image.png



  1. Настройка параметров устройства
    В открывшемся окне укажите следующие параметры:

image.png



  1. Запуск контроля процесса и проверка тегов

image.png



KICS for Networks: настройка парсеров для промышленных протоколов

Парсинг протоколов МЭК 61850 MMS, GOOSE в KICS for Networks

Для работы с протоколами МЭК 61850 MMS, GOOSE нам понадобится файл с расширением .scd для импорта. Импортировать его нужно на вкладке «Активы».

image.png

Перед импортом файл .scd нужно упаковать в zip-архив, как и написано в инструкции по импорту:

image.png

Чтобы импортировать zip-архив с файлом .scd нужно нажать кнопку «Обзор»:

image.png

и выбрать нужный файл:

image.png

Далее нужно выбрать один из двух вариантов добавления этого файла: «Добавить» или «Заменить». Разница между ними описана здесь же.

image.png

Далее внимательно читаем предупреждение и нажимаем «Продолжить»:

image.png

После этого начинается импорт файла, он занимает какое-то время в зависимости от размера файла .scd

image.png

После завершения импорта нажмём кнопку «Вывести отчёт»:

image.png

В открывшемся отчёте мы увидим, сколько из scd-файла добавлено устройств, тегов, разрешающих правил сетевых взаимодействий (если они есть в scd-файле). Тут же мы увидим все обнаруженные несоответствия scd‑файла требованиям стандарта МЭК 61850.

image.png

Информацию о выявленных несоответствиях можно скопировать как текст и вставить в отдельный файл для дальнейшей работы с ними.

Далее, если прейти на вкладку «Активы», то мы увидим импортированные устройства (хотя явно они не будут никак выделяться). Если открыть карточку одного из импортированных устройств, то мы увидим, что у него добавлена промышленная конфигурация для протоколов IEC 61850: GOOSE и IEC 61850: MMS:

image.png

На вкладке «Контроль процесса» появились теги по протоколам GOOSE и MMS.

image.png

Аналогично можем увидеть, что на вкладке «Разрешающие правила» добавились разрешающие правила сетевых взаимодействий, импортированные из scd-файла (если они там были указаны).

Методы оптимизации нагрузки на KICS for Networks

Метод 1: Настройка типов подсетей

Можно снизить нагрузку, обусловленную работой технологии NIC путем корректного назначения типов подсетей в адресных пространствах, тогда контроль целостности сети будет выполняться только для нужных подсетей и направлений передачи данных, как указано в таблице ниже:

image.png

Подробнее в онлайн-справке: https://support.kaspersky.com/KICSforNetworks/4.3/ru-RU/134913.htm

Метод 2: Использование BPF для фильтрации сохраняемого трафика

Использование технологии BPF (Berkley Packet Filter) позволяет отсечь заранее неинтересную часть трафика, чтобы не тратить на него ресурсы. Трафик, отсекаемый фильтром, не пишется на диск и никак не анализируется KICS for Networks. Благодаря этому снижается нагрузка на CPU и дисковую подсистему.

Наиболее типичные кейсы применения:

·         видеонаблюдение, где объём трафика значительный, но зачастую, не представляющий большой ценности для анализа;

·         наличие «неинтересного» корпоративного трафика в анализируемом SPAN-трафике.

Включить BPF-фильтр можно вот где:

image.png

image.png

Однако при использовании фильтрации вам нужно учитывать, что программа может получать в отфильтрованном трафике не все данные, необходимые для качественного анализа трафика. Вам нужно настроить фильтрацию таким образом, чтобы в файлах дампа трафика сохранялись все сетевые пакеты, которые требуются для анализа трафика в соответствии с функциональностью программы.

Примеры фильтров

Описание

BPF

Исключить TCP трафик с портом 80

not tcp port 80

Исключить TCP трафик с портами 80 и 22

not(tcp port 80 or tcp port 21)

Исключить видеонаблюдение RTP

not(udp port 5004 or udp port 5005)

Исключить коммуникации в/из подсети 10.42.0.0/16

not net 10.42.0.0/16

Исключить коммуникации в/из подсетей 10.42.0.0/16 и 192.168.0.0/16

not(net 10.42.0.0/16 or net 192.168.0.0/16)

Исключить TCP трафик с портом 80 только для коммуникаций в подсетях 10.42.0.0/16 и 192.168.0.0/16

not(tcp port 80 and (net 10.42.0.0/16 or net 192.168.0.0/16))

 

Проверка фильтра

Убедиться в работоспособности и правильности фильтра можно при помощи утилиты tcpdump:

tcpdump -n -r <pcapfile> 'BPF filter text'

# например

tcpdump -n -r capture.pcap 'udp portrange not 6970-6973'

Метод 3: Оптимизация разрешающих правил

Большое количество разрешающих правил может создавать повышенную нагрузку на продукт, поэтому следует контролировать их количество в период обучения KICS for Networks. Часто, большое количество разрешающих правил обусловлено тем, что для каждой новой сессии на отправителе выбирается случайный порт из динамического диапазона 49152-65535 (RFC 6335), поэтому для таких правил можно вместо конкретного порта, например, 55555 указать диапазон 49152-65535, после чего KICS for Networks предложит удалить все частные правила, подходящие под это - более общее. Удобно это сделать следующим образом:

Отсортировать разрешающие правила по убыванию портов.

image.png


image.png


Метод 4: Выделение достаточного места под сырой трафик

Если выделить мало места для хранения файлов дампа трафика, то при высокой скорости поступления трафика на сервер будет тратиться много ресурсов сервера на частое стирание устаревшего трафика.

Метод 5: Отключение ненужных технологий

Для снижения нагрузки на сервер можно отключить технологии детектирования, которые всё равно не планируется использовать в контексте мониторинга конкретной системы АСУ ТП. Наиболее частый случай отключение технологий DPI, если не планируется контролировать технологические параметры.

image.png


Метод 6: Оптимизация архитектуры

Для оптимизации нагрузки на сервер рекомендуются следующие архитектурные решения:

·         весь трафик подавать на сенсоры, чтобы предварительная обработка трафика выполнялась на них;

·         на сенсорах задействовать не более 4 точек мониторинга из 8 доступных.

Различные варианты сбора трафика (SPAN, RSPAN, ERSPAN) - чем отличаются и как настроить в продукте

KICS for Networks работает с копией сетевого промышленного трафика и анализирует ее для выявления отклонений в значениях технологических параметров, обнаружения признаков сетевых атак, контроля работы и текущего состояния устройств в сети. 

Для того, чтобы скопировать трафик от порта управляемого коммутатора в порт сервера KICS for Networks, в нашем случае для анализа промышленного трафика, на помощь приходит — зеркалирование пакетов сетевого трафика с подключенных портов сетевых устройств с помощью функции SPAN, RSPAN или ERSPAN. Давайте рассмотрим каждую функция более подробно.


SPAN

SPAN расшифровывается как Switched Port Analyzer либо Port Mirroring (Локальное зеркалирование). SPAN или mirroring port должны быть в режиме multi-to-one. Режим one-to-one не дает возможности получать полную информацию о коммуникациях. Принцип работы данной технологии заключается в том, что осуществляется копирование трафика с одного или нескольких портов (или VLAN) на один назначенный порт мониторинга в пределах одного и того же коммутатора.

Для того организовать SPAN-трафик мы должны первым делом настроить Источник, например, это группа портов коммутатора откуда мы планируем брать трафик для анализа. Далее указывается порт назначения, а именно, куда будет зеркалироваться трафик. SPAN отслеживает трафик, который проходит через коммутатор, на котором он настроено непосредственно. Пример на Рисунке 1.

image.png


Рисунок 1 – коммутатор с настроенным SPAN

Трафик, передаваемый через SPAN, передается «как есть», в исходных кадрах L2. В настройке SPAN прост и оказывает относительно небольшую нагрузку на CPU коммутатора по сравнению с RSPAN/ERSPAN, а также отсутствуют задержки из-за инкапсуляции. Ниже на Рисунке 2 отображен пример схемы развертывания Сервера и трех сенсоров.

image.png


Рисунок 2 - Пример схемы развертывания Сервера и трех сенсоров

При большом количестве коммутаторов, с которых требуется получать SPAN трафик или большой скорости траффика, не рекомендуется создавать на сервере KICS for Networks точки мониторинга и подавать на него SPAN трафик. Копии трафика в этом случае должны подаваться на сенсоры KICS for Networks для экономии места SSD сервера под полезные данные (копия сырого трафика хранится на машине с назначенными точками приема SPAN трафика).


Настройка SPAN на сервере KICS for Networks 

Теперь разберем как настроить SPAN на сервере KICS for Networks. Для корректной работы сервера KICS for Networks необходимо как минимум 2 сетевых интерфейса, которые настраиваются непосредственно в настройках операционной системы сервера:

Чтобы решение после подключения SPAN (Mirror) трафика к серверу/сенсору начало обрабатывать трафик, необходимо назначить и активировать точку мониторинга на соответствующем сетевом интерфейсе. Для этого перейти на вкладку «Параметры - Развертывание». На вкладке отображены все сетевые интерфейсы сервера, на котором развернут сервер/сенсор KICS for Networks. Среди всех интерфейсов необходимо найти тот для которого были отключены IPv4, IPv6 в момент настройки сети, куда подключен SPAN и нажать кнопку «добавить точку мониторинга». Ниже на Рисунке 3 показан интерфейс включения точки мониторинга.

image.png


Рисунок 3 - Включение точки мониторинга 

В окне ввода необходимо ввести наименование точки мониторинга (имя должно быть уникальным и желательно отражающим то устройство, к которому оно относится, для удобства идентификации и фильтрации событий в будущем, например – «Server_MP1»). Нажать кнопку «Добавить точку мониторинга». Пример на Рисунке 4.

image.png


Рисунок 3 - Добавление точки мониторинга

После добавления точки мониторинга ее нужно активировать с помощью кнопки «Включить». Если SPAN-трафик подключен к соответствующему порту, то после активации точки мониторинга, скорость должна быть отличной от «0», решение начнет свою работу. Повторить те же действия для остальных точек мониторинга. Пример на Рисунке 4.

image.png


Рисунок 4 - Включение точки мониторинга


RSPAN

Теперь рассмотрим технологию RSPAN (Remote SPAN). Данная технология позволяет осуществлять мониторинг трафика на физически удаленных портах, через сеть коммутаторов. Технология RSPAN работает по следующему принципу:

  1. Первым делом настраиваем коммутатор-источник. Трафик с коммутатора с портов/ VLAN копируется не напрямую, а в специально выделенную RSPAN VLAN (source порты входят в RSPAN VLAN, который задается специально для каждой RSPAN – сессии).
  2. RSPAN VLAN должен быть настроен и разрешен на всех коммутаторах на пути между источником и пунктом назначения.
  3. На коммутаторе, который выполняет функцию назначения, один из портов, принадлежащих RSPAN VLAN, настраивается как RSPAN Destination Port. Этот порт принимает трафик из данной сессии RSPAN VLAN и зеркалирует его на подключенное устройство мониторинга с указанным destination портом.

