Security Vision Incident Response Platform
Security Vision IRP / SOAR

Основная статья: SOAR Security Orchestration Automation and Response

Программный продукт для автоматизации действий по реагированию на инциденты кибербезопасности. Система обеспечивает:

• автоматическое выполнение дежурных процедур в режиме реального времени;
• снижение воздействия инцидентов кибербезопасности за счет снижения времени реагирования на инциденты в вопросах: идентификации, локализации, уничтожения, и восстановления
• уменьшение риска человеческого фактора и ошибок персонала, привлекаемого на реагирование инцидентов кибербезопасности;
• сокращение времени реагирования за счет автоматизации набора заранее разработанных процедур и сценариев реагирования, реализованных в компонентах Системы.

Результаты использования (по данным разработчика)

• до 90% - снижение вероятности распространения зловредов по сети при настроенном автоматическом реагировании
• до 90% - снижение риска человеческого фактора и ошибок персонала, вовлеченного в реагирование на инциденты кибербезопасности
• до 70% - высвобождение времени квалифицированного персонала, вовлеченного в реагирование на инциденты кибербезопасности, от рутинных операций для более экспертных задач
• до 50% - повышение эффекта коллаборации за счет обогащения смежных систем кибербезопасности
• до 90% - обработка риска кибербезопасности в автоматическом режиме (при использовании совместно с Security Vision CRS)

2024: Обновление с возможностью построения последовательной цепочки атаки

Компания Security Vision 6 ноября 2024 года сообщила о выпуске обновленных продуктов SOAR и NG SOAR.

По информации компании, Security Vision SOAR – комплексное решение для обработки инцидентов информационной безопасности на всех этапах их жизненного цикла согласно методологии NIST/SANS, а именно:

• Preparation - Подготовка
• Detection - Обнаружение
• Containment - Сдерживание
• Investigation – Расследование
• Eradication - Устранение
• Recovery - Восстановление
• Post-Incident - Пост-инцидент (работа над ошибками)

Основные отличительные особенности Security Vision SOAR:

• Возможность построения последовательной цепочки атаки (Kill Chain), группируя инциденты по общим признакам.
• Объектно-ориентированное реагирование – архитектура, при которой все значимые сущности инцидента такие как хосты, учетные записи, процессы, хэши и др., являются объектами со своим набором атрибутов, действий по обогащению и реагированию, а также историей и связями.
• Динамический Playbook – система сама подбирает релевантные действия по сбору дополнительной информации и выполнению действий по сдерживанию распространения инцидента на основании сведений об объектах – участниках инцидента и их характеристиках.
• Экспертные рекомендации, которые система предоставляет аналитику, работающему над инцидентом на протяжении всего жизненного цикла его обработки. Рекомендации формируются исходя из контекста инцидента и фазы его обработки, в том числе с помощью моделей машинного обучения.

Security Vision Next Generation SOAR (NG SOAR) дополняет перечисленные выше возможности механизмом автоматизированного взаимодействия с НКЦКИ и ФинЦЕРТ, а также собственным движком SIEM.Павел Бобу, Cloud Networks: В 2024 году больше всего запросов было на ИБ-консалтинг 5.1 т

Основные отличительные особенности SIEM от Security Vision:

• Возможность создавать сложные правила корреляции с многоуровневой вложенностью условий, в том числе используя повторения в правиле, опциональность событий, первое событие – с условием типа «отрицание».
• Графический No-Code редактор правил корреляции, что значительно снижает порог входа и сроки адаптации аналитиков.
• При получении событий от разных источников в разрозненном порядке время синхронизируется, несмотря на сбои, и для правила корреляции цепочка восстанавливается ретроспективно.

Обновленные возможности, добавленные в Security Vision SOAR и Security Vision NG SOAR:

• Экспертиза БДУ ФСТЭК. Теперь в инцидентах и правилах корреляции можно оперировать не только тактиками и техниками Mitre Attack, но и угрозами и способами реализации из БДУ ФСТЭК. Для коробочных правил корреляции уже настроены соответствующие им способы реализации.
• Тепловые карты для наборов экспертизы Mitre Attack и БДУ ФСТЭК, отображающие распределение инцидентов по тактикам и способам реализации, а также их покрытие правилами корреляций. ML модель для определения ложноположительных инцидентов.

