Название базовой системы (платформы): | Security Vision Специализированная платформа для автоматизации процессов информационной безопасности |
Разработчики: | Интеллектуальная безопасность ГК (бренд Security Vision) |
Дата премьеры системы: | 2023/04/28 |
Дата последнего релиза: | 2024/04/03 |
Технологии: | ИБ - Предотвращения утечек информации, ИБ - Система обнаружения мошенничества (фрод), ИБ - Управление информацией и событиями в системе безопасности (SIEM) |
Содержание |
Основные статьи:
- UBA (User Behavior Analytics, Анализ поведения в сфере систем обеспечения безопасности)
- DLP - Data Loss / Leak Prevention - Технологии предотвращения утечек конфиденциальной информации
- Fraud Detection System (фрод, система обнаружения мошенничества)
- Security Information and Event Management (SIEM)
2024
Обзор Security Vision UEBA
Продукт Security Vision UEBA автоматически создает профили нормального поведения для пользователей, устройств и систем, анализируя разнообразные данные, включая сетевой трафик, логи приложений и системные события. Система выявляет отклонения от установленных норм, используя передовые алгоритмы машинного обучения, и объединяет результаты работы нескольких моделей, повышая точность обнаружения и снижая количество ложных срабатываний. Подробнее здесь.
Security Vision UEBA с возможностью применения методов Anomaly Detection
4 апреля 2024 года компания Security Vision сообщила о выходе обновленной версии продукта Security Vision UEBA.
По информации компании, продукт Security Vision UEBA автоматически выстраивает типовые модели поведения объектов инфраструктуры (пользователей, учетных записей, устройств, процессов и др.), анализируя сырые потоки данных (сетевой трафик, логи прокси-серверов, почтовых серверов, windows/linux серверов и рабочих станций и др.), выявляет отклонения и предоставляет гибкие инструменты по их анализу, расследованию и реагированию. Наиболее значимые обновления включают нижеследующее.
Anomaly Detection
Применение методов Anomaly Detection расширяет возможности выявления аномалий в корпоративной инфраструктуре, применяя большое количество разных моделей и методик Machine Learning, стекируя результаты отдельных моделей и объединяя полученные события в инциденты для дальнейшего расследования. Как DevOps-сервис помогает «разгрузить» высоконагруженные системы BPMSoft
ML модели
В обновленной версии Security Vision UEBA расширен набор используемых ML моделей. Применяются следующие модели:
- «с учителем» для выявления похожих паттернов реальных атак (предобученные на различных атаках и вредоносных активностях (DDOS, botnet, C&C и др.),
- модели «без учителя» для нахождения аномалий среди сетевого трафика и событий с хостов, нейросети (в т.ч. RNN),
- модели для обнаружения мимикрирующих процессов и др.
Обработка всех моделей выполняется на инфраструктуре Заказчика без необходимости отправки каких-либо данных «в облако». За счет оптимизаций архитектуры и самих моделей требования к инфраструктуре минимизированы и не требуют специализированного оборудования. Продукт позволяет проводить гибкую настройку всех параметров ML моделей через UI, а также добавлять собственные модели.
Минимизация false-positive сработок
Особый упор сделан на оркестрации работы ML моделей и минимизации false-positive (FP) сработок. Разработаны механизмы автоматического контроля работы и отключения моделей в случае большого количества сработок FP. Также Security Vision UEBA автоматически и регулярно переобучает модели на данных Заказчика для оптимизации адаптации к инфраструктуре, потокам данных и их изменениям. Переобучаются также и модели «с учителем», где используемые датасеты типовых атак и вредоносных активностей автоматически объединяются и «растягиваются» на данные по инфраструктуре Заказчика, полученные из обработанных событий. Реализован автоматический подбор параметров модели: Security Vision UEBA в процессе обучения сама подбирает гиперпараметры для достижения оптимального результата сработок и минимизации количества FP.
Статистические методы дают возможность автоматически накапливать статистику по параметрам, объемным, частотным и количественным показателям по используемым хостам, процессам, командным строкам, именованным пайпам и многим другим характеристикам отдельно по каждому объекту наблюдения, что также существенно снижает уровень FP сработок и позволяет пользователю через UI гибко настраивать веса, добавлять или корректировать имеющиеся правила.
