为应对运营技术和关键基础设施面临的日益严峻的挑战和不断升级的威胁,卡巴斯基增强了其卡巴斯基工业网络安全(KICS),这是一个面向工业企业的原生XDR平台,并简化了针对工业控制系统(ICS)的托管检测与响应(MDR)服务,这项服务可帮助那些可能缺乏专业人员的组织执行关键的安全运营中心 (SOC) 功能。
工业基础设施所有者和运营商面临的新现实,是由IT-OT融合、严格的法规要求以及工业领域网络攻击的增多共同塑造的。根据卡巴斯基 ICS CERT 的数据,在2024年下半年,近四分之一(23.5%)的 ICS 计算机都拦截到了恶意对象。这凸显了威胁的持久性和严重性,强调了公司优先考虑其网络安全战略并实施全面、可靠的解决方案以保护其所有资产和流程的必要性。为了满足这一日益增长的需求,卡巴斯基量身定制了其关键解决方案,专门设计用于保护工业企业安全。
卡巴斯基工业网络安全增强运营技术(OT)和关键基础设施保护
第一个重大更新涉及卡巴斯基工业网络安全(KICS),这是一个专门为工业企业设计的原生XDR平台[1]。经认证,该平台可保护OT和关键基础设施设备及网络免受网络威胁危害。该平台旨在全面保护工业自动化和控制系统的安全,包括KICS节点版(专注于分布式控制系统中的端点)和KICS网络版(监控自动化系统网络安全并保护自动化系统设备免受网络引发的威胁)。
随着新版本的发布,该平台引入了以下增强功能:
1. 改进的配置和OT基础设施管理变更
KICS enables security settings inspection and change monitoring through agent-based or agentless polling for Windows and Linux hosts, network devices, and PLCs to collect configurations. A predefined set of configurations is provided out of the box for all supported asset types and can be collected manually or in scheduled mode. The accumulated configuration archive is always available for review, and can be used to monitor change and analyze identified discrepancies.
KICS通过基于代理或无代理的轮询方式,对Windows和Linux主机、网络设备和PLC进行配置收集,从而实现安全设置检查和变更监控。它为所有支持的资产类型提供了一组预定义的配置,这些配置可以手动或按计划模式收集。累积的配置存档随时可供查看,并可用于监控变更和分析识别出的差异。
2. 新增资产类型以增强事件调查中的上下文信息
现在,KICS 网络版支持接收和聚合更多类型的资产,包括已安装的软件、补丁、本地用户和已发现的可执行文件。当在主机(Windows 和 Linux 系统)上安装KICS节点版 时,它会自动将这些信息定期更新到KICS网络版。这在检测到偏差时提供了自动变更管理和报警功能。软件和用户的聚合列表极大地简化了事件调查过程,使安全专业人员能够轻松识别所有具有可疑可执行文件的主机,或在已注册的事件中查找特定用户的操作。
3. 计划主动轮询与自动化网络拓扑可视化
4.
KICS 提供的拓扑图可显示资产连接的实时信息,并管理未安装代理的设备(如计算机和交换机)的安全状态变化。主动轮询任务现在支持调度,以自动创建该地图,并保持连接数据、资产属性和安全设置的最新状态。每次计划运行都会附带一份详细报告,包括查询结果和发现的任何问题。
5. 增强了对数字化变电站异常检测的能力
KICS网络版现在支持导入SCD(变电站配置描述)文件[2]以分析配置、提取资产属性和审查 IEC 61850 设置。它还提供了一份识别出的错误和配置错误的报告。通过基于参考配置监控变电站网络,它能够检测到未经授权的网络连接、异常活动以及IEC 61850通信中的故障或错误。这表明操作不当或设备配置错误。
6. 用于监控地理分布站点OT网络流量的SD-WAN传感器
更新后的KICS为地理分布式基础设施提供了新的架构,可在单个KICS网络版节点上支持最多100个监控点。当由于设备尺寸或连接限制,无法在远程站点放置KICS网络版传感器时,来自远程站点的流量可以直接传输到位于中央办公室的KICS网络版节点。SD-WAN技术为在公司分支机构之间建立新的软件定义广域网提供了无限选择,允许将工业流量副本从源交换机传输到监控节点。
7. 更新后的便携式扫描仪,具有改进的审计、资产清单和检查功能
KICS便携式扫描仪通过新的扫描技术扩展了主机检测功能,如主机清单、漏洞、合规性和安全设置检测扫描以及流量捕获,还可以在USB驱动器写入阶段配置为经典的反病毒扫描。便携式扫描仪现在还支持对Windows 2000 SP4主机进行反恶意软件扫描。
卡巴斯基针对工业控制系统的MDR服务,可在内部安全运营能力有限的情况下执行网络安全功能
另一项更新涉及卡巴斯基托管检测和响应服务,该服务可为遭遇人员短缺或技能缺口的工业企业提供支持。企业现在可以将威胁监控、威胁检测、威胁追踪和事件分析等关键网络安全功能外包给卡巴斯基专家。这为组织提供了必要专业知识和可靠的网络安全解决方案。该服务还使组织能够有效应对针对关键基础设施日益增长和复杂的网络攻击,并在内部资源有限时有效优化这些资源。
“我们一直致力于帮助客户构建更可靠、更融合的IT和OT资产保护。通过新版KICS的发布,我们引入了新功能,这些功能有助于加强关键基础设施,显著提升对工业网络中资产的可视性和控制力,改善用户体验、情境意识以及地理分布OT网络的部署灵活性。不仅如此,我们还简化了MDR服务,使企业能够与我们内部SOC的专家一起分析事件、预防攻击并获得相关建议,”卡巴斯基工业网络安全产品线负责人Andrey Strelkov评论说。
更多有关卡巴斯基工业网络安全和卡巴斯基托管检测和管理解决方案的详情,请访问相关解决方案网站。
[1]XDR平台=扩展检测和响应平台
[2]SCD文件在变电站设计阶段创建,描述了完整的变电站配置——IED设备、计算机、网络通信设置、过程控制值等。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球200,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
评论