Разработчики: | Инновационные Технологии в Бизнесе, ИТБ |
Дата премьеры системы: | 2015/12/12 |
Дата последнего релиза: | 2024/12/06 |
Технологии: | ИБ - Управление информацией и событиями в системе безопасности (SIEM) |
Содержание |
Security Capsule - SIEM-cистема регистрации событий безопасности.
2024
Интеграция с отечественными сканерами безопасности
Компания ООО «ИТБ» 6 декабря 2024 года объявила о важной интеграции своей системы мониторинга и корреляции событий информационной безопасности SC SIEM с отечественными сканерами безопасности.
Сканеры безопасности — решения в области безопасности, разработанные для сканирования сетей, систем и приложений с целью выявления уязвимостей. Они широко используются в корпоративной среде для регулярного мониторинга состояния информационных систем и обеспечения их соответствия стандартам безопасности.
Интеграция этих сканеров с SC SIEM предоставляет пользователям несколько ключевых преимуществ:
- Централизованный анализ отчетов об уязвимостях: Благодаря интеграции, данные из отчетов автоматически поступают в SC SIEM, где они обрабатываются и анализируются. Это позволяет централизованно управлять информацией о найденных уязвимостях и быстро получать полную картину состояния безопасности организации.
- Снижение рисков и повышение эффективности: Интеграция упрощает работу специалистов по безопасности, позволяя им меньше времени тратить на разбор отдельных отчетов и больше концентрироваться на стратегически важных задачах. Это снижает риски, связанные с человеческим фактором, и повышает общую эффективность процесса управления уязвимостями.
- Глубокая аналитика и отчетность: SC SIEM, с интегрированными данными от сканеров безопасности, предоставляет расширенные возможности для аналитики. Специалисты могут быстро оценивать степень критичности выявленных уязвимостей, их влияние на безопасность организации, а также генерировать детализированные отчеты для руководства и аудиторских проверок.
Эта интеграция подчеркивает стремление компании SC предоставлять своим клиентам комплексные и удобные в использовании инструменты для защиты их информационных систем. Объединение возможностей SC SIEM с решениями для сканирования уязвимостей XSpider, Сканер-ВС, MaxPatrol, Redchek делает управление безопасностью еще более эффективным, помогая организациям своевременно обнаруживать и устранять угрозы, обеспечивая высокий уровень защиты от кибератак.
Совместимость с "Ред ОС"
Компания «Инновационные Технологии в Бизнесе» 11 декабря 2024 года сообщила о полной совместимости системы мониторинга и корреляции событий информационной безопасности Security Capsule SIEM с Ред ОС. Это значительное достижение укрепляет возможности использования отечественных решений для защиты данных и управления информационной безопасностью, соответствующих требованиям импортозамещения.
Интеграция Security Capsule SIEM с РЕД ОС позволяет эффективно применять эту SIEM-систему для выявления, анализа и реагирования на инциденты информационной безопасности в средах, полностью построенных на российском ПО. РЕД ОС, сертифицированная ФСТЭК и Минцифры России, обеспечивает стабильность, высокую производительность и надежность работы в корпоративных и государственных структурах, что делает её идеальной платформой для размещения Security Capsule SIEM.
Совместимость Security Capsule SIEM с РЕД ОС открывает новые возможности для российских компаний, стремящихся соответствовать требованиям локализации ПО и защиты критической инфраструктуры. Теперь пользователи могут использовать Security Capsule SIEM в инфраструктуре на базе РЕД ОС, получая комплексное решение для мониторинга и анализа безопасности, разработанное и поддерживаемое на отечественном уровне.Российский рынок облачных ИБ-сервисов только формируется
Плюсы использования Security Capsule SIEM с РЕД ОС:
- Полное соответствие требованиям регуляторов и стандартам информационной безопасности;
- Устойчивость к внешним угрозам и высокая производительность в отечественной инфраструктуре;
- Комплексный мониторинг и анализ инцидентов безопасности с использованием последних алгоритмов и технологий;
- Поддержка импортозамещения в рамках стратегии технологической независимости.
Благодаря интеграции Security Capsule SIEM и РЕД ОС, организации могут значительно повысить уровень информационной безопасности, сохраняя гибкость и эффективность в управлении данными и защищая критически важные системы от современных угроз.
