Разработчики: | R-Vision (Р-Вижн) |
Дата премьеры системы: | 2023/09/29 |
Дата последнего релиза: | 2024/12/03 |
Технологии: | ИБ - Управление информацией и событиями в системе безопасности (SIEM) |
Содержание |
Основная статья: Security Information and Event Management (SIEM)
2024
Добавление правил корреляции для эффективного детектирования угроз
R-Vision продолжает развивать решения в области кибербезопасности и расширять экспертизу в продукте R-Vision SIEM для заказчиков. Для этого разработчик сформировал две команды исследователей для отслеживания мировых тенденций кибербезопасности и добавил правила корреляции для эффективного детектирования угроз. Об этом компания сообщила 3 декабря 2024 года.
Исследователи R-Vision SIEM регулярно занимаются поиском новых угроз кибербезопасности, анализируя атаки хакеров и выявляя их методы и приёмы. Чтобы сосредоточиться на глубоком изучении угроз, вендор сформировал две команды: «Анализ и выявление угроз» и «Исследовательская лаборатория», которые следят за мировыми тенденциями в области кибербезопасности. Эти специализированные группы аналитиков сосредоточены на всестороннем изучении угроз, что позволяет расширить экспертизу R-Vision SIEM.
На Q4 2024 года R-Vision SIEM поддерживает более 200 источников для сбора событий. Вендор взаимодействует с технологическими партнёрами и участниками российского ИТ- и ИБ-рынка, чтобы расширять возможности по работе с данными в R-Vision SIEM.
Разработка правил корреляции — приоритет в совершенствовании SIEM-системы. На декабрь 2024 года R-Vision SIEM включает более 500 правил корреляции, которые охватывают свыше 70% актуальных векторов атак и разработаны с опорой на лучшие мировые практики, включая техники и тактики, которые покрываются SIEM.
Основной функционал SIEM заключается в мониторинге событий информационной безопасности и своевременном выявлении угроз. Подготовленные нами правила экспертизы покрывают распространённые векторы атак, часто эксплуатируемые уязвимости, а также отражают переход на отечественные и Open source решения. Благодаря этому наши заказчики могут оперативно приступить к обнаружению угроз и уменьшить возможные риски, сказала Диана Кожушок, руководитель подразделения анализа и выявления угроз кибербезопасности R-Vision.
|
На основе актуальных знаний аналитики R-Vision каждые две недели обновляют и расширяют базу правил для более эффективного детектирования современных угроз. Внесенные улучшения включают:
- Пакет FreeIPA (ALD Pro) с 21 правилом для обнаружения различных тактик MITRE ATT&CK.
- Правила для детектирования использования туннелирования и эксплуатации уязвимостей в расширениях VSCode.
- Обнаружение уязвимостей, активно эксплуатируемых атакующими, таких как CVE-2023-38831 (WinRAR), CVE-2023-22515, CVE-2023-22527 и CVE-2023-22518 (Confluence), CVE-2024-0507 (GitHub), а также уязвимости в xz.
- Правила для выявления [[[frths|хакерских]] утилит, таких как ngrok и gsocket, а также инструментов для атаки RDPStrike.
- Обнаружение использования Telegram как канала управления (C2).
- Правила для выявления DNS-туннелирования, которое может быть использовано для организации управления (C2) и эксфильтрации данных с устройств жертвы.
Помимо этого, в систему были добавлены базовые правила для мониторинга различных бизнес-приложений, таких как Confluence, Jira и GitLab, а также для мониторинга систем виртуализации (vCenter), баз данных (например, PostgreSQL и ClickHouse) и для сетевых устройств (Eltex, Cisco) и СЗИ (SolarWebProxy, «Континент»).
Наш фокус при разработке правил по-прежнему остается на качестве контента и его актуальности для наших заказчиков. Мы понимаем, насколько важно для наших клиентов иметь доступ к точным и своевременно обновляемым средствам для защиты от угроз, и продолжаем работать в этом направлении, сказала Диана Кожушок, руководитель подразделения анализа и выявления угроз кибербезопасности R-Vision.
|
R-Vision продолжает активно развивать и совершенствовать свою SIEM-систему, обеспечивая высокий уровень защиты и оперативности в выявлении инцидентов, что позволяет организациям эффективно бороться с современными киберугрозами и минимизировать риски.
