R-Vision UEBA Аналитическая платформа кибербезопасности (ранее R-Vision Sense)

Основные статьи:

• Утечки данных
• Security Information and Event Management (SIEM)
• DLP - Data Loss / Leak Prevention - Технологии предотвращения утечек конфиденциальной информации

Аналитическая платформа кибербезопасности R-Vision UEBA (ранее R-Vision SENSE) позволяет контролировать состояние безопасности инфраструктуры, выявлять значимые аномалии и сигнализировать об угрозе, предоставляя необходимый контекст для принятия решений.

2024: R-Vision UEBA 1.16 с разделом «Профиль пользователя»

Компания R-Vision выпустила обновление для R-Vision UEBA 1.16, чтобы повысить эффективность ИБ-специалистов. В данной версии разработчик расширил сценарии детектирования 15 аномалиями. Добавил раздел «Профиль пользователя» для наблюдения за объектом, а также изменил визуализацию таймлайна, чтобы ускорить сбор артефактов при расследовании. Об этом компания сообщила 5 февраля 2024 года.

R-Vision внес крупные изменения в процесс работы с объектами наблюдения. Разработчик добавил в интерфейс окно — «Профиль пользователя», в котором ИБ-специалисты могут мгновенно получать детальную сводку по всем сессиям объекта наблюдения, анализировать их в одном окне, а также оставлять комментарии. Кроме того, разработчик разделил хронологию событий на сессии, ограничив показ активности объекта наблюдения одними сутками. Для каждой сессии отображается большой спектр данных о поведении пользователя за выбранный период времени: аномалии, сработавшие оповещения, учетные записи, оборудование и общий рейтинг. Теперь в сессиях группируются однотипные события ИБ, чтобы повысить информативность таймлайна и делать его более удобным для анализа данных. Добавленные функции позволят специалистам быстро формировать контекст расследования и могут в 3 раза сократить время на сбор артефактов.Догнать и перегнать: Российские ВКС прирастают новыми функциями 8.6 т

Команда R-Vision продолжает расширять возможности детектирования для лучшей защиты от угроз. Поэтому в данной версии R-Vision UEBA 1.16 разработчик добавил 2 программных эксперта — BruteForce и VPN Connections, которые расширили сценарии детектирования 15 аномалиями. Программы помогают обнаружить сценарии перебора учетных данных пользователей (Bruteforce) и факт множественного подключения VPN за короткое время с учетом геолокации (VPN). Теперь аналитики могут выявлять основные угрозы в автоматическом режиме.

Кроме того, в обновление R-Vision UEBA 1.16 также вошли следующие изменения:

• у ИБ-специалистов появилась возможность создавать виджеты — листы наблюдения для точечного наблюдения за объектами. В них можно внести объекты, которые требуют дополнительного внимания, чтобы контролировать происходящие события;
• добавлена глубокая интеграция с AD и расширенными возможностями API, благодаря которым доступна расширенная карточка объекта наблюдения;
• усилено взаимодействие с R-Vision Endpoint для оперативного получения необходимых данных и R-Vision SOAR для передачи более детальной информации об инциденте и своевременного реагирования на него.

Помимо добавленных функций, R-Vision UEBA успешно прошла сертификационные испытания на соответствие требованиям к защите информации по 4-му уровню доверия Федеральной службы по техническому и экспортному контролю (ФСТЭК) России. Теперь платформа может использоваться: в государственных информационных системах до первого класса защищенности; информационных системах персональных данных до первого уровня защищенности; автоматизированных системах управления производственными и технологическими процессами (АСУ ТП) до первого класса защищенности; на значимых объектах критической информационной инфраструктуры (КИИ) России.

В программные эксперты R-Vision UEBA заложены лучшие практики анализа данных и эффективный объектный подход. В совокупности они позволяют в автоматическом режиме детектировать аномалии, своевременно информировать о возможных угрозах и оперативно собирать контекст для расследования, — прокомментировал Виктор Никуличев, продукт-менеджер компании R-Vision.

2023: Выход версии 1.14 с переименованием платформы в R-Vision UEBA

5 июля 2023 года компания R-Vision представила обновленную платформу для анализа поведения объектов и выявления аномалий R-Vision UEBA 1.14, ранее известную как R-Vision SENSE. Вместе с обновленным названием продукт получил ряд значимых изменений. В частности, в нем была реализована интеграция с технологией R-Vision Endpoint, расширяющая возможности сбора данных с конечных устройств. Также разработчик улучшил карточку объекта, что позволяет аналитикам ИБ использовать больше контекста при поиске причин аномалий.

