Security Vision Incident Response Platform
Security Vision IRP / SOAR

Продукт
Название базовой системы (платформы): Security Vision Специализированная платформа для автоматизации процессов информационной безопасности
Разработчики: Интеллектуальная безопасность ГК (бренд Security Vision)
Дата последнего релиза: 2023/04/25
Технологии: ИБ - Управление информацией и событиями в системе безопасности (SIEM)

Содержание

Основная статья: SOAR Security Orchestration Automation and Response

Программный продукт для автоматизации действий по реагированию на инциденты кибербезопасности. Система обеспечивает:

  • автоматическое выполнение дежурных процедур в режиме реального времени;
  • снижение воздействия инцидентов кибербезопасности за счет снижения времени реагирования на инциденты в вопросах: идентификации, локализации, уничтожения, и восстановления
  • уменьшение риска человеческого фактора и ошибок персонала, привлекаемого на реагирование инцидентов кибербезопасности;
  • сокращение времени реагирования за счет автоматизации набора заранее разработанных процедур и сценариев реагирования, реализованных в компонентах Системы.

Результаты использования (по данным разработчика)

  • до 90% - снижение вероятности распространения зловредов по сети при настроенном автоматическом реагировании
  • до 90% - снижение риска человеческого фактора и ошибок персонала, вовлеченного в реагирование на инциденты кибербезопасности
  • до 70% - высвобождение времени квалифицированного персонала, вовлеченного в реагирование на инциденты кибербезопасности, от рутинных операций для более экспертных задач
  • до 50% - повышение эффекта коллаборации за счет обогащения смежных систем кибербезопасности
  • до 90% - обработка риска кибербезопасности в автоматическом режиме (при использовании совместно с Security Vision CRS)

2023: Выход обновленной IRP/SOAR на платформе Security Vision 5

25 апреля 2023 года компания Security Vision сообщила о выпуске обновленной версии системы IRP/SOAR на платформе Security Vision 5.

По информации компании, в продукте реализованы определенные методы расследования и реагирования на инциденты ИБ на основе технологии динамических плейбуков. Все этапы обработки инцидентов автоматизированы.TAdviser выпустил Карту российского рынка цифровизации строительства 25.4 т

Наиболее значимые возможности:

Классификация инцидента

Security Vision IRP/SOAR автоматически классифицирует инцидент, связывая его с техниками и тактиками матрицы MITRE ATT&CK. Система может классифицировать более 250 типов инцидентов и событий ИБ, присваивая им более 110 различных техник и тактик. Встроенный в систему пакет экспертизы подробно описывает набор рекомендаций для аналитика ИБ по анализу, сдерживанию и реагированию по каждой выявленной технике.

Реагирование

Security Vision IRP/SOAR на основе технологии динамических плейбуков «на лету» собирает процесс реагирования, адаптированный под выявленную атаку и задействованную инфраструктуру. На основе техник и тактик MITRE, «сырых» данных в окрестностях инцидента, результата ретроспективного анализа, данных внешних аналитических сервисов и внутренней экспертизы система выстраивает динамический плейбук. Он собирается из более чем 150 различных действий и атомарных сценариев реагирования. При этом Security Vision IRP/SOAR умеет контролировать легитимность выполнения автоматизированных действий, учитывая специфику инфраструктуры заказчика: его конфиденциальность, разрешения, сегментацию и топологию.

Kill chain

Экспертный движок Security Vision IRP/SOAR автоматически выстраивает kill chain атаки из событий и инцидентов за счет анализа скрытых взаимосвязей. Анализируемые события и инциденты могут быть получены как от SIEM систем и Data Lake (Kafka, Hadoop, Elasticsearch и др.), так и напрямую от конечных устройств инфраструктуры заказчика с применением встроенных в продукт механизмов корреляции и группировки данных. Дополнительно в продукт встроен пакет экспертизы на основе sigma-правил, который позволяет обнаружить все затронутые элементы инфраструктуры, расширить и определить ландшафт атаки.

Граф расследования и реагирования

Событие ИБ

Security Vision IRP/SOAR умеет представлять инциденты и события в виде графа, функционал которого позволяет выстроить неочевидные связи, напрямую провести глубокую аналитику (через обогащение и sigma запросы), выполнить расследование и реагирование, выбирая конкретные действия. Исходя из необходимости, применяются контрмеры, меры сдерживания и цифровая криминалистика. На каждом шаге расследования пользователь видит ключевые связи и атрибуты, что позволяет выстроить полную картину инцидента.

