Разработчики: | Инновационные Технологии в Бизнесе, ИТБ |
Дата премьеры системы: | 2015/12/12 |
Технологии: | ИБ - Управление информацией и событиями в системе безопасности (SIEM) |
Содержание |
Security Capsule - SIEM-cистема регистрации событий безопасности.
2024
Интеграция GigaChat
«Инновационные Технологии в Бизнесе» интегрировал нейросетевую модель GigaChat для бизнеса в свою систему мониторинга и корреляции событий информационной безопасности (ИБ) Security Capsule SIEM. Об этом компания сообщила 12 ноября 2024 года. Данная функциональность позволила сократить время реагирования на инциденты до 70%, а точность их анализа увеличилась до 30%. Также удалось на 40% снизить операционные расходы компаний-пользователей решения, но при этом на 50% повысить рост эффективности их команд.
GigaChat делает работу с Security Capsule SIEM более интуитивно понятной и доступной. В отличие от традиционных систем SIEM, которые предоставляют «сырую» информацию и технические описания событий, генеративный искусственный интеллект интерпретирует эти данные и объясняет их смысл простым и понятным языком. Помимо описания инцидентов, искусственный интеллект генерирует рекомендации по их устранению и снижению негативного эффекта на инфраструктуру. Например, если система выявляет попытку несанкционированного доступа, GigaChat может предложить шаги по ограничению входа, обновлению программного обеспечения или усилению защиты периметра сети.
Обработка большого массива данных, быстрое предоставление четких объяснений и рекомендаций позволяют операторам значительно сократить время на анализ инцидентов и принятие решений, а это снижает риски, связанные с кибератаками, и повышает уровень защиты информационных систем компаний.
Заказчики, особенно крупные компании, государственные структуры и организации, работающие с критически важной инфраструктурой, сталкиваются с постоянно усложняющимся ландшафтом киберугроз. Также у них существовала проблема с обработкой огромных массивов данных, событий ИБ, которые в основном генерируются корпоративными сетями и системами, и помимо этого часто возникала потребность в улучшении коммуникации между командами, чтобы упростить координацию и анализ событий. Решить все эти задачи и сделать систему Security Capsule SIEM более гибкой, интеллектуальной и масштабируемой нам помог GigaChat для бизнеса, сказал Сергей Графов, руководитель проекта «Инновационные Технологии в Бизнесе».
|
В дальнейших планах компании – усиление интеграции возможностей GigaChat в Security Capsule SIEM, в том числе в части автоматического анализа инцидентов в режиме реального времени.
Интеграция с F.A.C.C.T. Threat Intelligence
12 сентября 2024 года компания F.A.C.C.T. объявила о технологической интеграции системы мониторинга и корреляции событий информационной безопасности Security Capsule SIEM (SC SIEM) с системой киберразведки F.A.C.C.T. Threat Intelligence. Техническое сотрудничество предоставит пользователям SC SIEM более глубокий проактивный подход к защите от актуальных киберугроз, обнаружению сложных целевых атак. Подробнее здесь.
2016
Сертификация ФСТЭК России
Осенью 2016 года программно-аппаратный комплекс «Security Capsule» успешно прошел сертификационные испытания в системе сертификации ФСТЭК России. Сертификат соответствия №3649 от 9 ноября 2016 года.
Выпуск модернизированной версии ПАКАБ SIEM Security Capsule
28 сентября 2016 года компания "ИТБ" сообщила о выпуске релиза модернизированной версии ПАКАБ SIEM «Security Capsule».
ПАКАБ SIEM «Security Capsule» предназначен для регистрации событий информационной безопасности и выполняет функции:
- регистрация и учет событий информационной безопасности (ИБ) в информационно-вычислительных системах и сетях,
- разграничение доступа пользователей к информационным ресурсам SIEM,
- контроль доступа SIEM,
- контроль целостности файлов SIEM,
- корреляцию событий ИБ,
- реакцию на события ИБ.
На основе анализа информации, полученной с помощью SIEM «Security Capsule», администратор безопасности принимает меры по обеспечению безопасности объектов информационно-вычислительных систем и сетей.
Регистрация событий информационной безопасности реализуется путем ведения журналов регистрации событий информационной безопасности:
- доступ пользователя к приложению и завершение работы;
- разрешенные/неразрешенные действия пользователей по доступу к информационным ресурсам;
- сообщения, получаемые от сетевых устройств;
- действия операторов на клиентских рабочих станциях такие как: установление доступа к рабочей станции с помощью USB-ключа eToken;
- обращение к внешним USB-устройствам, обращение к файлам на внешних устройствах.
