R-Vision Threat Intelligence Platform (TIP)

Продукт
Название базовой системы (платформы): R-Vision SGRC Центр контроля информационной безопасности
Разработчики: R-Vision (Р-Вижн)
Дата премьеры системы: апрель 2019
Дата последнего релиза: 2023/12/06
Отрасли: Информационная безопасность
Технологии: ИБ - Предотвращения утечек информации,  ИБ - Система обнаружения мошенничества (фрод),  ИБ - Управление информацией и событиями в системе безопасности (SIEM),  Threat intelligence (TI) - Киберразведка

Содержание

Основные статьи:

R-Vision TIP (R-Vision Threat Intelligence Platform) – платформа, которая позволяет в автоматическом режиме собирать индикаторы компрометации из бесплатных и коммерческих каналов обмена (так называемые данные киберразведки, threat intelligence), обрабатывать их, обогащать дополнительной информацией и задействовать во внутренних системах защиты для обнаружения возможной компрометации систем, своевременной блокировки угроз и расследования случившихся инцидентов.

2024: Соответствие стандартам кибербезопасности Республики Белоруссия

Компания R-Vision 29 января 2024 года сообщила, что платформа анализа информации об угрозах R-Vision TIP прошла сертификацию Оперативно аналитического центра (ОАЦ) при Президенте Республики Белоруссия. Сертификация продукта проводилась в соответствии с техническим регламентом ТР 2013/027/BY. Сертификат ОАЦ подтверждает, что R Vision Threat Intelligence Platform (TIP) соответствует стандартам информационной безопасности Республики Белоруссия.

Сертификат соответствия ОАЦ позволяет использовать R-Vision TIP:

Кроме того, R-Vision продолжит сертификацию своих решений в 2024 году. Так, в планах компании подтвердить, что R Vision Threat Deception Platform (TDP) — система цифровой имитации элементов ИТ-инфраструктуры и выявления злоумышленников соответствует требованиям [кибербезопасности] Республики Белоруссия.

«
Сертификация R-Vision TIP в ОАЦ подтверждает высокий уровень доверия к продуктам R-Vision со стороны регулятора и открывает возможности для компаний, которые хотят повысить защищенность информационных систем за счет применения последних технологий защиты. — сказал Камиль Баймашкин, заместитель исполнительного директора R-Vision — Рынок информационной безопасности Республики Белоруссия открывает нам возможности для роста и развития бизнеса. Мы успешно реализовали ряд проектов на территории государства, поэтому сертификация еще одного решения из экосистемы продуктов R-Vision является продолжением нашей стратегии развития.
»

2023

R‑Vision TIP 3.16 с возможностью реактивного и ретроспективного поиска индикаторов компрометации

Компания R-Vision 6 декабря 2023 года выпустила обновленную версию платформы анализа информации о киберугрозах — R‑Vision TIP 3.16. Версия 3.16 включает в себя ряд существенных обновлений: разработчик расширил список поддерживаемых SIEM-систем и межсетевых экранов, переработал сервис фида ФинЦЕРТ, а также улучшил собственный источник данных — R-Vision Threat Feed, который теперь может самостоятельно определять связи между сущностями, странами и отраслями субъектов угроз.

Одна из функций платформы R-Vision TIP — возможность реактивного и ретроспективного поиска индикаторов компрометации внутри потока событий, поступающих от SIEM-систем. После ухода с российского рынка иностранных поставщиков SIEM, усилилась необходимость расширения списка отечественных вендоров. Платформа R-Vision TIP поддерживает интеграцию не только с зарубежными решениям, но и с отечественными SIEM-системами. Так, в обновленной версии продукта вендор добавил интеграции с такими российскими системами, как VolgaBlob Smart Monitor и Kaspersky Unified Monitoring and Analysis Platform.Российский рынок ERP-систем сократился, но приготовился к росту. Обзор и рейтинг TAdviser 250 т

Также в обновлении R-Vision расширил список поддерживаемых сторонних производителей СЗИ для экспорта индикаторов компрометации. Обнаруженные индикаторы компрометации могут автоматически экспортироваться на межсетевые экраны для дальнейшей обработки и защиты сетевой инфраструктуры. В данной версии платформы перечень доступных для интеграции решений вендоров пополнился отечественным производителем межсетевых экранов Ideco UTM. Кроме того, добавлена возможность настраивать интеграцию и правила экспорта индикаторов из R-Vision TIP в Kaspersky Security Network.

Команда R-Vision TIP продолжает развивать свой собственный фид, интегрированный в платформу. Он автоматически собирает TI-отчеты из достоверных открытых источников, а также извлекает из них ключевые артефакты Threat Intelligence. В обновленной версии R-Vision Threat Feed в 11 раз увеличен датасет для обучения модели распознавания артефактов TI и существенно выросла точность распознавания сущностей: теперь модель умеет определять непосредственные связи между сущностями, а также страны и индустрии субъектов угроз и жертв.

