ИТБ: Security Capsule

Продукт
Разработчики: Инновационные Технологии в Бизнесе, ИТБ
Дата премьеры системы: 2015/12/12
Технологии: ИБ - Управление информацией и событиями в системе безопасности (SIEM)

Содержание

Security Capsule - SIEM-cистема регистрации событий безопасности.

2024: Интеграция с F.A.C.C.T. Threat Intelligence

12 сентября 2024 года компания F.A.C.C.T. объявила о технологической интеграции системы мониторинга и корреляции событий информационной безопасности Security Capsule SIEM (SC SIEM) с системой киберразведки F.A.C.C.T. Threat Intelligence. Техническое сотрудничество предоставит пользователям SC SIEM более глубокий проактивный подход к защите от актуальных киберугроз, обнаружению сложных целевых атак. Подробнее здесь.

2016

Сертификация ФСТЭК России

Осенью 2016 года программно-аппаратный комплекс «Security Capsule» успешно прошел сертификационные испытания в системе сертификации ФСТЭК России. Сертификат соответствия №3649 от 9 ноября 2016 года.

Выпуск модернизированной версии ПАКАБ SIEM Security Capsule

28 сентября 2016 года компания "ИТБ" сообщила о выпуске релиза модернизированной версии ПАКАБ SIEM «Security Capsule».

ПАКАБ SIEM «Security Capsule» предназначен для регистрации событий информационной безопасности и выполняет функции:

  • регистрация и учет событий информационной безопасности (ИБ) в информационно-вычислительных системах и сетях,
  • разграничение доступа пользователей к информационным ресурсам SIEM,
  • контроль доступа SIEM,
  • контроль целостности файлов SIEM,
  • корреляцию событий ИБ,
  • реакцию на события ИБ.

Архитектура системы, (2015)

На основе анализа информации, полученной с помощью SIEM «Security Capsule», администратор безопасности принимает меры по обеспечению безопасности объектов информационно-вычислительных систем и сетей.

Регистрация событий информационной безопасности реализуется путем ведения журналов регистрации событий информационной безопасности:

  • доступ пользователя к приложению и завершение работы;
  • разрешенные/неразрешенные действия пользователей по доступу к информационным ресурсам;
  • сообщения, получаемые от сетевых устройств;
  • действия операторов на клиентских рабочих станциях такие как: установление доступа к рабочей станции с помощью USB-ключа eToken;
  • обращение к внешним USB-устройствам, обращение к файлам на внешних устройствах.

Состав модулей программы (коннекторов) вариативен по согласованию с заказчиком.

Перечень разработанных коннекторов, накапливающих данные о событиях информационной безопасности:

SIEM «Security Capsule» ориентирована на соответствие отечественным техническим регламентам и стандартам в сфере информационной безопасности.

Система ориентирована на использование:

  • администраторами безопасности;
  • администраторами ИС, СУБД, ЛВС, СПД;
  • руководителями служб безопасности;
  • руководителями компаний, предприятий (организаций);
  • разработчиками систем защиты конфиденциальной информации.

Использование

Для использования SIEM-системы должны выполняться условия:Метавселенная ВДНХ 4.9 т SIEM «Security Capsule» функционирует под управлением ОС Microsoft Windows XP\7\8\10, Windows Sever 2010\2012, OC Linux. Для работоспособности программы необходимо окружение выполнения Microsoft .NET Framework 4.0. Программа работает в архитектуре клиент/сервер. Серверной часть - СУБД. В качестве СУБД используется My SQL Database Server 5.5.2 или MS SQL.

Архитектура

ПАКАБ «Security Capsule» действует на основе клиент-серверной технологии для распределенных неоднородных ИС, СПД, ЛВС и системы защиты конфиденциальной информации.

В составе ПАКАБ «Security Capsule» модули:

  • модуль серверной части;
  • модуль мониторинга и администрирования;
  • центральный модуль;
  • клиентские модули;
  • коннекторы;
  • модуль формирования отчетов.

