R-Vision Incident Response Platform

Продукт
Разработчики: R-Vision (Р-Вижн)
Дата последнего релиза: май 2018 года
Технологии: ИБ - Управление информацией и событиями в системе безопасности (SIEM)

Содержание

R-Vision Incident Response Platform – это программная платформа для автоматизации деятельности по мониторингу, регистрации и реагированию на инциденты информационной безопасности.

Система R-Vision позволяет создать корпоративный центр управления безопасностью (SOC), который представляет собой точку консолидации информации обо всех инцидентах информационной безопасности, а также платформу для автоматической обработки инцидентов и слаженной работы группы реагирования.

Скорость реакции на инциденты является одним из ключевых показателей эффективности подразделения информационной безопасности любой организации. В условиях все возрастающего количества фиксируемых сообщений о возможных инцидентах информационной безопасности и принимая во внимание скорость реализации современных кибератак, единственным способом сохранить возможность оперативного реагирования является автоматизация выполняемых действий и разработка готовых планов реагирования на возникающие ситуации.

Система R-Vision позволяет провести инвентаризацию ИТ-инфраструктуры, учёт материальных и нематериальных активов и их взаимосвязей, выделить наиболее критичные активы, выявить несанкционированные устройства и внешние подключения, уязвимости на сканируемых узлах и осуществлять их приоритезацию по степени критичности.

В части управления инцидентами платформа R-Vision собирает информацию по зафиксированным инцидентам информационной безопасности со всех используемых в организации источников. Каждое уведомление об инциденте обогащается деталями о связанных активах, пользователях, критичности бизнес-процессов.

Далее запускаются готовые сценарии реагирования, которые позволяют автоматизировать алгоритм действий команды реагирования (эскалация, уведомление, формирование рабочей группы, постановка задач), а также обеспечить выполнение действий по сбору дополнительных сведений, либо превентивных действий, направленных на блокирование атаки, в автоматическом режиме. Продукт позволяет гибко настроить политику реагирования на инциденты ИБ, задать различные варианты сценариев реагирования под каждую категорию инцидента.

Для эффективного отражения современных кибератак крайне важно иметь возможность обмениваться информацией с другими участниками отрасли, внешними экспертами и организациями, публичными центрами реагирования (CERT/SOC). Система R-Vision содержит встроенные механизмы обмена подобной информацией. Это позволяет оперативно получать сведения, которые могут быть использованы для обнаружения и блокирования кибератаки. Кроме того, это позволяет предоставить сведения, выявленные в ходе расследования инцидента, другим доверенным участникам обмена, в качестве которых могут выступать службы информационной безопасности дочерних и/или головных организаций (в случае крупных холдинговых структур), партнерских организаций/контрагентов, соответствующих государственных служб (ФинЦЕРТ, ГОССОПКА и др.).

В системе также выполняется учёт выполненных мероприятий по реагированию на инциденты ИБ, могут быть определены нормативы по выполнению тех или иных действий, а также общие сроки реагирования на инциденты различных категорий и уровней критичности. Все это в совокупности позволяет оценивать эффективность команды реагирования и определять области для улучшения.

Автоматизация процесса мониторинга и реагирования на инциденты информационной безопасности с помощью платформы R-Vision позволяет организациям контролировать защищенность информационных активов, существенно ускорить реагирование на инциденты ИБ, повысить эффективность работы сотрудников, отвечающих за информационную безопасность, и свести к минимуму риски и возможный ущерб от кибератак.

2018

Майское обновление

15 мая R-Vision объявила о расширении возможностей решения R-Vision Incident Response Platform функционалом класса Threat Intelligence Platform. Теперь платформа R-Vision может в автоматическом режиме собирать и обрабатывать данные киберразведки, использовать их в алгоритмах реагирования и передавать напрямую на средства защиты. Это облегчает выявление скрытой активности хакеров и повышает скорость реагирования, сводя к минимуму возможный ущерб.