R-Vision SIEM 1.8 с расширенным функционалом
Компания R-Vision 26 сентября 2024 года представила обновленную версию флагманского продукта R-Vision SIEM 1.8 с расширенным функционалом. В данной версии разработчик добавил аудит источников событий ИБ для быстрого выявления и устранения проблем, мониторинг работоспособности Kubernetes для минимизации рисков сбоев и ускорение аутентификации пользователей благодаря внедрению LDAP-протокола.
Мы активно углубляем нашу экспертизу и развиваем функционал R-Vision SIEM в соответствии с потребностями рынка. На сентябрь 2024 года пакет экспертизы уже поддерживает более 100 источников событий и содержит более 350 правил корреляции. Эти инструменты позволяют нам эффективно выявлять основные направления атак и обеспечивать охват большей части инфраструктуры без дополнительных настроек. Наша цель — предложить заказчикам продукт, который помогает пользователям эффективно и безопасно решать повседневные задачи, — подчеркнул Виктор Никуличев, продакт-менеджер R-Vision. |
В данной версии R-Vision SIEM 1.8 теперь можно отслеживать состояние источников, из которых в коллекторы поступают события. Состояние источников оценивается по частоте и количеству событий, что позволяет выявлять отклонения в их работе.Ранкинг TAdviser100: Крупнейшие ИТ-компании в России 2024
Для этого в системе предусмотрены настраиваемые политики аудита источников. Они отслеживают изменения в потоке событий и отправляют уведомления при достижении заданных пороговых значений через настроенные интеграции.
Своевременность и полнота поступающих событий — это критически важные аспекты работы SOC. Именно поэтому мы добавили метрики по контролю источников, которые помогают оперативно выявлять и устранять возможные проблемы, такие как пропажа событий от одного из источников.
Чтобы обеспечить бесперебойную работу SIEM-системы, необходимо тщательно следить за состоянием всех его компонентов. В R-Vision SIEM 1.8 мы применяем современные подходы и технологии, среди которых Kubernetes. В систему был добавлен специальный раздел «Мониторинг», который позволяет нам наблюдать за состоянием кластера Kubernetes.
В этом разделе можно найти детальную информацию о контейнерах, узлах, модулях системы и других компонентах кластера. Наличие визуальных инструментов мониторинга позволяет аналитику тщательно контролировать состояние кластера и утилизации ресурсов, а также собирать все необходимые метрики централизованно, используя любые удобные внешние средства.
Начиная с версии 1.8 в системе появилась возможность использовать авторизацию в доменах Active Directory, ALD Pro, FreeIPA и OpenLDAP через LDAP-протокол (Lightweight Directory Access Protocol) — эффективный инструмент для централизованного управления как отдельными доменными пользователями, так и доменными группами. С его помощью можно:
Синхронизировать данные о пользователях, включая их логины, ФИО, должности, статусы, электронные адреса и номера телефонов.
Внедрение LDAP-соединений значительно сокращает время, необходимое для аутентификации пользователей, а также открывает возможности для настройки ролевой модели в системе.
Разработчик улучшил базовый функционал системы R-Vision SIEM 1.8, добавив две новые функции:
- Экспорт и импорт дашбордов.
Теперь пользователи могут загружать и выгружать дашборды в формате JSON. Это позволяет им легко импортировать готовые шаблоны дашбордов и использовать их в качестве контента, что значительно упрощает работу аналитиков.
- Шаблоны сообщений для SMTP-интеграции.
При настройке оповещений через SMTP-интеграцию пользователи могут использовать поля оповещений или корреляционных событий, сгенерировавших оповещения, в шаблонах сообщений. Это дает возможность создавать собственные шаблоны для разных задач и назначений интеграций.