С выходом версии 1.14 платформа R-Vision SENSE была переименована в R-Vision UEBA. Смена названия отражает уровень зрелости продукта, функциональные возможности которого соответствуют требованиям решений класса (UEBA) User and Entity Behavior Analytics.

В обновленной версии пользователям стал доступен более широкий спектр событий и телеметрии, получаемых из различных операционных систем, включая: Windows, Linux и MacOS. Данное обновление позволяет расширить объем получаемых данных с конечных устройств, что обеспечивает аналитиков ИБ более качественными событиями для их последующего изучения. Это стало возможным благодаря интеграции платформы R-Vision UEBA с технологией R-Vision Endpoint.

Ряд других важных функциональных доработок компания R-Vision внесла в карточку объекта, обогатив ее дополнительной информацией. Теперь, помимо базовой информации, в карточке отражаются технические характеристики объекта, а также связанные с ним сущности. Благодаря этому можно быстрее получить доступ к объекту и полному контексту по нему и значительно ускорить поиск причин аномалий. Кроме этого, разработчик добавил в карточку объекта вкладку «Аналитика за сутки», в которой отображается изменение рейтинга, аномалии и задействованные устройства за последние 24 часа. При обнаружении объекта с высоким рейтингом аналитики ИБ могут с помощью одного клика просмотреть все действия пользователей за последние сутки и определить, являются ли они аномальными и требуется ли дальнейшее расследование.

Другие улучшения платформы связаны с расширением уже существующего списка атрибутов и обновленными моделями данных, которыми вендор дополнил R-Vision UEBA 1.14. Нововведение дает возможность получать больше контекста по событиям и проводить более детальный анализ при выявлении аномалий в корпоративной инфраструктуре.

Специалистам кибербезопасности крайне важно иметь инструменты, которые позволяют оперативно получать важные для проведения расследований артефакты, эффективно анализировать поведение объектов и выявлять аномалии. Таким образом, они могут сокращать время на обнаружение и изучение атак. Все улучшения, которые мы внесли в платформу R-Vision UEBA 1.14, как раз направлены на то, чтобы обеспечить аналитиков ИБ возможностью быстрого и выявления аномалий. В частности, данная опция группировки идентичных событий в рамках функционала таймлайн помогает ускорить процесс обработки огромных объемов данных, определить, какие события имеют наибольшее влияние на безопасность предприятия, и принять меры по их предотвращению, сказал Виктор Никуличев, менеджер продукта R-Vision UEBA компании R-Vision.

2021

R-Vision Sense 1.5

Компания R‑Vision 13 декабря 2021 года представила следующую версию аналитической платформы кибербезопасности R-Vision SENSE 1.5.

В продукте появился ряд возможностей в сравнении с коммерческим релизом, вышедшим в мае 2021 года. Ключевые изменения коснулись системы поведенческого анализа. Теперь платформа самостоятельно умеет дообучаться и переобучаться для своевременной актуализации шаблонов поведения. Пользователь системы может настраивать интервалы автоматического дообучения под условия своей инфраструктуры, чтобы программные эксперты вовремя получали новые сведения и уменьшали число повторяющихся ложноположительных аномалий. Также настраивая интервалы переобучения, пользователь может регулировать периодичность сброса устаревшего контекста по объектам, что позволит избежать эффекта накопления полномочий, например, в случае смены ролей сотрудника в компании.

В обновленной платформе реализованы интеграции с целым рядом источников. Отдельно стоит выделить интеграции с системами MaxPatrol SIEM и ArcSight ESM. Также R-Vision SENSE позволяет сохранять и обрабатывать не только сырые события, но и события корреляции из ArcSight ESM, размещая их на общем таймлайне объекта наблюдения. Таким событиям можно назначить рейтинг опасности, после чего они будут влиять на рейтинг объекта наблюдения. В версии 1.5 также реализована интеграция с системой реагирования на инциденты R-Vision IRP – появилась возможность настраивать отправку оповещений об инцидентах. Кроме того, был разработан коннектор для событий Kaspersky Security Center, по которым также можно настраивать простые правила для присвоения алертам баллов опасности на таймлайнах объектов.