С типовым примером сети с RSPAN можно ознакомиться на рисунке 5.

image.png


Рисунок 5 - Пример сети с настроенным RSPAN

Важные условия по настройке SPAN/RSPAN:


ERSPAN

Теперь поговорим про ERSPAN (Encapsulated Remote SPAN), что переводится как инкапсулированное удаленное зеркалирование. Технологию, как правило, используют для передачи трафика между маршрутизируемыми сегментами сети с помощью инкапсуляции захваченных пакетов в GPE-туннель между несколькими сетевыми устройствами. Требуется при настройке обозначить IP-адресацию.

В коммутаторе, нужно указать IP-адрес получателя (порт, в который будет поступать зеркалируемый трафик). Трафик с исходных портов/VLAN инкапсулируется в заголовок GRE (Generic Routing Encapsulation).

Этот инкапсулированный трафик (GRE-туннель) передается как обычный IP-пакет (L3) через сеть на основе IP-адреса назначения (между коммутаторами должна быть настроена связность на уровне протокола IP). Также корректно должен быть настроен MTU, чтобы пакеты для захвата трафика передавались по цепочке в полном виде.

На устройстве назначения (коммутаторе, маршрутизаторе или специализированном анализаторе с поддержкой ERSPAN) происходит декапсуляция GRE, и исходный трафик извлекается для анализа. На рисунке 6 показан упрощенный пример схемы с поддержкой ERSPAN.

image.png


Рисунок 5 - Пример сети с настроенным ERSPAN

KICS for Networks умеет работать с ERSPAN, однако не умеет терминировать GRE, в котором этот ERSPAN перемещается. 

Настройка ERSPAN в CentOS:

ERSPAN можно терминировать при помощи утилиты rcdcap. Для того, чтобы получить сборку данной утилиты  создайте запрос в техническую поддержку «Лаборатории Касперского» через Kaspersky CompanyAccount

Пример настройки через ОС. Первым делом нужно убедиться, что ядро поддерживает GRE: 

# загрузка модуля ip_gre:
sudo modprobe ip_gre

# Проверка наличия модуля ip_gre:
lsmod | grep ip_gre

# Настройка сетевых интерфейсов. Например, для интерфейса eth1, который будет принимать ERSPAN трафик мы выполним следующие настройки:
sudo ip addr add IP из вашей сети dev eth1  # Используйте IP из вашей сети
sudo ip link set dev eth1 mtu 1900        # Увеличьте MTU для учёта GRE-инкапсуляции
sudo ip link set eth1 up

# Создаем GRE-туннеля для декапсуляции ERSPAN трафика:
# Создание туннеля с режимом GRE
sudo ip tunnel add mon0 mode gre local IP-адрес интерфейса, на который поступает ERSPAN трафик ttl 255

# Назначение IP-адреса туннелю (можно использовать любой не конфликтующий)
sudo ip addr add 1.1.1.1/30 dev mon0

# Активация туннеля
sudo ip link set mon0 up

Настройка ERSPAN в Astra Linux:

ERSPAN поддерживается в ядре linux с версии 4.14, в том числе в Astra Linux. В справочном центре представлена инструкция: настройка тоннеля GRE.

KICS for Networks поддерживает интерфейсы, которые работают c Layer2 пакетами, т.е. содержат ethernet-frame'ы. gre-интерфейс работает на Layer3, соответственно использовать необходимо интерфейс типа gretap.
# ip link add mgre0 type gretap local <local-ip> remote <remote-ip> key 0xfffffffe

Сбор диагностической информации по Kaspersky Industrial CyberSecurity for Networks

В данном разделе собраны способы сбора диагностической информации по KICS for Networks 

Сбор диагностической информации по Kaspersky Industrial CyberSecurity for Networks

Работа с утилитой Health Check tool

Утилита Health Check tool предназначена для сбора диагностических данных и создания отчета о работоспособности узлов, где развернуты компоненты KICS for Networks, о нагрузке на сервер KICS for Networks, определяет статус служб (активны/неактивны). Если архитектура KICS for Networks распределенная (сервер и сенсор разделены), то данная утилита позволяет подключиться к сенсорам по SSH для сбора диагностической информации.

Утилита Health Check tool предоставляется по запросу. Утилита представляет собой архив, где расположен скрипт для диагностики узлов KICS for Networks. Скрипт поддерживает только CentOS 8 Stream и CentOS 9 Stream.


Подготовка к работе с утилитой Health Check tool

Перед запуском утилиты Health Check tool убедитесь, что:


Запуск утилиты и генерация отчетов 

1. Перейдите в директорию с утилитой и распакуйте архив.

2. В архиве содержится скрипт (утилита):

kics4net-health-check.sh

3. Необходимо присвоить права для запуска скрипта:

chmod +x kics4net-health-check.sh

4. Запускаем скрипт:

sh kics4net-health-check.sh

5. Затем выберите опцию в соответствии с описанием ниже:

Deployment report (опция 1):

Скрипт определяет параметры текущего развертывания KICS for Networks и выполняет сбор данных, связанных с настройками при установке, состояние узлов и состояние служб KICS for Networks. В случае когда сервер KICS for Networks и сенсоры установлены отдельно, скрипт будет пытаться подключиться к сенсорам по протоколу SSH для сбора данных. Будьте готовы предоставить пароль root для аутентификации. Выполнение скрипта можно в любой момент, используя сочетание клавиш CTRL+C.

Диагностический отчет сохраняется в директории скрипта, по одному файлу для каждого узла KICS for Networks.

Operational data report (опция 2):

Health Check tool, в случае выбора данной опции, пытается подключиться к серверу KICS for Networks с помощью API, для запроса и обработки операционные данные, собранных KICS for Networks.

Перед началом связи скрипт устанавливает необходимые пакеты Python, если они не были установлены ранее. Для подключения через API вам необходимо создать новый коннектор с веб-интерфейсе KICS for Networks:

Затем переместите полученный zip-файл в папку 'connector' на узле сервера KICS for Networks и запустите выполнение скрипта, выбрав опцию 2.

В случае если сервер занят обработкой большого объема данных, выполнение скрипта может занять достаточно большое количество времени. Вы можете прервать выполнение скрипта в любой момент, используя сочетание клавиш CTRL+C.

Результирующий файл журнала сохраняется в директории скрипта.


Типовые схемы развертывания

Типовые схемы развертывания

Схема установки KICS for Networks all-in-one

В данном разделе находится информация о схеме развертывания решения KICS for Networks без использования внешних серверов.

При установке Сервера без внешних сенсоров все данные для обработки и анализа поступают только на компьютер, выполняющий функции Сервера. Вы можете применить этот способ установки, если компьютер имеет достаточное количество сетевых интерфейсов для получения данных из различных источников.

Подробнее про данный тип развертывания решения можно ознакомиться здесь

На рисунке ниже показан пример схемы развертывания Сервера без сенсоров. Сетевые интерфейсы компьютера, выполняющего функции Сервера, подключаются к SPAN-портам сетевых коммутаторов (SPAN-порты и соединения обозначены желтым цветом) и получают копию трафика из трех сегментов промышленной сети. Выделенная сеть Kaspersky Industrial CyberSecurity обозначена линиями зеленого цвета.

image.png


Типовые схемы развертывания

Схема установки сервера KICS for Networks с внешними сенсорами

В данном разделе находится информация о схеме развертывания решения KICS for Networks с использованием внешних сенсеров.

Способ установки Сервера и внешних сенсоров предполагает использование нескольких компьютеров для установки компонентов программы. На одном из компьютеров устанавливается Сервер. На остальных компьютерах устанавливаются сенсоры, которые будут получать данные из вычислительных сетей. В программе может использоваться до 50 сенсоров.

Подробнее про данный тип развертывания решения можно ознакомиться здесь

На рисунке ниже показан пример схемы развертывания Сервера и трех сенсоров. Сетевые интерфейсы компьютеров, выполняющих функции сенсоров, подключаются к SPAN-портам сетевых коммутаторов (SPAN-порты и соединения обозначены желтым цветом) и получают копию трафика из соответствующих сегментов промышленной сети. Выделенная сеть Kaspersky Industrial CyberSecurity обозначена линиями зеленого цвета.

image.png


Типовые схемы развертывания

Подключение Kaspersky Industrial CyberSecurity for Networks к промышленной сети через диод данных

В данном разделе находится информация о подключении KICS for Networks к промышленной сети через диод данных.

Для подключения Kaspersky Industrial CyberSecurity for Networks к промышленной сети вы можете дополнительно использовать специальные устройства, обеспечивающие одностороннюю передачу данных из промышленной сети. Такие устройства называются диодами данных.

Подробнее про данную схему развертывания решения можно ознакомиться здесь

Получение копии трафика промышленной сети через диоды данных

На рисунке ниже показана схема подключения коммутатора через диод данных к точке мониторинга на Сервере KICS for Networks. Через диод данных поступает зеркалированный трафик от SPAN-порта сетевого коммутатора в промышленной сети. В этой схеме применяется способ установки Сервера без внешних сенсоров.

image.png

На рисунке ниже показана схема подключения нескольких сенсоров Kaspersky Industrial CyberSecurity for Networks через диоды данных. Через диоды данных поступает трафик от SPAN-портов сетевых коммутаторов в промышленной сети. В этой схеме применяется способ установки Сервера и трех сенсоров.

image.png

Если вы хотите дополнительно разграничить сегменты промышленной сети, в которых установлены сенсоры, и сегмент выделенной сети Kaspersky Industrial CyberSecurity, в котором установлен Сервер, вы можете использовать межсетевой экран на линиях соединений сенсоров и Сервера.

Получение копии трафика промышленной сети и работа в режиме интеграции с EPP-приложением через диоды данных

На рисунке ниже показана схема поступления трафика от SPAN-портов сетевых коммутаторов и получения данных телеметрии от EPP-приложения (KICS for Linux Nodes) из нескольких технологических площадок.

В данном сценарии через диод данных передается телеметрия собранная только с Kaspersky Industrial CyberSecurity for Linux Nodes. Телеметрию с  Kaspersky Industrial CyberSecurity for Windows Nodes передать через диод данных не получится. 

BDkimage.png


Типовые схемы развертывания

Получение трафика промышленных сетей от компонентов решения Kaspersky SD-WAN

В данном разделе находится информация о схеме получения трафика промышленных сете от компонентов решения Kaspersky SD-WAN

Kaspersky Industrial CyberSecurity for Networks может работать в режиме интеграции с решением Kaspersky SD-WAN. При работе в этом режиме Kaspersky Industrial CyberSecurity for Networks получает зеркалированный трафик, который проходит через сетевые коммутаторы на удаленных технологических площадках, если на этих площадках установлен компонент решения Kaspersky SD-WAN устройство Customer Premise Equipment (далее "устройство CPE"). С помощью устройств CPE вы можете частично реализовать функции сенсоров Kaspersky Industrial CyberSecurity for Networks, обеспечив получение программой трафика промышленных сетей с географически разнесенных площадок. При этом данные передаются в программу по защищенным каналам.