Интеграции

В Security Vision IRP/SOAR реализовано большое количество (более 150) встроенных коннекторов для интеграции с различными SIEM системами (MaxPatrol SIEMKUMA, Pangeo RADAR, RuSIEM, NEURODAT SIEM, ArcSight SIEM, QRadar, Splunk и др.), с инфраструктурой заказчика, в том числе с конечными устройствами (Windows/Linux системы), СЗИ (NGFW, DLP, Антивирусы, EDR, песочницы). Кроме того, Security Vision IRP/SOAR предлагает расширенное количество (более 30) встроенных интеграций с аналитическими сервисами (как внешними, так и внутренними), которые позволяют собрать всю необходимую информацию по атрибутам инцидента, требуемую для расследования. Security Vision IRP/SOAR умеет работать с разнообразными типами данных, унифицируя их и получая нормализованный результат.

Встроенные в платформу конструкторы интеграций позволяют в режиме no-code быстро реализовывать дополнительные интеграции с любыми системами заказчиков, расширяя возможности расследования, реагирования и действий, которые можно производить над объектами инфраструктуры заказчика.

Также в продукте есть встроенные механизмы интеграции с НКЦКИ и ФинЦЕРТ. При сборе данных об инциденте и задействованной инфраструктуре, проведении реагирования на инцидент и события ИБ продукт использует безагентский метод работы, не требующий установки каких-либо дополнительных компонент на конечные устройства, Windows/Linux сервера и рабочие станции.

Гибкая ролевая модель

Для управления процессом расследования инцидентов в продукте реализована гибкая ролевая модель, позволяющая при проведении расследования разграничивать доступ к каждому полю и атрибуту инцидента и события ИБ. Процесс расследования содержит большое количество настроек, позволяющих адаптировать его как для небольших групп, работающих над расследованием инцидентов, так и для крупных SOC центров, с гибкой настройкой применяемых уровней реагирования (L1, L2, L3), эскалации, post-анализа и интеграции с внешними Service Desk’ами заказчика. Продукт поддерживает работу в режиме multitenancy, а также может применяться по модели MSSPP.

Нативная интеграция с линейкой продуктов Security Vision

Продукт работает еще эффективнее за счет нативной интеграции с линейкой продуктов Security Vision и совместного использования с модулями TIP, UEBA, CMDB, Vulnerability management, SGRC. Экосистема продуктов Security Vision позволяет комплексно закрыть все направления информационной безопасности в организации.

Процесс и автоматизация

Суммарно в продукте реализованы и автоматизированы все этапы обработки инцидентов:

Этапы обработки инцидентов

2022

Доступность в составе Infosecurity SOC

14 ноября 2022 года компания Infosecurity сообщила о заключении соглашения о стратегическом партнерстве с разработчиком ПО в сфере информационной безопасности Security Vision для повышения эффективности услуг Центра мониторинга и реагирования на инциденты Infosecurity SOC (ISOC). Подробнее здесь.

Доступность заказчикам центра Solar JSOC

Клиенты «Ростелеком-Солар» смогут автоматизировать процесс реагирования на киберинциденты с помощью решения компании Security Vision. Услуга на базе Security Vision Incident Response Platform (IRP/SOAR) уже доступна всем заказчикам центра противодействия кибератакам Solar JSOC. Об этом 6 июля 2022 года сообщила компания «Ростелеком-Солар». За счет гибкого интерфейса платформы сервис можно настроить под любую инфраструктуру и сформировать сценарии реагирования, которые полностью соответствуют процессам у заказчика. Это поможет более оперативно и эффективно локализовывать инциденты информационной безопасности и ликвидировать их последствия.

Опыт «Ростелеком-Солар» показывает, что абсолютное большинство компаний (почти 90%) предпочитает получать от SOC (Security Operations Center) услуги мониторинга и консалтинга, а техническое противодействие компьютерным атакам осуществлять силами собственных ИБ- и ИТ-служб. Но последним необходимо действовать максимально слаженно и быстро, ведь с каждым годом хакеры используют более сложные техники и тактики, увеличивая скорость развития атаки внутри сети.

Сервис IRP от Solar JSOC помогает специалистам заказчика видеть в реальном времени все необходимые этапы реагирования с распределением ролей ответственных, статусы и сроки выполнения каждого из этапов. А благодаря максимально подробным и гибким механизмам реализации плейбуков процесс можно адаптировать для любого заказчика. Сценарии реагирования, которыми наполнена система, разработаны экспертами Solar JSOC на основе 10-летнего опыта противодействия кибератакам в совершенно разных отраслях. В результате в распоряжении клиента оказывается обширная база регулярно обновляемых плейбуков под каждый тип выявляемого инцидента.