𝓲

Фото: Security Vision

• Модель обучается на том, какие вердикты назначают инцидентам аналитики при закрытии инцидентов, а при поступлении нового инцидента выдает вердикт о том, насколько (в процентах) он похож по совокупности своих атрибутов на ранее закрытые с вердиктом False Positive.
• Маршрут злоумышленника. Система автоматически визуализирует маршрут распространения инцидента по инфраструктуре, с отображением времени компрометации узлов сети и используемых злоумышленником артефактов.

𝓲

Фото: Security Vision

• Граф достижимости. Система на основании данных о сегментах сети и таблицах маршрутизации сетевых устройства позволяет аналитику отобразить на карте сети, куда потенциально может распространиться инцидент, исходя из данных о скомпрометированных узлах и их характеристиках.

𝓲

Фото: Security Vision

2023: Выход обновленной IRP/SOAR на платформе Security Vision 5

25 апреля 2023 года компания Security Vision сообщила о выпуске обновленной версии системы IRP/SOAR на платформе Security Vision 5.

По информации компании, в продукте реализованы определенные методы расследования и реагирования на инциденты ИБ на основе технологии динамических плейбуков. Все этапы обработки инцидентов автоматизированы.

Наиболее значимые возможности:

Классификация инцидента

Security Vision IRP/SOAR автоматически классифицирует инцидент, связывая его с техниками и тактиками матрицы MITRE ATT&CK. Система может классифицировать более 250 типов инцидентов и событий ИБ, присваивая им более 110 различных техник и тактик. Встроенный в систему пакет экспертизы подробно описывает набор рекомендаций для аналитика ИБ по анализу, сдерживанию и реагированию по каждой выявленной технике.

Реагирование

Security Vision IRP/SOAR на основе технологии динамических плейбуков «на лету» собирает процесс реагирования, адаптированный под выявленную атаку и задействованную инфраструктуру. На основе техник и тактик MITRE, «сырых» данных в окрестностях инцидента, результата ретроспективного анализа, данных внешних аналитических сервисов и внутренней экспертизы система выстраивает динамический плейбук. Он собирается из более чем 150 различных действий и атомарных сценариев реагирования. При этом Security Vision IRP/SOAR умеет контролировать легитимность выполнения автоматизированных действий, учитывая специфику инфраструктуры заказчика: его конфиденциальность, разрешения, сегментацию и топологию.

Kill chain

Экспертный движок Security Vision IRP/SOAR автоматически выстраивает kill chain атаки из событий и инцидентов за счет анализа скрытых взаимосвязей. Анализируемые события и инциденты могут быть получены как от SIEM систем и Data Lake (Kafka, Hadoop, Elasticsearch и др.), так и напрямую от конечных устройств инфраструктуры заказчика с применением встроенных в продукт механизмов корреляции и группировки данных. Дополнительно в продукт встроен пакет экспертизы на основе sigma-правил, который позволяет обнаружить все затронутые элементы инфраструктуры, расширить и определить ландшафт атаки.

Граф расследования и реагирования

Событие ИБ

Security Vision IRP/SOAR умеет представлять инциденты и события в виде графа, функционал которого позволяет выстроить неочевидные связи, напрямую провести глубокую аналитику (через обогащение и sigma запросы), выполнить расследование и реагирование, выбирая конкретные действия. Исходя из необходимости, применяются контрмеры, меры сдерживания и цифровая криминалистика. На каждом шаге расследования пользователь видит ключевые связи и атрибуты, что позволяет выстроить полную картину инцидента.

Интеграции

В Security Vision IRP/SOAR реализовано большое количество (более 150) встроенных коннекторов для интеграции с различными SIEM системами (MaxPatrol SIEMKUMA, Pangeo RADAR, RuSIEM, NEURODAT SIEM, ArcSight SIEM, QRadar, Splunk и др.), с инфраструктурой заказчика, в том числе с конечными устройствами (Windows/Linux системы), СЗИ (NGFW, DLP, Антивирусы, EDR, песочницы). Кроме того, Security Vision IRP/SOAR предлагает расширенное количество (более 30) встроенных интеграций с аналитическими сервисами (как внешними, так и внутренними), которые позволяют собрать всю необходимую информацию по атрибутам инцидента, требуемую для расследования. Security Vision IRP/SOAR умеет работать с разнообразными типами данных, унифицируя их и получая нормализованный результат.