Интеграция GigaChat
«Инновационные Технологии в Бизнесе» интегрировал нейросетевую модель GigaChat для бизнеса в свою систему мониторинга и корреляции событий информационной безопасности (ИБ) Security Capsule SIEM. Об этом компания сообщила 12 ноября 2024 года. Данная функциональность позволила сократить время реагирования на инциденты до 70%, а точность их анализа увеличилась до 30%. Также удалось на 40% снизить операционные расходы компаний-пользователей решения, но при этом на 50% повысить рост эффективности их команд.
GigaChat делает работу с Security Capsule SIEM более интуитивно понятной и доступной. В отличие от традиционных систем SIEM, которые предоставляют «сырую» информацию и технические описания событий, генеративный искусственный интеллект интерпретирует эти данные и объясняет их смысл простым и понятным языком. Помимо описания инцидентов, искусственный интеллект генерирует рекомендации по их устранению и снижению негативного эффекта на инфраструктуру. Например, если система выявляет попытку несанкционированного доступа, GigaChat может предложить шаги по ограничению входа, обновлению программного обеспечения или усилению защиты периметра сети.
Обработка большого массива данных, быстрое предоставление четких объяснений и рекомендаций позволяют операторам значительно сократить время на анализ инцидентов и принятие решений, а это снижает риски, связанные с кибератаками, и повышает уровень защиты информационных систем компаний.
Заказчики, особенно крупные компании, государственные структуры и организации, работающие с критически важной инфраструктурой, сталкиваются с постоянно усложняющимся ландшафтом киберугроз. Также у них существовала проблема с обработкой огромных массивов данных, событий ИБ, которые в основном генерируются корпоративными сетями и системами, и помимо этого часто возникала потребность в улучшении коммуникации между командами, чтобы упростить координацию и анализ событий. Решить все эти задачи и сделать систему Security Capsule SIEM более гибкой, интеллектуальной и масштабируемой нам помог GigaChat для бизнеса, сказал Сергей Графов, руководитель проекта «Инновационные Технологии в Бизнесе».
|
В дальнейших планах компании – усиление интеграции возможностей GigaChat в Security Capsule SIEM, в том числе в части автоматического анализа инцидентов в режиме реального времени.
Интеграция с F.A.C.C.T. Threat Intelligence
12 сентября 2024 года компания F.A.C.C.T. объявила о технологической интеграции системы мониторинга и корреляции событий информационной безопасности Security Capsule SIEM (SC SIEM) с системой киберразведки F.A.C.C.T. Threat Intelligence. Техническое сотрудничество предоставит пользователям SC SIEM более глубокий проактивный подход к защите от актуальных киберугроз, обнаружению сложных целевых атак. Подробнее здесь.
2016
Сертификация ФСТЭК России
Осенью 2016 года программно-аппаратный комплекс «Security Capsule» успешно прошел сертификационные испытания в системе сертификации ФСТЭК России. Сертификат соответствия №3649 от 9 ноября 2016 года.
Выпуск модернизированной версии ПАКАБ SIEM Security Capsule
28 сентября 2016 года компания "ИТБ" сообщила о выпуске релиза модернизированной версии ПАКАБ SIEM «Security Capsule».
ПАКАБ SIEM «Security Capsule» предназначен для регистрации событий информационной безопасности и выполняет функции:
- регистрация и учет событий информационной безопасности (ИБ) в информационно-вычислительных системах и сетях,
- разграничение доступа пользователей к информационным ресурсам SIEM,
- контроль доступа SIEM,
- контроль целостности файлов SIEM,
- корреляцию событий ИБ,
- реакцию на события ИБ.
На основе анализа информации, полученной с помощью SIEM «Security Capsule», администратор безопасности принимает меры по обеспечению безопасности объектов информационно-вычислительных систем и сетей.
Регистрация событий информационной безопасности реализуется путем ведения журналов регистрации событий информационной безопасности:
- доступ пользователя к приложению и завершение работы;
- разрешенные/неразрешенные действия пользователей по доступу к информационным ресурсам;
- сообщения, получаемые от сетевых устройств;
- действия операторов на клиентских рабочих станциях такие как: установление доступа к рабочей станции с помощью USB-ключа eToken;
- обращение к внешним USB-устройствам, обращение к файлам на внешних устройствах.
Состав модулей программы (коннекторов) вариативен по согласованию с заказчиком.