Подробнее про данный тип развертывания решения можно ознакомиться здесь

На рисунке ниже показан пример схемы развертывания Kaspersky Industrial CyberSecurity for Networks и решения Kaspersky SD-WAN для случая, когда зеркалированный трафик из нескольких технологических площадок поступает на Сервер Kaspersky Industrial CyberSecurity for Networks через один шлюз SD-WAN. Компьютеры, подключенные к выделенной сети Kaspersky Industrial CyberSecurity, и компьютеры с центральными компонентами SD-WAN находятся в центральном офисе организации. Пунктирными линиями обозначен путь передачи зеркалированного трафика от сетевых коммутаторов на удаленных технологических площадках.

image.png


Процесс корректного перехода на новые версии продуктов

В данном разделе содержится информация по переходу на новые версии продукта

Процесс корректного перехода на новые версии продуктов

Обновление предыдущей версии приложения (KICS for Linux Nodes)

Вы можете обновить версию KICS for Linux Nodes 1.3 до версии KICS for Linux Nodes 1.5. 

Более ранние версии (например, 1.2 или 1.1) требуют предварительного удаления и чистой установки, поскольку для них не предусмотрено обновление до KICS for Linux Nodes 1.5.


Подготовка к процессу обновления

Перед началом обновления нужно убедиться, что операционная система удовлетворяет требования к ПО, а именно:


Обновления KICS for Linux Nodes до следующей версии можно выполнить двумя способами:

1 способ: Обновление с помощью Kaspersky Security Center (далее - KSC).
2 способ:  Обновление с помощью командной строки.

1 способ. Обновление с помощью KSC.

1 шаг. Прежде чем приступить к самому процессу обновления KICS for Linux Nodes через KSC, нужно первым делом обновить агент администрирования KSC на каждом защищаемом устройстве. Обновление выполняется путем установки новой версии Агента администрирования KSC.

Если проигнорировать данный шаг и не обновить агент администрирования, то управлять приложением через Kaspersky Security Center будет невозможно.

На устройстве с операционной системой Astra Linux Special Edition рекомендуется обновлять Агент администрирования удаленно с помощью KSC, так как при обновлении с помощью командной строки в консоли управления KSC создается новый экземпляр того же управляемого устройства, а старый становится недоступным.

2 шаг. Необходимо осуществить обновление плагинов управления KICS for Linux Nodes:

Обновление осуществляется путем установки новой версии плагина управления. 

3 шаг. Переходим в веб-интерфейс KSC или в консоль администрирования KSC

В меню консоли администрирования KSC выберете Дополнительно → Удаленная установка → Инсталляционные пакеты.

image.png


Далее нажимаем кнопку "Создать инсталляционный пакет". Откроется "Мастер создания инсталляционных пакетов" и предложит на выбор несколько опций. Нас интересует опция "Создать инсталляционный пакет для приложения "Лаборатории Касперского".

image.png


В следующем шаге задаем имя нашему инсталляционному пакету. Далее открывается стандартное окно Windows с помощью кнопки Обзор и мы указываем путь к файлу kics.kud. Данный файл находится в папке, в которую вы распаковали архив с KICS for Linux Nodes, где находится сборка версии до которой мы хотим обновить наше приложение, в данном случае архив: kics-1.5.0.<номер сборки>.zip.

На следующем шаге ознакомлявшемся с Лицензионным соглашением и принимаем его. После чего мастер загружает файлы, необходимые для установки приложения, на Сервер администрирования KSC.

В веб-консоли KSC "Мастер создания инсталляционного пакет" находится в разделе:  Обнаружение устройств и развертывание → Развертывание и назначение → Инсталляционные пакеты. Следующие шаги после запуска мастера аналогичны. 

4 шаг. Далее переходим в KSC, где можно воспользоваться мастером развертывания защиты. Мастер развертывания защиты позволяет проводить удаленную установку приложений как с использованием специально созданных инсталляционных пакетов, так и напрямую из дистрибутивов.

Возвращаемся в раздел Дополнительно → Удаленная установка и запускаем "Мастер удаленной установки". (В веб-консоли KSC переходим в раздел Обнаружение устройств и развертывание → Развертывание и назначение → Мастер развертывания защиты).

Далее нужно выбрать инсталляционный пакет приложения, которое требуется установить. На следующем шаге выбираются устройства на которых надо обновить приложение до новой версии. В окне Параметры задачи удаленной установки настройте параметры удаленной установки приложения.

image.png


Далее будет предложено выбрать действие, которое требуется выполнить, если необходимо перезагрузить операционную систему во время установки приложения. Выбираем интересующее нас действие и нажимаем "Далее", указываем, следует ли перемещать устройства в группу администрирования после установки Агента администрирования. По умолчанию стоит "Не перемещать устройства". После чего выбираем требуется ли нам учетная запись для установки или установлен агент администрирования и нажимаем Далее.

На финальном шаге по умолчанию вариант Запустить задачу после завершения работы мастера не выбран. Если вы выберете этот параметр, Задача удаленной установки приложения начнется сразу после завершения работы мастера. Если вы не выберете этот параметр, Задача удаленной установки приложения не начнется. Вы можете запустить эту задачу в дальнейшем вручную.

2 способ. Обновление с помощью командной строки

Обновление KICS for Linux Nodes с помощью командной строки выполняется путем установки на устройство новой версии приложения из пакета формата RPM или DEB в соответствии с типом менеджера пакетов.

Обратите внимание, если в новой версии приложения изменились условия Лицензионного соглашения и/или Политики конфиденциальности, вам нужно принять новые условия в ходе обновления приложения.

Чтобы принять условия новых соглашений в ходе обновления, нужно использовать переменные окружения KICS_EULA_AGREED=yesKICS_PRIVACY_POLICY_AGREED=yes и KICS_USE_KSN=yes/no.

Установка пакета KICS for Linux Nodes осуществляется с помощью следующей команды в соответствии с типом менеджера пакетов. Если у вас установлен графический пользовательский интерфейс приложения предыдущей версии, вам также нужно установить пакет, содержащий файлы графического интерфейса приложения.

# [KICS_EULA_AGREED=yes] [KICS_PRIVACY_POLICY_AGREED=yes] [KICS_USE_KSN=yes/no] rpm -U --replacefiles --replacepkgs kics-1.5.0-<номер сборки>.<arch>.rpm [kics-gui-1.5.0-<номер сборки>.<arch>.rpm]

где <arch> – тип архитектуры: i386 – для 32-битных операционных систем, а x86_64 – для 64-битных операционных систем.

# [KICS_EULA_AGREED=yes] [KICS_PRIVACY_POLICY_AGREED=yes] [KICS_USE_KSN=yes/no] apt-get install ./kics_1.5.0-<номер сборки>_<arch>.deb [./kics-gui_1.5.0-<номер сборки>_<arch>.deb]

где <arch> – тип архитектуры: i386 – для 32-битных операционных систем, а amd64 – для 64-битных операционных систем.

После выполнения данной команды KICS for Linux Nodes будет автоматически перезапущен.

В ходе обновления в новую версию приложения переносится журнал событий. Для большинства параметров используются значения, настроенные для предыдущей версии приложения. Для некоторых параметров устанавливаются особые значения. Если во время переноса параметров по какой-либо причине происходит ошибка, для приложения устанавливаются значения по умолчанию.

Изменения параметров приложения, сделанные после завершения обновления и до перезапуска приложения, не сохраняются.

Процесс корректного перехода на новые версии продуктов

Обновление KICS for Networks с использованием скрипта переноса данных

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или ICS community и НЕ является официальной рекомендацией вендора

Убедитесь, что все пункты из статьи подготовки соблюдены

Если вы планируете обновить KICS for Networks до следующей версии, то нужно воспользоваться скриптом переноса данных, который идет в комплекте поставки программы. Скрипт переноса данных имеет следующее название: данных kics4net-backup.sh.

Использованием скрипта kics4net-backup.sh поддерживается для версий программы, начиная с версии 4.0. Скрипт нужно использовать локально, на том сервере, где установлены компоненты KICS for Networks  резервную копию или перенос данных которых вы хотите сделать.

Скрипт kics4net-backup.sh переносить из текущей версии продукта следующие данные:

Рекомендуется создать резервную копию всех данных KICS for Networks. Резервная копия создается также с помощью скрипта kics4net-backup.sh. При резервном копировании скрипт помимо предыдущих данных позволяет сохранить следующие компоненты:

Сценарий обновления KICS for Networks с помощью данного скрипта состоит из следующих шагов:

1 шаг. Создание резервной копии данных от предыдущей версии программы на компьютерах Сервера и сенсоров

  1. На компьютер с установленным компонентом программы предыдущей версии скопируйте в произвольную директорию архив kics4net-release_<номер версии программы>.tar.gz из комплекта поставки программы.
  2. Перейдите в директорию, в которую скопирован архив, и введите команду для распаковки архива:

    tar -zxvf kics4net-release_<номер версии программы>.tar.gz

    Распакованные директории и файлы появятся во вложенной директории kics4net-release_<номер версии программы>.

  3. Перейдите в директорию с распакованными файлами скриптов и пакетов для установки, проверки и удаления компонентов программы. Файлы находятся во вложенной директории kics4net-release_<номер версии программы>/linux-astra.
  4. Запустите скрипт kics4net-backup.sh:
    • Если вы хотите создать резервную копию данных на компьютере Сервера, введите команду:

      sudo bash kics4net-backup.sh -b -p <путь к файлу резервной копии> <необязательные параметры>

    • Если вы хотите создать резервную копию данных на компьютере сенсора, введите команду:

      sudo bash kics4net-backup.sh -s -p <путь к файлу резервной копии> <необязательные параметры>

где:

пример: sudo bash kics4net-backup.sh -b -p ./old_kics4net_data -t

Скрипт начнет резервное копирование данных. Дождитесь завершения работы скрипта kics4net-backup.sh и сохраните созданный файл резервной копии.

2 шаг. Удаление предыдущей версии программы

Этот шаг выполняется, если вы хотите установить компоненты текущей версии KICS for Networks на те же узлы, на которых установлены компоненты предыдущей версии.

Есть несколько способов удаления компонентов KICS for Networks:

3 шаг. Установка текущей версии.

Процесс установки описан в разделе "Развертывание KICS for Networks".

4 шаг. Загрузка данных из резервной копии после установки новой версии программы.

Перейдите в директорию:

Откройте командную строку и запустите скрипт kics4net-backup.sh на компьютере Сервера:

Если требуется загрузить данные резервной копии на сенсоре, введите следующую команду:

где:

Для специфических сценариев использования скрипта kics4net-backup.sh предусмотрен дополнительный параметр команды запуска --restore-database. Этот параметр предназначен для восстановления из файла резервной копии только базы данных Сервера. В сценарии обновления предыдущей версии программы этот параметр не используется. Чтение и загрузку данных из файла резервной копии Сервера, включающих и данные для восстановления базы данных, обеспечивает параметр -r (см. выше).

Скрипт начнет загрузку данных из файла резервной копии в программу. Дождитесь завершения работы скрипта kics4net-backup.sh.

После завершения загрузки данных из резервных копий на всех узлах подключитесь к Серверу через веб-интерфейс и проверьте параметры развертывания узлов в разделе Параметры → Развертывание. При необходимости добавьте сенсоры.