«
С февраля спрос на системы типа IRP значительно возрос, так как компании столкнулись с ростом киберинцидентов, недостатком специалистов по информационной безопасности и сложными компьютерными атаками. В таких условиях скорость реакции на каждый инцидент имеет ключевое значение и позволяет значительно сократить негативные последствия от действий хакеров. Также важно, чтобы плейбуки, которые заложены в IRP, соответствовали технологическим и структурным особенностям заказчика, а рабочее пространство было комфортным для его специалистов. Адаптивный интерфейс Security Vision IRP позволил нам сделать такой сервис, который будет удобен и полезен для каждого из наших клиентов, – отметил директор по развитию бизнеса центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Алексей Павлов.
»

Для реализации сервиса внутренние процессы Solar JSOC были доработаны. В частности, появилась дополнительные роли (аналитик IRP, инженер IRP), расширился функционал сервис-менеджеров и архитекторов, осуществляющих поддержку и контроль работоспособности компонентов SOC. Для заказчика решение может быть предоставлено в двух вариантах: гибридном, когда IRP размещена у заказчика, а ее настройкой и обслуживанием занимается сервис-провайдер, или полностью облачном (когда IRP расположена на платформе провайдера, а его специалисты реализуют полную поддержку сервиса).

«
Для нас как вендора развитие сервисов для операторов SOC является стратегическим направлением, поскольку наша платформа и программа лицензирования как нельзя лучше подходят коллегам. В них отсутствуют искусственные ограничения в части лицензирования, и функционал настолько модульный и гибкий, что позволяет воплотить любую потребность заказчика в области реагирования и автоматизации ИБ. История началась с одного общего кейса интеграции с Solar JSOC и развивается в комплексное плодотворное сотрудничество, расширяющее инструментарий и портфель Solar JSOC и, конечно, долю рынка обоих компаний в области автоматизации ИБ, – сказала коммерческий директор Security Vision Екатерина Черун.
»

2021

Обзор Security Vision 5.0: швейцарский нож в информационной безопасности

Данила Луцив, руководитель отдела развития компании Security Vision, подготовил для TAdviser обзор возможностей новой версии платформы Security Vision. Подробнее здесь.

Интеграция в коммерческий SOC Angara

8 сентября 2021 года группа компаний Angara сообщила о том, что расширяет возможности собственного коммерческого SOCЦентра киберустойчивости ACRC – и совершенствует процессы анализа и реагирования на инциденты ИБ, внедряя решение Security Vision Incident Response Platform (IRP/SOAR). Благодаря платформе Security Vision аналитики ACRC смогут ускорить процессы первичного обогащения данных об инцидентах и автоматизировать применение сценариев реагирования. Подробнее здесь.

2020: Security Vision IRP (SOAR) упрощает работу с коннекторами данных

ГК «Интеллектуальная безопасность» сообщила 16 марта 2020 года о выходе релиза актуальной версии системы Security Vision Incident Response Platform (SOAR), предназначенной для автоматизации действий по реагированию на инциденты кибербезопасности.

Security Vision IRP

Наиболее значимые обновления:

Коннекторы данных:

  • Появилась возможность редактирования менеджеров коннекторов данных по аналогии с менеджерами внешних коннекторов. Теперь можно редактировать связи менеджера с коннекторами данных и с другими менеджерами, изменять включенность и доступность менеджера с портала.
  • Добавлены типы создаваемых объектов в коннекторах данных. Теперь, помимо заявок и активов, это могут быть файлы, сотрудники, группы сотрудников, базы знаний, должности и организации с подразделениями.
  • Добавлена настройка обратного прокси-сервера для коннекторов данных. Это повышает безопасность и удобство пользования Security Vision IRP (SOAR), поскольку теперь нет необходимости создания учетных записей с набором прав.
  • Реализован Remote Connector, позволяющий другим коннекторам работать удаленно (например, при наличии нескольких порталов).

Персональные данные:

  • В рамках модуля Data Governance реализованы различные типы заявок и соответствующих рабочих процессов обработки персональных данных, а также плановый контроль за ними. Он состоит в сборе недостающей информации о процессах, мониторинге наличия несоответствий законодательству, оценке риска для субъектов персональных данных.

