ARinteg.ru

  • Москва
  • Ростов-на-Дону
  • Кемерово
  • Новосибирск

  • +7 (495) 221 21 41
  • +7 (863) 320 09 60
  • +7 (384) 221 56 41
  • +7 (495) 221 21 41
ARinteg Вконтакте Дзен ARinteg Arinteg Telegram home print mail site-map

Тест Kaspersky Embedded Systems Security для защиты банкоматов

Дата проведения: 06.03.2017 10:00

В данном обзоре речь пойдет о программном продукте Kaspersky Embedded Systems Security (далее KESS), которое представляет собой решение, созданное специально для банкоматов и POS-систем.

Защита обеспечивается с помощью гибких инструментов настройки и использования режима «Запрет по умолчанию». Антивирус является дополнительной опцией и может быть установлен только там, где он необходим. При использовании только режима «Запрещено по умолчанию», решение не требовательно к системным ресурсам.

Функциональные возможности

Системные требования

Система должна отвечать перечисленным ниже аппаратным и программным требованиям:

Установка

Для установки KESS использовался банкомат NCR-5877 Personas CEN-L с операционной системой Windows XP SP3.

KESS предлагает несколько способов установки:
- С помощью мастера установки;
- Из командной строки;
- Через KSC;
- Через групповые политики Active Directory®.

В нашем тестировании мы использовали 3-ий вариант.
Для этого необходимо создать задачу удалённой установки программы в KSC и выбрать инсталляционный пакет:







Далее, необходимо указать параметры установки и выбрать компьютер или группу для которой будет выполнена установка:





На следующем шаге необходимо добавить учётную запись, имеющую права для установки программ на данном устройстве:



После введенных данных запускается установка, при этом, в консоли администрирования будет отображаться процесс установки :



Интерфейс KESS информативный и понятный. В первоначальном окне отображается информация о состоянии: защиты, контроля устройств и приложений, обновлении и сети. В левой части данной консоли управления располагаются вкладки выполнения настроек.



Тест производительности системы без KESS показывает загрузку ЦПУ на уровне 3-6% и 468 МБ использованной оперативной памяти.

После установки KESS (включая все компоненты защиты: контроль приложений и устройств, антивирусная защита) на банкомат загрузка ЦПУ колебалась в пределах 5%-10%, загрузка оперативной памяти выросла и составила 638МБ.




Работа с продуктом Kaspersky Embedded Systems Security

В ходе тестирования мы рассмотрим работу с клиентской частью KESS и возможности управления через сервер удалённого администрирования KSC.

После установки необходимо создать правила контроля запуска программ. Данная задача позволяет автоматически сформировать список разрешающих правил контроля запуска программ на основе указанных типов файлов из указанных папок. В дальнейшем KESS будет разрешать запуск программ, для которых были автоматически сформированы разрешающие правила. Для этого в мастере создания задачи необходимо выполнить «Генерацию правил контроля запуска программ».



Указываем область сканирования, и формат исполняемых файлов (*.exe, *.dll, *.msi, скрипты):



При формировании разрешающих правил существует возможность использовать цифровой сертификат и его заголовок с отпечатком. При использовании данной функции наиболее строго ограничивается срабатывание разрешающих правил запуска программ по цифровому сертификату, так как отпечаток является уникальным идентификатором цифрового сертификата.



По завершении задачи автоматически сформированные списки разрешающих правил будут сохранены в указанной общей сетевой папке в файлах формата XML. Этот файл можно будет использовать в дальнейшем для распространения уже в качестве готовых правил приложений на другие аналогичные устройства.



Теперь запуск исполняемого файла, не входящий в список доверенных будет заблокирован. В процессе тестирования нами использовался файл «Putty.exe». Данное приложение является неизвестным и запуск запрещён настройками, о чём свидетельствует запись с подробным описанием. Аналогичная запись появится и в журнале на сервере администрирования.



В KSC, во вкладке Политики, выполняется остальная настройка всех параметров защиты KESS:



Оповещения о событиях

В данном разделе, осуществляется настройка оповещения обо всех произошедших событиях. Они отсортированы по степени угрозы. На каждый тип события возможно сформировать уведомление и способ его получения: sms, e-mail, запуск исполняемого файла, по SNMP. Также отключить любые уведомления на клиентских устройствах.