Kaspersky MLAD: создание активов

1.            Описание задачи

Kaspersky MLAD позволяет пользователю создавать дерево активов для своего проекта как вручную через веб-интерфейс программы, так и автоматизировано путем ипорта файла активов.

Данный документ описывает процесс создания/изменения активов в Kaspersky MLAD при помощи Excel-таблиц.

Цель использования данного инструмента – ускорить и упростить процесс создания или изменения активов в Kaspersky MLAD.

Ниже приведена упрощенная схема подключения, используемая в описываемой в данном документе интеграции.

image.png

2.            Реализация задачи

Первым шагом необходимо в MLAD перейти в Меню администратора, затем в Активы. Нажмите кнопку Экспортировать Активы и теги в файл XLSX.

image.png

Будет скачан файл mlad_structure.xlsx. Откройте его в MS Excel. В появившемся уведомлении нажмите Да.

image.png

Во вкладке directory_types отображаются существующие типы активов. Здесь же можно создать собственные типы активов. Описания полей можно увидеть, наведя мышку на название столбца. Ниже на скриншоте показан процесс добавления двух новых типов активов.

image.png

В поле directory_type укажите название нового типа активов. Поля parameter_label являются не обязательными для заполнения, в них вы можете указать опциональные параметры, которые будут иметь все активы данного типа (например, год выпуска, или рабочее напряжение). В поле description можно задать краткое описание для данного типа активов. Поле directory_type_id не заполняется вручную.

Во вкладке directories можно создать или изменить активы. Ниже на скриншоте показан процесс добавления двух новых активов на основе созданных типов активов:

image.png

В поле directory_type выберите тип создаваемого актива. В поле directory_type_row укажите номер строки, который этот тип имеет во вкладке directory_types (несмотря на то, что в описании столбца указано «не заполнять»). В нашем случае это строки 9 и 10.

В поле directory_name укажите название нового актива.

В поле parent необходимо выбрать имя родителя. Если наш актив располагается в корне дерева, то родителя указывать не нужно. В противном случае просто скопируйте имя нужного актива из столбца directory_name. Если ваш актив находится глубже в структуре дерева, то необходимо здесь указать путь до родительского актива в формате «Родитель 1; Родитель 2; …; Непосредственный родитель». Если в выпадающем списке нужных родителей нет, удалите выпадающий список и заполните поле вручную.

В поле parent необходимо указать номер строки родителя из этой же вкладки (несмотря на то, что в описании столбца указано «не заполнять»). В примере выше, если родителем является Станция 1, то нужно указать его номер строки – 23.

Поля directory_id и parent_id вручную заполнять не нужно.

Во вкладке tags создаются новые или редактируются существующие теги. На скриншоте ниже показан пример создания трех новых тегов (new_tag_1, new_tag_2, new_tag_3).

image.png

В столбце tag_id необходимо продолжить нумерацию после последнего существующего тега для всех новых тегов (несмотря на то, что в описании столбца указано «не заполнять»). Нумерация не обязательно должна быть непрерывной, вы можете задавать id по своему усмотрению, но у каждого тега в активах MLAD должен быть свой уникальный id.

В поле tag_description указывается описание / проектное наименование тега, с которым он потом будет отображаться в инструментах MLAD.

В поле parent необходимо указать путь до родительского актива по тому же принципу, как мы уже сделали это во вкладке directories.

В поле parent_row укажите номер строки родительского актива во вкладке directories (несмотря на то, что в описании столбца указано «не заполнять»). В нашем случае это строки 24 и 25.

Поле parent_id вручную заполнять не нужно.

Остальные поля заполняются по желанию / необходимости.

После заполнения файла сохраните его и вернитесь в MLAD в раздел активов.

image.png

Нажмите кнопку Импортировать активы и теги из файла XLSX. В появившемся окне выберите ваш файл с активами для загрузки остальные настройки как показано на скриншоте ниже:

image.png

После чего нажмите кнопку Сохранить. Если импорт прошел успешно, появится зеленая плашка с соответствующим уведомлением, и в вашем дереве активов появятся новые активы и теги.

image.png

Данные теги доступны для использования во всех инструментах MLAD, в том числе в моделях, разметках и коннекторах.

Kaspersky MLAD: импорт исторических данных

1.            Описание задачи

После создания дерева активов в Kaspersky MLAD, для обучения моделей и проведения исторического инференса потребуется достаточная выборка исторических данных. Данные можно накопить в процессе работы программы при наличии подключения к источнику данных, например, по протоколу OPC UA. Но если у вас уже есть накопленная выборка, то наиболее быстрым и предпочтительным способом является импорт данных при помощи встроенного HTTP-коннектора.

Данный документ описывает процесс настройки HTTP-коннектора и импорта данных из csv-файла при помощи POST-запросов. 

Для передачи csv-файла в MLAD можно использовать стандартную утилиту, например, curl. В данном документа также описан процесс импорта при помощи инструмента csv2http (предоставляется по запросу).

Для работы потребуется операционная система Linux (в данном документе используется Debian 13).

Ниже приведена упрощенная схема подключения, используемая в описываемой в данном документе интеграции.

image.png

2.            Реализация задачи

Первым шагом необходимо в MLAD перейти в Меню администратора -> Системные параметры -> HTTP Connector. Здесь рекомендуется отключить использование TLS-соединения, чтобы упростить процесс настройки Kaspersky MLAD и ввод  его в эксплуатацию. Если в дальнейшем по соображениям безопасности потребуется перейти на HTTPS-соединение, здесь же можно включить TLS-обратно и подгрузить необходимые сертификаты.

image.png

После этого необходимо запустить HTTP-коннектор в Службах.

image.png

Теперь мы можем отправлять данные в MLAD в виде csv файлов через POST-запросы. Более подробно настройка HTTP-коннектора и загрузка данных описаны в руководстве пользователя.

Csv-файл должен иметь следующую структуру:

метка времени; имя тега; значение тега

Метка времени должна быть в формате %Y-%m-%dT%H:%M:%S (или %Y-%m-%d %H:%M:%S).

Имя тега должно соответствовать имени тега в активах MLAD.

Если значение тега содержит дробную часть, используйте точку при отделении целой и дробной частей.

Файл не должен содержать заголовочную строку (строку с названием столбцов).

Пример содержимого файла:

2026-01-12 08:00:00;Tag1;11.10
2026-01-12 08:00:00;Tag2;37
2026-01-12 11:00:00;Tag1;12.10
2026-01-12 11:00:00;Tag2;38

Пример отправки CSV-файла в MLAD через curl по протоколу методом POST на порт 4999 сервера Kaspersky MLAD:

curl -F "file=@<имя файла>.csv" -X POST "http://<IP-адрес или доменное имя сервера Kaspersky MLAD>:4999/upload"

Не рекомендуется загружать файлы размером более 10-20 МБ. Это может привести к потере отдельных точек данных при загрузке. Если вы хотите загрузить большой csv-файл (что весьма вероятно), необходимо разбить его на более мелкие файлы и загрузить их по очереди с небольшой задержкой. Можно использовать, к примеру, такой скрипт (запускается из директории, в которой находятся csv-файлы:

#!/bin/bash
# Укажите адрес вашего сервера
SERVER_URL="localhost:4999/upload"
# Перебор всех csv-файлов в директории
for file in *.csv; do
    # Завершение скрипта, если csv-файлы не найдены
    [ -e "$file" ] || { echo "No CSV files found."; exit 0; }
    echo "Uploading $file to $SERVER_URL ..."
    # Отправка файла в MLAD через POST-запрос
    curl -X POST -F "file=@$file" "$SERVER_URL"
    sleep 0.5
    echo
done

Kaspersky MLAD будет добавлять часовой пояс, указанный в настройках программы к меткам времени, указанным в csv-файле. Имейте это в виду при подготовке файла для импорта.

Данный метод загрузки данных с одной стороны является достаточно простым и не требует использования дополнительных инструментов, но с другой стороны накладывает жесткие ограничения на формат и размер загружаемого csv-файла, и требует редактирования метки времени.

Альтернативно можно использовать утилиту csv2http (предоставляется по запросу), которая автоматически подготавливает файл для загрузки в соответствии с настройками и загружает его. Для ее запуска на машине потребуется установленный docker и docker-compose (можно запускать на машине с MLAD).

image.png

Перед началом использования утилиты необходимо загрузить локальный docker-образ (укажите корректный путь до tar-файла):

docker load -i /home/mlad-user/Downloads/csv2http/csv2http_docker_image.tar

Утилита запускается при помощи скрипта в корневой директории ./run.sh
Для остановки утилиты используется скрипт ./stop.sh

Вы можете изменить настройки программы в файле csv2http.yml. После изменения параметров необходимо остановить и заново запустить утилиту. Ключевые настройки, на которые нужно обратить внимание:

hours_from_GMT - количество часов, указанных в данном параметре должно соответствовать часовому поясу, заданному в настройках MLAD.
tabular - если значение данного параметра равно false, то данные формат csv должен соответствовать формату, описанному выше (метка времени; имя тега; значение тега), если значение true, то файл должен иметь табличную форму, как показано в следующем примере:

timestamp param1 param2 param3 param4
2025-12-28T00:00:00 70 53 49 66
2025-12-28T00:01:00 71 52 49 66
2025-12-28T00:02:00 70 53 49 66
2025-12-28T00:03:00 71 53 49 66
2025-12-28T00:04:00 70 52 49 66
2025-12-28T00:05:00 70 52 49 66
2025-12-28T00:06:00 70 53 49 66

timestamp_position - номер столбца, содержащего метки времени (нумерация начинается с 0). Релевантно только в табличном режиме, при переключении в стандартный режим закомментируйте эту строку.
tag_position - номер столбца, содержащего имена тегов (нумерация начинается с 0). Релевантно только в стандартном режиме, при переключении в табличный режим закомментируйте эту строку.
value_position - номер столбца, содержащего значения тегов (нумерация начинается с 0). Релевантно только в стандартном режиме, при переключении в табличный режим закомментируйте эту строку.
skip_lines - количество строк в начале файла, которое вы хотите пропустить при обработке. Полезно, если файл содержит дополнительную информацию в начале.
has_header - значение true, если используется табличный режим. При переключении в стандартный режим укажите false.
timestamp_format - укажите формат меток времени, используемый в вашем файле, например, '%Y-%m-%dT%H:%M:%S' или '%d-%b-%y %H:%M:%S'
field_separator
- укажите разделитель, который используется в вашем csv-файле.
url - укажите ip или доменное имя вашего сервера MLAD. Если MLAD расположен на этой же машине, используйте значение по умолчанию 'http://host.docker.internal:4999/upload'.

Поместите ваш csv-файл в директорию ./work/csv:

image.png

Утилита периодически сканирует данную директорию на предмет новых файлов и обрабатывает их. Обработанные фалы помещаются в директорию ./work/staging, после чего загружаются в MLAD стандартными средствами и удаляются. Если директория staging больше не содержит файлов, значит загрузка завершена.