В версии R-Vision TIP 3.16 разработчики расширили модель данных, добавив в нее следующие типы индикаторов — ИНН, СНИЛС, хэш суммы номеров паспортов, номера счетов, электронных кошельков и телефонов. Эта информация загружается в R-Vision TIP из нового источника данных — АС «Фид-Антифрод», который содержит информацию о получателях скомпрометированных переводов. В ранних версиях платформы R-Vision TIP пользователь мог получать информацию через основной канал об инцидентах Банка России, фидом АСОИ ФинЦЕРТ.

Зачастую информация, полученная от поставщиков данных, лишена контекста, необходимого для анализа индикаторов компрометации и/или связанных с ними событий нарушения безопасности. В рамках планомерного расширения источников получения контекста в обновленной версии R-Vision TIP была реализована поддержка двух новых сервисов обогащения UrlScan и URLhaus.

«
Данные киберразведки являются ключевым элементом для анализа угроз, поэтому список поставщиков данных TI будет и далее пополняться в R-Vision TIP — прокомментировала Валерия Чулкова, руководитель продукта R-Vision TIP. — Кроме того, команда R-Vision TIP также продолжит расширение списка поддерживаемых СЗИ отечественных производителей, что особенно важно в связи со сложившейся конъюнктурой рынка информационной безопасности.
»

R-Vision TIP 3.0 с функцией кастомизации рейтинга индикаторов компрометации

Компания R-Vision 10 мая 2023 года представила мажорную версию платформы анализа информации о киберугрозах R-Vision TIP 3.0. Обновленный продукт получил ряд значимых функциональных улучшений. В частности, теперь пользователи могут применять больше качественных данных для анализа угроз благодаря новому источнику – базы знаний MITRE ATT&CK. Также им стала доступна функция кастомизации рейтинга индикаторов компрометации.

В R-Vision TIP 3.0 разработчик расширил объем получаемых данных киберразведки, реализовав интеграцию платформы с новым поставщиком – базой знаний MITRE ATT&CK. Получать сведения о вредоносном ПО, субъектах угроз и их техниках стало возможно прямо из интерфейса платформы в разделе угрозы. В карточках сущностей находится вся поступающая из базы знаний информация: описание сущностей, связанные с ними тактики, синонимы группировок, сабтехники, ссылки на веб-ресурсы, где представлены случаи использования злоумышленниками определенных техник, а также рекомендации по их обнаружению.

Кроме этого, в графе взаимосвязей отображаются данные о связи всех сущностей, поступивших от нового поставщика, с индикаторами компрометации и друг с другом. Это является дополнительным инструментом анализа и позволяет отследить, какие техники применяются различными группировками и какое при этом вредоносное ПО используется. Полученные сведения также наглядно отражены в карточке индикатора, что дает возможность TI-аналитикам быстрее оценить этап атаки, выработать тактику реагирования на инциденты и приоритизировать принимаемые меры.

В версии 3.0 компания R-Vision внесла ряд важных доработок в раздел ранжирования угроз, добавив настройку пользовательских пресетов для расчета рейтинга индикаторов компрометации. Благодаря чему пользователи могут самостоятельно выставлять необходимые значения таких метрик, как: обширность, полнота данных и оперативность их предоставления источником. Таким образом теперь можно более точно влиять на расчет финального рейтинга индикатора, чем в предыдущих версиях R-Vision TIP.

«
В процессе анализа данных Threat Intelligence немаловажное значение имеет наличие контекста, связанного с индикаторами компрометации. Используя данные из матрицы MITRE ATT&CK непосредственно в интерфейсе R-Vision TIP, аналитики киберугроз получают возможность оперативно оценивать и классифицировать тактики и техники, которые применяют злоумышленники в ходе атаки. Работа с этим контекстом дает более полную картину угроз, помогает выявлять «слабые» места в информационных системах, принимать необходимые защитные меры, а также усовершенствовать процесс реагирования на инциденты, — сообщила Валерия Чулкова, менеджер продукта R-Vision TIP.
»

2022

R-Vision TIP версии 2.20

Компания R-Vision 1 декабря 2022 года представила обновленную версию платформы анализа информации об угрозах R-Vision TIP (Threat Intelligence Platform). В версии 2.20 разработчик расширил список доступных интеграций с поставщиками данных киберразведки и сервисами обогащения индикаторов компрометации. Изменения также затронули процесс передачи инцидентов в систему R-Vision SOAR.

Одним из ключевых обновлений платформы стало расширение объема получаемых сведений киберразведки. Вендор добавил возможность интеграции системы с отечественными поставщиками данных Threat Intelligence: PT Threat Intelligence Feeds и BI.ZONE ThreatVision. Таким образом, источники, подключенные к R-Vision TIP, будут обеспечивать аналитиков большим контекстом по IoC, благодаря чему дальнейшее использование данных станет более точным.