Внешние коннекторы:

  • В настройки команды внешнего коннектора добавлена возможность указания разделителя результатов парсинга не в целом для всех правил, а для каждого правила отдельно. Это позволяет настраивать команды внешнего коннектора более гибко.
  • Для внешнего коннектора SMTP добавлена поддержка отправки писем с форматированием HTML. Теперь внешний вид писем стал более наглядным и читабельным.

Заявки:

  • Добавлена фильтрация заявок по типу связи. Данный функционал необходим для раздельного отображения заявок одного типа (например, «Инцидент»), но объединенных разной логикой и, соответственно, разными типами связей.

Инсталлятор:

  • Оптимизирована утилита по развертыванию базы. Это позволило уменьшить объем оперативной памяти, потребляемой Системой.

2019

Обновление Security Vision IRP - ноябрь

25 ноября 2019 года компания «Интеллектуальная безопасность» сообщила о выходе очередного релиза актуальной на ноябрь 2019 года версии системы Security Vision Incident Response Platform (IRP), предназначенной для автоматизации действий по реагированию на инциденты кибербезопасности.

Наиболее значимые обновления:

Коннекторы данных:

  • Реализованы менеджеры коннекторов данных, необходимые для передачи команд конкретным коннекторам. Они могут автоматически распределять задачи между собой для обеспечения отказоустойчивости системы и равномерного распределения нагрузки. Менеджеры коннекторов данных могут быть установлены как локально, так и на удаленных серверах.

Внешние коннекторы:

  • Появилась возможность добавления пользовательских параметров конфигурации во внешнем коннекторе. При реализации коннектора с помощью скриптов необходимо указывать в скрипте ряд параметров, общих для всех скриптов. Данный функционал позволяет делать это гораздо быстрее и существенно упрощает администрирование.
  • Для менеджеров внешних коннекторов реализована регистрация действий по изменению настроек в разделе «Аудит пользователя». Регистрируются создание, изменение и удаление менеджера внешних коннекторов. Это необходимо для предотвращения ситуации, когда один пользователь удаляет изменения другого.

Риски:

  • Появилось создание пользовательских событий при удалении уязвимости, нарушителя, угрозы, меры защиты из разделов «Область оценки риска», «Экспресс-оценка» и «Предлагаемые меры опросного листа». Данная информация отображается в логе пользовательских событий, способствуя синхронизации данных между серверами.

Лицензия:

  • Появилось лицензирование по количеству типов коннекторов данных и количеству внешних коннекторов. Теперь можно выбирать не только весь модуль, но и декомпозировать его по количеству необходимых внешних коннекторов и коннекторов данных.

Экспорт/импорт:

  • Появилась возможность экспорта/импорта не только внешнего коннектора целиком, но и его отдельных составляющих - конфигураций и команд - с одного портала на другой. Процесс экспорта/импорта становится более простым, быстрым и гибким.
  • Реализован экспорт/импорт столбца типа «Связь с базой знаний» в свойстве типа «Таблица».

Заявки:

  • Появился функционал шаблонов свойств заявок. Теперь достаточно только один раз заполнить такой шаблон, занеся в него все необходимые значения свойств. Затем его можно постоянно применять для определенного типа заявки.

База знаний:

  • Реализована валидация кириллических названий справочников Базы знаний. При превышении количества допустимых символов названия выводится ошибка о превышении допустимой длины.

Обновление Security Vision IRP - сентябрь

18 сентября 2019 года компания «Интеллектуальная безопасность» сообщила о выходе очередного релиза системы Security Vision IRP.

В данной версии системы Security Vision Incident Response Platform IRP, предназначенной для автоматизации действий по реагированию на инциденты кибербезопасности, пользователям стал доступен ряд полезных возможностей, а уже имеющийся функционал был оптимизирован.

Наиболее значимые обновления:

Возможности при работе с заявками

  • Поиск по типам заявок при настройке фильтра (например, в перечне заявок). Найти нужную заявку стало гораздо удобнее и быстрее.
  • Валидация значений в карточке заявки. Благодаря этому исключаются возможные конфликты в значениях свойств.
  • В процессе импорта заявок все ошибки, имеющиеся в данных файла, отображаются пользователю.
  • Изменения в рамках рабочего процесса при использовании действия «Вызов внешнего коннектора»: появились возможности выбора в качестве параметра действия свойства типа «Таблица». Кроме того, заполнять команды внешнего коннектора теперь можно не только значениями свойств заявок, но и статическим значением, указанным пользователем, или значением справочника базы знаний.