Вы можете подключиться к журналу работы утилиты для траблшутинга загрузки. Для этого используйте следующую команду:

docker logs csv2http-smb2mlad1
используйте флаг -f, если вы хотите отслеживать новые записи в журнале

Если загрузка файлов завершилась досрочно (например, скриптом ./stop.sh), и вы хотите загрузить файлы заново, то вам необходимо удалить все файлы из директорий ./work/csv и ./work/staging, а также удалить файл ./work/offset.txt.

Контроль конфигураций

О контроле конфигураций

С помощью KICS for Networks проводится аудит безопасности контролируемых устройств. Одна из важнейших задач безопасности - это контроль конфигураций. Контроль конфигураций - ключевая функция аудита безопасности в KICS for Networks. С  помощью специальных заданий система выполняет комплексный аудит контролируемых устройств, который включает: 

KICS for Networks может контролировать следующие типы конфигураций на устройствах:

Прежде чем мы приступим к созданию задания "Контроль конфигураций", нужно создать коннектор "Активного опроса" и секреты для подключения к устройствам.

Создание коннектора Active poll

  1. Выберите раздел Параметры → Коннекторы и нажмите кнопку "Добавить коннектор". 
  2. Далее вам будет предложено заполнить общие параметры коннектора: тип коннектора, имя коннектора, укажите адрес Сервера и узел размещения коннектора, а также пользователя, который может осуществлять активный опрос. 
  3. В разделе "Детали" укажите дополнительные параметры в зависимости от типа коннектора.
  4. Нажмите кнопку "Сохранить" и коннектор будет создан.

{883221E8-0838-413E-BBF7-DC23EB928B46}.png

Создание Секрета

В KICS for Networks реализовано хранилище секретов, которое позволяет безопасно хранить и использовать идентификационную и аутентификационную информацию, которая необходима программе для автоматических удаленных подключений к устройствам. Создание секретов осуществляется в разделе Параметры →  Секреты. В программу можно добавить не более 500 секретов.

Создание задания контроля конфигураций ПЛК

Создание задания контроля конфигураций Сетевого устройства

Создание задания контроля конфигураций Рабочей станции

 

 

Пример сравнения 2-х конфигураций Рабочей станции

сравнение конфигураций.png

Подключение KICS for Networks к промышленной сети через диоды данных

Получение трафика промышленной сети через диоды данных (UDP)

Для передачи трафика промышленной сети в KICS for Networks диоды данных должны поддерживать передачу сетевых пакетов без фильтрации для всех протоколов канального уровня, включая служебные протоколы. Диоды данных устанавливаются на линиях соединений точек мониторинга KICS for Networks и SPAN-портов сетевых коммутаторов.  

image.png

Получение данных телеметрии от EPP-приложений через диоды данных

Данные телеметрии должны поступать на узлы KICS for Networks через сетевые интерфейсы, которые не используются в качестве точек мониторинга. Поэтому для одновременного получения данных телеметрии и трафика промышленной сети вам потребуется установить отдельные диоды данных, подключенные к соответствующим сетевым интерфейсам узлов KICS for Networks. Данные телеметрии должны поступать на обычные сетевые интерфейсы, а трафик от SPAN-портов – на сетевые интерфейсы точек мониторинга.

Начиная с версий KICS for Nodes 4.5 и KICS for Linux Nodes 2.0, встроенный Endpoint Agent может отправлять данные телеметрии через диоды данных по следующим протоколам:

Настройка интеграции KICS for Linux Nodes 2.0 и KICS for Networks через UDP через командную строку

Первым делом нужно сформировать файл свертки в KICS for Networks:

Далее скачанный файл свертки нужно разархивировать и перенести сертификат сервера интеграции на рабочие места, с установленными KICS for Linux Nodes 2.0.

Далее открываем командную строку и прописываем:

1. kics-control --set-settings 23 Endpoints.item_0000.Address=<Kics4net_IP>

2. kics-control --set-settings 23 Endpoints.item_0000.Port=<8081>

3. kics-control --set-settings 23 ProtocolType=UDP

4. kics-control --start-task 23

5. kics-control --set-settings 23 UdpEncryptionEnabled=Yes

6. kics-control --add-kics4networks-client-udp-crypto-container <file> - импорт криптоконтейнера из указанного файла 

7. kics-control --query-kics4networks-client-udp-crypto-container - вывод информации о статусе криптоконтейнера.

8. kics-control --stop-task 23

9. kics-control --start-task 23

10. systemctl restart kics

Переходим в веб-интерфейс KICS for Networks и проверяем успешность интеграции.

Настройка интеграции KICS for Nodes 4.5 и KICS for Networks через UDP через KSC

Перейдите в веб-консоль KSC в раздел "Политики и профили политик":

Далее необходимо подождать 5-10 минут и ознакомиться с результатом интеграции.

Настройка интеграции KICS for Nodes и KICS for Networks через MQTT через KSC

Первым делом нужно сформировать файл свертки в KICS for Networks:

Далее перейдите в веб-консоль KSC в раздел "Политики и профили политик":

  1. Нажмите на название политики Kaspersky Industrial CyberSecurity for Nodes.

    Откроется окно свойств политики.

  2. Выберите вкладку Параметры приложения.
  3. Выберите раздел Серверы сбора телеметрии.
  4. В блоке Интеграция с KICS for Networks нажмите на кнопку Настроить.

    Откроется окно Интеграция с KICS for Networks.

  5. Установите флажок Интеграция с KICS for Networks.
  6. На вкладке Общие выберите режим отправки телеметрии: "Отправлять телеметрию на диод данных в качестве MQTT-издателя". Kaspersky Industrial CyberSecurity for Nodes отправляет телеметрию на сервер MQTT-брокера, встроенный в программный диод данных (MQTT-издатель).

    Для отправки телеметрии в режиме MQTT-издателя вам нужно настроить следующие параметры:

    • Введите учетные данные для аутентификации на сервере MQTT-брокера.
    • Введите IP-адрес и порт сервера MQTT-брокера.
  7. Сохраните изменения

Портативный сканер

Данный раздел содержит описание процесса создания портативного сканера (на обычном и защищенном флэш-накопителе), а также особенности работы с ним.

Портативный сканер

Создание портативного сканера на флеш-накопителе

Что такое Портативный сканер?

Портативный сканер представляет собой портативную версию KICS for Nodes, не требующую установки на конечной узел. Портативный сканер записывается на съемный диск по USB. Он подходит для регулярного сканирования изолированных подсистем, оборудования, а также гостевых устройств, на которых невозможно развернуть полнофункциональное решение.

Требования для создания Портативного сканера

Ниже приведены требования для создания Портативного сканера:

Инструкция по созданию портативного сканера?

В качестве узла для создания портативного сканера необходимо использовать узел, на котором развёрнута версия KICS for Nodes 4.0 и обновлены антивирусные базы до последних актуальных версий.

Шаг 1.

В области уведомлений в контекстном меню значка программы выберите Открыть Диагностическое окно. Далее выберите опцию создания портативного сканера.

диагностическое окно.png

Шаг 2.

Добавьте файл ключа, который необходим для создания портативного сканера. Информация о лицензии отобразится в окне мастера.

Шаг 3.

При необходимости можно выбрать дополнительные опции: сохранение трафика сетевых интерфейсов и выполнение аудита безопасности проверяемых устройств.

image.png

Шаг 4.

Следующим шагом настраиваем область сканирования. Рассмотрим пример настройки области сканирования для сканера создаваемого KICS for Nodes 4.0, явным образом исключающий:

Для выбора исключений их необходимо добавить в список явным образом. Альтернативным, но не менее эффективным способом может быть исключение области My Computer и явный выбор накопителей, которые подлежат сканированию.

image.png

В основных настройках сканирования можно выбрать исключения для типов составных объектов, либо оставить выбор по умолчанию.

image.png

Шаг 5.

 В расширенных настройках для первичного сканирования целесообразно установить опцию «только информировать». При обнаружении вредоносных объектов окончательное решение о действиях можно будет принять при последующем сканировании, предназначенном для дезинфекции устройств.

    Шаг 6.

   В целях оптимизации времени при сканировании однотипных узлов либо многократной проверке одного устройства целесообразно задействовать технологию iChecker в разделе настроек производительности. Дополнительно для повышения скорости рекомендуется пропускать составные объекты (архивы) размером более 100 МБ, а также объекты с расчётным временем проверки, превышающим 60 секунд.

image.png

IfШаг 7.

   Перед началом создания сканера рекомендуется визуально проверить выбранные настройки. Все указанные на этом шаге действия и области сканирования будут сохранены в конфигурационный файл сканера и применены по умолчанию. При необходимости эти настройки можно изменить при запуске сканирования, добавив соответствующие ключи командной строки.

IIШаг 8

      Если вы выбирали дополнительные опции, такие как запись трафика и аудит безопасности, то на следующих шагах необходимо указать настройки для этих опций. Например, на шаге выбора действий для записи трафика с сетевых интерфейсов сканируемого устройства рекомендуется ограничить время записи 30 секундами.                                                                                На этапе выбора действий по проверке безопасности конфигураций следует задать наборы правил, которые будут задействованы в ходе проверки. Для расширения охвата операционных систем допустимо выбрать все наборы за исключением последнего (тестового). При условии, что перечень операционных систем известен заранее, допускается выбор только соответствующих наборов.

  Шаг 9

    На заключительном шаге необходимо выбрать целевое устройство, которое будет использовано для создания портативного сканера (USB-накопитель): стандартный флеш-накопитель, или безопасный накопитель.

image.png

В результате будет создан на флэш-накопителе портативный сканер.

image.png

Портативный сканер

Использование портативного сканера (v4.0) Типовые проблемы

В данной статье мы рассмотрим проблемы, с которыми вы можете столкнуться при работе с портативным сканером. Ниже приведены типовые вопросы, возникающие в процессе работы, а также варианты их решения.

Длительное сканирование: Сканирование больших объёмов данных может занимать много времени.

Рисунокyfcnhjtr.png

Что нужно для создания портативного сканера?

Для создания и работы сканера требуются две действующие лицензии:

  1. На Kaspersky Industrial CyberSecurity for Nodes.
  2. На KICS Portable Scanner

Рисунок2.png

В отчете результата сканирования указаны устаревшие Базы данных, почему такое произошло?

Рисунок3.png

Причина проблемы часто кроется в том, что на момент сборки портативного сканера на узле KICS for Nodes антивирусные базы не были актуальны. Качество проверки напрямую определяется свежестью этих баз, а их обновление выполняется именно в процессе создания сканера. Чтобы исправить ситуацию, обновите базы на узле и заново запишите сканер на носитель. Альтернативный способ — с помощью утилиты Kaspersky Updater Utility загрузить свежие базы в отдельную папку, затем подключить флеш-накопитель со сканером к компьютеру с этими базами и запустить команду:

kavscan.exe update /source=<путь_к_папке_с_базами>.

После этого сканер обновит собственную папку Bases и выведет в командной строке отчёт о результатах проверки.

При использовании портативного сканера возникает проблема с кодировкой, почему так может быть?