Эти улучшения делают работу с системой более продуктивной, позволяя аналитикам сосредоточиться на анализе данных, а не на рутине.
R-Vision SIEM 1.6 с режимом распределенной работы коррелятора
Компания R-Vision 27 июня 2024 года сообщила о выходе R-Vision SIEM версии 1.6. Обновление включает в себя улучшения в работе с правилами корреляции, а также расширение возможностей масштабирования, дополнительного контроля и управления пользователями.
R-Vision SIEM 1.6 дополнился режимом распределенной работы коррелятора, который доступен при настройке коллектора. Теперь можно использовать ресурсы нескольких узлов в кластере для параллельной обработки событий. Благодаря этому для обработки большего числа событий можно горизонтально масштабировать ресурсы корреляции доступными физическими машинами, экономя на стоимости больших конфигураций.
Команда экспертов R-Vision SIEM также уделила особое внимание работе с крупными инфраструктурами. Для таких заказчиков важна гибкая ролевая модель. Поэтому в данной версии разработчики реализовали функционал мультитенантности в системе, благодаря которому можно централизованно управлять одним решением для защиты нескольких филиалов организации.
Также разработчик предусмотрел гибкую систему ограничений за счет групп разрешений и ролей. В том числе возможность распределить роли доступа и создать группы пользователей с абсолютно уникальными разрешениями. Парольная политика, в свою очередь, устанавливает требования к надежности и использованию паролей для учетных записей, что повышает защищенность самой системы.
Кроме того, разработчик сделал функционал сниппетов для управления шаблонами функций, которые используются при разработке правил корреляции и нормализации. Например, если один и тот же фрагмент кода планируется использовать в нескольких программах, его можно сохранить в виде сниппета, а затем с помощью этого сниппета добавить его в нужные места программ.
В R-Vision мы разрабатываем технологии, опираясь на обратную связь клиентов. Мы постоянно улучшаем наши продукты, добавляем новые функции и делаем их использование более удобным, — отметил Виктор Никуличев, продакт-менеджер R-Vision SIEM. — Внесенные улучшения отвечают на основной запрос заказчиков по масштабированию и контролю системы. А функционал распределенной корреляции открывает новые возможности для наших клиентов. |
Включение в Репозиторий АФТ
Компания R-Vision 19 марта 2024 года объявила о включении решения R-Vision SIEM в Репозиторий «Ассоциации ФинТех»(репозиторий АФТ). В данном репозитории содержатся проверенные ИБ-продукты, которые рекомендуется использовать в рамках импортозамещения в финансовой отрасли. R-Vision SIEM внесен в реестр АФТ 15 марта 2024 года. Реестровый номер — АФТ0247.
Включение R-Vision SIEM в репозиторий «Ассоциации ФинТех» — шаг, который позволит значительно расширить возможности сотрудничества R-Vision с организациями из финансовой отрасли, — отметил Камиль Баймашкин, заместитель исполнительного директора R-Vision. — Это особенно актуально в рамках программы импортозамещения зарубежного программного обеспечения. Поэтому внесение системы управления потоками событий информационной безопасности R-Vision SIEM в перечень ИТ-решений для финансового сектора подтверждает, что продукт поможет финансовым организациям найти достойную замену ушедшим с рынка зарубежным вендорам без потери в функциональности и производительности, и обеспечить решение даже для самых сложных задач в информационной безопасности. |
В банковской сфере, где безопасность является ключевым фактором, SIEM-системы (Security Information and Event Management) играют важнейшую роль. Они позволяют оперативно обнаруживать угрозы и реагировать на них, что особенно актуально в условиях частых кибератак. С помощью SIEM-систем банки могут отслеживать и анализировать большие объемы данных, что позволяет им своевременно выявлять подозрительные операции, оценивать риски и принимать меры по предотвращению возможных инцидентов. Это, в свою очередь, помогает сохранить доверие клиентов и поддерживать репутацию надежного финансового учреждения.