Другие важные изменения связаны с обогащением индикаторов компрометации дополнительным контекстом. В частности, в обновленной версии компания R-Vision реализовала встроенную интеграцию с сервисом обогащения Kaspersky Threat Lookup. При этом появилась возможность более тонкой настройки: теперь пользователи смогут задавать время жизни данных обогащения не только в днях, но и в часах и минутах. Это позволит еще точнее обновлять информацию об индикаторах компрометации и анализировать данные киберразведки. Также преобразовался внешний вид блока данных обогащения в карточках индикаторов, что помогает привести данные из разных сервисов обогащения к единообразному виду. Кроме того, разработчик обновил интеграцию с OPSWAT Metadefender для поддержки изменений сервиса.

Среди прочих обновлений – улучшенная логика пользовательского интерфейса системы. Правила оповещения и интеграции объединены в один раздел, что упрощает процесс передачи инцидентов в платформу автоматизации ИБ и реагирования на инциденты R-Vision SOAR, позволяя осуществить оба действия одновременно. Перед отправкой в R-Vision SOAR стало возможным выбрать тип группировки событий: по правилу или по значению индикатора. Еще одно изменение позволяет аналитикам TI получать информацию обо всех активностях, происходивших в ходе конкретного инцидента: теперь в карточке индикатора будут отражаться типы активности, связанные с ID инцидента, полученного из R-Vision SOAR.

«
Компания постоянно работает над техническими улучшениями R-Vision TIP и стремимся сделать работу пользователей в системе более стабильной и быстрой. Также будем продолжать расширять интеграционные возможности платформы, а также планируется реализовать возможность кастомизации модели расчета рейтинга индикаторов компрометации,
сообщила Валерия Чулкова, менеджер продукта R-Vision TIP.
»

Сертификация ФСТЭК России по четвертому уровню доверия

22 ноября 2022 года компания R-Vision, разработчик систем кибербезопасности, сообщила об успешно пройденных сертификационных испытаниях программного комплекса «Платформа анализа информации об угрозах R-Vision TIP» на соответствие требованиям к защите информации по 4-му уровню доверия Федеральной службы по техническому и экспортному контролю (ФСТЭК) России.

Иллюстрация: rvision.ru

Сертификат соответствия № 4614, выданный 2 ноября 2022 года, подтверждает, что R-Vision Threat Intelligence Platform (R-Vision TIP) полностью отвечает требованиям по безопасности информации, установленным в нормативных и методических документах ФСТЭК России.

Платформа R-Vision TIP, как и другие средства защиты информации, соответствующие 4-ому уровню доверия, могут использоваться в:

Как известно, 4-й - это самый высокий уровень, предъявляющийся к средствам защиты информации в организациях, не обрабатывающих государственную тайну.

«
«Для нас важно обеспечивать не только высокую функциональность, но и безопасность всех продуктов R-Vision, поэтому мы очень внимательно относимся к процессу их сертификации. Сертификация ФСТЭК по четвертому уровню доверия на государственном уровне подтверждает надежность и безопасность использования платформы анализа информации об угрозах R-Vision TIP и дает возможность нашим заказчикам уверенно применять платформу для управления данными Threat Intelligence.» — прокомментировал Александр Бондаренко, генеральный директор R-Vision.
»

Платформа R-Vision Threat Intelligence Platform (R-Vision TIP) также входит в государственный единый реестр отечественного ПО.

Доступность на платформе Jet CyberCamp в рамках киберучений

7 июня 2022 года ИТ-компания «Инфосистемы Джет» сообщила, что совместно с разработчиком систем кибербезопасности R-Vision подготовили совместную программу киберучений. В рамках этой программы ИБ-специалисты смогут получить практический опыт работы с R-Vision SOAR, R-Vision SGRC и R-Vision TIP во время тренировок на платформе «Инфосистемы Джет» Jet CyberCamp. Подробнее здесь.

R‑Vision TIP 2.5: изменения в индикаторах компрометации, инструментах бюллетеней и карточках уязвимостей

21 апреля 2022 года компания R‑Vision объявила, что обновила платформу анализа информации об угрозах R-Vision Threat Intelligence Platform (TIP) до версии 2.5. Ключевые изменения платформы коснулись логики обогащения индикаторов компрометации, работы с инструментом бюллетеней и карточками уязвимостей, а также произошли серьезные изменения в интерфейсе системы.

Обогащение

В версии R-Vision TIP 2.5 разработчик улучшил логику обогащения индикаторов компрометации дополнительным контекстом. Пользователи могут настраивать предельное количество дней хранения данных обогащения. По истечении заданного периода система автоматически повторно запросит данные обогащения, что поможет пользователям более точно обрабатывать информацию об индикаторах.

Дашборд

Значительная часть улучшений R-Vision TIP связана с доработками инструмента бюллетеней. Бюллетени об угрозах и уязвимостях служат для информирования подведомственных организаций и уполномоченных сотрудников об угрозах безопасности, актуальных уязвимостях в программном и аппаратном обеспечении, релевантных для той или иной инфраструктуры или организации. В платформе есть возможность создавать бюллетени об одной или нескольких уязвимостях, при этом в данной версии для каждой уязвимости отображается наличие бюллетеня и его идентификатор.