Рисунок4.png

При создании сканера на устаревших ОС, например, на Windows XP SP2, могут возникать проблемы с кодировкой из-за несоответствия настроек языка для программ, не поддерживающих Юникод. Устаревшие ОС разработаны до того, как поддержка Юникода стала повсеместной. Ее механизмы для отображения текста в программах, не рассчитанных на Юникод, сильно отличаются от современных.

Что можно сделать? Можно попробовать привести настройки языка в устаревшей ОС к тем, что используются в сканере, если данный метод не работает нужно написать в поддержку и там предоставят расширение critical_fix_core, которое устранит данную проблему.

 

 

Портативный сканер

Использование портативного сканера (v4.0) Типовые сценарии и пост обработка

В этой статье рассмотрены ключевые сценарии применения портативного сканера. Для начала работы с утилитой необходимо выполнить подготовительные действия:

  1. Запустите командную строку с правами администратора и выполните переход на диск, на котором расположен сканер (например, e:).
  2. Перейдите в каталог сканера: cd E:/Kavscan.
  3. При первом запуске рекомендуется выполнить проверку пустого каталога или тестовой файловой системы. Это позволит инициализировать сканер: будут распакованы и подготовлены к работе антивирусные сигнатуры, заложенные на этапе создания носителя. На последующих сеансах сканирования данная процедура не требуется (за исключением случаев обновления баз).

Рисунок5.png

Следующим шагом очистим отчет сканирования:

Рисунок6.png

Теперь приступим непосредственно к самому сканированию и проанализируем результаты.

Рисунок7.png

По итогам сканирования были выявлены заражённые, а также потенциально заражённые объекты. Рассмотрим процедуру анализа полученных результатов.
В портативном сканере, развёрнутом на стандартном USB-накопителе, все отчёты сохраняются в каталоге Kavscan\Result. Внутри этого каталога для каждого проверенного устройства создаётся отдельная папка, в которой может содержаться несколько отчётов — в зависимости от того, сколько раз проводилось сканирование данного узла.

Рисунок8.png

Первоочередная задача — провести анализ угроз, обнаруженных портативным сканером. Для этого необходимо открыть файл detects.json, который содержит полный перечень выявленных объектов с указанием их статуса и классификации. 

Рисунок9.png

Обнаруженные вредоносные файлы представляет собой серьезную угрозу, так как могут содержать вредоносный код, что может указывать на многоэтапную атаку. Поэтому первым делом необходимо идентифицировать и проанализировать их.

Например, рассмотрим обнаруженную угрозу hta_server_x86_calc.hta.

Данный файл содержит два разных трояна:

Статус "threatStatus": "Untreated" с причиной "untreatedReason": "ReportOnly" означает, что сканер обнаружил, но не удалил и не поместил в карантин зараженный файл. Это стандартное поведение для портативного сканера KICS, который работает в режиме «только обнаружение» (Report Only). Его основная задача — выявить угрозы для последующего анализа, а не автоматическое лечение.

Так как угроза не была автоматически устранена, необходимо предпринять следующие шаги:

  1. Изолировать зараженный узел: Отключить компьютер от промышленной сети для предотвращения распространения атаки. Если отключение не предоставляется возможным, то убедиться, что вирус не распространился на другие системы. Выполнить сканирование систем портативным сканером.
  2. Удалить зараженный файл: Вручную удалить файл hta_server_x86_calc.hta с рабочего стола.
  3. Провести полное сканирование: Выполнить полное сканирование всей системы с помощью портативного сканера или основного антивирусного решения, чтобы убедиться в отсутствии других зараженных объектов.
  4. Проанализировать цепочку заражения: Выяснить, как файл попал на компьютер. Это могло быть следствием фишинга, загрузки с вредоносного сайта или распространения через другой носитель.
  5. Проверить сетевую активность: Проанализировать сетевые соединения с зараженного узла для выявления возможной утечки данных или связи с командно-контрольными (C2) серверами.

Для анализа угроз, выявленных портативным сканером KICS, можно использовать несколько типов источников. Они различаются по назначению: одни помогут понять природу угрозы, другие — провести глубокое расследование инцидента.

Давайте рассмотрим некоторые источники:

·       Kaspersky Threat Intelligence: Платформа «Лаборатории Касперского» предоставляет актуальные данные по веб-адресам, хешам файлов, названиям угроз и поведенческим данным. (https://opentip.kaspersky.com/)

·       Аналитические отчеты (ICS CERT): «Лаборатория Касперского» публикует глубокие технические отчеты о кибератаках на промышленные предприятия. (https://ics-cert.kaspersky.com/)

·       База угроз безопасности и уязвимостей ПО «Лаборатории Касперского» (https://threats.kaspersky.com/ru/)

·  VirusTotal: Онлайн-сервис, который сканирует файл или хеш (SHA256/MD5) десятками антивирусных движков и показывает результаты от всех вендоров. Это позволяет увидеть, насколько широко файл детектируется как вредоносный (https://www.virustotal.com/gui/home/upload).

 

Инструкция по применению KICS for Networks для формирования набора правил средств периметральной защиты узлов технологического сегмента сети

Для формирования набора правил используется предварительно обученная система KICS for Networks. Качество обучения системы не имеет особого значения: важным условием является наличие в системе достаточного количества записей о сетевых сессиях. Идеальный вариант — наличие в системе данных о максимальном количестве сетевых сессий узлов защищаемого сегмента сети.

1. Формирование перечня сетевых сессий

На первом этапе необходимо сформировать перечень всех сетевых сессий (активных и завершённых) для конкретного защищаемого узла. Для этого в карточке актива следует перейти к выборке необходимых сетевых сессий, используя кнопку «Показать связи» → «Сетевые сессии».

image.png

2. Экспорт данных

На следующем этапе необходимо выполнить экспорт всех сетевых сессий в CSV-файл. В разделе «Сетевые сессии» выберите все записи и нажмите кнопку «Экспортировать в CSV-файл».

image.png

3. Подготовка файла для анализа

Откройте сформированный файл.

image.png

Для удобства дальнейшей работы создайте копию единственной вкладки.

image.png

Присвойте вкладкам названия, соответствующие целевым наборам разрешённых входящих и исходящих соединений (например, «Исходящие», «Входящие»).

image.png

4. Формирование выборки исходящих соединений

На вкладке «Исходящие» создайте фильтр данных, в котором для столбца «Сторона 1» выберите защищаемый узел.

image.png

Аналогично создайте фильтр данных, в котором для столбца «Сторона 2» выберите узлы, взаимодействие с которыми разрешено или предусмотрено для защищаемого узла проектной документацией. В случае отсутствия проектной документации перечень узлов, с которыми разрешено взаимодействие, определяется экспертно.

image.png

Полученная выборка представляет собой перечень фактических взаимодействий из числа разрешённых.

image.png

5. Анализ портов и формирование правил

Выборка должна быть проанализирована на предмет использования в соединениях динамических портов:

Для таких случаев при формировании набора правил в соответствующих правилах необходимо указывать действующие диапазоны портов. Если определить диапазон портов невозможно, допускается фильтрация только по IP-адресу (наименее безопасный вариант).

Для взаимодействий, в которых порт определяется однозначно, правило формируется по соответствующему порту. Для служебных взаимодействий (например, по портам 137, 138) правила могут не формироваться, если соответствующий функционал (например, NetBIOS для портов 137, 138) не используется в защищаемой системе.

При работе с выборкой сессий дубликаты записей удаляются или скрываются инструментами Excel.

6. Формирование правил для входящих взаимодействий

Правила для входящих взаимодействий формируются аналогичным образом.

image.png

На этапе фильтрации данных защищаемый узел выступает в качестве стороны 2.

image.png

7. Итог

По результатам анализа и оценки сформированных выборок взаимодействий составляется набор правил для средств периметральной защиты (программно-аппаратных или программных межсетевых экранов), позволяющий реализовывать функционал защищаемой системы при минимальном количестве разрешённых взаимодействий. Стоит отметить, что для настройки современных межсетевых экранов, работающих по принципу Stateful (в том числе функционал "Сетевой экран" KICS for Nodes), создания правил для обратного трафика не требуется, достаточно создания разрешающего правила от стороны, инициировавшей сессию, до узла назначения, обратые пакеты будут пропущены через МЭ автоматически.

image.png

ВАЖНО! Включение средств периметральной защиты систем промышленной автоматизации в режиме блокирования отдельных сетевых взаимодействий должно осуществляться только после проведения соответствующих приемочных испытаний и проверки отсутствия деструктивного воздействия на работоспособность защищаемых систем.

Инструкция по настройке функциональностей «Мониторинг доступа к реестру» (KICS for Nodes 4.0) и «Контроль целостности системы» (KICS for Nodes 4.5)

В данной статье рассмотрены возможности решения KICS for Nodes по отслеживанию и блокированию изменений, вносимых в системный реестр операционных систем семейства Windows (на примере ОС Windows 7 и Windows 10).

В ходе развития атаки на уровне рабочей станции нарушителю приходится изменять отдельные настройки действующей системы, что влечёт за собой изменение отдельных ключей системного реестра. Поэтому важной составляющей процесса организации защиты конечных узлов под управлением ОС Windows является отслеживание (а в отдельных случаях — блокирование) таких изменений.

Решение KICS for Nodes позволяет контролировать выбранные значения ключей системного реестра ОС Windows и мгновенно информировать администратора информационной безопасности о внесении изменений в соответствующие настройки. Данный инструмент позволяет выявить на ранней стадии следующие нарушения в системе:

Результат фиксации попытки нарушения может выражаться как в уведомлении администратора ИБ о нарушении, так и в блокировке попытки внесения изменений по выбранным ключам реестра — в зависимости от выбранного режима реагирования («Информировать» / «Блокировать»).

Рассмотрим работу инструмента «Контроль целостности системы» (KICS for Nodes 4.5) на примере контроля состояния функции «Удалённый рабочий стол».

Для настройки соответствующей задачи перейдём в окно свойств функциональности «Контроль целостности системы».

image.png

В окне свойств нажмём кнопку «Добавить» и настроим объект мониторинга, соответствующий ключу системного реестра, отвечающему за состояние функции удалённого рабочего стола операционной системы:

image.png

После настройки ключа активируем правило, включим функцию «Следить за реестром» в режиме «Информировать» и запустим «Контроль целостности системы».

image.png

Перейдём в утилиту администрирования ОС и включим удалённый рабочий стол.

image.png

Проверим, что в журнале функциональности «Контроль целостности системы» появилось сообщение об изменении системного реестра с пометкой «Только статистика».

image.png

Убедимся, что изменение настройки системы прошло успешно — удалённый рабочий стол включён.

image.png

Переведём удалённый рабочий стол в выключенное состояние (целевое для защищаемой системы).

image.png

Изменим настройку режима функции «Следить за реестром» на «Блокировать» и применим изменения, нажав кнопку «ОК».

image.png

Перейдём в утилиту администрирования ОС и попытаемся включить удалённый рабочий стол.

image.png

Убедимся, что блокирующая технология KICS for Nodes отработала и операционная система ответила ошибкой на попытку изменения настроек.

image.png

Проверим, что в журнале функциональности «Контроль целостности системы» появилось сообщение о заблокированной попытке изменения системного реестра.

image.png

Аналогичным образом может быть реализовано реагирование на изменение других настроек операционных систем Windows. Ниже справочно приведены наборы ключей реестра операционных систем Windows 7 и Windows 10 для функций, изменение состояния которых можно контролировать или блокировать в целях обеспечения защищённости системы.