Состав модулей программы (коннекторов) вариативен по согласованию с заказчиком.
Перечень разработанных коннекторов, накапливающих данные о событиях информационной безопасности:
- данные от сетевых устройств, использующих протокол syslog (например: оборудование Cisco, оборудование S-Terra, CheckPoint);
- данные в журналах СУБД, например, Oracle;
- данные в системном журнале ОС семейств Windows, Linux;
- данные при применении съемных носителей информации типа eToken, USB, LPT, COM. IEEE 1394, ZlocK, Device Lock;
- данные от СЗИ от НСД, например: Блок-Хост, Dallas Lock;
- данные от антивирусных средств, например: Доктор WEB, NOD32, Антивирус Касперского;
- данные из Active Direcory;
- данные реестра ОС Windows;
- данные от IDM-систем (Identity Management), например: Аванпост;
- данные от DLP-систем (Data Leak Prevention), например: Falcongaze.
SIEM «Security Capsule» ориентирована на соответствие отечественным техническим регламентам и стандартам в сфере информационной безопасности.
Система ориентирована на использование:
- администраторами безопасности;
- администраторами ИС, СУБД, ЛВС, СПД;
- руководителями служб безопасности;
- руководителями компаний, предприятий (организаций);
- разработчиками систем защиты конфиденциальной информации.
Использование
Для использования SIEM-системы должны выполняться условия:Витрина данных НОТА ВИЗОР для налогового мониторинга
Архитектура
ПАКАБ «Security Capsule» действует на основе клиент-серверной технологии для распределенных неоднородных ИС, СПД, ЛВС и системы защиты конфиденциальной информации.
В составе ПАКАБ «Security Capsule» модули:
- модуль серверной части;
- модуль мониторинга и администрирования;
- центральный модуль;
- клиентские модули;
- коннекторы;
- модуль формирования отчетов.
Серверный компонент имеет иерархическую структуру. Таким образом, мониторинг событий может осуществляться локально в территориально удаленных подразделениях, филиалах, дочерних и зависимых организациях. Первичная обработка событий ИБ осуществляется на локальных серверах, на центральный сервер передается либо полный состав событий ИБ, либо сформированный перечень критических событий и результаты анализа.
С целью снижения нагрузки на сеть передачи данных первичная обработка событий осуществляется на серверах «Security Capsule», установленных в ЛВС. В зависимости от степени важности и критичности, информация о событиях ИБ передается на серверы более высокого уровня. С целью снижения трафика информация на сервера более высокого уровня передается по расписанию, как правило, во время наименьшей нагрузки на СПД. Критические события передаются в режиме реального времени.
Важный модуль системы - модуль обработки и отображения информации о событиях, формирования отчетов. Администраторы системы имеют возможность самостоятельно, в соответствии с требованиями политики информационной безопасности, определять перечень контролируемых событий, выбирая из базового набора, требуемый. Определять уровни критичности.
В рамках анализа событий подразделяются на события ИБ ОС, сетевых устройств, СЗИ от НСД, СУБД, антивирусных средств, прикладных систем. Каждому контролируемому событию или группе событий на этапе настройки системы присваивается статус. Сбор событий может быть непрерывным, дискретным с привязкой к системе единого времени, во временном интервале. События от различных источников событий могут быть сопоставлены по различным критериям. События могут быть отсортированы, ранжированы и отфильтрованы по различным признакам. Администратор системы имеет возможность управлять правилами обработки событий. Отдельно обрабатываются события, связанные с контролем учетных записей пользователей, включая создание, изменение, удаление, контроль прав доступа на основе контроля , например, AD. Также обработке подлежат события связанные с установкой и\или удалением общесистемного и прикладного ПО, средств защиты с использованием механизма контроля системного реестра. В Security Capsule реализовано ведение «белого» и «черного» списков ПО.
Для администрирования системой предусмотрены группы пользователей с настраиваемыми правами доступа и функциональностью.
Модульная архитектура обеспечивает простоту обслуживания и масштабирования SIEM «Security Capsule».
С помощью SIEM «Security Capsule» возможно выявить:
- Сетевые атаки во внутреннем и внешнем периметрах.
- Минимальные требования к аппаратной среде.