Серверный компонент имеет иерархическую структуру. Таким образом, мониторинг событий может осуществляться локально в территориально удаленных подразделениях, филиалах, дочерних и зависимых организациях. Первичная обработка событий ИБ осуществляется на локальных серверах, на центральный сервер передается либо полный состав событий ИБ, либо сформированный перечень критических событий и результаты анализа.

С целью снижения нагрузки на сеть передачи данных первичная обработка событий осуществляется на серверах «Security Capsule», установленных в ЛВС. В зависимости от степени важности и критичности, информация о событиях ИБ передается на серверы более высокого уровня. С целью снижения трафика информация на сервера более высокого уровня передается по расписанию, как правило, во время наименьшей нагрузки на СПД. Критические события передаются в режиме реального времени.

Важный модуль системы - модуль обработки и отображения информации о событиях, формирования отчетов. Администраторы системы имеют возможность самостоятельно, в соответствии с требованиями политики информационной безопасности, определять перечень контролируемых событий, выбирая из базового набора, требуемый. Определять уровни критичности.

В рамках анализа событий подразделяются на события ИБ ОС, сетевых устройств, СЗИ от НСД, СУБД, антивирусных средств, прикладных систем. Каждому контролируемому событию или группе событий на этапе настройки системы присваивается статус. Сбор событий может быть непрерывным, дискретным с привязкой к системе единого времени, во временном интервале. События от различных источников событий могут быть сопоставлены по различным критериям. События могут быть отсортированы, ранжированы и отфильтрованы по различным признакам. Администратор системы имеет возможность управлять правилами обработки событий. Отдельно обрабатываются события, связанные с контролем учетных записей пользователей, включая создание, изменение, удаление, контроль прав доступа на основе контроля , например, AD. Также обработке подлежат события связанные с установкой и\или удалением общесистемного и прикладного ПО, средств защиты с использованием механизма контроля системного реестра. В Security Capsule реализовано ведение «белого» и «черного» списков ПО.

Для администрирования системой предусмотрены группы пользователей с настраиваемыми правами доступа и функциональностью.

Модульная архитектура обеспечивает простоту обслуживания и масштабирования SIEM «Security Capsule».

С помощью SIEM «Security Capsule» возможно выявить:

  • Сетевые атаки во внутреннем и внешнем периметрах.
  • Минимальные требования к аппаратной среде.
  • Вирусные заражения, бэкдоры и трояны.
  • Попытки несанкционированного доступа к информации.
  • Фрод и мошенничество.
  • Ошибки в работе информационных систем.
  • Уязвимости.
  • Ошибки конфигураций в средствах защиты и информационных системах.

События, фиксируемые SIEM «Security Capsule»:

  • связанные с попытками пользователей установления доступа.
  • сообщения от сетевых устройств.
  • вызванные действиями пользователей на рабочих станциях.
  • получаемые от средств контроля съёмных носителей.
  • прикладных информационных систем.
  • связанные с AD.
  • контроль операционной и программной сред.
  • СУБД.
  • ОС семейства Windows, Linux.
  • получаемые от СЗИ от НСД.

Требования к аппаратному окружению

  • процессор Intel X86 или совместимый с частотой 1 ГГц или выше;
  • не менее 256 Мб ОЗУ;
  • для установки Изделия необходимо не менее 200 Мб свободного места на используемой ЭВМ постоянном носителе машинной памяти;
  • ручной манипулятор типа «мышь»;
  • устройство для работы со съемными носителями информации (дисковод для CD и DVD);
  • видеокарта SVGA;
  • сетевой Ethernet-адаптер с типом разъёма 8P8C для витой пары;
  • компьютерная клавиатура;
  • монитор с диагональю не менее 15 дюймов и режимом разрешения не менее 800х600 dpi.

ПАКАБ «Security Capsule» сертифицирована ФСТЭК России для защиты конфиденциальной информации, включая ИСПДн. Сертификат ФСТЭК России №2705 от 7 сентября 2012 года.



