Security Vision объявляет о выходе обновленной автоматизированной платформы Security Vision Threat Intelligence Platform (TIP). На основании данных об угрозах продукт генерирует в реальном времени обнаружения подозрительной активности в инфраструктуре Заказчика, проводит обогащение индикаторов и инцидентов, интегрируется с инфраструктурой Заказчика и средствами защиты, обеспечивает ситуационную осведомленность.
Security Vision TIP взаимодействует со множеством других средств защиты информации, объектами инфраструктуры и внешними сервисами. Система обращается к поставщикам фидов и аналитическим сервисам за IoC, IoA, угрозами, информацией о злоумышленниках и вредоносном ПО, уязвимостями, бюллетенями. Информация о событиях для матчинга собирается из первичных источников (Web Proxy, Linux-сервер, Windows-сервер, NGFW), Data Lake и DB (Apache Kafka, PostgreSQL, MS SQL), SIEM, EDR и др. Данные об инцидентах и индикаторах могут в автоматическом или ручном режиме передаваться в SIEM, SOAR/IRP, NGFW и др. В программном продукте TIP от компании Security Vision разработан функционал, покрывающий потребности каждого уровня TI. Решение помогает искать признаки атак на основе поведенческих индикаторов и выстраивать в долгосрочной перспективе стратегию информационной безопасности предприятия с учетом актуальных угроз и рисков.
TIP базируется на единой платформе Security Vision. Заказчикам доступны все преимущества платформы, в том числе широкие возможности кастомизации. Решение полностью параметрическое, и, чтобы создать новый коннектор, отчет или дашборд, не требуются услуги программиста: всё настраивается через пользовательский интерфейс с соответствующими административными правами.
Архитектура системы поддерживает полную отказоустойчивость всех компонент. Платформа не требует прямого доступа в Интернет, взаимодействие с поставщиками фидов и внешними аналитическими сервисами возможно через специальную выделенную компоненту, расположенную в сегменте DMZ.
Для всех компонент платформы поддерживается работа на любой из ОС: MS Windows, Ubuntu, CentOS, RedHat, Oracle Linux, Альт Линукс, Astra CE «Орел», Astra SE «Смоленск»/ «Воронеж»/«Орел». В качестве СУБД используются PostgreSQL, Postgres Pro или Microsoft SQL Server.
Важнейшие особенности Security Vision TIP
Загрузка данных. Security Vision TIP поддерживает загрузку неограниченного количества разнообразных TI-источников (фидов). В базовой поставке уже реализована интеграция с наиболее популярными сервисами, предоставляющими различные индикаторы компрометации.
Процесс обнаружения. В Security Vision TIP реализованы следующие механизмы получения событий для обнаружения подозрительной активности: прием потока данных по TCP/UDP; обращение к API внешних систем; получение событий из очереди (Kafka, RabbitMQ); выполнение запросов в БД/DataLake.
Matching. В Security Vision TIP используется собственный движок оптимизированного мэтчинга, который позволяет выполнять обнаружения на больших потоках данных с внушительной базой IoC.
Ретро-поиск. Полезная функция TIP Security Vision — ретро-поиск. Система в оптимизированном виде хранит данные, полученные из смежных систем за большой период времени (например, за месяц или квартал — задается настройкой в системе), и новые индикаторы компрометации сопоставляются с событиями, которые были в прошлом. Таким образом, можно увидеть, какие объекты внутренней инфраструктуры подвергались опасности до того, как появилась информация об угрозе.
DGA/Фишинг. Важной функциональностью Security Vision TIP является эвристический движок, который с помощью различных ML-моделей позволяет автоматически выявлять в инфраструктуре Заказчика подозрительные доменные имена или URL, сгенерированные с использованием Domain Generation Algorithm (DGA) или мимикрирующие под общеизвестные домены.
Обнаружения. Для обнаружений в системе реализован жизненный цикл, по которому каждое обнаружение проходит ряд автоматизированных и ручных этапов в ходе расследования и обработки. Например, при создании или изменении обнаружения все «сработавшие» индикаторы автоматически обогащаются из внешних аналитических сервисов, а по всем участвующим активам собирается информация из внутренней инфраструктуры.Пользователь при начале работы с обнаружением сразу получает максимально полную информацию по инциденту и задействованной инфраструктуре. Пока обнаружение не закрыто, в него автоматически добавляется и агрегируется вся новая информация, выявленная по новым «сработкам», проводится дедупликация данных.
Уязвимости. В Security Vision TIP реализована интеграция с наиболее известными поставщиками и базами уязвимостей, например: NVD NIST, БДУ ФСТЭК, НКЦКИ, Group IB, Kaspersky.
Бюллетени. Реализована работа с бюллетенями — документами, выпускаемыми разово или периодически и содержащими результаты исследований аналитического центра по отдельной проблеме/угрозе/атаке/группировке и пр. или сводную информацию за определенный период.
MITRE ATT&CK. Функционал Security Vision TIP обеспечивает работу с базой знаний техник MITRE ATT&CK, автоматическую поддержку её в актуальном состоянии по всем основным разделам.
Атрибуция. Стратегический уровень управления информационной безопасностью представлен в TIP от Security Vision механизмом атрибуции таких типов данных, как злоумышленники, вредоносное программное обеспечение и угрозы.
Оповещения. По всем новым и отслеживаемым индикаторам, выявленным обнаружениям и изменению их статуса и жизненных циклов пользователи платформы Security Vision TIP могут получать оповещения с указанием деталей нового объекта, его изменений, а также ссылки на карточку объекта.
Ролевая модель. Решение поддерживает ролевую модель, когда пользователю в зависимости от назначенной роли доступен тот или иной функционал системы, а также ограниченный доступ к данным и действиям.