Встроенные в платформу конструкторы интеграций позволяют в режиме no-code быстро реализовывать дополнительные интеграции с любыми системами заказчиков, расширяя возможности расследования, реагирования и действий, которые можно производить над объектами инфраструктуры заказчика.

Также в продукте есть встроенные механизмы интеграции с НКЦКИ и ФинЦЕРТ. При сборе данных об инциденте и задействованной инфраструктуре, проведении реагирования на инцидент и события ИБ продукт использует безагентский метод работы, не требующий установки каких-либо дополнительных компонент на конечные устройства, Windows/Linux сервера и рабочие станции.

Гибкая ролевая модель

Для управления процессом расследования инцидентов в продукте реализована гибкая ролевая модель, позволяющая при проведении расследования разграничивать доступ к каждому полю и атрибуту инцидента и события ИБ. Процесс расследования содержит большое количество настроек, позволяющих адаптировать его как для небольших групп, работающих над расследованием инцидентов, так и для крупных SOC центров, с гибкой настройкой применяемых уровней реагирования (L1, L2, L3), эскалации, post-анализа и интеграции с внешними Service Desk’ами заказчика. Продукт поддерживает работу в режиме multitenancy, а также может применяться по модели MSSPP.

Нативная интеграция с линейкой продуктов Security Vision

Продукт работает еще эффективнее за счет нативной интеграции с линейкой продуктов Security Vision и совместного использования с модулями TIP, UEBA, CMDB, Vulnerability management, SGRC. Экосистема продуктов Security Vision позволяет комплексно закрыть все направления информационной безопасности в организации.

Процесс и автоматизация

Суммарно в продукте реализованы и автоматизированы все этапы обработки инцидентов:

Этапы обработки инцидентов

2022

Доступность в составе Infosecurity SOC

14 ноября 2022 года компания Infosecurity сообщила о заключении соглашения о стратегическом партнерстве с разработчиком ПО в сфере информационной безопасности Security Vision для повышения эффективности услуг Центра мониторинга и реагирования на инциденты Infosecurity SOC (ISOC). Подробнее здесь.

Доступность заказчикам центра Solar JSOC

Клиенты «Ростелеком-Солар» смогут автоматизировать процесс реагирования на киберинциденты с помощью решения компании Security Vision. Услуга на базе Security Vision Incident Response Platform (IRP/SOAR) уже доступна всем заказчикам центра противодействия кибератакам Solar JSOC. Об этом 6 июля 2022 года сообщила компания «Ростелеком-Солар». За счет гибкого интерфейса платформы сервис можно настроить под любую инфраструктуру и сформировать сценарии реагирования, которые полностью соответствуют процессам у заказчика. Это поможет более оперативно и эффективно локализовывать инциденты информационной безопасности и ликвидировать их последствия.

Опыт «Ростелеком-Солар» показывает, что абсолютное большинство компаний (почти 90%) предпочитает получать от SOC (Security Operations Center) услуги мониторинга и консалтинга, а техническое противодействие компьютерным атакам осуществлять силами собственных ИБ- и ИТ-служб. Но последним необходимо действовать максимально слаженно и быстро, ведь с каждым годом хакеры используют более сложные техники и тактики, увеличивая скорость развития атаки внутри сети.

Сервис IRP от Solar JSOC помогает специалистам заказчика видеть в реальном времени все необходимые этапы реагирования с распределением ролей ответственных, статусы и сроки выполнения каждого из этапов. А благодаря максимально подробным и гибким механизмам реализации плейбуков процесс можно адаптировать для любого заказчика. Сценарии реагирования, которыми наполнена система, разработаны экспертами Solar JSOC на основе 10-летнего опыта противодействия кибератакам в совершенно разных отраслях. В результате в распоряжении клиента оказывается обширная база регулярно обновляемых плейбуков под каждый тип выявляемого инцидента.