В R-Vision SENSE версии 1.5 появилось превью по объекту наблюдения – теперь можно быстро получить информационную сводку об объекте, частым аномалиям, баллах опасности и сразу же перейти к таймлайну для получения всех необходимых подробностей. Был переработан алгоритм работы частотной модели, благодаря чему программные эксперты работают точнее и быстрее. Также разработчики предоставили возможность настраивать программных экспертов для регулирования их чувствительности.

Кроме того, была реализована интеграция с Active Directory. Список пользователей, а также информация по ним появляется и обновляется автоматически. Также теперь стало возможным настраивать несколько таких интеграций, синхронизируя разные Base DN.

Значительная часть улучшений произошла в среде логирования. В R-Vision SENSE появился отдельный сервис для централизованного логирования процессов всех модулей и сервисов системы, с помощью которого пользователю станет проще собирать необходимую сервисную информацию. Покрытие логами коснулось всех критичных сервисов, относящихся к работе платформы. Появился функционал системных уведомлений – теперь платформа будет оповещать пользователя обо всех важных событиях в пользовательском интерфейсе.

Также разработчики расширили функциональность работы с дашбордами, оптимизировали процесс работы с агрегированной сущностью «Пользователь» и улучшили таймлайн. Кроме того, в карточке пользователей появилась история изменений – все обновления объекта теперь отражаются в соответствующей вкладке.

«В версии R-Vision SENSE 1.5 нам удалось автоматизировать большой блок работы пользователя с системой, в частности, с инструментами поведенческого анализа. Как результат, с конечного пользователя снялась нагрузка о принятии решения и организации процессов дообучения или переобучения — мы адаптировали систему к самостоятельному обучению. Кроме того, такой процесс позволяет адекватно и своевременно реагировать на изменения инфраструктуры, что является основой поведенческого анализа, — отметил Виктор Никуличев, менеджер продукта R-Vision SENSE. — Следующими шагами для улучшения будут расширение аналитических способностей платформы - простых правил и экспертов, а также функциональных возможностей для пользователя, в том числе по работе с аналитическими инструментами и ретроспективному анализу».

Появление расширенного списка объектов

18 мая 2021 года компания R-Vision выпустила коммерческий релиз аналитической платформы кибербезопасности R-Vision SENSE. По сравнению с техническим релизом, представленным осенью 2020 года, в продукте появился ряд возможностей. Среди ключевых добавлений — расширенный список объектов, состояние безопасности которых контролирует платформа, улучшенная система оповещения об аномальном поведении объектов и обновленные программные эксперты для выявления аномалий.

В коммерческой версии продукта разработчики добавили в перечень объектов агрегированную сущность «Пользователь». Список пользователей можно создавать как вручную, так и автоматически — путем интеграции платформы со службой каталогов Active Directory. Ранее перечень поддерживаемых объектов включал учетные записи и хосты, в будущем компания R-Vision планирует его дальнейшее расширение.

Кроме того, теперь в продукте появилась возможность удалять аномалии, выявленные при срабатывании простых правил. Эта функциональность будет полезной при настройке продукта, когда платформа обучается и может генерировать излишние аномалии. При удалении правила все ранее найденные аномалии будут также автоматически удалены.

Еще одно изменение затронуло работу с системой оповещения об отклонениях от профилей нормального поведения объектов. Платформа рассчитывает рейтинг опасности каждого контролируемого объекта, начисляя баллы за все связанные с ним подозрительные события, и при достижении предельного значения отправляет пользователю оповещение на электронную почту. В коммерческой версии продукта пороговая величина рейтинга и уровень критичности аномалий выставляются автоматически, при этом у аналитика SOC остается возможность редактировать эти параметры.

Отдельный блок обновлений касается многоуровневой системы программных экспертов для выявления аномалий. Так, в коммерческой версии R-Vision SENSE появился программный эксперт Account Sharing, предназначенный для выявления случаев использования чужих учетных записей по авторизационным событиям. Также теперь в продукте реализован расширенный программный эксперт по выявлению аномалий в соединениях VPN. В отличие от обычного, он позволяет обнаруживать подключения с IP-адреса с неустановленным геоположением, нестандартные для пользователя и организации города и страны подключения, несоответствие расстояния и разницы во времени между точками подключения.