Карточка уязвимости

В R-Vision TIP версии 2.5 при просмотре карточки уязвимости, а также при создании и редактировании бюллетеня об уязвимости отражается вся структура дефектов безопасности Common Weakness Enumeration (CWE) с учетом вложенных элементов. Это позволит пользователю лучше понимать взаимосвязь уязвимости с CWE, и, следовательно, направлять в подведомственные организации более подробные бюллетени.

При создании бюллетеня об уязвимости список уязвимого программного обеспечения отображается еще более логично, в формате «название ПО: версии ПО 1.x - 1.n». Это значительно облегчит процесс поиска необходимых программных средств в списке, а также повысит информативность бюллетеней.

Поставщики данных

Разработчик внес изменения в R-Vision Threat Intelligence Feed (R-Vision TI Feed) - собственный фид R-Vision, собирающий информацию об индикаторах компрометации и других сущностях из открытых источников. Имена субъектов угроз и названия экземпляров вредоносного ПО в R-Vision TI Feed автоматически нормализуются и приводятся к единообразному виду, что позволит избежать дублирования сущностей.

Кроме того, произошли улучшения в интерфейсе системы – он полностью видоизменился. В обновленной версии появились единые шаблоны взаимодействия, благодаря которым пользоваться платформой стало еще удобнее. Библиотека компонентов, которая приобрела единый вид во всех продуктах R-Vision, делает процесс работы более интуитивно понятным.

«
Наша основная задача - непрерывное развитие функциональности платформы. Так, в будущем мы планируем ряд функциональных доработок, которые ускорят процесс внедрения платформы R-Vision TIP, а также упростят процесс передачи инцидентов в систему R-Vision SOAR. Кроме того, мы продолжаем расширять перечень доступных нашим пользователям поставщиков данных TI, что позволяет аналитикам SOC получать полную информацию об угрозах, а также развиваем интеграционные возможности платформы с актуальными средствами защиты,

отметила Валерия Чулкова, менеджер продукта R-Vision TIP
»

2021

R-Vision TIP 2.0: оптимизация механизма ранжирования индикаторов компрометации

Компания R-Vision 6 декабря 2021 года представила платформу анализа данных об угрозах R-Vision Threat Intelligence Platform (TIP) версии 2.0. Ключевые изменения затронули механизм ранжирования индикаторов компрометации, интеграцию с системой R-Vision IRP, платформой реагирования на инциденты информационной безопасности. У пользователей появилась возможность получения качественных данных с помощью Threat Intelligence.

Одним из обновлений платформы стало улучшение скоринговой модели, посредством которой рассчитывается рейтинг индикаторов компрометации. Данная модель производит расчет рейтинга на основании статистических метрик, которые рассчитываются для собранных данных. При расчете учитывается ряд параметров, среди них – взаимосвязи индикатора и весь связанный с ним контекст, полнота поступающей информации и своевременность предоставления данных относительно других подключенных источников. Также учитывается факт нахождения или отсутствия индикатора компрометации в списке исключений. Благодаря усовершенствованной скоринговой модели R-Vision TIP аналитики центров мониторинга могут выявлять наиболее релевантные и вредоносные индикаторы компрометации и работать с актуальными для компании угрозами.

rvision.pro

В R-Vision Threat Intelligence Platform (TIP) версии 2.0 платформы улучшен механизм интеграции с R-Vision IRP: теперь данные событий обнаружения раскладываются по полям индикаторов в карточке инцидента на стороне IRP-системы, а для случаев массовых детектов реализована возможность группировки событий при отправке в R-Vision IRP. Данная функция поможет более гибко настраивать реагирование на инциденты в зависимости от количества или степени вредоносности возникающих событий обнаружения.

«
«Постоянно общаясь с нашими пользователями, мы видим, что потребности в Threat Intelligence (TI) становятся все более зрелыми из года в год. Ожидания от TI-платформ растут: пользователи ждут не просто агрегатор данных, но и механизмы, которые будут обеспечивать качество данных, автоматизацию операций поиска индикаторов компрометации и различные интеграции с внутренней экосистемой ИБ», — отметил менеджер продукта R-Vision Антон Соловей.
»

Пользователи R-Vision TIP 2.0 могут получать данные об угрозах из R-Vision Threat Intelligence feed – отдельного сервиса, который автоматически собирает и обрабатывает TI-отчеты из открытых источников, извлекает из них индикаторы компрометации и связанный контекст и передает все данные в систему. При подключении сервиса R-Vision Threat Intelligence feed к платформе пользователю будут доступны TI-отчеты в человекочитаемом формате. У аналитика будет информация обо всех важных объектах, связанных с отчетом: индикаторах компрометации, злоумышленниках, вредоносном ПО, а также любой иной контекст. Данные отчета можно проанализировать и использовать для поиска в ИТ-инфраструктуре организации или для интеграции со средствами защиты. R-Vision Threat Intelligence feed помогает получать качественную и полную информацию об угрозах, не расходуя время аналитиков SOC на обработку отчетов формата pdf вручную и последующее занесение и связывание данных в используемой системе.