Кроме того, SIEM-системы обеспечивают централизованный мониторинг и контроль над всеми информационными системами банка, что значительно упрощает процесс управления безопасностью. Они также позволяют автоматизировать процесс реагирования на инциденты, что снижает вероятность ошибок и повышает эффективность работы специалистов.
Организации финансового сектора уделяют большое внимание технологическому развитию и стремятся максимально цифровизировать свои процессы и услуги. Это требует от них обеспечения высокого уровня информационной безопасности для предотвращения утечки критически важных данных. Репозиторий «Ассоциации ФинТех» помогает организациям выбрать надежных поставщиков ИБ-решений, которые доказали свою состоятельность на рынке и являются независимыми от иностранных технологий, — подчеркнул Виктор Никуличев, продукт-менеджер R-Vision SIEM. |
R-Vision SIEM 1.3
16 января 2024 года компания R-Vision, разработчик систем кибербезопасности, сообщила о расширении функциональных возможностей технологии R-Vision SIEM. Версия 1.3 включает в себя ряд обновлений: разработчик оптимизировал набор функций для сбора и обработки событий, внедрил инструменты для работы с контентом и поиском. А также добавил конструктор отчетов и расширил способы интеграции с внешними системами.
Как сообщалось, в данной версии собственной SIEM-системы эксперты компании расширили функциональные возможности конвейера обработки событий, который позволяет аналитику SOC в графическом интерфейсе управлять функционалом сбора обработки данных. Так, к уже доступным точкам входа и выхода, шинам и нормализатору событий команда R-Vision добавила элементы: агрегатор, маршрутизатор и фильтр. Это позволяет пользователям вариативно настраивать работу с событиями, что особенно актуально при наличии большой инфраструктуры источников и систем.
Кроме того, изменения коснулись работы с объектами экспертизы. Каждый такой объект — это контентная часть продукта, которая содержит в себе написанную экспертизу по обработке и анализу событий ИБ. К ней относятся: правила нормализации и корреляции, активные списки, таблицы обогащения, а также модели событий. Команда R-Vision оптимизировала процесс подготовки объектов экспертизы, добавив функции. Теперь ИБ-специалисты, помимо создания и изменения собственных правил, могут копировать и удалять элементы экспертизы, включать, выключать и обновлять используемые правила, использовать шаблоны и версионирование. Также в обновлении специалисты компании оптимизировали функционал валидации и тестирования правил, который помогает сотрудникам SOC проводить дополнительные проверки результативности разработанных ими правил в тестовой системе. Это позволяет избежать ошибок при подготовке контента и предварительно оценить его эффективность. Что, в свою очередь, снижает количество ложных срабатываний при их запуске и обеспечит быстродействие системы.
Также в R-Vision SIEM 1.3 разработчик расширил функции инструмента поиска: добавил подсветку синтаксиса, подсказки к запросам, которые формируют аналитики SOC, быстрые фильтры прямо из событий ИБ, интерактивный прогресс-бар и график распределения событий. А также поддержку всех ключевых функций запросов в базах данных, за счет чего аналитик сможет быстро найти необходимые события в потоке поступающих данных.
Важным изменением в обновлении системы стало добавление в систему конструктора отчетов, который оптимизирует процесс предоставления отчетности. Конструктор помогает аналитику SOC создавать шаблоны отчетов и отправлять их в соответствии с установленным графиком.
Существенные изменения затронули работу с внешними системами. Так, в версии 1.3 для аналитиков SOC был добавлен активный сбор событий из различных баз данных и по протоколу HTTP. Также в обновленной версии эксперты R-Vision расширили интеграционные возможности, которые, в частности, помогают перейти в интерфейсы систем R-Vision SOAR, Endpoint и UEBA. Это позволяет собирать больше событий из различных систем и автоматически передавать инциденты для реагирования в SOAR.
2023: Представление решения R-Vision SIEM
28 сентября 20232 года компания R-Vision представила две технологии – R-Vision SIEM и R-Vision VM, создание которых стало еще одним шагом на пути развития собственной экосистемы для эволюции SOC R-Vision EVO.