С февраля спрос на системы типа IRP значительно возрос, так как компании столкнулись с ростом киберинцидентов, недостатком специалистов по информационной безопасности и сложными компьютерными атаками. В таких условиях скорость реакции на каждый инцидент имеет ключевое значение и позволяет значительно сократить негативные последствия от действий хакеров. Также важно, чтобы плейбуки, которые заложены в IRP, соответствовали технологическим и структурным особенностям заказчика, а рабочее пространство было комфортным для его специалистов. Адаптивный интерфейс Security Vision IRP позволил нам сделать такой сервис, который будет удобен и полезен для каждого из наших клиентов, – отметил директор по развитию бизнеса центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Алексей Павлов.

Для реализации сервиса внутренние процессы Solar JSOC были доработаны. В частности, появилась дополнительные роли (аналитик IRP, инженер IRP), расширился функционал сервис-менеджеров и архитекторов, осуществляющих поддержку и контроль работоспособности компонентов SOC. Для заказчика решение может быть предоставлено в двух вариантах: гибридном, когда IRP размещена у заказчика, а ее настройкой и обслуживанием занимается сервис-провайдер, или полностью облачном (когда IRP расположена на платформе провайдера, а его специалисты реализуют полную поддержку сервиса).

Для нас как вендора развитие сервисов для операторов SOC является стратегическим направлением, поскольку наша платформа и программа лицензирования как нельзя лучше подходят коллегам. В них отсутствуют искусственные ограничения в части лицензирования, и функционал настолько модульный и гибкий, что позволяет воплотить любую потребность заказчика в области реагирования и автоматизации ИБ. История началась с одного общего кейса интеграции с Solar JSOC и развивается в комплексное плодотворное сотрудничество, расширяющее инструментарий и портфель Solar JSOC и, конечно, долю рынка обоих компаний в области автоматизации ИБ, – сказала коммерческий директор Security Vision Екатерина Черун.

2021

Обзор Security Vision 5.0: швейцарский нож в информационной безопасности

Данила Луцив, руководитель отдела развития компании Security Vision, подготовил для TAdviser обзор возможностей новой версии платформы Security Vision. Подробнее здесь.

Интеграция в коммерческий SOC Angara

8 сентября 2021 года группа компаний Angara сообщила о том, что расширяет возможности собственного коммерческого SOC – Центра киберустойчивости ACRC – и совершенствует процессы анализа и реагирования на инциденты ИБ, внедряя решение Security Vision Incident Response Platform (IRP/SOAR). Благодаря платформе Security Vision аналитики ACRC смогут ускорить процессы первичного обогащения данных об инцидентах и автоматизировать применение сценариев реагирования. Подробнее здесь.

2020: Security Vision IRP (SOAR) упрощает работу с коннекторами данных

ГК «Интеллектуальная безопасность» сообщила 16 марта 2020 года о выходе релиза актуальной версии системы Security Vision Incident Response Platform (SOAR), предназначенной для автоматизации действий по реагированию на инциденты кибербезопасности.

Наиболее значимые обновления:

Коннекторы данных:

• Появилась возможность редактирования менеджеров коннекторов данных по аналогии с менеджерами внешних коннекторов. Теперь можно редактировать связи менеджера с коннекторами данных и с другими менеджерами, изменять включенность и доступность менеджера с портала.
• Добавлены типы создаваемых объектов в коннекторах данных. Теперь, помимо заявок и активов, это могут быть файлы, сотрудники, группы сотрудников, базы знаний, должности и организации с подразделениями.
• Добавлена настройка обратного прокси-сервера для коннекторов данных. Это повышает безопасность и удобство пользования Security Vision IRP (SOAR), поскольку теперь нет необходимости создания учетных записей с набором прав.
• Реализован Remote Connector, позволяющий другим коннекторам работать удаленно (например, при наличии нескольких порталов).

Персональные данные:

• В рамках модуля Data Governance реализованы различные типы заявок и соответствующих рабочих процессов обработки персональных данных, а также плановый контроль за ними. Он состоит в сборе недостающей информации о процессах, мониторинге наличия несоответствий законодательству, оценке риска для субъектов персональных данных.