R‑Vision Threat Intelligence Platform версии 1.20

Компания R-Vision 23 сентября 2021 года сообщила о том, что обновила платформу управления данными киберразведки R‑Vision Threat Intelligence Platform (TIP) до версии 1.20. В продукте появилась возможность массового редактирования индикаторов компрометации, дополнен список поставщиков данных о киберугрозах, расширен список доступных интеграций со средствами защиты, оптимизирована работа с объектами в Active Directory, а также повышена гибкость правил автоматизации.

Платформа R-Vision TIP 1.20 позволяет массово менять необходимые атрибуты сразу для нескольких индикаторов компрометации. Например, пользователи могут добавить к ним описание или теги, отредактировать временные метки и так далее. Эта функция поможет аналитикам SOC сэкономить время на выполнении рутинных задач и сосредоточиться на более сложных вопросах.

В версии продукта 1.20 разработчики расширили количество поддерживаемых источников данных о киберугрозах. Теперь в платформе есть встроенная интеграция с рядом фидов от некоммерческой организации Shadowserver Foundation, которая собирает и анализирует данные о широком спектре угроз, включая вредоносное программное обеспечение и активность ботнетов. Фиды Shadowserver востребованы среди национальных групп реагирования на чрезвычайные ситуации в киберпространстве CERT и могут быть полезными телеком-операторам, имеющим собственные автономные сети.

Отдельный блок изменений касается взаимодействия платформы с другими средствами защиты. Теперь пользователи могут экспортировать из продукта необходимые выборки индикаторов компрометации в поддерживаемом формате для мониторинга и блокирования на межсетевых экранах UserGate. Также в платформе реализована поддержка актуальной на сентябрь 2021 года версии системы выявления ИБ-инцидентов MaxPatrol SIEM.

Кроме того, разработчики повысили отказоустойчивость платформы при подключении к ней большого количества объектов Active Directory. Это улучшение обеспечит стабильную работу R-Vision TIP в организациях enterprise-сегмента, где количество таких объектов может достигать нескольких сотен тысяч.

Изменения в платформе затронули и правила автоматизации. В них появилось условие, которое позволяет настроить срабатывание правила при изменении определенного атрибута. Яркий пример — отправка уведомления об инциденте в SOAR-систему при обновлении индикатора компрометации.

«
«Мы продолжаем расширять количество востребованных нашими пользователями источников TI (Threat Intelligence), наращиваем возможности интеграции со средствами защиты, чтобы можно было удобно и быстро применять полученные данные TI в процессах проактивного мониторинга и блокирования угроз. Вместе с тем? не забываем и про необходимость повышать удобство использования платформы, планомерно добавляя новую функциональность, которая помогает пользователям быстрее решать повседневные задачи», — отметил Антон Соловей, менеджер продукта R-Vision Threat Intelligence Platform.
»

Интеграция с ESET Threat Intelligence

Российский разработчик систем кибербезопасности R-Vision и международная антивирусная компания ESET объединили технологии для борьбы с киберугрозами. Специалисты компаний интегрировали платформу управления данными киберразведки R-Vision Threat Intelligence Platform с телеметрическим сервисом ESET Threat Intelligence. Теперь пользователи платформы смогут получать потоки данных об угрозах от ESET в привычном интерфейсе без дополнительных настроек. Об этом 10 августа 2021 года сообщила компания R-Vision.

Фиды ESET включают четыре канала данных об угрозах: информацию о сетях ботнетов, вредоносных доменах, URL-адресах и исполняемых файлах. Эти сведения помогают аналитикам SOC получать более полную картину актуальных угроз, своевременно находить их признаки в инфраструктуре и принимать защитные меры. Например, зная хеши исполняемых вредоносных файлов, присутствующие в киберпространстве, специалисты могут заранее заблокировать их либо оперативно выявить в системе.

Первичную информацию для фидов исследователи ESET получают из более 110 млн собственных датчиков, расположенных по всему миру. Кроме этого, аналитики используют и данные, которые получают в результате информационного обмена с командами CERT — национальными группами реагирования на чрезвычайные ситуации в киберпространстве. При формировании фидов специалисты ESET фокусируются на минимизации ложных срабатываний: для этого все собранные данные проходят предварительную фильтрацию и только потом попадают к конечным пользователям.

Интеграция фидов ESET с платформой R-Vision TIP дает возможность получать их в «продукте» из коробки. Пользователям не требуется тратить ресурсы на настройку взаимодействия сервиса с платформой. Для подключения фидов достаточно ввести лицензионный ключ ESET Threat Intelligence в интерфейсе R-Vision TIP, после чего потоки данных будут поступать в платформу на регулярной основе.