R-Vision SIEM обеспечивает централизованное управление потоками событий со всех информационных систем, помогает своевременно выявлять инциденты и сохранять целостность бизнеса. Она позволяет оптимизировать использование ресурсов компании за счет комплексного подхода к обработке событий безопасности на всех этапах работы с данными.
R-Vision VM – технология, которая позволяет выявлять уязвимости информационной безопасности в инфраструктуре организации, агрегировать полученную информацию в единой базе, а также приоритизировать обнаруженные уязвимости и осуществлять контроль за процессом их устранения.
Наше сотрудничество с R-Vision началось несколько лет назад, когда перед НРД встала задача по построению действительно эффективного процесса Vulnerability Management. На фоне событий 2022 года ситуация также осложнилась отсутствием поддержки решений от иностранных поставщиков ИБ, а значит, вопрос работы с уязвимостями встал еще всё более острее. Модернизация процесса управления уязвимостями с помощью экспертизы и технологий R-Vision позволила нам быстро и просто его автоматизировать, обеспечив тем самым своевременное устранение уязвимостей и защиту от их эксплуатации, - прокомментировал Олег Кусеров, директор по информационной безопасности Национального Расчетного Депозитария. |
Подрядчики-лидеры по количеству проектов
Интеллектуальная безопасность ГК (бренд Security Vision) (92)
Positive Technologies (Позитив Текнолоджиз) (24)
SearchInform (СёрчИнформ) (16)
Инфосистемы Джет (16)
Softline (Софтлайн) (14)
Другие (141)
Интеллектуальная безопасность ГК (бренд Security Vision) (6)
R-Vision (Р-Вижн) (3)
Softline (Софтлайн) (3)
Инфосекьюрити (Infosecurity) (2)
Инфосистемы Джет (2)
Другие (10)
Интеллектуальная безопасность ГК (бренд Security Vision) (13)
Positive Technologies (Позитив Текнолоджиз) (6)
CyberOK (СайберОК) (4)
InnoSTage (Инностейдж) (4)
Уральский центр систем безопасности (УЦСБ) (2)
Другие (11)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Интеллектуальная безопасность ГК (бренд Security Vision) (13, 92)
Positive Technologies (Позитив Текнолоджиз) (17, 40)
SearchInform (СёрчИнформ) (2, 17)
Лаборатория Касперского (Kaspersky) (8, 14)
ArcSight (5, 13)
Другие (279, 110)
Интеллектуальная безопасность ГК (бренд Security Vision) (4, 6)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
R-Vision (Р-Вижн) (1, 3)
Инфосекьюрити (Infosecurity) (2, 2)
IBM (2, 2)
Другие (7, 8)
Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13)
InnoSTage (Инностейдж) (2, 4)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
SearchInform (СёрчИнформ) (1, 2)
Уральский центр систем безопасности (УЦСБ) (1, 2)
Другие (5, 5)
Лаборатория Касперского (Kaspersky) (3, 3)
SearchInform (СёрчИнформ) (1, 3)
Positive Technologies (Позитив Текнолоджиз) (2, 2)
Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2)
F.A.C.C.T. (ранее Group-IB в России) (1, 1)
Другие (9, 9)
SearchInform (СёрчИнформ) (1, 9)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Лаборатория Касперского (Kaspersky) (3, 3)
Перспективный мониторинг (1, 3)
Русием (RuSIEM) (1, 2)
Другие (6, 6)
Распределение систем по количеству проектов, не включая партнерские решения
Security Vision Security Operation Center (SOC) - 37
MaxPatrol SIEM - 33
Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 28
СёрчИнформ SIEM - 17
Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 11
Другие 157
R‑Vision SOAR (ранее R-Vision IRP) - 3
MaxPatrol SIEM - 2
Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2
Ngenix Облачная платформа - 2
Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 2
Другие 13
Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 9
Innostage SOAR (ранее Innostage IRP) - 4
Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 4
CyberART Сервисная служба киберзащиты - 4
СёрчИнформ SIEM - 2
Другие 13