Перечень разработанных коннекторов, накапливающих данные о событиях информационной безопасности:
- данные от сетевых устройств, использующих протокол syslog (например: оборудование Cisco, оборудование S-Terra, CheckPoint);
- данные в журналах СУБД, например, Oracle;
- данные в системном журнале ОС семейств Windows, Linux;
- данные при применении съемных носителей информации типа eToken, USB, LPT, COM. IEEE 1394, ZlocK, Device Lock;
- данные от СЗИ от НСД, например: Блок-Хост, Dallas Lock;
- данные от антивирусных средств, например: Доктор WEB, NOD32, Антивирус Касперского;
- данные из Active Direcory;
- данные реестра ОС Windows;
- данные от IDM-систем (Identity Management), например: Аванпост;
- данные от DLP-систем (Data Leak Prevention), например: Falcongaze.
SIEM «Security Capsule» ориентирована на соответствие отечественным техническим регламентам и стандартам в сфере информационной безопасности.
Система ориентирована на использование:
- администраторами безопасности;
- администраторами ИС, СУБД, ЛВС, СПД;
- руководителями служб безопасности;
- руководителями компаний, предприятий (организаций);
- разработчиками систем защиты конфиденциальной информации.
Использование
Для использования SIEM-системы должны выполняться условия: SIEM «Security Capsule» функционирует под управлением ОС Microsoft Windows XP\7\8\10, Windows Sever 2010\2012, OC Linux. Для работоспособности программы необходимо окружение выполнения Microsoft .NET Framework 4.0. Программа работает в архитектуре клиент/сервер. Серверной часть - СУБД. В качестве СУБД используется My SQL Database Server 5.5.2 или MS SQL.
Архитектура
ПАКАБ «Security Capsule» действует на основе клиент-серверной технологии для распределенных неоднородных ИС, СПД, ЛВС и системы защиты конфиденциальной информации.
В составе ПАКАБ «Security Capsule» модули:
- модуль серверной части;
- модуль мониторинга и администрирования;
- центральный модуль;
- клиентские модули;
- коннекторы;
- модуль формирования отчетов.
Серверный компонент имеет иерархическую структуру. Таким образом, мониторинг событий может осуществляться локально в территориально удаленных подразделениях, филиалах, дочерних и зависимых организациях. Первичная обработка событий ИБ осуществляется на локальных серверах, на центральный сервер передается либо полный состав событий ИБ, либо сформированный перечень критических событий и результаты анализа.
С целью снижения нагрузки на сеть передачи данных первичная обработка событий осуществляется на серверах «Security Capsule», установленных в ЛВС. В зависимости от степени важности и критичности, информация о событиях ИБ передается на серверы более высокого уровня. С целью снижения трафика информация на сервера более высокого уровня передается по расписанию, как правило, во время наименьшей нагрузки на СПД. Критические события передаются в режиме реального времени.
Важный модуль системы - модуль обработки и отображения информации о событиях, формирования отчетов. Администраторы системы имеют возможность самостоятельно, в соответствии с требованиями политики информационной безопасности, определять перечень контролируемых событий, выбирая из базового набора, требуемый. Определять уровни критичности.
В рамках анализа событий подразделяются на события ИБ ОС, сетевых устройств, СЗИ от НСД, СУБД, антивирусных средств, прикладных систем. Каждому контролируемому событию или группе событий на этапе настройки системы присваивается статус. Сбор событий может быть непрерывным, дискретным с привязкой к системе единого времени, во временном интервале. События от различных источников событий могут быть сопоставлены по различным критериям. События могут быть отсортированы, ранжированы и отфильтрованы по различным признакам. Администратор системы имеет возможность управлять правилами обработки событий. Отдельно обрабатываются события, связанные с контролем учетных записей пользователей, включая создание, изменение, удаление, контроль прав доступа на основе контроля , например, AD. Также обработке подлежат события связанные с установкой и\или удалением общесистемного и прикладного ПО, средств защиты с использованием механизма контроля системного реестра. В Security Capsule реализовано ведение «белого» и «черного» списков ПО.
Для администрирования системой предусмотрены группы пользователей с настраиваемыми правами доступа и функциональностью.
Модульная архитектура обеспечивает простоту обслуживания и масштабирования SIEM «Security Capsule».
С помощью SIEM «Security Capsule» возможно выявить:
- Сетевые атаки во внутреннем и внешнем периметрах.
- Минимальные требования к аппаратной среде.