«
Наши фиды призваны помочь ИБ-подразделениям крупных организаций с развитой инфраструктурой и высокими потребностями в кибербезопасности своевременно реагировать на киберинциденты и проактивно находить новые, ранее неизвестные угрозы. Мы ожидаем, что интеграция нашего сервиса с платформой R-Vision TIP повысит удобство его использования для наших потребителей на российском рынке и в странах СНГ, — отметил Александр Пирожков, руководитель направления ESET Threat Intelligence.
»

«
Мы стремимся предоставлять нашим пользователям альтернативу выбора источников и в то же время удерживать баланс между их количеством и качеством. Фиды ESET обладают хорошей атрибуцией угроз: индикаторы компрометации снабжены контекстом, который помогает понять техники и тактики атакующих. Такие данные позволяют принимать взвешенные решения о том, как реагировать на угрозу в конкретный момент времени и как предотвратить ее в будущем. Мы считаем, что технологическое партнерство с ESET поможет нам закрыть потребности наших пользователей в данных киберразведки, покрывающих региональную специфику угроз России и стран СНГ, — заключил Антон Соловей, менеджер продукта R-Vision Threat Intelligence Platform.
»

Интеграция с RST Threat Feed

Компания R-Vision объединила усилия с поставщиком индикаторов компрометации RST Cloud для развития платформы управления данными киберразведки R-Vision Threat Intelligence Platform (TIP). В рамках технологического партнерства в продукте была реализована встроенная интеграция с сервисом RST Threat Feed. Это расширит возможности пользователей платформы по выбору источников данных Threat Intelligence для наиболее полного покрытия актуальных угроз, сообщили 22 июля 2021 года сообщили в R-Vision.

RST Threat Feed от RST Cloud — сервис агрегации, который собирает и перекрестно проверяет индикаторы компрометации из более 130 источников, публикуемых ИБ-сообществом, а также обогащает их дополнительным контекстом и ранжирует по уровню опасности. Пользователи сервиса от RST Cloud получают данные, предварительно подготовленные для применения в процессах детектирования и расследования киберинцидентов, а также проактивного поиска угроз.

Наличие в R-Vision TIP встроенной интеграции с фидами от RST Cloud позволяет добавлять их в платформу «из коробки». Подключение не требует сложных настроек: достаточно выбрать RST Threat Feed в разделе «Поставщики данных» и ввести лицензионный ключ на пользование сервисом.

«
«Нашим клиентам важно иметь возможность быстрого и удобного подключения сервиса RST Threat Feed к используемым продуктам автоматизации процессов SOC. В том числе многие из них либо уже имеют в арсенале специализированные платформы для управления данными киберразведки, либо активно к ним присматриваются. Нативная интеграция наших фидов с R-Vision TIP снимает с наших партнеров-интеграторов и клиентов головную боль по их подключению к платформе. Теперь пользователю достаточно сделать пару кликов, ввести ключ активации в интерфейсе R-Vision TIP, и он начинает получать индикаторы на регулярной основе», — отметил Николай Арефьев, сооснователь RST Cloud.
»

«
«Расширение технологического партнерства с поставщиками данных об угрозах — одно из стратегических направлений развития платформы R-Vision TIP. Мы стремимся давать нашим пользователям возможность выбирать наиболее релевантные фиды с точки зрения актуального для специфики их деятельности ландшафта угроз. Чем больше источников доступно пользователю, тем гибче будет сбор данных, а значит, клиент сможет получить более полное покрытие по угрозам. Именно на решение этой задачи направлено наше сотрудничество с RST Cloud», — подчеркнул Антон Соловей, менеджер продукта R-Vision Threat Intelligence Platform.
»

R-Vision TIP 1.17

Компания R-Vision 14 июля 2021 года выпустила обновленную версию платформы управления данными киберразведки R-Vision Threat Intelligence Platform (TIP) 1.17. Ключевые изменения затронули модель данных продукта, возможности распределенных сенсоров обнаружения индикаторов компрометации, обработку свободно распространяемых потоков данных об угрозах и формирование бюллетеней.

Для повышения качества описания угроз в R-Vision TIP 1.17 расширили модель данных. Теперь в правилах автоматизации продукта появились фильтры, позволяющие формировать атомарные выборки индикаторов компрометации, связанные с конкретной угрозой, хакерской группировкой или вредоносным ПО. Для максимального сужения выборки аналитики SOC могут добавлять сразу несколько фильтров. Полученные данные можно экспортировать или, например, отправить в SIEM-систему для поиска релевантных индикаторов компрометации.

В данной версии платформы разработчики также улучшили распределенные сенсоры, предназначенные для сбора индикаторов на удаленных площадках рядом с потоком данных SIEM-системы. Теперь для каждого из них можно добавить свою политику, определяющую срок автоматического удаления собранных данных.

Еще одно изменение R-Vision TIP 1.17 касается обработки open source фидов об угрозах. Теперь при добавлении CSV-фидов пользователю доступен конструктор, в котором можно указать, какие объекты и из каких колонок должна собирать платформа. Это дает возможность собирать из CSV-фидов не только индикаторы компрометации, но и ценный контекст для получения более точной информации об угрозе, например, имена вредоносного ПО, временные метки, название вредоносной группировки или кампании.

Кроме того, в R-Vision TIP 1.17 расширены возможности по формированию информационных материалов об угрозах и уязвимостях. Ранее для каждой уязвимости в платформе нужно было создавать отдельные бюллетени, теперь же можно сформировать единый бюллетень о множественных угрозах. Эта функция призвана повысить удобство работы ИБ-аналитиков при необходимости распространить информацию и рекомендации по защитным мерам от связанных угроз.