ВАЖНО! Отдельные ключи могут различаться в зависимости от выпуска операционной системы. Данный материал предоставляется в ознакомительных целях и не может быть использован для настройки действующих систем. Настройка действующих систем осуществляется исключительно на основании наименований фактических ключей, используемых в защищаемой системе, с обязательной проверкой работоспособности системы в соответствии с установленными требованиями. 

Набор ключей для ОС Windows 7

Функция Путь в реестре (Registry Path) Имя параметра Значение
ПОЛИТИКА ПАРОЛЕЙ
Максимальный срок действия пароля HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters MaximumPasswordAge Число в днях (например, 30, 90)
УДАЛЕННЫЙ ПОМОЩНИК (Remote Assistance)      
Включение/Отключение помощника HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Remote Assistance fAllowToGetHelp

1 = Включен,

0 = Отключен

Разрешение полного управления HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Remote Assistance fAllowFullControl

1 = Разрешено,

0 = Только просмотр

Предложение помощи (несанкционированное) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services fAllowUnsolicited

1 = Разрешено,

0 = Запрещено

Управление чатом HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Remote Assistance fEnableChatControl

1 = Чат включен,

0 = Чат отключен

УДАЛЕННЫЙ РАБОЧИЙ СТОЛ (Remote Desktop / RDP)
Включение/Отключение RDP HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server fDenyTSConnections

0 = Включен,

1 = Отключен

Альтернативный путь (Политики) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services fDenyTSConnections

0 = Включен,

1 = Отключен

Количество одновременных сессий HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server fSingleSessionPerUser

0 = Несколько сессий,

1 = Одна сессия

Запрет пустых паролей HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa LimitBlankPasswordUse

1 = Запретить,

0 = Разрешить

Перенаправление USB (RemoteFX) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\Client fUsbRedirectionEnableMode

0 = Выкл,

1 = Только админы,

2 = Все

Remote Registry (служба) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry Start 4 = Отключено
СЕТЕВОЕ ОБНАРУЖЕНИЕ И ОБЩИЙ ДОСТУП
Сетевое обнаружение HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNSCache\Parameters EnableNetbiosDetection Управляет обнаружением сетей
Общий доступ к файлам и принтерам HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print DisableServerThread 1 = Отключить общий доступ к принтерам
Общий доступ к папкам (админ. ресурсы) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters AutoShareServer 0 = Отключить C$, ADMIN$
Общий доступ к папкам (рабочая станция) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters AutoShareWks 0 = Отключить общие ресурсы
АУДИТ И СОБЫТИЯ
Аудит (глобальное состояние) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa auditbaseobjects 0 = Отключить аудит базовых объектов
Размер журнала безопасности HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security MaxSize Максимальный размер в байтах
Размер журнала приложений HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application MaxSize Максимальный размер в байтах
Очистка журнала (запрет перезаписи) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security Retention Управляет перезаписью и очисткой
КОНТРОЛЬ УЧЕТНЫХ ЗАПИСЕЙ (UAC)
Главный выключатель UAC HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System EnableLUA

1 = UAC включен,

0 = UAC отключен

Поведение запроса для администраторов HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System ConsentPromptBehaviorAdmin

0 = Без запроса,

1 = Запрос данных,

2 = Запрос согласия,

5 = Затемнение экрана

Поведение запроса для обычных пользователей HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System ConsentPromptBehaviorUser

1 = Запрос данных,

3 = Затемнение экрана

Переключение на безопасный рабочий стол HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System PromptOnSecureDesktop

1 = Запрос на безопасном столе,

0 = На обычном

Режим одобрения администратором HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System EnableVirtualization Управляет виртуализацией
Обнаружение установки приложений HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System EnableInstallerDetection 1 = Запрос повышения прав при установке
Только подписанные исполняемые файлы HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System ValidateAdminCodeSignatures 1 = Только для подписанных файлов
Режим одобрения для встроенного администратора HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System FilterAdministratorToken 1 = Режим одобрения для Administrator
UIAccess без безопасного стола HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System EnableUIADesktopToggle

1 = Разрешено,

0 = Запрещено

Виртуализация файлов и реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System EnableVirtualization

1 = Включена,

0 = Отключена

ВОССТАНОВЛЕНИЕ СИСТЕМЫ
Восстановление системы HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore DisableSR

1 = Отключено,

0 = Включено

БРАНДМАУЭР      
Включение брандмауэра (стандартный профиль) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile EnableFirewall

1 = Включен,

0 = Отключен

Включение брандмауэра (доменный профиль) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile EnableFirewall

1 = Включен,

0 = Отключен

БЕЗОПАСНОСТЬ ПОДКЛЮЧЕНИЙ
Подписывание пакетов SMB (клиент) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters RequireSecuritySignature 1 = Подписывание обязательно
Подписывание пакетов SMB (сервер) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters RequireSecuritySignature 1 = Подписывание обязательно
КОНТРОЛЬ ПРОЦЕССОВ И ОБЪЕКТОВ
Квоты памяти для процессов HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management PagedPoolQuota Управляет квотой страничного пула
Отладка программ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager Debugger Управляет отладчиками по умолчанию
Профилирование процессов HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment PROFILER Настройки профилирования
СЛУЖБА ЖУРНАЛА СОБЫТИЙ
Административные шаблоны Event Log HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\Application MaxSize, Retention Параметры размера и хранения
ОТЧЕТЫ ОБ ОШИБКАХ      
Отключить отчеты об ошибках Windows HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting Disabled

1 = Отключить,

0 = Включить

АВТОЗАПУСК (AUTOPLAY / AUTORUN)      
Вариант работы автозапуска HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NoDriveTypeAutoRun Битовая маска (255 = отключить все)
Флажок "Всегда выполнять" HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers DisableAlwaysShowCheckBox 1 = Не показывать флажок
Отключить автозапуск (полностью) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NoAutorun 1 = Отключить автозапуск
Отключить автозапуск для устройств, не являющихся томами HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NoAutoplayfornonVolume 1 = Отключить для MTP устройств

Набор ключей для Windows 10

Функция Путь в реестре (Registry Path) Имя параметра Значение
ПОЛИТИКА ПАРОЛЕЙ
Максимальный срок действия пароля HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters MaximumPasswordAge Число в днях (например, 30, 90)
УДАЛЕННЫЙ ПОМОЩНИК (Remote Assistance)
Включение/Отключение помощника HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Remote Assistance fAllowToGetHelp

1 = Включен,

0 = Отключен

Разрешение полного управления HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Remote Assistance fAllowFullControl

1 = Разрешено,

0 = Только просмотр

Предложение помощи (несанкционированное) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services fAllowUnsolicited

1 = Разрешено,

0 = Запрещено

Управление чатом HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Remote Assistance fEnableChatControl

1 = Чат включен,

0 = Чат отключен

УДАЛЕННЫЙ РАБОЧИЙ СТОЛ (Remote Desktop / RDP)
Включение/Отключение RDP HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server fDenyTSConnections

0 = Включен,

1 = Отключен

Альтернативный путь (Политики) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services fDenyTSConnections

0 = Включен,

1 = Отключен

Аутентификация на уровне сети (NLA) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp UserAuthentication 1 = NLA обязательна
Запрет пустых паролей HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa LimitBlankPasswordUse

1 = Запретить,

0 = Разрешить

Remote Registry (служба) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry Start 4 = Отключено
СЕТЕВОЕ ОБНАРУЖЕНИЕ И ОБЩИЙ ДОСТУП
Общий доступ к папкам (админ. ресурсы) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters AutoShareServer 0 = Отключить C$, ADMIN$
Общий доступ к папкам (рабочая станция) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters AutoShareWks 0 = Отключить общие ресурсы
Отключение SMBv1 (небезопасный протокол) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters SMB1 0 = Отключен
АУДИТ И СОБЫТИЯ
Размер журнала безопасности HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security MaxSize Максимальный размер в байтах
Размер журнала приложений HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application MaxSize Максимальный размер в байтах
Размер журнала системы HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System MaxSize Максимальный размер в байтах
КОНТРОЛЬ УЧЕТНЫХ ЗАПИСЕЙ (UAC)
Главный выключатель UAC HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System EnableLUA

1 = UAC включен,

0 = UAC отключен

Поведение запроса для администраторов HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System ConsentPromptBehaviorAdmin

0 = Без запроса,

1 = Запрос данных,

2 = Запрос согласия,

5 = Затемнение экрана

Поведение запроса для обычных пользователей HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System ConsentPromptBehaviorUser

1 = Запрос данных,

3 = Затемнение экрана

Переключение на безопасный рабочий стол HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System PromptOnSecureDesktop

1 = Запрос на безопасном столе,

0 = На обычном

Режим одобрения для встроенного администратора HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System FilterAdministratorToken 1 = Режим одобрения для Administrator
Обнаружение установки приложений HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System EnableInstallerDetection 1 = Запрос повышения прав при установке
Только подписанные исполняемые файлы HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System ValidateAdminCodeSignatures 1 = Только для подписанных файлов
Виртуализация файлов и реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System EnableVirtualization

1 = Включена,

0 = Отключена

SmartScreen (Защита от фишинга и вредоносных сайтов)
Включение SmartScreen для Edge/Chrome HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\PhishingFilter EnabledV9 1 = Включен
SmartScreen для приложений из Store HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System EnableSmartScreen 1 = Включен
ВОССТАНОВЛЕНИЕ СИСТЕМЫ
Восстановление системы HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore DisableSR

1 = Отключено,

0 = Включено

БЕЗОПАСНОСТЬ ПОДКЛЮЧЕНИЙ
Подписывание пакетов SMB (клиент) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters RequireSecuritySignature 1 = Подписывание обязательно
Подписывание пакетов SMB (сервер) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters RequireSecuritySignature 1 = Подписывание обязательно
ОТЧЕТЫ ОБ ОШИБКАХ
Отключить отчеты об ошибках Windows HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting Disabled

1 = Отключить,

0 = Включить

АВТОЗАПУСК (AUTOPLAY / AUTORUN)
Вариант работы автозапуска HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NoDriveTypeAutoRun Битовая маска (255 = отключить все)
Отключить автозапуск (полностью) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NoAutorun 1 = Отключить автозапуск
Отключить автозапуск для устройств, не являющихся томами HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NoAutoplayfornonVolume 1 = Отключить для MTP устройств
BitLocker (шифрование диска)
Включение BitLocker HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE EnableBDEWithNoTPM 1 = Разрешить без TPM
Тип шифрования HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE EncryptionMethod

4 = XTS-AES 128,

6 = XTS-AES 256

Windows Update (безопасность обновлений)
Автоматическая установка обновлений HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU AUOptions 4 = Автоустановка
Отключение обновлений HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU NoAutoUpdate

1 = Отключено,

0 = Включено

Данные наборы не являются исчерпывающими. Выбор функций, подлежащих мониторингу, зависит от конфигурации конкретной защищаемой системы.