В коммерческой версии платформы нам удалось повысить стабильность и скорость работы программных экспертов с большими данными. Это стало возможным за счет функционального разделения нагрузки по предварительной обработке данных, в результате чего объемы информации, передаваемой между сервисами внутри системы, а также требования к программным экспертам были снижены без потери в точности их работы, — отметил Виктор Никуличев, менеджер продукта R-Vision SENSE. — В дальнейшем мы планируем расширять разнообразие поглощаемых источников данных и интеграций, а также таксономию анализируемых объектов наблюдения. Кроме того, решение будет дополняться внутренней экспертизой — математической в виде методов и моделей программных экспертов, а также в части аналитических возможностей, доступных `из коробки`.

2020: Представление R-Vision Sense

Компания R-Vision 15 октября 2020 года представила аналитическую платформу кибербезопасности R-Vision SENSE. Данный продукт дополнит спектр технологий, используемых в Security Operation Center, расширенными аналитическими возможностями, которые позволят выявлять признаки начинающихся атак и приоритизировать угрозы для реагирования.

В фокусе R-Vision SENSE находятся объекты инфраструктуры - пользователи, оборудование, учетные записи, сервисы и другие типы объектов. Опираясь на данные, получаемые от источников напрямую или собираемые с помощью инструментов лог-менеджмента или SIEM, платформа анализирует их поведение. С помощью многоуровневой системы программных экспертов осуществляется мониторинг запуска процессов и приложений, запросов аутентификации, доступа процессов к данным, подключений VPN, почтового трафика и других параметров. R-Vision SENSE запоминает нормальное поведение объектов и фиксирует подозрительную активность в случае отклонений. Также для выявления вредоносной активности применяется набор простых правил, которые срабатывают по определенным критериям. Последовательность событий, аномалий и контекст по каждому объекту сохраняется в виде «таймлайна», что облегчает расследование инцидента, восстановление хронологии атаки и выявления проблем в защите для устранения.

В платформе R-Vision SENSE используется универсальный формат данных для анализа, что обеспечивает гибкость в работе аналитических инструментов: простые правила и программные эксперты самостоятельно адаптируются к изменениям источников данных и не требуют частой донастройки вручную. С точки зрения алгоритмов, в продукте используется комбинация статистического и поведенческого анализа и методов машинного обучения.

Чтобы обеспечить защиту от киберугроз, недостаточно полагаться на отдельные показатели в определенный момент времени, важно отслеживать изменения в динамике, – отметил Александр Бондаренко, генеральный директор R-Vision – Инфраструктура больше не является стерильным объектом, она постоянно подвергается атакам. Реальность ближайшего будущего такова, что априори инфраструктура любой организации скомпрометирована, и нужно действовать исходя из этой парадигмы. Необходимо постоянно отслеживать следы присутствия злоумышленника, и главная задача специалистов по безопасности - вовремя обнаруживать компрометацию до момента, когда это может повлечь серьезный ущерб для организации, по аналогии с работой иммунной системы в организме человека.

Работая с SOC в России, выполняя ряд проектов по автоматизации процесса мониторинга и реагирования на инциденты для крупных компаний и государственных организаций, мы видим сложности, с которыми сталкиваются ИБ-специалисты, решая свои задачи классическими средствами. Сюда относится нехватка персонала, его перегруженность уведомлениями от средств мониторинга и размытое внимание, вследствие чего некоторые критичные инциденты могут быть обработаны несвоевременно, - пояснил Игорь Сметанев, коммерческий директор R-Vision. - R-Vision SENSE базируется на ряде принципов, за счет которых решаются эти проблемы. Во-первых, это объектно-центричный подход, согласно которому любое событие анализируется относительно конкретного объекта – пользователя, рабочей станции, учетной записи и т.д. Постоянно контролируя состояние объектов, платформа выявляет аномалии, которые свидетельствуют о действиях злоумышленника. Во-вторых, использование гибких аналитических инструментов, которые автоматически адаптируются при изменении источников данных. Это облегчает поддержку и настройку системы. В-третьих, скоринговая оценка угроз помогает выделить наиболее критичные аномалии и отсеять менее значимые инциденты, тем самым снижая нагрузку на аналитиков.

По информации компании, первые пилотные проекты планируется стартовать уже в ноябре 2020 года.