- Вирусные заражения, бэкдоры и трояны.
- Попытки несанкционированного доступа к информации.
- Фрод и мошенничество.
- Ошибки в работе информационных систем.
- Уязвимости.
- Ошибки конфигураций в средствах защиты и информационных системах.
События, фиксируемые SIEM «Security Capsule»:
- связанные с попытками пользователей установления доступа.
- сообщения от сетевых устройств.
- вызванные действиями пользователей на рабочих станциях.
- получаемые от средств контроля съёмных носителей.
- прикладных информационных систем.
- связанные с AD.
- контроль операционной и программной сред.
- СУБД.
- ОС семейства Windows, Linux.
- получаемые от СЗИ от НСД.
Требования к аппаратному окружению
- процессор Intel X86 или совместимый с частотой 1 ГГц или выше;
- не менее 256 Мб ОЗУ;
- для установки Изделия необходимо не менее 200 Мб свободного места на используемой ЭВМ постоянном носителе машинной памяти;
- ручной манипулятор типа «мышь»;
- устройство для работы со съемными носителями информации (дисковод для CD и DVD);
- видеокарта SVGA;
- сетевой Ethernet-адаптер с типом разъёма 8P8C для витой пары;
- компьютерная клавиатура;
- монитор с диагональю не менее 15 дюймов и режимом разрешения не менее 800х600 dpi.
ПАКАБ «Security Capsule» сертифицирована ФСТЭК России для защиты конфиденциальной информации, включая ИСПДн. Сертификат ФСТЭК России №2705 от 7 сентября 2012 года.
Подрядчики-лидеры по количеству проектов
Интеллектуальная безопасность ГК (бренд Security Vision) (92)
Positive Technologies (Позитив Текнолоджиз) (23)
SearchInform (СёрчИнформ) (16)
Инфосистемы Джет (16)
Softline (Софтлайн) (14)
Другие (141)
Интеллектуальная безопасность ГК (бренд Security Vision) (6)
R-Vision (Р-Вижн) (3)
Softline (Софтлайн) (3)
Ngenix (Современные сетевые технологии, ССТ) (2)
Positive Technologies (Позитив Текнолоджиз) (2)
Другие (10)
Интеллектуальная безопасность ГК (бренд Security Vision) (13)
Positive Technologies (Позитив Текнолоджиз) (6)
InnoSTage (Инностейдж) (4)
CyberOK (СайберОК) (4)
SearchInform (СёрчИнформ) (2)
Другие (11)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Интеллектуальная безопасность ГК (бренд Security Vision) (13, 92)
Positive Technologies (Позитив Текнолоджиз) (17, 39)
SearchInform (СёрчИнформ) (2, 17)
Лаборатория Касперского (Kaspersky) (8, 14)
ArcSight (5, 13)
Другие (278, 110)
Интеллектуальная безопасность ГК (бренд Security Vision) (4, 6)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
R-Vision (Р-Вижн) (1, 3)
IBM (2, 2)
Инфосекьюрити (Infosecurity) (2, 2)
Другие (7, 8)
Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13)
InnoSTage (Инностейдж) (2, 4)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
SearchInform (СёрчИнформ) (1, 2)
Уральский центр систем безопасности (УЦСБ) (1, 2)
Другие (5, 5)
Лаборатория Касперского (Kaspersky) (3, 3)
SearchInform (СёрчИнформ) (1, 3)
Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2)
CloudLinux (1, 1)
Positive Technologies (Позитив Текнолоджиз) (1, 1)
Другие (9, 9)
SearchInform (СёрчИнформ) (1, 9)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Лаборатория Касперского (Kaspersky) (3, 3)
Перспективный мониторинг (1, 3)
Русием (RuSIEM) (1, 2)
Другие (6, 6)
Распределение систем по количеству проектов, не включая партнерские решения
Security Vision Security Operation Center (SOC) - 37
MaxPatrol SIEM - 33
Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 28
СёрчИнформ SIEM - 17
Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 11
Другие 156
R‑Vision SOAR (ранее R-Vision IRP) - 3
Ngenix Облачная платформа - 2
Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 2
MaxPatrol SIEM - 2
Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2
Другие 13
Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 9
CyberART Сервисная служба киберзащиты - 4
Innostage SOAR (ранее Innostage IRP) - 4
Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 4
Security Vision Incident Response Platform (Security Vision IRP) SOAR - 2
Другие 13