Технология threat intelligence позволяет обнаружить вредоносную активность киберпреступников по определенным признакам, называемым индикаторами компрометации. Интеграция этих данных в процесс реагирования на инциденты позволяет быстрее установить компрометацию и оперативно блокировать угрозу. Однако без автоматизированного решения качественная обработка и аналитика огромного массива данных об угрозах практически невозможна.

Threat Intelligence Platform от R-Vision позволяет осуществлять в автоматическом режиме централизованный сбор, обработку и обогащение индикаторов компрометации, собираемых из фидов threat intelligence от различных поставщиков. Система обладает встроенной интеграцией с площадками обмена данными об угрозах IBM X-Force Exchange и AlienVault Open Threat Exchange, с threat intelligence сервисами от Group-IB и Лаборатории Касперского и позволяет подключить другие коммерческие и публичные источники.

Данный функционал позволяет не только загружать сведения из определенных фидов, но и осуществлять кросс-проверку данных по отдельным индикаторам с помощью дополнительных запросов во внешних источниках. Обработанные данные можно напрямую передать на используемые средства защиты, что позволяет снизить количество ложных срабатываний, которые возникают при использовании сырых данных.

Версия 3.6

Компания R-Vision, российский разработчик решений для автоматизации управления информационной безопасностью и реагирования на инциденты, 27 апреля 2018 года объявила о выпуске очередной версии R-Vision Incident Response Platform, предназначенной для создания корпоративных центров кибербезопасности (SOC).

По словам разработчиков, в версии 3.6 реализованы возможности, которые позволяют более гибко управлять инцидентами, и расширен спектр операций, которые могут быть выполнены удаленно в автоматическом режиме, обеспечивая тем самым более быстрое и адаптивное реагирование.

«
Мы продолжаем наращивать функциональность нашего продукта в сторону максимальной автоматизации выполняемых специалистами SOC операций, а также расширять спектр задач, которые можно реализовать из "единого окна" консоли R-Vision, — отметил Александр Бондаренко.
»

В части управления инцидентами добавлена макрокорреляция, позволяющая осуществлять поиск связанных инцидентов по определенному критерию. Также появилась возможность создавать инциденты из уязвимостей и контролировать их устранение на узлах.

Одна из ключевых особенностей платформы – динамические сценарии реагирования (так называемые "плейбуки"), которые позволяют в автоматическом режиме реализовать алгоритм действий, заданный для конкретного типа инцидента. В версии 3.6 сценарии реагирования дополнены следующими типами действий: запрос информации у пользователей и автоматическое принятие решения в ходе отработки сценария.

Значительная часть функционала R-Vision IRP 3.6 призвана облегчить работу с активами, отметили в компании. В частности, была оптимизирована интеграция с базами данных и реализована возможность напрямую подгружать информацию из базы данных по расписанию. Также добавлена опция удаленного подключения к проинвентаризированным узлам непосредственно из интерфейса R-Vision, функционал запуска скриптов автоматизации на активах по заданному расписанию и запуска скриптов с исполняемыми файлами.

В новой версии был также оптимизирован интерфейс системы и появилась возможность выбора между светлой и темной темами интерфейса. В дизайне геокарты также произошли изменения и была добавлена опция по отображению на ней активов, хостов, инцидентов и уязвимостей.



ПРОЕКТЫ (3) ИНТЕГРАТОРЫ (1) СМ. ТАКЖЕ (3)


Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2015 год
2016 год
2017 год
Текущий год

  Positive Technologies (Позитив Текнолоджиз) (1, 7)
  ArcSight (1, 4)
  IBM (1, 1)
  Другие (0, 0)

  R-Vision (Р-Вижн) (1, 2)
  IBM (1, 1)
  ArcSight (1, 1)
  ИНИТИ (INITI) (1, 1)
  АйТи (1, 1)
  Другие (1, 1)

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2015 год
2016 год
2017 год
Текущий год