Security Vision представила новую версию Threat Intelligence Platform

Компания Security Vision представила новую версию своего продукта Threat Intelligence Platform (TIP) на платформе Security Vision 5. Обновление направлено на повышение точности обнаружения киберугроз, снижение нагрузки на аналитиков и укрепление стратегической составляющей кибербезопасности в условиях растущей сложности атак.

Одной из ключевых доработок стало усовершенствование движка second match — механизма вторичной корреляции индикаторов компрометации (IoC). Теперь система сопоставляет полученные сигналы не только с внутренними источниками данных (SIEM, IDS, VM), но и с контекстом, накопленным в течение времени. Это позволяет фильтровать ложноположительные срабатывания, снижая количество «шума» и ускоряя процесс триажа инцидентов. 

Важным дополнением стало внедрение собственного пакета фидов от Security Vision, содержащего около 50 тысяч индикаторов в день. Доступ к этим данным предоставляется бесплатно — без ограничений по количеству запросов через API или веб-интерфейс. В пакет включены данные из российских источников: Банка данных угроз ФСТЭК, НКЦКИ и ФинЦЕРТ, что позволяет организациям, работающим в российском сегменте, оперативно адаптировать свои системы защиты к локальным угрозам — включая тренды, характерные для атак на госструктуры, финтех и критическую инфраструктуру.

В новой версии Threat Intelligence Platform добавлена поддержка более десятка новых источников киберразведки. Эти дополнения расширяют охват индикаторов угроз и улучшают качество анализа, а также повышают удобство взаимодействия с платформой для пользователей.

Для принятия стратегических решений в TIP много внимания уделяется работе с бюллетенями. Они помогают выявить тренды и спланировать стратегию защиты инфраструктуры, предоставляя оперативную информацию для аналитиков о новых угрозах с описанием индикаторов компрометации (хэши вредоносных файлов, подозрительные IP-адреса и домены, вредоносные URL-адреса), тактик, техник и процедур по методологии MITRE (т.е. как именно действует злоумышленник и что применяет для своих нелегитимных действий), оценки воздействия и рекомендации по реагированию. В продукте продолжает развиваться реализация автоматической интеграции и получения бюллетеней от отдельных поставщиков и агрегаторов. ML-модели позволяют автоматически провести обработку бюллетеней и связку их с индикаторами конкретного обнаружения с возможностью просмотра из карточки инцидента или из графа расследования.

Кроме того, оптимизирован аналитический движок match для стабильной работы при нагрузке до 100 тысяч событий в секунду (EPS). Также добавлена поддержка агентской модели сбора данных — возможность развертывания специализированных агентов на высоконагруженных серверах или серверах-коллекторах, что распределяет нагрузку и повышает эффективность обработки крупных потоков информации.