«
Мы планомерно развиваем как движок обработки TI-данных, так и возможности по удобному и быстрому поиску угроз внутри инфраструктуры. Первое позволяет более эффективно и качественно собирать данные TI, дает пользователям кругозор и охват источников, второе помогает гибко и оперативно определять, подвержена ли инфраструктура организации актуальным для нее угрозам. Возможности по сбору данных из различных источников, нормализация, валидация, механизмы управления жизненным циклом крайне важны, так как позволяют получать знания о ландшафте угроз и своевременно реагировать на них, — отметил Антон Соловей, менеджер продукта R-Vision Threat Intelligence Platform.
»

R-Vision Threat Intelligence Platform 1.15

13 апреля 2021 года компания R-Vision сообщила об обновлении платформы управления данными киберразведки R-Vision Threat Intelligence Platform (TIP) до версии 1.15. В ней появились возможность распределенной установки сенсоров SIEM, инструменты для управления жизненным циклом, создания и изменения индикаторов компрометации, поддержка формата STIX, расширенная модель данных об угрозах, обновленные функции по работе с бюллетенями и другие обновления.

Распределенная инсталляция сенсоров SIEM в R-Vision TIP 1.15

По информации компании, одно из главных обновлений — возможность устанавливать сенсоры для сбора индикаторов компрометации рядом с потоком событий SIEM-системы. Ранее для обработки этой информации нужно было использовать единый централизованный сенсор, установленный вместе с платформой. Обновленная функциональность будет востребована крупными организациями с территориально-распределенной инфраструктурой, которым необходимо инсталлировать сенсоры непосредственно в филиалах. Все подключенные сенсоры SIEM доступны аналитикам SOC в пользовательском интерфейсе R-Vision TIP, где также предусмотрена возможность их удаленного конфигурирования.

Теперь пользователи платформы могут определять время устаревания индикаторов компрометации, задавая собственные политики или пользуясь сведениями поставщиков потоков данных об угрозах. Это позволяет аналитикам ИБ фильтровать потерявшие актуальность индикаторы компрометации и сокращать время на их обработку.

В обновленной версии платформы также появилась возможность создавать и редактировать индикаторы компрометации, найденные самостоятельно в ИТ-инфраструктуре компании. Пользователи могут вносить в систему всю необходимую информацию: тип, вид, значение, описание, теги, дату и время истечения индикатора и т.д.

Помимо этого, разработчики дополнили решение инструментом для анализа качества источников данных. Отчеты о подключенных к платформе источниках данных формируются автоматически за заданный период времени, а используемые в них метрики помогают оценить качество получаемых сведений.

Для оптимизации полноты описания угроз в продукте была расширена модель данных. В ней появился ряд сущностей, которые лежат в основе системы атрибуции угроз и помогают пользователям отличить серьезные атаки от незначительных инцидентов и принять оперативные меры по реагированию.

Также в обновленной версии R-Vision TIP реализована возможность ведения пользовательских «белых списков» индикаторов компрометации. Теперь аналитики SOC могут создавать собственные списки доверенных ресурсов для фильтрации заведомо невредоносных индикаторов компрометации на этапе сбора данных. Такие индикаторы будут считаться исключениями и не попадут в базу данных TIP.

Кроме того, в платформе добавлена возможность выгружать индикаторы компрометации в формате STIX 2.1. Это специализированный формат обмена данными киберразведки, который распознается большим количеством систем, позволяет совместно использовать данные об угрозах и получать структурированную информацию об индикаторах компрометации.

В последних версиях платформы реализован механизм создания произвольного количества дашбордов с кастомизируемыми виджетами под конкретные задачи аналитиков SOC. Ряд изменений коснулся и public API: например, появилась возможность выгружать информацию по большому объему индикаторов во внешние системы с помощью всего лишь одного запроса.

Отдельный блок изменений затронул работу с бюллетенями об угрозах и уязвимостях: теперь в них можно добавлять сразу несколько изображений и создавать в системе собственные шаблоны рекомендаций о том, что делать в случае выявления угрозы. Эти обновления помогут организациям с крупной филиальной сетью и MSS-провайдерам оптимизировать скорость распространения важной информации для принятия оперативных мер по реагированию на инциденты ИБ.

«
На апрель 2021 года мы наблюдаем на рынке ИБ растущую потребность в удобных инструментах управления, структурирования, обмена данными об угрозах, а также автоматизации действий с такими данными. Это напрямую связано с увеличивающимся объемом атак, их широким распространением по разным индустриям, расширяющимся инструментарием и техниками злоумышленников.

отметил Антон Соловей, менеджер продукта R-Vision Threat Intelligence Platform
»

2020: Появление графа связей

4 июня 2020 года компания R-Vision анонсировала очередной релиз платформы управления данными киберразведки R-Vision Threat Intelligence Platform. Среди функциональных новшеств: наглядное отображение данных об угрозах на графе связей, сбор сведений об уязвимостях, уязвимом ПО и дефектах безопасности из баз CVE, CPE, CWE и опции импорта и экспорта индикаторов компрометации. Перечисленные возможности помогают аналитику безопасности сформировать полноценную картину угроз и облегчают их анализ.