СМ. ТАКЖЕ (2)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Интеллектуальная безопасность ГК (бренд Security Vision) (92)
  Positive Technologies (Позитив Текнолоджиз) (23)
  SearchInform (СёрчИнформ) (16)
  Инфосистемы Джет (16)
  Softline (Софтлайн) (14)
  Другие (139)

  Интеллектуальная безопасность ГК (бренд Security Vision) (6)
  R-Vision (Р-Вижн) (3)
  Softline (Софтлайн) (3)
  Positive Technologies (Позитив Текнолоджиз) (2)
  Инфосекьюрити (Infosecurity) (2)
  Другие (10)

  Интеллектуальная безопасность ГК (бренд Security Vision) (13)
  Positive Technologies (Позитив Текнолоджиз) (6)
  InnoSTage (Инностейдж) (4)
  CyberOK (СайберОК) (4)
  SearchInform (СёрчИнформ) (2)
  Другие (11)

  SearchInform (СёрчИнформ) (3)
  Softline (Софтлайн) (2)
  Интеллектуальная безопасность ГК (бренд Security Vision) (2)
  Лаборатория Касперского (Kaspersky) (2)
  МТС RED (Серенити Сайбер Секьюрити) ранее МТС Кибербезопасность (2)
  Другие (11)

  SearchInform (СёрчИнформ) (8)
  Softline (Софтлайн) (5)
  Positive Technologies (Позитив Текнолоджиз) (4)
  Перспективный мониторинг (2)
  ITProtect (Инфозащита) (1)
  Другие (10)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Интеллектуальная безопасность ГК (бренд Security Vision) (13, 92)
  Positive Technologies (Позитив Текнолоджиз) (17, 39)
  SearchInform (СёрчИнформ) (2, 17)
  Лаборатория Касперского (Kaspersky) (8, 13)
  ArcSight (5, 13)
  Другие (275, 109)

  Интеллектуальная безопасность ГК (бренд Security Vision) (4, 6)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  R-Vision (Р-Вижн) (1, 3)
  IBM (2, 2)
  Инфосекьюрити (Infosecurity) (2, 2)
  Другие (7, 8)

  Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13)
  InnoSTage (Инностейдж) (2, 4)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  SearchInform (СёрчИнформ) (1, 2)
  Уральский центр систем безопасности (УЦСБ) (1, 2)
  Другие (5, 5)

  Лаборатория Касперского (Kaspersky) (3, 3)
  SearchInform (СёрчИнформ) (1, 3)
  Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2)
  Positive Technologies (Позитив Текнолоджиз) (1, 1)
  Инфосекьюрити (Infosecurity) (1, 1)
  Другие (9, 9)

  SearchInform (СёрчИнформ) (1, 9)
  Positive Technologies (Позитив Текнолоджиз) (3, 4)
  Перспективный мониторинг (1, 3)
  Лаборатория Касперского (Kaspersky) (3, 2)
  Русием (RuSIEM) (1, 1)
  Другие (6, 6)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Security Vision Security Operation Center (SOC) - 37
  MaxPatrol SIEM - 33
  Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 28
  СёрчИнформ SIEM - 17
  HPE ArcSight ESM (Security Information and Event Management, SIEM) - 11
  Другие 154

  R‑Vision SOAR (ранее R-Vision IRP) - 3
  Ngenix Облачная платформа - 2
  Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 2
  MaxPatrol SIEM - 2
  Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2
  Другие 13

  Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 9
  Innostage SOAR (ранее Innostage IRP) - 4
  Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 4
  CyberART Сервисная служба киберзащиты - 4
  Security Vision Incident Response Platform (Security Vision IRP) SOAR - 2
  Другие 13

  СёрчИнформ SIEM - 3
  Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2
  МТС RED SOC - 1
  Перспективный мониторинг: Ampire Киберполигон - 1
  Инфосекьюрити ISOC - 1
  Другие 11

  СёрчИнформ SIEM - 9
  Positive Technologies: MaxPatrol VM (Vulnerability Management) - 3
  Перспективный мониторинг: Ampire Киберполигон - 3
  MaxPatrol SIEM - 2
  Нота Купол - 1
  Другие 10