Byte/RE ИТ-издание

Обновление платформы Security Vision TIP

Компания Security Vision анонсировала обновление автоматизированной платформы Security Vision Threat Intelligence Platform (TIP). На основании данных об угрозах продукт в реальном времени выявляет подозрительную активность в инфраструктуре компании-заказчика, проводит обогащение индикаторов и инцидентов, интегрируется с инфраструктурой заказчика и другими средствами защиты, обеспечивает ситуационную осведомленность.

Security Vision TIP базируется на единой платформе Security Vision. Решение взаимодействует с другими СЗИ, объектами инфраструктуры и внешними сервисами. Система обращается к поставщикам фидов и аналитическим сервисам за IoC, IoA, угрозами, информацией о злоумышленниках и вредоносном ПО, уязвимостями, бюллетенями. Информация о событиях для матчинга собирается из первичных источников (Web Proxy, Linux-сервер, Windows-сервер, NGFW), Data Lake и DB (Apache Kafka, PostgreSQL, MS SQL), SIEM, EDR и др. Данные об инцидентах и индикаторах могут в автоматическом или ручном режиме передаваться в SIEM, SOAR/IRP, NGFW и др. Функционал Security Vision TIP закрывает потребности всех уровней TI. Решение помогает искать признаки атак на основе поведенческих индикаторов и выстраивать в долгосрочной перспективе стратегию информационной безопасности предприятия с учетом актуальных угроз и рисков.

Архитектура системы поддерживает полную отказоустойчивость всех компонент. Платформа не требует прямого доступа в Интернет, взаимодействие с поставщиками фидов и внешними аналитическими сервисами возможно через специальную выделенную компоненту, расположенную в сегменте DMZ.

Все компоненты платформы поддерживают работа в среде различных ОС: Microsoft Windows, Ubuntu, CentOS, RedHat, Oracle Linux, «Альт Линукс», Astra CE «Орел», Astra SE «Смоленск»/ «Воронеж»/«Орел». В качестве СУБД используются Postgre SQL, Postgre Pro или Microsoft SQL Server.

Основные возможности Security Vision TIP:

  • Загрузка данных – поддерживается загрузка неограниченного количества TI-источников (фидов). В базовой поставке уже реализована интеграция с наиболее популярными сервисами, предоставляющими различные индикаторы компрометации.
  • Процесс обнаружения – реализованы следующие механизмы получения событий для обнаружения подозрительной активности: прием потока данных по TCP/UDP; обращение к API внешних систем; получение событий из очереди (Kafka, RabbitMQ); выполнение запросов в БД/DataLake.
  • Matching – используется собственный движок оптимизированного мэтчинга, который позволяет выполнять обнаружения на больших потоках данных с внушительной базой IoC.
  • Ретро-поиск – система в оптимизированном виде хранит данные, полученные из смежных систем за большой период времени (например, за месяц или квартал), и новые индикаторы компрометации сопоставляются с событиями в прошлом. Таким образом можно увидеть, какие объекты внутренней инфраструктуры подвергались опасности до того, как появилась информация об угрозе.
  • DGA/Фишинг – эвристический движок с помощью различных ML-моделей позволяет автоматически выявлять в инфраструктуре заказчика подозрительные доменные имена или URL, сгенерированные с использованием Domain Generation Algorithm (DGA) или мимикрирующие под общеизвестные домены.
  • Обнаружения – в системе реализован жизненный цикл, по которому каждое обнаружение проходит ряд автоматизированных и ручных этапов в ходе расследования и обработки. Например, при создании или изменении обнаружения все «сработавшие» индикаторы автоматически обогащаются из внешних аналитических сервисов, а по всем участвующим активам собирается информация из внутренней инфраструктуры. Пользователь при начале работы с обнаружением сразу получает полную информацию по инциденту и задействованной инфраструктуре. Пока обнаружение не закрыто, в него автоматически добавляется и агрегируется вся новая информация, выявленная по новым «сработкам», проводится дедупликация данных.
  • Уязвимости – реализована интеграция с наиболее известными поставщиками и базами уязвимостей, например NVD NIST, БДУ ФСТЭК, НКЦКИ, Group IB, Kaspersky.
  • Бюллетени – реализована работа с бюллетенями, т.е. документами, выпускаемыми разово или периодически и содержащими результаты исследований аналитического центра по отдельной проблеме/угрозе/атаке/группировке и пр. или сводную информацию за определенный период.
  • MITRE ATT&CK – функционал TIP обеспечивает работу с базой знаний техник MITRE ATT&CK, автоматическую поддержку ее в актуальном состоянии по всем основным разделам.
  • Атрибуция – стратегический уровень управления информационной безопасностью представлен механизмом атрибуции таких типов данных, как злоумышленники, вредоносное программное обеспечение и угрозы.
  • Оповещения – по всем новым и отслеживаемым индикаторам, выявленным обнаружениям и изменению их статуса и жизненных циклов пользователи платформы могут получать оповещения с указанием деталей нового объекта, его изменений, а также ссылки на карточку объекта.
  • Ролевая модель – пользователю в зависимости от назначенной роли доступен тот или иной функционал системы, а также ограниченный доступ к данным и действиям.
Вам также могут понравиться