R-Vision представила новый пакет экспертизы для выявления инцидентов в R-Vision SIEM
R-Vision продолжает развивать решения в области кибербезопасности и расширять экспертизу в продукте R-Vision SIEM для заказчиков. Для этого разработчик сформировал две команды исследователей для отслеживания мировых тенденций кибербезопасности и добавил новые правила корреляции для эффективного детектирования угроз.
Трансформация исследовательских команд
Исследователи R-Vision SIEM регулярно занимаются поиском новых угроз кибербезопасности, анализируя атаки хакеров и выявляя их методы и приёмы. Чтобы сосредоточиться на глубоком изучении угроз, вендор сформировал две команды: «Анализ и выявление угроз» и «Исследовательская лаборатория», которые следят за мировыми тенденциями в области кибербезопасности. Эти специализированные группы аналитиков сосредоточены на всестороннем изучении угроз, что позволяет расширить экспертизу R-Vision SIEM.
На Q4 2024 года R-Vision SIEM поддерживает более 200 источников для сбора событий. Среди них — решения российских разработчиков, таких как «1С», «Бастион», «ИнфоТеКС», «РедСофт», «Группа Астра», СберТех, «Код Безопасности», Eltex, VipNet, Positive Technologies, SearchInform и Solar Security. Вендор взаимодействует с технологическими партнёрами и участниками российского ИТ- и ИБ-рынка, чтобы расширять возможности по работе с данными в R-Vision SIEM.
Более 500 правил корреляции для оперативного детектирования угроз
Разработка правил корреляции — приоритет в совершенствовании SIEM-системы. Сегодня R-Vision SIEM включает более 500 правил корреляции, которые охватывают свыше 70% актуальных векторов атак и разработаны с опорой на лучшие мировые практики, включая техники и тактики, которые покрываются SIEM.
Диана Кожушок, руководитель подразделения анализа и выявления угроз кибербезопасности R-Vision:
«Основной функционал SIEM заключается в мониторинге событий информационной безопасности и своевременном выявлении угроз. Подготовленные нами правила экспертизы покрывают распространённые векторы атак, часто эксплуатируемые уязвимости, а также отражают переход на отечественные и Open Source решения. Благодаря этому наши заказчики могут оперативно приступить к обнаружению угроз и уменьшить возможные риски».
Расширение базы угроз и улучшение покрытия
На основе актуальных знаний аналитики R-Vision каждые две недели обновляют и расширяют базу правил для более эффективного детектирования современных угроз. Внесенные улучшения включают:
● Пакет FreeIPA (ALD Pro) с 21 правилом для обнаружения различных тактик MITRE ATT&CK.
● Правила для детектирования использования туннелирования и эксплуатации уязвимостей в расширениях VSCode.
● Обнаружение уязвимостей, активно эксплуатируемых атакующими, таких как CVE-2023-38831 (WinRAR), CVE-2023-22515, CVE-2023-22527 и CVE-2023-22518 (Confluence), CVE-2024-0507 (GitHub), а также уязвимости в xz.
● Правила для выявления хакерских утилит, таких как ngrok и gsocket, а также инструментов для атаки RDPStrike.
● Обнаружение использования Telegram как канала управления (C2).
● Правила для выявления DNS-туннелирования, которое может быть использовано для организации управления (C2) и эксфильтрации данных с устройств жертвы.
Помимо этого, в систему были добавлены базовые правила для мониторинга различных бизнес-приложений, таких как Confluence, Jira и GitLab, а также для мониторинга систем виртуализации (vCenter), баз данных (например, PostgreSQL и Clickhouse) и для сетевых устройств (Eltex, Cisco) и СЗИ (SolarWebProxy, «Континент»).
Фокус на качестве и актуальности контента
Диана Кожушок, руководитель подразделения анализа и выявления угроз кибербезопасности R-Vision:
«Наш фокус при разработке правил по-прежнему остается на качестве контента и его актуальности для наших заказчиков. Мы понимаем, насколько важно для наших клиентов иметь доступ к точным и своевременно обновляемым средствам для защиты от угроз, и продолжаем работать в этом направлении».
R-Vision продолжает активно развивать и совершенствовать свою SIEM-систему, обеспечивая высокий уровень защиты и оперативности в выявлении инцидентов, что позволяет организациям эффективно бороться с современными киберугрозами и минимизировать риски.