Доверенная зона

В разделе Параметры программы, настраивается Доверенная зона (позволяет сформировать список исключений из области защиты или проверки, который KESS будет применять в задачах проверки по требованию и постоянной защиты файлов).



В случае обнаружения вредоносного объекта, KESS немедленно заблокирует доступ к данному файлу:



Контроль устройств

В разделе Контроль компьютера осуществляется настройка правил контроля устройств. По умолчанию, все USB устройства заблокированы, и при попытке подключить съемное устройство, KESS заблокирует работу с ним. На сервере администрирования появится соответствующие запись в журнале и уведомление.



Для получения доступа к съемным носителям, необходимо добавлять их в список доверенных устройств, идентификация происходит по серийному номеру носителя или устройства:



После разрешения работы с данным устройством, оно станет доступно для работы:



Управление сетевым экраном

В разделе Защита сети осуществляется Управление сетевым экраном. Данная задача контролирует фильтрацию входящего и исходящего трафика с помощью разрешающих правил, которые форсировано сообщаются сетевому экрану Windows при выполнении задачи.



Права доступа

В этом разделе осуществляется настройка следующих параметров доступа к функциям программы:
- Параметры доступа пользователей и группы пользователей к управлению Kaspersky Embedded Systems Security;
- Параметры доступа пользователей и группы пользователей к управлению службой Kaspersky Security Service.



Данные настройки позволяют гибко настраивать разграничения доступа к KESS и KSC по учётным записям и возможности внесения изменений в настройки ПО. При закрытии доступа на локальное внесение изменений в работу KESS.



Рабочая область Kaspersky Security Center

В рабочей области узла Сервер администрирования содержится сводная информация о текущем состоянии программы и компьютеров, находящихся под управлением Сервера администрирования. Информация в рабочей области распределена по закладкам:
- Мониторинг – отображает в реальном времени информацию о работе программы и текущем состоянии клиентских компьютеров;
- Статистика - содержит набор диаграмм, сгруппированных по темам (состояние защиты, антивирусная статистика, обновления и прочее);
- Отчёты - содержит шаблоны отчетов, формируемых программой. На закладке существует возможность формировать отчеты из предустановленных шаблонов, а также создавать собственные шаблоны отчетов и сохранять их в форматах: HTML-страница, XML, Adobe PDF;
- События - cодержит записи о событиях, зарегистрированных во время работы программы. Для удобства чтения и сортировки записи распределены по тематическим выборкам.







Выводы

Последние годы растет количество вредоносного ПО, созданного специально для атак на банкоматы и POS-терминалы (примеры таких атак — Tyupkin, Skimer, Carbanak).

Защитить встроенные системы особенно трудно: обычно они распределены географически, сложны в управлении и редко обновляются. Банкоматы и POS-системы привлекают киберпреступников тем, что они непосредственно связаны с финансовыми транзакциями, выдачей наличных денег и считыванием данных банковских карт. Таким устройствам требуется направленная защита высочайшего уровня.

Большинство традиционных антивирусных решений не обеспечивают полной защиты от таких сложных целенаправленных угроз. Требуется новый подход: для критически важных встроенных систем нужно применять технологии контроля устройств и запрета по умолчанию, которые уже подтвердили свою эффективность в других защитных решениях.

KESS позволяет использовать сценарий «Запрет по умолчанию» - когда в системе исполняются только те файлы, драйверы и библиотеки, которые явно разрешены администратором. Это позволяет защититься от комплексных атак на встроенные системы.

Архитектура решения позволяет ему эффективно работать даже на низкопроизводительном оборудовании - KESS обеспечивает надежную защиту, не перегружая систему.

Политики безопасности, задачи обновления сигнатур и проверки на вирусы, а также мониторинг результатов — всем этим легко управлять через единую централизованную консоль администрирования KSC. Всеми средствами защиты можно управлять через любую локальную консоль: это необходимо при использовании изолированных, разделенных сегментов сети, в которые обычно объединяются банкоматы и POS-терминалы.


список мероприятий
qrcode
ARinteg Вконтакте   Дзен ARinteg   Arinteg Telegram