Security Vision объявляет о выходе Security Vision Threat Intelligence

Security Vision объявляет о выходе обновленной автоматизированной платформы Security Vision Threat Intelligence Platform (TIP). На основании данных об угрозах продукт генерирует в реальном времени обнаружения подозрительной активности в инфраструктуре Заказчика, проводит обогащение индикаторов и инцидентов, интегрируется с инфраструктурой Заказчика и средствами защиты, обеспечивает ситуационную осведомленность.

Security Vision TIP взаимодействует со множеством других средств защиты информации, объектами инфраструктуры и внешними сервисами. Система обращается к поставщикам фидов и аналитическим сервисам за IoC, IoA, угрозами, информацией о злоумышленниках и вредоносном ПО, уязвимостями, бюллетенями. Информация о событиях для матчинга собирается из первичных источников (Web Proxy, Linux-сервер, Windows-сервер, NGFW), Data Lake и DB (Apache Kafka, PostgreSQL, MS SQL), SIEM, EDR и др. Данные об инцидентах и индикаторах могут в автоматическом или ручном режиме передаваться в SIEM, SOAR/IRP, NGFW и др. В программном продукте TIP от компании Security Vision разработан функционал, покрывающий потребности каждого уровня TI. Решение помогает искать признаки атак на основе поведенческих индикаторов и выстраивать в долгосрочной перспективе стратегию информационной безопасности предприятия с учетом актуальных угроз и рисков.

TIP базируется на единой платформе Security Vision. Заказчикам доступны все преимущества платформы, в том числе широкие возможности кастомизации. Решение полностью параметрическое, и, чтобы создать новый коннектор, отчет или дашборд, не требуются услуги программиста: всё настраивается через пользовательский интерфейс с соответствующими административными правами.

Архитектура системы поддерживает полную отказоустойчивость всех компонент. Платформа не требует прямого доступа в Интернет, взаимодействие с поставщиками фидов и внешними аналитическими сервисами возможно через специальную выделенную компоненту, расположенную в сегменте DMZ.

Для всех компонент платформы поддерживается работа на любой из ОС: MS Windows, Ubuntu, CentOS, RedHat, Oracle Linux, Альт Линукс, Astra CE «Орел», Astra SE «Смоленск»/ «Воронеж»/«Орел». В качестве СУБД используются Postgre SQL, Postgre Pro или Microsoft SQL Server.

Важнейшие особенности Security Vision TIP

Загрузка данных. Security Vision TIP поддерживает загрузку неограниченного количества разнообразных TI-источников (фидов). В базовой поставке уже реализована интеграция с наиболее популярными сервисами, предоставляющими различные индикаторы компрометации.

Процесс обнаружения. В Security Vision TIP реализованы следующие механизмы получения событий для обнаружения подозрительной активности: прием потока данных по TCP/UDP; обращение к API внешних систем; получение событий из очереди (Kafka, RabbitMQ); выполнение запросов в БД/DataLake.

Matching. В Security Vision TIP используется собственный движок оптимизированного мэтчинга, который позволяет выполнять обнаружения на больших потоках данных с внушительной базой IoC.

Ретро-поиск. Полезная функция TIP Security Vision — ретро-поиск. Система в оптимизированном виде хранит данные, полученные из смежных систем за большой период времени (например, за месяц или квартал — задается настройкой в системе), и новые индикаторы компрометации сопоставляются с событиями, которые были в прошлом. Таким образом, можно увидеть, какие объекты внутренней инфраструктуры подвергались опасности до того, как появилась информация об угрозе.

DGA/Фишинг. Важной функциональностью Security Vision TIP является эвристический движок, который с помощью различных ML-моделей позволяет автоматически выявлять в инфраструктуре Заказчика подозрительные доменные имена или URL, сгенерированные с использованием Domain Generation Algorithm (DGA) или мимикрирующие под общеизвестные домены.

Обнаружения. Для обнаружений в системе реализован жизненный цикл, по которому каждое обнаружение проходит ряд автоматизированных и ручных этапов в ходе расследования и обработки. Например, при создании или изменении обнаружения все «сработавшие» индикаторы автоматически обогащаются из внешних аналитических сервисов, а по всем участвующим активам собирается информация из внутренней инфраструктуры.Пользователь при начале работы с обнаружением сразу получает максимально полную информацию по инциденту и задействованной инфраструктуре. Пока обнаружение не закрыто, в него автоматически добавляется и агрегируется вся новая информация, выявленная по новым «сработкам», проводится дедупликация данных.

Уязвимости. В Security Vision TIP реализована интеграция с наиболее известными поставщиками и базами уязвимостей, например: NVD NIST, БДУ ФСТЭК, НКЦКИ, Group IB, Kaspersky.

Бюллетени. Реализована работа с бюллетенями — документами, выпускаемыми разово или периодически и содержащими результаты исследований аналитического центра по отдельной проблеме/угрозе/атаке/группировке и пр. или сводную информацию за определенный период.

MITRE ATT&CK. Функционал Security Vision TIP обеспечивает работу с базой знаний техник MITRE ATT&CK, автоматическую поддержку её в актуальном состоянии по всем основным разделам

Атрибуция. Стратегический уровень управления информационной безопасностью представлен в TIP от Security Vision механизмом атрибуции таких типов данных, как злоумышленники, вредоносное программное обеспечение и угрозы.

Оповещения. По всем новым и отслеживаемым индикаторам, выявленным обнаружениям и изменению их статуса и жизненных циклов пользователи платформы Security Vision TIP могут получать оповещения с указанием деталей нового объекта, его изменений, а также ссылки на карточку объекта.

Ролевая модель. Решение поддерживает ролевую модель, когда пользователю в зависимости от назначенной роли доступен тот или иной функционал системы, а также ограниченный доступ к данным и действиям.

О Security Vision

Security Vision – единственная российская ИТ-платформа, позволяющая роботизировать до 95% программно-технических функций оператора информационной безопасности. Является 100% российской разработкой и включена в Единый реестр российских программ для ЭВМ и баз данных. Имеет все необходимые для работы разрешительные лицензии ФСТЭК и ФСБ. Сертифицирована ФСТЭК по 4 уровню доверия (сертификат соответствия ФСТЭК № 4574 от 02.09.2022). Также сертифицирована Оперативно-аналитическим центром при Президенте Республики Беларусь (сертификат BY/112 02.02. ТР027 036.01 00492 от 5.08.2022). Программные продукты на платформе Security Vision решают такие задачи, как:

• создание единого ситуационного центра кибербезопасности;
• выявление атак и инцидентов кибербезопасности на ранних стадиях за счет анализа событий, поступающих от различных средств защиты информации;
• консолидация оперативной информации и ее анализ в реальном времени для расследования инцидентов кибербезопасности и принятия управленческих решений;
• сокращение времени реагирования за счет автоматизации ключевых процедур и сценариев реагирования, роботизации функций оператора информационной безопасности;
• автоматическое обеспечение контроля соответствия требованиям регуляторов, национальным и международным стандартам.