Инструкция по эффективной настройке анализа журналов ОС Windows в Kaspersky Industrial CyberSecurity for Nodes 4.5

Введение

Журналы событий Windows — один из самых ценных источников данных для обнаружения атак и расследования инцидентов. Каждое действие в системе — от входа пользователя до изменения политик безопасности — оставляет след в виде событий с уникальными идентификаторами (Event ID). Однако поток событий на промышленном узле может быть огромным, и задача специалиста по информационной безопасности — настроить мониторинг так, чтобы вовремя замечать критические аномалии, не утопая в информационном шуме.

Компонент Анализ журналов в Kaspersky Industrial CyberSecurity for Nodes 4.5 предоставляет встроенные механизмы для решения этой задачи. В этой статье мы разберём, как эффективно настроить этот компонент, на какие события ОС Windows обращать внимание в первую очередь и как интерпретировать их последовательности для выявления атак.


1. Что такое «Анализ журналов» в KICS for Nodes 4.5

Компонент Анализ журналов контролирует целостность защищаемой среды на основе журналов событий Windows. При обнаружении признаков нетипичного поведения в системе приложение информирует администратора, так как это поведение может указывать на попытки кибератак.

KICS for Nodes анализирует журналы событий Windows и выявляет нарушения в соответствии с правилами двух типов:

При срабатывании любого правила приложение создаёт событие со статусом «Критическое», что обеспечивает чёткую видимость угроз в общем потоке событий.


2. Предустановленные правила: что контролировать по умолчанию

В KICS for Nodes 4.5 доступно семь предустановленных правил. Их нельзя удалить, но можно включать, выключать и настраивать пороговые значения.

Правило

Что обнаруживает

Обнаружена возможная попытка взлома пароля с помощью подбора

Многократные неудачные попытки входа (брутфорс, подбор пароля)

Обнаружена подозрительная активность во время сетевого сеанса входа

Входы в нерабочее время или с необычных адресов

Обнаружены признаки компрометации журналов Windows

Очистка или изменение журналов аудита

Обнаружена подозрительная активность со стороны новой установленной службы

Появление новых служб — признак сохранения доступа (persistence)

Обнаружена подозрительная аутентификация с явным указанием учетных данных

Использование явных учётных данных (например, в скриптах)

Обнаружены признаки атаки Kerberos forged PAC (MS14-068)

Попытка эскалации привилегий через уязвимость Kerberos

Обнаружены подозрительные изменения привилегированной группы Администраторы

Несанкционированное добавление пользователей в группу Administrators

Ключевые настраиваемые параметры

Для правила «Обнаружена возможная попытка взлома пароля с помощью подбора» можно задать:

Это позволяет адаптировать правило под конкретную среду: например, для серверов с высокой интенсивностью ошибочных вводов можно увеличить порог, чтобы снизить число ложных срабатываний.

Для правила «Обнаружена подозрительная активность во время сетевого сеанса входа» можно:


3. Пользовательские правила: гибкость под ваши задачи

Если предустановленных правил недостаточно, вы можете добавить собственные правила на основе конкретных Event ID.

Для создания пользовательского правила необходимо указать:

  1. Имя правила — понятное описание того, что оно отслеживает.
  2. Имя журнала — доступны стандартные журналы: ApplicationSecuritySystem, а также журналы сторонних приложений (например, Windows PowerShell).
  3. Идентификаторы событий — один или несколько Event ID, при появлении которых правило срабатывает.

Важно: Приложение не проверяет фактическое наличие заданного журнала. Если название журнала введено с ошибкой, правило не будет работать.


4. Критические события Windows: что мониторить в первую очередь

Принимая во внимание особенности работы промышленных систем, можно выделить следующие категории событий, которые имеют наибольшую ценность для обнаружения атак.

4.1. Аутентификация и вход в систему

Event ID

Описание

Почему важно

4624

Успешный вход в систему

Позволяет отслеживать необычные входы (время, источник, учётная запись)

4625

Неудачная попытка входа

Основной индикатор брутфорса и подбора паролей

4648

Вход с явными учётными данными

Может указывать на использование украденных или скомпрометированных учётных данных

4672

Вход с правами администратора

Повышение привилегий — критическое событие

4740

Блокировка учётной записи

Может свидетельствовать о целенаправленной атаке или сбое в автоматизации

4.2. Управление учётными записями и группами

Event ID

Описание

Почему важно

4720

Создание учётной записи пользователя

Несанкционированное создание учётных записей — признак сохранения доступа

4728 / 4732

Добавление пользователя в группу с правами администратора

Эскалация привилегий — один из ключевых этапов атаки

4735

Изменение локальной группы

Может указывать на модификацию политик безопасности

4756

Добавление пользователя в группу с правами администратора

Аналогично 4728/4732

4.3. Изменения политик и системные события

Event ID

Описание

Почему важно

1102

Очистка журнала аудита

Попытка скрыть следы атаки

4719

Изменение политики аудита

Может использоваться для отключения аудита критических событий

4616

Изменение системного времени

Используется для «размытия» временных меток событий

4.4. Доступ к объектам и привилегированные операции

Event ID

Описание

Почему важно

4660

Удаление объекта

Удаление критических файлов или ключей реестра

4674

Попытка операции с привилегированным объектом

Может указывать на попытку получения несанкционированного доступа

4.5. Процессы и скрипты

Event ID

Описание

Почему важно

4104

Ведение журнала блоков скриптов PowerShell

Позволяет обнаруживать выполнение вредоносных скриптов

4.6. Дополнительные события для мониторинга сохранения доступа (Persistence)

Event ID

Описание

4698

Создание запланированной задачи

4699

Удаление запланированной задачи

4700

Включение запланированной задачи

4701

Выключение запланированной задачи

4702

Обновление запланированной задачи

Эти события часто сопутствуют закреплению злоумышленника в системе после первоначального проникновения.


5. Рекомендации по настройке политик аудита Windows

Для корректной работы Анализа журналов необходимо, чтобы политика аудита безопасности была настроена и система регистрировала нужные события.

Рекомендуемый минимальный набор категорий аудита:

Категория аудита

Подкатегория

Рекомендация

Audit Account Logon

Audit Kerberos Authentication Service

Успех и неудача

Audit Account Management

Audit User Account Management, Audit Security Group Management

Успех и неудача

Audit Logon

Audit Logon

Успех и неудача

Audit Object Access

Audit File System, Audit Registry

Успех и неудача (для критических объектов)

Audit Policy Change

Audit Policy Change

Успех

Audit Privilege Use

Audit Sensitive Privilege Use

Успех и неудача

Audit System

Audit Security State Change, Audit System Integrity

Успех

Подробные инструкции по настройке аудита доступны в документации Microsoft.


7. Интеграция с SIEM и централизованное хранение

KICS for Nodes 4.5 поддерживает отправку событий в SIEM-системы. Это позволяет:

Для настройки отправки в SIEM:

  1. В политике KICS for Nodes перейдите в раздел Журналы и уведомления → Интеграция с SIEM.
  2. Укажите адрес SIEM-сервера, порт и протокол.
  3. При необходимости настройте фильтрацию событий, чтобы в SIEM передавались только критически важные события.

Заключение

Эффективная настройка анализа журналов в Kaspersky Industrial CyberSecurity for Nodes 4.5 — это не разовое действие, а непрерывный процесс, требующий понимания как возможностей самого продукта, так и природы угроз для промышленных систем.

Промышленные системы требуют особого внимания к балансу между безопасностью и стабильностью технологического процесса. Настройка анализа журналов должна быть соразмерна рискам: слишком строгие правила могут породить шум, слишком слабые — пропустить атаку. Начните с предустановленных правил, постепенно уточняйте их и добавляйте пользовательские — и вы получите эффективный инструмент раннего обнаружения угроз в вашей промышленной сети.

Задание точек распространения для обновления KICS for nodes

В данной статье мы рассмотрим тему распространения обновления в технологическом сегменте, через инструмент создания точек распространения. Точка распространения в Kaspersky Security Center — это устройство, которое выступает в роли промежуточного узла для доставки обновлений и установочных пакетов на другие защищаемые устройства.

Для чего нужны точки распространения:

·    Если инфраструктура большая, то скачивание обновления напрямую с сервера KSC или из интернета может создать пиковые нагрузки на сервер, а также занять его процессорное время и канал связи. Сервер KSC передаёт обновления один раз на точку распространения, и она реплицирует обновления на все устройства в своей зоне действия по локальной сети. Как итог нагрузка на сервер снижается в десятки раз, а интернет-трафик минимизируется.

·      Точки распространения позволяют повысить скорость доставки обновлений.

·      Доставлять обновления на устройства в изолированных сетях благодаря точке распространения, которая по защищенному каналу доставит обновления.

·    Организация централизованного управления для распространения обновлений, путём назначения точек распространения для группы устройств.

А теперь перейдем непосредственно к самой настройке точек распространения. Перед настройкой точек распространения необходимо создать инсталляционный пакет KICS for Nodes в KSC, если он не установлен на рабочих местах. Это требуется для последующей удаленной установки и распространения обновлений. После чего будет осуществлена установка KICS for Nodes и далее выполним задачу по установке лицензионных ключей.

KSC позволяет как автоматически, так и вручную назначать устройства в качестве точек распространения. Ручное назначение рекомендуется, если требуется использовать выделенные серверы.

Также необходимо выполнить настройку групп, куда определить устройства, на которые будет распространятся обновление с точек мониторинга.

Шаг 1. Открыть свойства сервера администрирования

Рисунок10.png

Шаг 2. Перейти в раздел точек распространения

·       Установите переключатель «Вручную назначать точки распространения» (если ещё не выбран).

Шаг 3. Добавить точку распространения

а) Выберите устройство:

б) Укажите область действия:

Рисунок11.png

Рисунок12.png

Шаг 4. Сохранить настройки

Следующим шагом нужно загрузить обновления в хранилища точек распространения.

1.    В консоли KSC перейдите в «Управление активами» → «Задачи».

2.    Нажмите кнопку «Добавить» – запустится мастер создания задачи.

3.    В поле «Тип задачи» выберите для приложения Kaspersky Security Center значение «Загрузка обновлений в хранилища точек распространения».


Рисунок13.png

4.    Укажите целевую группу администрирования (или выборку устройств), для которой будут работать точки распространения.

5.    На шаге завершения отметьте «Открыть окно свойств задачи после ее создания», чтобы настроить параметры, или создайте с настройками по умолчанию (их можно изменить позже).

6.    В свойствах задачи (вкладка «Параметры приложения») укажите:

7.    Источники обновлений (обычно серверы «Лаборатории Касперского»);

8.    Папку для хранения обновлений;

9.    при необходимости включите «Скачать файлы различий» и «Скачивать обновления, используя старую схему».

10.     Нажмите «Сохранить».

Рисунок14.png

Если в вашей сети назначены точки распространения, обновления автоматически загружаются из хранилища Сервера администрирования в хранилища точек распространения. В этом случае управляемые устройства, входящие в область действия точки распространения, загружают обновления из хранилищ точек распространения, вместо хранилища Сервера администрирования.