Внешние коннекторы:

• В настройки команды внешнего коннектора добавлена возможность указания разделителя результатов парсинга не в целом для всех правил, а для каждого правила отдельно. Это позволяет настраивать команды внешнего коннектора более гибко.
• Для внешнего коннектора SMTP добавлена поддержка отправки писем с форматированием HTML. Теперь внешний вид писем стал более наглядным и читабельным.

Заявки:

• Добавлена фильтрация заявок по типу связи. Данный функционал необходим для раздельного отображения заявок одного типа (например, «Инцидент»), но объединенных разной логикой и, соответственно, разными типами связей.

Инсталлятор:

• Оптимизирована утилита по развертыванию базы. Это позволило уменьшить объем оперативной памяти, потребляемой Системой.

2019

Обновление Security Vision IRP - ноябрь

25 ноября 2019 года компания «Интеллектуальная безопасность» сообщила о выходе очередного релиза актуальной на ноябрь 2019 года версии системы Security Vision Incident Response Platform (IRP), предназначенной для автоматизации действий по реагированию на инциденты кибербезопасности.

Наиболее значимые обновления:

Коннекторы данных:

• Реализованы менеджеры коннекторов данных, необходимые для передачи команд конкретным коннекторам. Они могут автоматически распределять задачи между собой для обеспечения отказоустойчивости системы и равномерного распределения нагрузки. Менеджеры коннекторов данных могут быть установлены как локально, так и на удаленных серверах.

Внешние коннекторы:

• Появилась возможность добавления пользовательских параметров конфигурации во внешнем коннекторе. При реализации коннектора с помощью скриптов необходимо указывать в скрипте ряд параметров, общих для всех скриптов. Данный функционал позволяет делать это гораздо быстрее и существенно упрощает администрирование.
• Для менеджеров внешних коннекторов реализована регистрация действий по изменению настроек в разделе «Аудит пользователя». Регистрируются создание, изменение и удаление менеджера внешних коннекторов. Это необходимо для предотвращения ситуации, когда один пользователь удаляет изменения другого.

Риски:

• Появилось создание пользовательских событий при удалении уязвимости, нарушителя, угрозы, меры защиты из разделов «Область оценки риска», «Экспресс-оценка» и «Предлагаемые меры опросного листа». Данная информация отображается в логе пользовательских событий, способствуя синхронизации данных между серверами.

Лицензия:

• Появилось лицензирование по количеству типов коннекторов данных и количеству внешних коннекторов. Теперь можно выбирать не только весь модуль, но и декомпозировать его по количеству необходимых внешних коннекторов и коннекторов данных.

Экспорт/импорт:

• Появилась возможность экспорта/импорта не только внешнего коннектора целиком, но и его отдельных составляющих - конфигураций и команд - с одного портала на другой. Процесс экспорта/импорта становится более простым, быстрым и гибким.
• Реализован экспорт/импорт столбца типа «Связь с базой знаний» в свойстве типа «Таблица».

Заявки:

• Появился функционал шаблонов свойств заявок. Теперь достаточно только один раз заполнить такой шаблон, занеся в него все необходимые значения свойств. Затем его можно постоянно применять для определенного типа заявки.

База знаний:

• Реализована валидация кириллических названий справочников Базы знаний. При превышении количества допустимых символов названия выводится ошибка о превышении допустимой длины.

Обновление Security Vision IRP - сентябрь

18 сентября 2019 года компания «Интеллектуальная безопасность» сообщила о выходе очередного релиза системы Security Vision IRP.

В данной версии системы Security Vision Incident Response Platform IRP, предназначенной для автоматизации действий по реагированию на инциденты кибербезопасности, пользователям стал доступен ряд полезных возможностей, а уже имеющийся функционал был оптимизирован.