В продукте появился такой характерный для продуктов класса Threat Intelligence Platform инструмент, как граф связей. Он отображает взаимосвязи вредоносного индикатора с другими сущностями и дает наглядное представление об угрозе, тем самым упрощая ее анализ. Граф содержит в себе инструменты масштабирования, фильтрации, а также кластеризации объектов по различным атрибутам для удобной работы.

В представленной версии добавлен сбор уязвимостей (CVE), списка уязвимого ПО (CPE) и дефектов безопасности (CWE) из баз NVD (NIST) и MITRE. R-Vision TIP автоматически связывает эти сведения между собой, а также с собранными индикаторами компрометации. В результате пользователь получит исчерпывающую картину не только по самой уязвимости, которая эксплуатируется вредоносным ПО, но и сможет сразу понять, какое ПО ей подвержено и что к ней привело. Это помогает аналитику безопасности приоритизировать устранение уязвимостей.

Добавлена возможность сбора индикаторов компрометации с различных внутренних систем, используемых в организации. R-Vision TIP будет автоматически сохранять, обновлять и обогащать эти данные, связывать их с уже имеющейся информацией об угрозах, аналогично процессу обработки данных киберразведки от внешних поставщиков. Экспортировать готовые к использованию индикаторы теперь можно не только на средства защиты информации, но и в виде файлов в форматах JSON и CSV.

Изменения также коснулись интеграции R-Vision TIP с SIEM-системами QRadar и ArcSight, за счет которой осуществляется мониторинг индикаторов компрометации в событиях безопасности и формирование оповещений в случае обнаружения. Представленная реализация интеграции обеспечивают более высокую производительность и помогает избежать излишней нагрузки на SIEM.

Техническая поддержка компании R-Vision оповестит текущих пользователей продукта о доступности обновлений.

2019: Официальный релиз R-Vision Threat Intelligence Platform

9 октября 2019 года компания R-Vision представила официальный релиз своего продукта R-Vision Threat Intelligence Platform – российской платформы управления данными киберразведки.

R-Vision Threat Intelligence Platform

Данные киберразведки представляют собой сведения об актуальных угрозах, атаках, тактиках и техниках злоумышленников, а также так называемые индикаторы компрометации, по которым можно выявить вредоносную активность. Раннее обнаружение компрометации - один из ключевых факторов, позволяющих свести к минимуму потери данных, финансовые убытки и репутационный ущерб компании.

Платформа R-Vision Threat Intelligence Platform обеспечивает сбор индикаторов компрометации от разных поставщиков, их обработку, обогащение дополнительным контекстом, а также экспорт на внешние средства защиты для мониторинга и блокировки. Среди поддерживаемых источников информации об угрозах - данные от ФинЦЕРТ ЦБ РФ, Kaspersky, Group-IB, IBM X-Force Exchange, AT&T Cybersecurity (ранее AlienVault), а также открытые данные. Благодаря набору сенсоров, продукт осуществляет мониторинг в реальном времени, ретроспективный поиск следов активности злоумышленника в ИТ-инфраструктуре организации и оповещает аналитика безопасности в случае обнаружения.

Все регулярно повторяющиеся операции с индикаторами компрометации в R-Vision Threat Intelligence Platform могут выполняться в автоматическом режиме, что дает важное преимущество – возможность обеспечить полный автоматизированный цикл работы, от сбора до блокировки средствами защиты.

«
Активное использование индикаторов компрометации становится неотъемлемой функциональностью многих современных средств защиты, позволяя оперативно выявлять в том числе скрытые атаки на инфраструктуру, факты компрометации компьютерных систем и присутствие вредоносного кода. Сделать работу с потоками данных киберразведки, поступающих по различным каналам, максимально автоматизированной и эффективной - основная задача нашего решения. Применение R-Vision Threat Intelligence Platform в связке с уже имеющимися средствами мониторинга и обеспечения безопасности позволяет значительно развить их возможности и повысить шансы организации вовремя обнаружить угрозу,
прокомментировал генеральный директор R-Vision Александр Бондаренко
»

Решения класса Threat Intelligence Platform становятся одним из важных инструментов центров мониторинга и реагирования на инциденты информационной безопасности. За счет оперативного предоставления детальной картины по угрозам и автоматизации действий, такие решения позволяют выявлять на ранних этапах скрытые атаки, обеспечивать проактивное реагирование, а также ускорять расследование уже случившихся инцидентов.



ПРОЕКТЫ (1) ИНТЕГРАТОРЫ (1) СМ. ТАКЖЕ (13)

ЗаказчикИнтеграторГодПроект
- X5 Group
R-Vision (Р-Вижн)2023.02Описание проекта



Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  SearchInform (СёрчИнформ) (1, 1)
  Makves (Маквес) (1, 1)
  Другие (0, 0)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год