- Вирусные заражения, бэкдоры и трояны.
- Попытки несанкционированного доступа к информации.
- Фрод и мошенничество.
- Ошибки в работе информационных систем.
- Уязвимости.
- Ошибки конфигураций в средствах защиты и информационных системах.
События, фиксируемые SIEM «Security Capsule»:
- связанные с попытками пользователей установления доступа.
- сообщения от сетевых устройств.
- вызванные действиями пользователей на рабочих станциях.
- получаемые от средств контроля съёмных носителей.
- прикладных информационных систем.
- связанные с AD.
- контроль операционной и программной сред.
- СУБД.
- ОС семейства Windows, Linux.
- получаемые от СЗИ от НСД.
Требования к аппаратному окружению
- процессор Intel X86 или совместимый с частотой 1 ГГц или выше;
- не менее 256 Мб ОЗУ;
- для установки Изделия необходимо не менее 200 Мб свободного места на используемой ЭВМ постоянном носителе машинной памяти;
- ручной манипулятор типа «мышь»;
- устройство для работы со съемными носителями информации (дисковод для CD и DVD);
- видеокарта SVGA;
- сетевой Ethernet-адаптер с типом разъёма 8P8C для витой пары;
- компьютерная клавиатура;
- монитор с диагональю не менее 15 дюймов и режимом разрешения не менее 800х600 dpi.
ПАКАБ «Security Capsule» сертифицирована ФСТЭК России для защиты конфиденциальной информации, включая ИСПДн. Сертификат ФСТЭК России №2705 от 7 сентября 2012 года.
Подрядчики-лидеры по количеству проектов
Интеллектуальная безопасность ГК (бренд Security Vision) (92)
Positive Technologies (Позитив Текнолоджиз) (24)
SearchInform (СёрчИнформ) (16)
Инфосистемы Джет (16)
Softline (Софтлайн) (15)
Другие (144)
Интеллектуальная безопасность ГК (бренд Security Vision) (6)
R-Vision (Р-Вижн) (3)
Softline (Софтлайн) (3)
Ngenix (Современные сетевые технологии, ССТ) (2)
Positive Technologies (Позитив Текнолоджиз) (2)
Другие (10)
Интеллектуальная безопасность ГК (бренд Security Vision) (13)
Positive Technologies (Позитив Текнолоджиз) (6)
InnoSTage (Инностейдж) (4)
CyberOK (СайберОК) (4)
SearchInform (СёрчИнформ) (2)
Другие (11)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Интеллектуальная безопасность ГК (бренд Security Vision) (13, 92)
Positive Technologies (Позитив Текнолоджиз) (17, 40)
SearchInform (СёрчИнформ) (2, 17)
Лаборатория Касперского (Kaspersky) (8, 14)
Micro Focus (5, 13)
Другие (280, 113)
Интеллектуальная безопасность ГК (бренд Security Vision) (4, 6)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
R-Vision (Р-Вижн) (1, 3)
IBM (2, 2)
Инфосекьюрити (Infosecurity) (2, 2)
Другие (7, 8)
Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13)
InnoSTage (Инностейдж) (2, 4)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
SearchInform (СёрчИнформ) (1, 2)
Уральский центр систем безопасности (УЦСБ) (1, 2)
Другие (5, 5)
Лаборатория Касперского (Kaspersky) (3, 3)
SearchInform (СёрчИнформ) (1, 3)
Positive Technologies (Позитив Текнолоджиз) (2, 2)
Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2)
Спейсбит (Spacebit) (1, 1)
Другие (9, 9)
SearchInform (СёрчИнформ) (1, 9)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Перспективный мониторинг (1, 4)
Лаборатория Касперского (Kaspersky) (3, 3)
Русием (RuSIEM) (1, 2)
Другие (7, 7)
Распределение систем по количеству проектов, не включая партнерские решения
Security Vision Security Operation Center (SOC) - 37
MaxPatrol SIEM - 33
Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 28
СёрчИнформ SIEM - 17
Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 11
Другие 160
R‑Vision SOAR (ранее R-Vision IRP) - 3
Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 2
MaxPatrol SIEM - 2
Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2
Ngenix Облачная платформа - 2
Другие 13
Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 9
Innostage SOAR (ранее Innostage IRP) - 4
Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 4
CyberART Сервисная служба киберзащиты - 4
УЦСБ: DATAPK - 2
Другие 13