Внешние коннекторы

Платформа Security Vision предоставляет возможность интеграции с различными системами при помощи настраиваемых внешних коннекторов. Внешние коннекторы могут выполнять команды сбора информации и различных действий на удаленных системах в рамках рабочих процессов реагирования на инциденты информационной безопасности.

Были внесены следующие изменения:

  • Обновленный внешний коннектор для взаимодействия с системой очередей Apache Kafka.
  • Обновленный внешний коннектор к IBM MQ. Данный коннектор предназначен для периодического получения сообщений из очереди и обогащения заявок на основе полученных данных.
  • Оповещения при попытке пересохранения изменений, внесенных другим пользователем. Теперь ситуации, когда один пользователь удаляет изменения другого, будут исключены.

Коннекторы данных

Для взаимодействия с некоторыми удаленными системами используются коннекторы, встроенные в Портал Security Vision. Встроенные коннекторы предназначены для сбора информации и автоматического создания заявок. Что нового в данном разделе:

  • Редактирование удаленных служб коннекторов данных. Теперь пользователи могут выстраивать цепочку коннекторов данных, что позволяет осуществлять сбор данных в разных сегментах сети.

Совместимость с СУБД ЛИНТЕР

8 июля 2019 года компания «Интеллектуальная безопасность» сообщила, что совместно с ГК РЕЛЭКС успешно завершили работы по тестированию совместимости собственных программных продуктов:

Компании подтвердили совместимость программных продуктов выпуском соответствующих сертификатов. ГК «Интеллектуальная безопасность» и ГК РЕЛЭКС планируют и дальше развивать технологическое партнёрство и обеспечивать совместимость своих программных продуктов в интересах заказчиков.

Программные продукты обоих производителей ПО входят в реестр российского ПО Минсвязи.

Совместимость с СУБД Postgres Pro Standard 11/ Enterprise 11

28 июня 2019 года Security Vision сообщила о том, что совместно с Postgres Professional подтвердили факт совместимости ряда своих программных продуктов. Они стали технологическими партнерами и выпустили соответствующие сертификаты о совместимости.

Компании провели работы по тестированию совместимости следующего программного обеспечения:

  • Security Vision Cyber Risk System и СУБД Postgres Pro Standard 11/ Enterprise 11;
  • Security Vision Incident Response Platform и СУБД Postgres Pro Standard 11/ Enterprise 11;
  • Security Vision Security Governance, Risk Management and Compliance и СУБД Postgres Pro Standard 11/ Enterprise 11;
  • Security Vision Security Operation Center и СУБД Postgres Pro Standard 11/ Enterprise 11.

Компании и дальше планируют обеспечивать совместимость своих программных продуктов в интересах Заказчиков обеих компаний, а также развития отечественного программного обеспечения.

В составе Реестра отечественного ПО

По информации на март 2019 года система Security Vision официально признана созданной в Российской Федерации и включена Министерством цифрового развития, связи и массовых коммуникаций в Единый реестр российских программ для ЭВМ и баз данных.



ПРОЕКТЫ (10) ИНТЕГРАТОРЫ (1) СМ. ТАКЖЕ (23)
ОТРАСЛИ (5)

ЗаказчикИнтеграторГодПроект
- Корпоративный центр икс 5
Интеллектуальная безопасность ГК (бренд Security Vision)2022.09Описание проекта
- Альфа-банк Россия
Интеллектуальная безопасность ГК (бренд Security Vision)2022.06Описание проекта
- Банк Открытие (ФК Открытие)
Интеллектуальная безопасность ГК (бренд Security Vision)2020.10Описание проекта
- Почта России
Интеллектуальная безопасность ГК (бренд Security Vision)2020.10Описание проекта
- Спецсвязь ФСО - Служба специальной связи и информации Федеральной службы охраны России (ФГУП ГЦСС, Главный Центр Специальной Связи)
Интеллектуальная безопасность ГК (бренд Security Vision)2020.06Описание проекта
- Федеральная корпорация по развитию малого и среднего предпринимательства (Корпорация МСП)
Интеллектуальная безопасность ГК (бренд Security Vision)2019.11Описание проекта
- СДМ-Банк
Интеллектуальная безопасность ГК (бренд Security Vision)2019.06Описание проекта
- ВТБ24
Интеллектуальная безопасность ГК (бренд Security Vision)2017.10Описание проекта
- Росэнергобанк
Интеллектуальная безопасность ГК (бренд Security Vision)2016.09Описание проекта
- Министерство экологии и природопользования Московской области
Интеллектуальная безопасность ГК (бренд Security Vision)2008.09Описание проекта



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год