Наиболее значимые обновления:

Возможности при работе с заявками

• Поиск по типам заявок при настройке фильтра (например, в перечне заявок). Найти нужную заявку стало гораздо удобнее и быстрее.
• Валидация значений в карточке заявки. Благодаря этому исключаются возможные конфликты в значениях свойств.
• В процессе импорта заявок все ошибки, имеющиеся в данных файла, отображаются пользователю.
• Изменения в рамках рабочего процесса при использовании действия «Вызов внешнего коннектора»: появились возможности выбора в качестве параметра действия свойства типа «Таблица». Кроме того, заполнять команды внешнего коннектора теперь можно не только значениями свойств заявок, но и статическим значением, указанным пользователем, или значением справочника базы знаний.

Внешние коннекторы

Платформа Security Vision предоставляет возможность интеграции с различными системами при помощи настраиваемых внешних коннекторов. Внешние коннекторы могут выполнять команды сбора информации и различных действий на удаленных системах в рамках рабочих процессов реагирования на инциденты информационной безопасности.

Были внесены следующие изменения:

• Обновленный внешний коннектор для взаимодействия с системой очередей Apache Kafka.
• Обновленный внешний коннектор к IBM MQ. Данный коннектор предназначен для периодического получения сообщений из очереди и обогащения заявок на основе полученных данных.
• Оповещения при попытке пересохранения изменений, внесенных другим пользователем. Теперь ситуации, когда один пользователь удаляет изменения другого, будут исключены.

Коннекторы данных

Для взаимодействия с некоторыми удаленными системами используются коннекторы, встроенные в Портал Security Vision. Встроенные коннекторы предназначены для сбора информации и автоматического создания заявок. Что нового в данном разделе:

• Редактирование удаленных служб коннекторов данных. Теперь пользователи могут выстраивать цепочку коннекторов данных, что позволяет осуществлять сбор данных в разных сегментах сети.

Совместимость с СУБД ЛИНТЕР

8 июля 2019 года компания «Интеллектуальная безопасность» сообщила, что совместно с ГК РЕЛЭКС успешно завершили работы по тестированию совместимости собственных программных продуктов:

• Security Vision Cyber Risk System и СУБД ЛИНТЕР БАСТИОН и СУБД ЛИНТЕР СТАНДАРТ;
• Security Vision Incident Response Platform СУБД ЛИНТЕР БАСТИОН и СУБД ЛИНТЕР СТАНДАРТ;
• Security Vision Security Governance, Risk Management and Compliance и СУБД ЛИНТЕР БАСТИОН и СУБД ЛИНТЕР СТАНДАРТ;
• Security Vision Security Operation Center и СУБД ЛИНТЕР БАСТИОН и СУБД ЛИНТЕР СТАНДАРТ;
• Security Vision КИИ и СУБД ЛИНТЕР БАСТИОН и СУБД ЛИНТЕР СТАНДАРТ.

Компании подтвердили совместимость программных продуктов выпуском соответствующих сертификатов. ГК «Интеллектуальная безопасность» и ГК РЕЛЭКС планируют и дальше развивать технологическое партнёрство и обеспечивать совместимость своих программных продуктов в интересах заказчиков.

Программные продукты обоих производителей ПО входят в реестр российского ПО Минсвязи.

Совместимость с СУБД Postgres Pro Standard 11/ Enterprise 11

28 июня 2019 года Security Vision сообщила о том, что совместно с Postgres Professional подтвердили факт совместимости ряда своих программных продуктов. Они стали технологическими партнерами и выпустили соответствующие сертификаты о совместимости.

Компании провели работы по тестированию совместимости следующего программного обеспечения:

• Security Vision Cyber Risk System и СУБД Postgres Pro Standard 11/ Enterprise 11;
• Security Vision Incident Response Platform и СУБД Postgres Pro Standard 11/ Enterprise 11;
• Security Vision Security Governance, Risk Management and Compliance и СУБД Postgres Pro Standard 11/ Enterprise 11;
• Security Vision Security Operation Center и СУБД Postgres Pro Standard 11/ Enterprise 11.

Компании и дальше планируют обеспечивать совместимость своих программных продуктов в интересах Заказчиков обеих компаний, а также развития отечественного программного обеспечения.

В составе Реестра отечественного ПО

По информации на март 2019 года система Security Vision официально признана созданной в Российской Федерации и включена Министерством цифрового развития, связи и массовых коммуникаций в Единый реестр российских программ для ЭВМ и баз данных.