Меры реагирования на компьютерные инциденты
ИНЦ.1 Разработка политики реагирования на компьютерные инциденты
Для реализации данной меры разрабатываются внутренние нормативные документы.
ИНЦ.1 Выявление компьютерных инцидентов
KICS for Nodes
Мера реализуется в части:
- обнаружения вредоносного кода с помощью задач «Постоянная защита файлов» и «Проверка по требованию».
- обнаружения действий, характерных для сетевых атак, с помощью задачи «Защита от сетевых угроз»;
- обнаружения попыток подключения защищаемого устройства к Wi-Fi и обнаружения попыток подключения неразрешенных устройств с помощью задачи «Контроль устройств»;
- обнаружения вредоносного шифрования сетевых файловых ресурсов защищаемого устройства со стороны удаленных устройств с помощью технологии «Защита от шифрования»;
- обнаружения попыток запуска неразрешенных программ с помощью задачи «Контроль запуска программ»;
- обнаружения соединений, неразрешенных в брандмауэре Windows с помощью задачи «Сетевой экран»;
- обнаружения попыток запуска вредоносных скриптов, созданных по технологиям Microsoft Windows (Active Scripting), например скриптов VBScript или JScript, с помощью задачи «AMSI-защита»;
- обнаружения неразрешенных действий с заданными ветвями и разделами реестра Windows и обнаружения нарушения целостности заданных файлов и папок с помощью задачи «Контроль целостности системы»;
- обнаружения признаков нетипичного поведения в системе на основе анализа журналов ОС Windows с помощью задачи «Анализ журналов»;
- обнаружения попыток использования эксплойтов с помощью задачи «Защита от эксплойтов»;
- обнаружения нарушений целостности проектов ПЛК с помощью задачи «Защита промышленной сети».
KICS for Nodes Portable
Мера реализуется в части обнаружения вредоносного кода с помощью проверки на вирусы и другие программы, представляющие угрозу.
KICS for Linux Nodes
Мера реализуется в части:
- обнаружения вредоносного кода с помощью задач «Защита от файловых угроз», «Поиск вредоносного ПО», «Проверка важных областей», «Проверка съемных дисков», «Проверка контейнеров» и «Анализ поведения»;
- обнаружения действий, характерных для сетевых атак, с помощью задачи «Защита от сетевых угроз»;
- обнаружения вредоносного шифрования сетевых файловых ресурсов защищаемого устройства со стороны удаленных устройств с помощью технологии «Защита от удаленного вредоносного шифрования»;
- обнаружения попыток запуска неразрешенных программ с помощью задачи «Контроль приложений»;
- обнаружения попыток подключения неразрешенных устройств с помощью задачи «Контроль устройств»;
- обнаружения соединений, неразрешенных в брандмауэре Windows с помощью задачи «Управление сетевым экраном»;
- обнаружения нарушения целостности заданных файлов и директорий с помощью задачи «Контроль целостности системы»;
- обнаружения попыток доступа к фишинговым, рекламным и прочим опасным веб-сайтам и попыток загрузки вредоносных файлов с помощью задачи «Защита от веб угроз»;
- обнаружения попыток доступа к неразрешенным веб-ресурсам с помощью «Веб-контроль».
KICS for Linux Nodes Portable
Мера реализуется в части обнаружения вредоносного кода с помощью проверки на вирусы и другие программы, представляющие угрозу.
KICS for Networks
Мера реализуется в части обнаружения и регистрации событий по следующим технологиям:
- Контроль технологического процесса (DPI).
По этой технологии регистрируются события, связанные с нарушениями технологического процесса (например, событие при превышении заданного значения температуры).
- Контроль целостности сети (NIC).
По этой технологии регистрируются события, связанные с целостностью промышленной сети или с безопасностью взаимодействий (например, событие при обнаружении взаимодействия устройств в промышленной сети по новому для этих устройств протоколу).
- Обнаружение вторжений (IDS).
По этой технологии регистрируются события, связанные с обнаружением в трафике аномалий, которые являются признаками атак (например, событие при обнаружении признаков ARP-спуфинга).
- Контроль системных команд (CC).
По этой технологии регистрируются события, связанные с обнаружением в трафике системных команд для устройств (например, событие при обнаружении неразрешенной системной команды).
- Внешние системы (EXT).
К этой технологии относятся инциденты, а также события, которые поступают в Kaspersky Industrial CyberSecurity for Networks от сторонних систем с использованием методов Kaspersky Industrial CyberSecurity for Networks API.
- Контроль активов (AM).
По этой технологии регистрируются события, связанные с обнаружением информации об устройствах в трафике или в полученных данных от EPP-приложений (например, событие при обнаружении нового IP-адреса у устройства).
- Защита конечных устройств (EPP).
По этой технологии регистрируются события об угрозах, обнаруженных приложениями "Лаборатории Касперского", которые выполняют функции защиты рабочих станций и серверов (например, событие при обнаружении вредоносной программы).
ИНЦ.2 Информирование о компьютерных инцидентах
KICS for Nodes
Мера реализуется в части
ИНЦ.3 Анализ компьютерных инцидентов
KICS for Nodes
Мера реализуется в части
ИНЦ.4 Устранение последствий компьютерных инцидентов
KICS for Nodes
Мера реализуется в части
ИНЦ.5 Принятие мер по предотвращению повторного возникновения компьютерных инцидентов
ИНЦ.6 Хранение и защита информации о компьютерных инцидентах
KICS for Nodes
Мера реализуется в части:
KICS for Linux Nodes
Мера реализуется
KICS for Networks
Мера реализуется в части отсутствия функционала очистки событий безопасности приложения KICS for Networks. Удаление и установка KICS for Networks, сброс до настроек по умолчанию производится пользователем с привилегиями администратора.
Kaspersky Security Center
Мера реализуется в части хранения событий безопасности, полученных от управляемых узлов, на сервере администрирования Kaspersky Security Center (или связанном с ним сервером СУБД). При этом права на удаление событий безопасности есть только у пользователей с ролями «Главный администратор» и «Администратор сервера администрирования».