Интервью с разработчиком SC SIEM: интеграция с MITRE ATT&CK и планы

Графов С.А. о внедрении MITRE ATT&CK в SC SIEM и планах интеграции с банком угроз ФСТЭК для усиления аналитики и реагирования на кибератаки

Интервью с разработчиком SC SIEM: интеграция с MITRE ATT&CK и планы — Источник изображения: Личный архив компании

Более 20 лет опыта в сфере кибербезопасности и защиты информации

Подробнее про эксперта

Руководитель проекта по разработке централизованной автоматизированной системы мониторинга события и выявления инцидентов информационной безопасности Security Capsule SIEM (SC SIEM) компании ООО «Инновационные Технологии в Бизнесе» (ООО «ИТБ») Графов Сергей Александрович рассказал о внедрении MITRE ATT&CK в SC SIEM и планах интеграции с банком угроз ФСТЭК для усиления аналитики и реагирования на кибератаки.

Расскажите, что именно нового появилось в SC SIEM?

Мы внедрили интеграцию с матрицей MITRE ATT&CK — одной из продвинутых баз знаний о поведении злоумышленников. Теперь SC SIEM может автоматически сопоставлять события и инциденты с конкретными тактиками и техниками, используемыми в реальных атаках. Это расширяет возможности системы по выявлению угроз и помогает специалистам по ИБ лучше понимать, что именно происходит в инфраструктуре на каждом этапе атаки.

Почему именно MITRE ATT&CK?

Потому что это международный стандарт. Он постоянно обновляется, отражая текущие тенденции в области киберугроз. Интеграция с MITRE ATT&CK — это шаг к более осознанной защите. Мы даем возможность понимать: что это, почему это произошло, какие методы использовались, и как это остановить. Это крайне важно, особенно в условиях роста сложности атак.

Как это отразилось на удобстве работы с системой?

Существенно. Теперь каждый инцидент в SC SIEM автоматически маркируется соответствующей техникой и тактикой. Это дает ИБ-специалисту контекст — он сразу видит, где именно находится злоумышленник в «цепочке атаки». Анализ стал быстрее, а решения — более обоснованными. Мы также реализовали получение от ИИ-ассистента рекомендаций по минимизации негативного эффекта от инцидента ИБ.

Для каких сфер эта система будет наиболее актуальна?

Это особенно важно для организаций, работающих с персональными данными, критической инфраструктурой или госинформацией.

Планируете ли развивать это направление дальше?

Безусловно. В ближайшем будущем мы планируем реализовать интеграцию SC SIEM с этим источником. Это позволит расширить аналитические возможности системы за счет актуальных отечественных данных об угрозах и упростит соблюдение требований регуляторов. Мы стремимся к тому, чтобы наши решения были максимально адаптированы к российским реалиям.

Предыдущая новость

ППО в защищенном исполнении: что нужно знать перед сертификацией

Следующая новость

Внедрение SIEM-системы в железнодорожной компании

Интересное: