Спецпроекты

Безопасность Администратору

«СКДПУ НТ» компании «Айти бастион» теперь может реагировать на инциденты безопасности

В продукте «СКДПУ НТ мониторинг и аналитика», который входит в комплекс «СКДПУ НТ», появилась функция реагирования на инциденты. Об этом CNews сообщил представитель компании «Айти бастион».

С расширением линейки продуктов компания «Айти бастион» реализовала возможности по аналитике событий внутри сессий удаленного доступа и определению инцидентов информационной безопасности на основе поведенческих моделей в действиях пользователей.

Следующим шагом стало оперативное реагирование на уже выявленные инциденты и увеличение скорости реакции на них в автоматическом режиме.

Технологически это выглядит следующим образом: продукт фиксирует инцидент в массиве полученных из сессий «сырых» данных. В случае обнаружения критичного инцидента, заданного условиями, система передает его на обработку специальному скрипту. Далее скрипт на основе полученных данных и заданного алгоритма обработки инцидента осуществляет дальнейшее взаимодействие с внешними системами средствами взаимодействия через их встроенные API. Внешними системами могут быть как решения классов SOAR/IRP или другое активное оборудование, так и непосредственно часть комплекса «СКДПУ НТ», а именно шлюз доступа, где была зафиксирована аномальная активность.

Реакции на инцидент могут быть выбраны и изменены заказчиком под любой доступный сценарий в рамках возможностей API внешнего сервиса. К примеру, при взаимодействии с «СКДПУ НТ шлюз доступа» это могут быть: закрытия сессии, блокировки пользователя, смена пароля, отзыва его разрешения на доступ и другие сценарии.

«Это тот функционал, который, несомненно, будет востребован у эксплуатирующих продукт заказчиков. Реагировать на паттерны все умеют давно, а определять инциденты и реагировать на них это на порядок сложнее. Теперь наш продукт «СКДПУ НТ мониторинг и аналитика» не только умный, но и сильный», – сказал технический директор «Айти бастион» Дмитрий Михеев.

Короткая ссылка