Security Vision сообщает о выпуске новой версии системы IRP

В продукте реализованы уникальные методы расследования и реагирования на инциденты ИБ на основе технологии динамических плейбуков. Все этапы обработки инцидентов максимально автоматизированы.

Наиболее значимые возможности:

• Классификация инцидента

Security Vision IRP/SOAR автоматически классифицирует инцидент, связывая его с техниками и тактиками матрицы MITRE ATT&CK.  Система может классифицировать более 250 типов инцидентов и событий ИБ, присваивая им более 110 различных техник и тактик. Встроенный в систему пакет экспертизы подробно описывает набор рекомендаций для аналитика ИБ по анализу, сдерживанию и реагированию по каждой выявленной технике.

• Реагирование

Security Vision IRP/SOAR на основе технологии динамических плейбуков «на лету» собирает процесс реагирования, адаптированный под выявленную атаку и задействованную инфраструктуру. На основе техник и тактик MITRE, «сырых» данных в окрестностях инцидента, результата ретроспективного анализа, данных внешних аналитических сервисов и внутренней экспертизы система выстраивает динамический плейбук. Он собирается из более чем 150 различных действий и атомарных сценариев реагирования. При этом Security Vision IRP/SOAR умеет контролировать легитимность выполнения автоматизированных действий, учитывая специфику инфраструктуры заказчика: его конфиденциальность, разрешения, сегментацию и топологию. 

• Kill chain 

Экспертный движок Security Vision IRP/SOAR автоматически выстраивает kill chain атаки из событий и инцидентов за счет анализа скрытых взаимосвязей. Анализируемые события и инциденты могут быть получены как от SIEM систем и Data Lake (Kafka, Hadoop, Elasticsearch и др.), так и напрямую от конечных устройств инфраструктуры заказчика с применением встроенных в продукт механизмов корреляции и группировки данных. Дополнительно в продукт встроен пакет экспертизы на основе sigma-правил, который позволяет обнаружить все затронутые элементы инфраструктуры, расширить и определить ландшафт атаки.

• Граф расследования и реагирования

Security Vision IRP/SOAR умеет представлять инциденты и события в виде графа, функционал которого позволяет выстроить неочевидные связи, напрямую провести глубокую аналитику (через обогащение и sigma запросы), выполнить расследование и реагирование, выбирая конкретные действия. Исходя из необходимости, применяются контрмеры, меры сдерживания и цифровая криминалистика. На каждом шаге расследования пользователь видит ключевые связи и атрибуты, что позволяет выстроить полную картину инцидента. 

• Интеграции

В Security Vision IRP/SOAR реализовано большое количество (более 150) встроенных коннекторов для интеграции со всеми популярными SIEM системами (MaxPatrol SIEM, KUMA, Pangeo RADAR, RuSIEM, NEURODAT SIEM, ArcSight SIEM, QRadar, Splunk и др.), с инфраструктурой заказчика, в том числе с конечными устройствами (Windows/Linux системы), СЗИ (NGFW, DLP, Антивирусы, EDR, песочницы). Кроме того, Security Vision IRP/SOAR предлагает расширенное количество (более 30) встроенных интеграций с аналитическими сервисами (как внешними, так и внутренними), которые позволяют собрать всю необходимую информацию по атрибутам инцидента, требуемую для расследования. Security Vision IRP/SOAR умеет работать с разнообразными типами данных, унифицируя их и получая нормализованный результат.   

Встроенные в платформу конструкторы интеграций позволяют в режиме no-code быстро реализовывать дополнительные интеграции с любыми новыми или уникальными системами заказчиков, расширяя возможности расследования, реагирования и действий, которые можно производить над объектами инфраструктуры заказчика. 

Также в продукте есть встроенные механизмы интеграции с НКЦКИ и ФинЦЕРТ.

При сборе данных об инциденте и задействованной инфраструктуре, проведении реагирования на инцидент и события ИБ продукт использует безагентский метод работы, не требующий установки каких-либо дополнительных компонент на конечные устройства, Windows/Linux сервера и рабочие станции.

• Гибкая ролевая модель

Для управления процессом расследования инцидентов в продукте реализована гибкая ролевая модель, позволяющая при проведении расследования разграничивать доступ к каждому полю и атрибуту инцидента и события ИБ. Процесс расследования содержит большое количество настроек, позволяющих адаптировать его как для небольших групп, работающих над расследованием инцидентов, так и для крупных SOC центров, с гибкой настройкой применяемых уровней реагирования (L1, L2, L3), эскалации, post-анализа и интеграции с внешними Service Desk’ами заказчика. Продукт поддерживает работу в режиме multitenancy, а также может применяться по модели MSSPP.

• Нативная интеграция с линейкой продуктов Security Vision

Продукт работает еще эффективнее за счет нативной интеграции с линейкой продуктов Security Vision и совместного использования с модулями TIP, UEBA, CMDB, Vulnerability management, SGRC. Экосистема продуктов Security Vision позволяет комплексно закрыть все направления информационной безопасности в организации.

• Процесс и автоматизация

Суммарно в продукте реализованы и максимально автоматизированы все этапы обработки инцидентов:

1. Описание используемых инструментов инфраструктуры и принятых процессов: внутренних систем и сервисов, источников данных, СЗИ (в том числе SIEM), состава команд SOCа, SLA, полномочий сотрудников, списков исключений и прочих конфигурационных настроек.
2. Сбор данных в окрестностях инцидента напрямую с конечных устройств (NGFW, Windows/Linux серверов, систем антивирусной защиты, DLP, EDR и др.), проведение ретроспективного анализа, поиск подозрительных поведенческих индикаторов на основе sigma правил, обогащение через аналитические сервисы.
3. Классификация и анализ инцидента по матрице MITRE ATT&CK, присвоение техник и тактик, расширенная аналитика, слепок хостов, сбор цифровых свидетельств: ключей автозагрузки реестра, истории подключенных внешних устройств, истории загруженных и открытых файлов, процессов. Построение kill chain на основе собранных данных.
4. Автоматическая блокировка УЗ, вредоносных URL/Доменов/Email, изоляция хоста с учетом политик реагирования заказчика.
5. Реагирование на основе ключевых объектов, обнаруженных в связке с инцидентом: хостов (более 70 преднастроенных действий реагирования) и УЗ (более 20 преднастроенных действий), а также дополнительных объектов: процессов, URL, вредоносного ПО, почтовых адресов, уязвимостей, ПО.
6. Выполнение действий по возврату скомпрометированных хостов и УЗ в исходное состояние: разблокировка хостов, УЗ и проведение восстановления данных из бэкапа.
7. Выполнение работы над ошибками для недопущения повторения аналогичных инцидентов на основе экспертных рекомендаций.