Как развиваются отечественные ИБ-платформы
Недавно Security Vision объявила о масштабных обновлениях систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5. Мы объединили информацию об этих обновлениях в единую статью, в которой подробно расскажем, в чем они заключаются и как повышают уровень обеспечения информационной безопасности в компании.
Security Vision Threat Intelligence Platform (TIP)
Security Vision Threat Intelligence Platform (TIP) — обновленный продукт компании Security Vision. Для чего же нужно это решение, что оно собой представляет и какие возможности дает бизнесу? Давайте разбираться.
Для чего нужна TIP?
С каждым годом все больше процессов в компаниях переносится в виртуальную область, как следствие, растет и количество угроз, связанных с неправомерным доступом к информации. Современные организации начинают формировать гораздо больший цифровой след, поэтому средства обеспечения информационной безопасности также должны эволюционировать. Необходимо анализировать риски компании, исследовать источники угроз и индикаторы атак, контролировать присутствие признаков компрометации в своей инфраструктуре, выстраивая таким образом собственный уникальный ландшафт угроз.
Threat Intelligence Platform — это класс автоматизированных систем, которые на основании данных об угрозах (это могут быть IOC, IOA, TTP и т.д.) генерируют в реальном времени обнаружения подозрительной активности в инфраструктуре Заказчика, проводят обогащение индикаторов и обнаруженных инцидентов, интегрируются с инфраструктурой Заказчика и средствами защиты, обеспечивают ситуационную осведомленность.
Рынок решений, предназначенных для анализа угроз и киберразведки, — быстрорастущий и развивающийся. Представленные на рынке TI-решения отличаются друг от друга в том числе покрытием уровней данных, которыми они оперируют. В российском сегменте TI традиционно делится на четыре основных уровня: технический, тактический, операционный и стратегический. До появления TIP системы класса SOAR или IRP обращались к фидам, чтобы проверить уже сформированный по внутренним правилам инцидент на причастность к скомпрометированным индикаторам (IoC).
С появлением TIP стало возможно формировать инциденты на основании выявленных во внутренней инфраструктуре индикаторов компрометации. Появилась возможность выстраивать связи между инцидентами, индикаторами атак (IoA) и прочими видами угроз. Наконец, начала накапливаться и систематизироваться информация о техниках и тактиках атак злоумышленников, стал возможен ретро-анализ.
ТIP взаимодействует с другими средствами защиты информации, объектами инфраструктуры и внешними сервисами. Он обращается к поставщикам фидов и аналитическим сервисам за IoC, IoA, угрозами, информацией о злоумышленниках и вредоносном ПО, уязвимостями, бюллетенями. Информация о событиях для матчинга собирается из первичных источников (Web Proxy, Linux-сервер, Windows-сервер, NGFW), Data Lake и DB (Apache Kafka, PostgreSQL, MS SQL), SIEM, EDR и др.
Данные об инцидентах и индикаторах могут в автоматическом или ручном режиме передаваться в SIEM, SOAR/IRP, NGFW и др. В программном продукте TIP от компании Security Vision разработан функционал, покрывающий потребности каждого уровня TI. Решение помогает искать признаки атак на основе поведенческих индикаторов и выстраивать в долгосрочной перспективе стратегию информационной безопасности предприятия с учетом актуальных угроз и рисков.
TIP базируется на единой платформе Security Vision. Заказчикам доступны все преимущества платформы, в том числе широкие возможности кастомизации. Решение полностью параметрическое, и, чтобы создать новый коннектор, отчет или дашборд, не требуются услуги программиста: всё настраивается через пользовательский интерфейс с соответствующими административными правами.
При внедрении у заказчика платформы Security Vision TIP возможна установка всех компонент на один виртуальный сервер или разнесение компонент по разным серверам для балансировки нагрузки. Архитектура системы поддерживает полную отказоустойчивость всех компонент. Платформа не требует прямого доступа в Интернет, взаимодействие с поставщиками фидов и внешними аналитическими сервисами возможно через специальную выделенную компоненту, расположенную в сегменте DMZ.
Для всех компонент платформы поддерживается работа на любой из ОС: MS Windows, Ubuntu, CentOS, RedHat, Oracle Linux, Альт Линукс, Astra CE «Орел», Astra SE «Смоленск», «Воронеж», «Орел». В качестве СУБД используются PostgreSQL, Postgres Pro или Microsoft SQL Server.
Загрузка данных
Security Vision TIP поддерживает загрузку неограниченного количества разнообразных TI-источников (фидов). Например, список подозрительных IP-адресов за последний месяц или атрибуция злоумышленников, APT-атак и вредоносного ПО и т.п.
В базовой поставке уже реализована интеграция с наиболее популярными сервисами, предоставляющими различные индикаторы компрометации. В их числе есть российские поставщики фидов (Kaspersky, Group IB, BI.ZONE, RSTCloud), публичные платформы (Alien Vault, MISP, GitHub), популярные open source фиды (Feodo Tracker, Digital Side, URL Haus и др.), универсальные коннекторы к STIXII и другим распространенным форматам.
Кроме индикаторов компрометации, в систему загружаются индикаторы атак, источники угроз и другие дополнительные атрибуты, получаемые как от поставщиков фидов, так и от специализированных внешних сервисов.
Система позволяет добавить самостоятельно любой источник индикаторов, использующий как стандартный формат (MISP, STIX2 и др.), так и уникальный проприетарный формат. Для каждого источника и фида пользователь может задать произвольный фильтр для отбора загружаемых данных.
Для каждой загрузки данных можно настроить индивидуальное расписание как по поставщику, так и по каждому фиду
Выгрузка данных по API
В платформе TIP присутствует возможность выгрузки данных через API, которая работает по стандартным механизмам REST/JSON по HTTP/HTTPS. Возможна выгрузка данных как по IoC (например, для обогащения инцидентов во внешних системах IRP, SOAR, SIEM, системы управления активами и др.), так и по обнаружениям и любым другим объектам системы (IoA, источники угроз, уязвимости, бюллетени и др.). Также через API можно создавать новые индикаторы в TIP.
По каждому фиду пользователи системы могут посмотреть и отредактировать информацию об IOC, поставщику, оценках доверия источнику, TLP и др.
Список индикаторов
В платформе TIP от Security Vision индикаторы можно просмотреть в виде общего списка или сгруппированных по типам, критичности, обнаружении в инфраструктуре и т.п. Для удобства поиска нужных индикаторов в системе реализованы три варианта:
- полнотекстовый поиск — ищет значение по отображаемым атрибутам IOC;
- быстрый поиск по выбранному атрибуту;
- Общий поиск — сложный фильтр, с неограниченным количеством уровней вложенности условий по различным атрибутам IOC.
Пользователь может сохранить настроенный фильтр для его повторного использования. Над отобранным индикаторами пользователь может выполнить преднастроенные массовые операции, пометить их как False-Positive, отправить в NGFW и др. Также есть возможность создать произвольную массовую операцию, например, по изменению атрибутов у выбранных IOC или отправке их во внешнюю систему.
По каждому индикатору можно просмотреть детальную информацию, в которой отображены:
- даты обнаружения (в т.ч. в инфраструктуре заказчика);
- геоданные индикатора;
- статус жизненного цикла;
- оценки (доверия, критичности, TLP и др.);
- связи с индикаторами IOC и IOA, MITRE ATT&CK, отрасли, категории, этапы kill chain;
- стратегическая атрибуция — связанное вредоносное ПО, злоумышленники, угрозы, уязвимости;
- информация от аналитических сервисов;
- информация по обнаружениям;
- «сырые» данные по индикатору от поставщика (JSON);
- история изменений индикатора.
Информация от разных поставщиков автоматически дедуплицируется в карточке IOC, пользователь может задать гибкие настройки по приоритетности поставщиков и объединению получаемых данных.
По каждому индикатору можно выполнить определенный набор преднастроенных действий, например, отредактировать значения индикатора, добавить в избранное, выгрузить в формате STIXII и др.
Данный набор может быть расширен иными действиями через соответствующий конструктор системы.
В специальном разделе Аналитика в графическом виде для каждого индикатора пользователь может проанализировать связи с другими индикаторами/IOA/источниками угроз, провести обогащение IOC из внешних аналитических сервисов, выполнить действия как над самим индикатором, так и над связанными объектами.
На карточке индикатора есть возможность выгрузить преднастроенный отчет в стандартном формате (PDF, Word, Excel, ODS, ODT и др.), содержащий всю необходимую информацию по индикатору. Пользователь может скорректировать формат отчета через конструктор, доступный в платформе и работающий по принципу no-code.
В системе реализован жизненный цикл индикатора, которым пользователь может управлять как вручную, так и автоматически, задавая параметры активности и присутствия в системе по каждому типу индикатора через специальные настройки.
Скоринг
По умолчанию TIP доверяет скоринговым оценкам, выданным индикатору поставщиком. Для случаев, когда индикатор поступает от поставщика без оценки критичности, компания Security Vision разработала собственную модель расчета критичности индикаторов компрометации, которая в том числе учитывает факторы достоверности, значимости категории и актуальности индикатора.
Белый список
В процессе анализа угроз может возникнуть необходимость внесения определенных исключений в процесс обнаружения, чтобы исключить легитимную деятельность пользователя, инфраструктуры Заказчика или доверенных источников и тем самым сократить количество False-Positive. В платформе TIP исключения можно заводить в специальном «белом списке», в котором указываются диапазоны IP-адресов, части доменов и URL.
Процесс обнаружения
Основной функционал платформы — поиск индикаторов компрометации в инфраструктуре и, в случае их обнаружения, создание инцидентов. Для эффективной и полной работы необходимо подключение к системе потоков событий от максимального количества первичных источников из инфраструктуры Заказчика: сетевой трафик, события с серверов и рабочих станций, почтовый трафик, логи с Web и прокси серверов и др.
В Security Vision TIP реализованы следующие механизмы получения событий для обнаружения подозрительной активности:
- прием потока данных по TCP/UDP;
- обращение к API внешних систем;
- выполнение запросов в БД/DataLake.
В Платформе реализованы преднастроенные коннекторы для получения событий из всех популярных SIEM-систем (MaxPatrol SIEM, Kaspersky KUMA, IBM QRadar SIEM, Microfocus ArcSight, и др.), NGFW (Cisco, Checkpoint, Juniper, F5 и др.), прокси серверов (Squid, BlueCoat и др.), почтовых серверов (в т.ч. анализ почтовых сообщений), Windows/Linux серверов, очередей событий Kafka/RabbitMQ и др.
Также настроен универсальный прием потока данных по стандартным форматам: Syslog, CEF, LEEF, EBLEM, Event log.
Оптимизированный Matching
В Security Vision TIP используется собственный движок оптимизированного мэтчинга, который позволяет выполнять обнаружения на больших потоках данных с внушительной базой IoC. Система стабильно отрабатывала на 100 000 EPS, при наличии более 10 миллионов индикаторов.
В решении используется оптимизированный алгоритм работы по IoC типа «Маска», поставляемых, например, компанией Kaspersky.
Ретро-поиск
Очень полезная функция Security Vision TIP — ретро-поиск. Система в оптимизированном виде хранит данные, полученные из смежных систем за большой период времени (например, за месяц или квартал — задается настройкой в системе), и новые индикаторы компрометации сопоставляются с событиями, которые были в прошлом. Таким образом, можно увидеть, какие объекты внутренней инфраструктуры подвергались опасности до того, как появилась информация об угрозе. Можно настроить расписание и проводить ретро-анализ в автоматическом режиме, например, ночью, когда нагрузка на систему минимальна.
DGA / Фишинг
Важной функциональностью Security Vision TIP является эвристический движок, который с помощью различных ML-моделей позволяет автоматически выявлять в инфраструктуре Заказчика подозрительные доменные имена или URL, сгенерированные с использованием Domain Generation Algorithm (DGA) или мимикрирующие под общеизвестные домены.
По результатам выявленных сработок в системе автоматически создаются инциденты — обнаружения, в которых накапливается полученная информация от источника событий, индикаторов и «движка» системы:
- даты обнаружений в инфраструктуре и критичность;
- статус жизненного цикла и данные по обработке обнаружения (ответственный, дата взятия в работу и пр.);
- ключевые характеристики «сработавших» индикаторов и «движков» (типы, категории, тэги и др.);
- список сработавших индикаторов с возможностью перехода на карточку индикатора;
- задействованные активы (хосты, учетные записи, почтовые адреса, вложения);
- результаты выполненных действий при расследовании/обработке обнаружения;
- организации, в которых было выявлено данное обнаружение;
- ID событий из источника (например, в SIEM-системе) и общее количество событий;
- «сырые» данные по событию от первоисточника;
- история изменений данных обнаружения;
- чат для обеспечения взаимодействия сотрудников, участвующих в расследовании/обработке обнаружения;
- ссылки на созданные инциденты во внешних системах (IRP, SOAR, SIEM).
В системе для обнаружений реализован жизненный цикл, по которому каждое обнаружение проходит ряд автоматизированных и ручных этапов в ходе расследования и обработки. Например, при создании или изменении обнаружения все «сработавшие» индикаторы автоматически обогащаются из внешних аналитических сервисов, а по всем участвующим активам собирается информация из внутренней инфраструктуры. Таким образом, пользователь при начале работы с обнаружением сразу получает максимально полную информацию по инциденту и задействованной инфраструктуре.
Пока обнаружение не закрыто, в него автоматически добавляется и агрегируется вся новая информация, выявленная по новым «сработкам», проводится дедупликация данных. Пользователь получает сгруппированный набор событий, которые должны расследоваться и обрабатываться как единый инцидент.
При работе с обнаружением пользователь имеет ряд преднастроенных действий для обработки обнаружения и взаимодействия с внешними системами и задействованными активами. Примеры реализованных в системе действий:
- отправка данных в IRP, SIEM, SOAR;
- сбор данных по хостам, учетным записям, процессам, сервисам, сессиям и др.;
- реагирование на инцидент: блокировка учетных записей, отключение хостов, блокировка почтовых аккаунтов;
- проверка вложений во внутренних и внешних «песочницах»;
- получение данных по активам из CMDB-систем (MaxPatrol VM и др.);
- отправка в блок-листы NGFW.
По всем действиям есть возможность настройки пользователем их выполнения как в ручном, так и в автоматическом режиме. Набор действий можно расширять через конструктор, доступный в платформе и работающий в режиме no-code.
В блоке Аналитика пользователь может проводить расследование и анализ обнаружения в графическом виде. Данные представлены в виде графа, на котором отображаются:
- все индикаторы, связанные с обнаружением;
- IOA и источники угроз;
- задействованные активы;
- дополнительная атрибуция (например, MITRE ATT&CK, уязвимости и др.).
Пользователь может на графе проводить анализ связей, выполнять действия над активами и индикаторами, открывать карточки объектов.
На карточке обнаружения есть возможность выгрузить преднастроенный отчет в стандартном формате (PDF, Word, Excel, ODS, ODT и др.), содержащий всю историю обработки и данные по обнаружению. Пользователь может скорректировать формат отчета через конструктор, доступный в платформе и работающий по принципу no-code.
Уязвимости
Многие вендоры, как отечественные, так и зарубежные, предоставляют актуальную информацию о выявленных уязвимостях. Это могут быть уязвимости программного обеспечения, операционных систем и даже аппаратные уязвимости. В TIP реализована интеграция с наиболее известными поставщиками и базами уязвимостей, например: NVD NIST, БДУ ФСТЭК, НКЦКИ, Group IB, Kaspersky.
Описание уязвимостей дает дополнительный контекст индикатору компрометации. Система отражает в карточке уязвимости информацию, автоматически агрегированную из всех баз знаний с проведением дедупликации. Загружаются не только сама информация о выявленной уязвимости, но и оценка критичности этой уязвимости, декомпозированный вектор и даже описательная часть, касающаяся митигирующих действий, со ссылками на внешние ресурсы. Такой подход позволяет вовремя среагировать и перепроверить наличие этой уязвимости у себя на периметре, выполнить действия по митигации, связать уязвимость с выявленными обнаружениями подозрительной активности в инфраструктуре. Исключение уязвимости уменьшает вероятность атаки и критичность угрозы.
Из карточки уязвимости пользователь может выгрузить отчет в стандартном формате, содержащий всю существенную информацию по уязвимости.
Бюллетени
В Security Vision TIP реализована работа с бюллетенями — документами, выпускаемыми разово или периодически и содержащими результаты исследований аналитического центра по отдельной проблеме/угрозе/атаке/группировке и пр. или сводную информацию за определенный период. Бюллетень может содержать описание уязвимостей, новейших угроз и способов противодействия противоправному доступу к данным. Бюллетени формируются организациями, обладающими экспертизой в области аналитики и реагирования на компьютерные атаки, такими как НКЦКИ, ФинЦЕРТ (Банк России), Group-IB и др. В системе реализованы преднастроенные коннекторы для автоматизированного получения бюллетеней от поставщиков, а также возможность создания бюллетеня вручную.
IOA
Помимо информации о низкоуровневых индикаторах компрометации, таких как IP, домены, хэши и др., модель данных Security Vision TIP включает в себя индикаторы атак, например, ключи реестра, вредоносные процессы и JARM (инструмент активного фингерпринтинга, позволяющий идентифицировать вредоносный сервер) и др. В системе настроены готовые коннекторы для получения IOA от поставщиков и из общедоступных/open-source источников и связки IOA с индикаторами компрометации. Информация из индикаторов атаки используется для обогащения (обеспечения расширенного контекста) индикаторов компрометации.
MITRE ATT&CK
Функционал Security Vision TIP обеспечивает работу с базой знаний техник MITRE ATT&CK, ее автоматическую поддержку её в актуальном состоянии по всем основным разделам: описание тактик, техник и субтехник, атак, хакерского инструментария и хакерских группировок, способов противодействия несанкционированному доступу к данным. Индикаторы атаки связаны c индикаторами компрометации через данные MITRE ATT&CK, что позволяет более эффективно расследовать инциденты, связанные с обнаружением угроз.
Атрибуция
Стратегический уровень управления информационной безопасностью представлен в TIP от Security Vision механизмом атрибуции таких типов данных, как злоумышленники, вредоносное программное обеспечение и угрозы. Взаимодействие этих трех типов данных позволяет получить наиболее полную картину потенциальных опасностей, их критичности, уровня развития и распространения.
Оповещения
По всем новым и отслеживаемым индикаторам, выявленным обнаружениям и изменению их статуса, изменений жизненных циклов пользователи платформы Security Vision TIP могут получать оповещения с указанием деталей нового объекта, его изменений, а также ссылки на карточку объекта. При большом количестве сработавших объектов данные автоматически агрегируются в рамках единого оповещения. В системе преднастроены каналы оповещений, такие как электронная почта, Telegram-канал, файловый сетевой ресурс и др. Пользователи могут как проводить настройки по типам оповещений, так и добавлять собственные фильтры по каждому набору отслеживаемых объектов, а также настраивать иные каналы отправки оповещений через встроенные конструкторы платформы.
Ролевая модель
Решение поддерживает ролевую модель, когда пользователю в зависимости от назначенной роли доступен тот или иной функционал системы, а также ограниченный доступ к данным и действиям. В поставку платформы включено несколько преднастроенных ролей. Для каждой роли настроен свой набор действий, доступных данных, отчетов и дашбордов, а также свои настройки меню и отображения. Пользователю можно назначить несколько ролей, в этом случае у пользователя будут полномочия всех назначенных ему ролей.
При необходимости можно создать неограниченный набор ролей и задать для каждой роли свои настройки доступности по каждому объекту системы. Все настройки выполняются через конструктор, входящий в платформу.
Интерфейс
TIP от Security Vision поддерживает работу в светлой и темной темах для всего используемого интерфейса платформы. Данные настройки задаются индивидуально для каждого пользователя.
Также реализована «мультиязычность» — интерфейс системы поддерживает использование нескольких языков как базовых для всей системы, а также индивидуально настроенных под конкретных пользователей (в базовый комплект поставки включены русский и английский языки).
Дашборды
В платформу Security Vision TIP включены несколько преднастроенных дашбордов, отображающих ключевую информацию по обнаружениям, индикаторам и другим данным системы в операционном, аналитическом и стратегическом разрезах.
Все дашборды автоматически обновляются и являются интерактивными: пользователь может «провалиться» в необходимой срез данных и увидеть источник для расчета того или иного показателя. Например, при клике на критичные индикаторы в круговой диаграмме откроется представление со списком всех критичных индикаторов, активных в системе. А при нажатии на обнаружения со статусом «Новый» в отдельном списке отобразится перечень все новых инцидентов, еще не принятых в работу.
Также пользователь может изменить анализируемый период для каждого дашборда — ключевые параметры вынесены как входные данные для всех отображаемых элементов, с возможностью корректировать их значения по умолчанию из общего интерфейса дашборда.
Для наглядного отслеживания в реальном времени географии обнаружений в платформе Security Vision TIP реализована графическая карта, на которой отображаются: сработавшие индикаторы и связанные с ними территориальные офисы заказчика, в которых были выявлены обнаружения; новые индикаторы с привязкой к их географическому местоположению. Вся информация интерактивна: она обновляется при изменении данных в системе, а при клике на IOC/обнаружение открывается карточка с детализацией.
Редактор дашбордов
В платформе Security Vision TIP реализован встроенный редактор дашбордов и отображаемых виджетов, он не требует навыков программирования и работает в режиме no-code.
Пользователь через интерфейс системы может создавать и редактировать источники данных (с возможностью сложной фильтрации, отбора типа объектов и справочных данных, их связки и группировки, определения входных параметров, настройки формул расчета), отображение данных (круговая диаграмма, столбчатая диаграмма, линейный график, таблица и многие другие), стили, действия (drill-down и др.), расположение в дашборде с возможностью устанавливать любые размеры для каждого элемента и много других настроек и функциональности, позволяющей настраивать дашборды с любой степенью сложности и интерактивностью.
Отчеты
В решение TIP от Security Vision включены преднастроенные отчеты, позволяющие выгружать данные как по отдельным объектам системы — индикаторам, обнаружениям, уязвимостям и др., так и сводные отчеты, которые содержат консолидированную информацию по всем данным за период и отдельно по каждому разрезу платформы TIP.
Консолидированные отчеты могут быть выгружены пользователем вручную через специальный раздел интерфейса платформы, где можно выбрать формат выгружаемого отчета (Docx, Pdf, Xlsx, Ods, Odt, Txt) и, при необходимости, скорректировать входные параметры для генерации отчета (например, период, за который выгружаются данные).
Также в системе существует функционал автоматической рассылки отчетов по расписанию по разным каналам и адресатам: электронная почта, Telegram, Файл-сервер, базы данных, внешние API и др.
Пользователи платформы Security Vision TIP могут самостоятельно создавать новые шаблоны отчетов через встроенный редактор, функционал которого аналогичен редактору дашбордов (с дополнительными специфичными настройками для каждого формата отчета), не требующий навыков программирования и работающий в режиме no-code.
В заключение отметим, что TIP от компании Security Vision соответствует идеологии технологического суверенитета, являясь полностью отечественным продуктом.
Security Vision SGRC (Security Governance, Risk, Compliance)
Существенно расширен функционал следующих модулей направления SGRC: модуля управления рисками информационной безопасности, модуля управления аудитами и модуля соответствия стандартам и нормативным актам. Данные продукты позволяют организовать процессы оценки рисков на основе моделирования угроз, проведения аудитов и проверки на соответствие различным стандартам, список которых основан на внутренних и общепринятых (ГОСТ, ISO/МЭК) методиках. В процессе настройки системы отдельные действия можно автоматизировать, для этого внешние источники данных и системы обработки заявок подключаются к платформе при помощи коннекторов, которые без ограничений можно создавать непосредственно в рамках графического интерфейса, без использования языков программирования и привлечения представителей разработчика.
Значительно усовершенствованы движки всех модулей. Увеличены количество и глубина интеграций с другими системами. Встроенный конструктор коннекторов позволяет обеспечить интеграцию с любой (даже самописной) системой при помощи универсальных инструментов:
- API (HTTP-запросы);
- скрипты (PowerShell, SSH);
- файлов в режиме чтение/запись (машиночитаемых файлов, в т.ч. XML/JSON любых объёмов за счёт параллельной обработки фрагментов);
и проприетарных протоколов, включая:
- Kafka.
Улучшены средства представления больших и сложных данных: расширены возможности визуализации (виджет на временной шкале), добавлены новые интерактивные инструменты наблюдения, обновлен встроенный BI-движок для создания виджетов любого количества для анализа и расследования.
Укреплена целостность системы и всех данных вне зависимости от содержания: единые инсталлятор и платформа обеспечивают любые взаимосвязи объектов (контролей, активов, рисков и мер защиты), позволяют проводить сквозную аналитику и обеспечивать связь с технологическими модулями Security Vision (управление активами, уязвимостями, инцидентами, анализ угроз и киберразведка) и данными в них.
Кастомизация, включая формирование новых дашбордов и шаблонов выгружаемых отчётов, проводится в уже установленной системе и не требует выпуска отдельных версий продукта, что обеспечивает скорость внедрения, когда заказчику необходимо изменить логику работы под собственные требования и методики.
Логика работы модуля управления рисками кибербезопасности включает:
- Ведение различных справочников и баз объектов. Разрабатываются и наполняются содержимым ИТ-активы, их объединения в информационные системы и объекты воздействия, списки угроз, способов их реализации и применяемых мер защиты, а также потенциал нарушителей.
- Актуализацию модели угроз, например, результатов моделирования угроз согласно методике ФСТЭК и официального сайта БДУ. Моделирование угроз можно провести по любой методике, специфичной для отрасли или конкретного заказчика, для этого при помощи встроенных конструкторов через UI создаются новые шаблоны или модифицируются текущие.
- Инициирование процесса оценки риска. Риск-менеджер, запуская данный процесс, определяет рабочую группу, включает в неё экспертов, инженеров для обработки задач, пользователей для согласования и утверждения. Каждый пользователь получает права согласно ролевой модели.
- Заполнение опросных листов. Для упрощения применяются справочники, сформированные на первом этапе, используются коннекторы к внешним системам, файлам и базам данных, где содержатся полезные сведения.
- Математические преобразования. Методика качественной оценки рисков «из коробки» может быть адаптирована уже в процессе внедрения и эксплуатации. Применение математических формул и построение процессов в виде блок-схем позволяют реализовать процессы любой сложности, они могут быть циклическими и «ветвистыми» (иметь разные варианты и алгоритмы в зависимости от условий).
- Обработку рисков, включающая ведение отдельных задач и их приоритизацию для исполнителей. В зависимости от критичности активов, обнаруженных уязвимостей и других параметров можно определить логику назначения SLA для всех задач.
Цикличность процесса и переопределение контролей по заданному расписанию позволяет поддерживать в актуальном состоянии все метрики и задачи, связанные с оценкой рисков кибербезопасности.
Модули проведения аудитов и соответствия стандартам в зависимости от конкретных методик, требований ГОСТ, ISO/МЭК содержат отдельные преднастроенные справочники, но в общем случае включают в себя:
- запуск рабочих процессов для отдельных процедур аудита;
- заполнение опросных листов с вовлечением в процесс необходимых участников;
- оценка реализации мер;
- создание задач на устранение замечаний;
- запуск процессов устранения и формирование отчётности с закрытием аудита.
Описания объектов (аудитов, процедур, характеристик ИС) включают десятки параметров с возможностью без ограничений по количеству создания новых параметров, полей ввода, прикрепления внешних файлов и свидетельств.
Аудит информационной безопасности объектов критической информационной инфраструктуры (КИИ) основывается на Постановлении Правительства РФ № 127 и Приказах ФСТЭК России № 235, 236 и 239 и включает:
- инициализация процедуры категорирования для различных ИС, определение параметров значимости объектов КИИ (ОКИИ);
- определение категории и мер защиты с различными параметрами (описание, технологии, реализации);
- запуск процесса оценки соответствия согласно требованиям регулятора, указанным выше;
- выявление несоответствий и формирование плана контрольных мероприятий с указанием сроков, приоритета.
Выполнение мероприятий и переход на повторную оценку позволяют организовать циклический процесс и поддержку данных в актуальном состоянии. Также предусмотрена возможность ведения запросов регулятора и связанных с ними задач.
Security Vision IRP/SOAR
В новой версии продукта реализованы уникальные методы расследования и реагирования на инциденты ИБ на основе технологии динамических плейбуков, а все этапы обработки инцидентов максимально автоматизированы.
Наиболее значимые возможности
Классификация инцидента. Security Vision IRP/SOAR автоматически классифицирует инцидент, связывая его с техниками и тактиками матрицы MITRE ATT&CK. Система может классифицировать более 250 типов инцидентов и событий ИБ, присваивая им более 110 различных техник и тактик. Встроенный в систему пакет экспертизы подробно описывает набор рекомендаций для аналитика ИБ по анализу, сдерживанию и реагированию по каждой выявленной технике.
Реагирование. Security Vision IRP/SOAR на основе технологии динамических плейбуков «на лету» собирает процесс реагирования, адаптированный под выявленную атаку и задействованную инфраструктуру. На основе техник и тактик MITRE, «сырых» данных в окрестностях инцидента, результата ретроспективного анализа, данных внешних аналитических сервисов и внутренней экспертизы система выстраивает динамический плейбук. Он собирается из более чем 150 различных действий и атомарных сценариев реагирования. При этом Security Vision IRP/SOAR умеет контролировать легитимность выполнения автоматизированных действий, учитывая специфику инфраструктуры заказчика: его конфиденциальность, разрешения, сегментацию и топологию.
Kill chain. Экспертный движок Security Vision IRP/SOAR автоматически выстраивает kill chain атаки из событий и инцидентов за счет анализа скрытых взаимосвязей. Анализируемые события и инциденты могут быть получены как от SIEM систем и Data Lake (Kafka, Hadoop, Elasticsearch и др.), так и напрямую от конечных устройств инфраструктуры заказчика с применением встроенных в продукт механизмов корреляции и группировки данных. Дополнительно в продукт встроен пакет экспертизы на основе sigma-правил, который позволяет обнаружить все затронутые элементы инфраструктуры, расширить и определить ландшафт атаки.
Граф расследования и реагирования. Security Vision IRP/SOAR умеет представлять инциденты и события в виде графа, функционал которого позволяет выстроить неочевидные связи, напрямую провести глубокую аналитику (через обогащение и sigma запросы), выполнить расследование и реагирование, выбирая конкретные действия. Исходя из необходимости, применяются контрмеры, меры сдерживания и цифровая криминалистика. На каждом шаге расследования пользователь видит ключевые связи и атрибуты, что позволяет выстроить полную картину инцидента.
Интеграции
В Security Vision IRP/SOAR реализовано большое количество (более 150) встроенных коннекторов для интеграции со всеми популярными SIEM системами (MaxPatrol SIEM, KUMA, Pangeo RADAR, RuSIEM, NEURODAT SIEM, ArcSight SIEM, QRadar, Splunk и др.), с инфраструктурой заказчика, в том числе с конечными устройствами (Windows/Linux системы), СЗИ (NGFW, DLP, Антивирусы, EDR, песочницы). Кроме того, Security Vision IRP/SOAR предлагает расширенное количество (более 30) встроенных интеграций с аналитическими сервисами (как внешними, так и внутренними), которые позволяют собрать всю необходимую информацию по атрибутам инцидента, требуемую для расследования. Security Vision IRP/SOAR умеет работать с разнообразными типами данных, унифицируя их и получая нормализованный результат.
Встроенные в платформу конструкторы интеграций позволяют в режиме no-code быстро реализовывать дополнительные интеграции с любыми новыми или уникальными системами заказчиков, расширяя возможности расследования, реагирования и действий, которые можно производить над объектами инфраструктуры заказчика.
Также в продукте есть встроенные механизмы интеграции с НКЦКИ и ФинЦЕРТ.
При сборе данных об инциденте и задействованной инфраструктуре, проведении реагирования на инцидент и события ИБ продукт использует безагентский метод работы, не требующий установки каких-либо дополнительных компонент на конечные устройства, Windows/Linux сервера и рабочие станции.
Гибкая ролевая модель
Для управления процессом расследования инцидентов в продукте реализована гибкая ролевая модель, позволяющая при проведении расследования разграничивать доступ к каждому полю и атрибуту инцидента и события ИБ. Процесс расследования содержит большое количество настроек, позволяющих адаптировать его как для небольших групп, работающих над расследованием инцидентов, так и для крупных SOC центров, с гибкой настройкой применяемых уровней реагирования (L1, L2, L3), эскалации, post-анализа и интеграции с внешними Service Desk’ами заказчика. Продукт поддерживает работу в режиме multitenancy, а также может применяться по модели MSSPP.
Нативная интеграция с линейкой продуктов Security Vision
Продукт работает еще эффективнее за счет нативной интеграции с линейкой продуктов Security Vision и совместного использования с модулями TIP, UEBA, CMDB, Vulnerability management, SGRC. Экосистема продуктов Security Vision позволяет комплексно закрыть все направления информационной безопасности в организации.
Процесс и автоматизация
Суммарно в продукте реализованы и максимально автоматизированы все этапы обработки инцидентов.
Security Vision UEBA и Security Vision Anomaly Detection
Security Vision UEBA автоматически выстраивает типовые модели поведения (пользователей, учетных записей, устройств, процессов и др.) и находит отклонения, анализируя сырые потоки данных по сетевому трафику, прокси-серверов, почтовых серверов, Windows/Linux серверов и рабочих станций.
Security Vision Anomaly Detection расширяет возможности выявления аномалий в корпоративной инфраструктуре, применяя большое количество разных моделей и методик Machine Learning, стекируя результаты отдельных моделей и объединяя полученные события в инциденты для дальнейшего расследования.
Наиболее значимые возможности Security Vision UEBA
Интеграция с источниками данных. Продукт Security Vision UEBA содержит настроенные коннекторы для получения, нормализации и анализа сырых данных от всех популярных SIEM систем (KUMA SIEM, MaxPatrol SIEM, Pangeo RADAR, RuSIEM, NEURODAT SIEM, ArcSight SIEM, QRadar, Splunk и др.), возможность получения событий в универсальных форматах (CEF, LEEF и др.), коннекторы к NGFW и сетевым устройствам (Cisco, CheckPoint, PaloAlto, Juniper и др.), прокси серверам (Squid, Blue Coat), «озерам данных» (Kafka, Elasticsearch), а также получение логов напрямую с Windows/Linux устройств и рабочих станций.
Встроенные в платформу конструкторы интеграций позволяют в режиме no-code быстро реализовывать дополнительные интеграции с любыми иными источниками данных по большому количеству протоколов, включая графический конструктор по нормализации получаемых данных.
Настраиваемые правила и аналитический движок. Пользователям доступно несколько десятков встроенных правил для статистического анализа различных параметров активностей пользователей, учетных записей, хостов, процессов, а также объемных показателей трафика, количества соединений и др. Функционал продукта позволяет гибко расширять и настраивать новые правила анализа, настраивать их активность, оценку и порог влияния на создание итогового инцидента.
Также в платформу встроен полноценный движок правил корреляции, используя который, можно настраивать правила любой глубины и сложности. Для примера в поставку продукта включены sigma-правила и типовые правила корреляции.
Инциденты и реагирование. Все выявленные отклонения автоматически объединяются относительно объекта сработки. При превышении заданных пороговых значений система генерирует инцидент, в котором отражена вся детальная информация об объекте инцидента, связанных объектах и всех выявленных аномальных событиях.
Для обработки инцидентов в продукте настроены автоматизированные действия: отправка в системы IRP/SOAR, отправка в SIEM, добавления в Active List’ы SIEM, добавление в листы блокировки на NGFV, блокировка в сервисе каталогов и др. Пользователь может настройками регулировать выполняемые действия: включать их выполнение автоматически или вручную, управлять их видимостью на карточке инцидента. Аналогичным образом можно управлять и оповещениями по инциденту.
Система автоматически создает отдельные объекты для всех связанных атрибутов инцидента (устройства, учетные записи и др.). По каждому объекту автоматически запускаются сбор и обогащения дополнительными данными из инфраструктуры заказчика или из внешних аналитических сервисов. Процесс сбора данных и обогащения регулируется настройками системы.
Для работы с выявленными инцидентами и связанными объектами в продукте реализованы встроенные рабочие процессы, которые управляют жизненным циклом инцидента, обогащениями, а также позволяют выполнять действия. Встроенный в платформу конструктор рабочих процессов позволяет пользователям кастомизировать необходимый процесс реагирования и настраивать взаимодействие с внешними системами.
В платформе доступны гибкие возможности по созданию и настройке дополнительных действий по реагированию, сбору и обогащению данными как полученного инцидента, так и всех связанных с ним объектов инфраструктуры заказчика или внешних систем.
Визуализация и отчетность. В карточке инцидента все выявленные события по объекту отображены в виде Timeline с соблюдением хронологии их возникновения. Большое количестве ссылок на связанные объекты (устройства, учетные записи, процессы и др.) позволяет переходить на их карточки для получения дополнительных данных и анализа.
Дополнительно все связанные объекты и атрибуты отображаются в виде графа, который позволяет выстроить связи между объектами инцидента и быстро перейти на детальную информацию по ним. Пользователь может добавлять дополнительные действия на графе для реагирования, обогащения данными или построения дополнительных связей.
Общие представления и дашборды позволяют посмотреть сводную информацию по всем выявленным объектам, в соответствии с рассчитанным рейтингом. Drill-down позволяет просмотреть детализацию по каждой группе анализа.
По каждому объекту в системе реализована возможность выгрузки отчетов, содержащих всю детальную информацию о выявленных сработках и объектах нарушений. Сводные отчеты за период могут быть выгружены вручную или получены по расписанию по различным каналам: по электронной почте, Telegram и др.
Конструктор отчетности и дашбордов, встроенный в платформу, позволяет пользователям самостоятельно настраивать требуемую отчетность и визуализацию данных в режиме no-code без использования каких-либо внешних продуктов и тулов.
Наиболее значимые возможности Security Vision Anomaly Detection
В дополнение ко всем указанным выше возможностям пользователь получает большое количество преднастроенных и обученных моделей Machine Learning, которые существенно расширяют возможности по детекту аномальных и подозрительных действий в корпоративной инфраструктуре, не выявляемых правилами корреляции и функционалом стандартных СЗИ.
В продукте применяются различные методики ML, обученные модели на различных датасетах, связанных с активностью ботнетов, ВПО, DDOS атак и др., модели «без учителя», автоматически апроксимирующих активности и выявляющих отклонения по различным комбинациям параметров, нейросети, учитывающих последовательность событий и их взаимосвязи и др. Полученные в результате сработки автоматически обрабатываются, группируются в наборы событий, применяется дедупликация данных.
Применяемые в продукте модели автоматически регулярно переобучаются на данных заказчика, адаптируясь под настройки инфраструктуры, сетевую, техническую и пользовательскую активность. Используется как ручной, так и автоматический подбор параметров моделей для повышения качества выявляемых сработок.
В продукте встроены возможности применения «белых списков» для настройки исключений. Также модели автоматически учитывают сработки false-positive при последующем переобучении моделей.