Правила корреляции
Расширен базовый набор правил корреляции, входящих в состав коробочного решения. Экспертами Security Vision были разработаны специальные правила корреляции, позволяющие находить подозрительные действия в потоках сетевого трафика/потоков прокси серверов, а также выявлять подозрительные события на хостах. Данные алерты объединяются вместе со сработками движков статистики и ML, что в итоге позволяет собрать более полный анализ действий подозрительного объекта, учесть каждую сработку правила корреляции со своим уникальным весом (в зависимости от критичности), который будет суммирован с весом событий от других источников наблюдения и в случае превышения порогового значения может привести к созданию инцидента.
Также в Security Vision UEBA встроен полноценный редактор правил корреляции, используя который, можно настраивать правила любой глубины и сложности через UI продукта.
Отображение объектов и сработок
Переработано отображение всех объектов и сработок для предоставления более полного и удобного функционала анализа и расследования полученных инцидентов: графы связей объектов, автоматическое обогащение данными из внешних и внутренних сервисов, drill-down до каждого связного объекта, исходные события по объекту с указанием источника и всех атрибутов, динамика поступления событий и др. В Security Vision UEBA встроены действия по базовому реагированию на полученные инциденты (например, с NGFW, active-листами и т.п.) или для отправки инцидентов в SOAR и SIEM системы.
Используя API продукта, можно настраивать получение сработок по объектам, получать подозрительные события и алерты по каждому объекту (например, для обогащения этой информацией инцидентов в SOAR).
Расширение возможностей
Продукт Security Vision UEBA реализован на платформе Security Vision 5, что позволяет пользователям расширять его возможности, создавая как новые объекты наблюдения (включая их карточки, общие представления, процессы обработки и сценарии реагирования), корректировать или расширять процесс обработки выявленных сработок, создавать новые интеграции, корректировать и создавать дашборды и отчеты – все полностью через графические конструкторы, встроенные в UI продукта.
Совместимость с NGFW «Континент 4»
Многофункциональный межсетевой экран (NGFW) «Континент 4» от компании «Код Безопасности» и продукты Security Vision Threat Intelligence Platform (TIP), User and Entity Behavior Analysis (UEBA), Security Orchestration, Automation and Response (SOAR) и Next Generation SOAR (NG SOAR) прошли всестороннее тестирование, в результате которого была подтверждена их совместимость. Об этом компания Security Vision сообщила 21 марта 2024 года. Подробнее здесь.
2023: Security Vision UEBA на платформе Security Vision 5
28 апреля 2023 года компания Security Vision сообщила о выпуске обновленной версий продуктов UEBA и Anomaly Detection на платформе Security Vision 5.
По информации компании, Security Vision UEBA автоматически выстраивает типовые модели поведения (пользователей, учетных записей, устройств, процессов и др.) и находит отклонения, анализируя сырые потоки данных по сетевому трафику, прокси-серверов, почтовых серверов, Windows/Linux серверов и рабочих станций.
Security Vision Anomaly Detection расширяет возможности выявления аномалий в корпоративной инфраструктуре, применяя большое количество разных моделей и методик Machine Learning, стекируя результаты отдельных моделей и объединяя полученные события в инциденты для дальнейшего расследования.
Наиболее значимые возможности Security Vision UEBA:
Интеграция с источниками данных
Продукт Security Vision UEBA содержит настроенные коннекторы для получения, нормализации и анализа сырых данных от всех популярных SIEM систем (KUMA SIEM, MaxPatrol SIEM, Pangeo RADAR, RuSIEM, NEURODAT SIEM, ArcSight SIEM, QRadar, Splunk и др.), возможность получения событий в универсальных форматах (CEF, LEEF и др.), коннекторы к NGFW и сетевым устройствам (Cisco, CheckPoint, PaloAlto, Juniper и др.), прокси серверам (Squid, Blue Coat), «озерам данных» (Kafka, Elasticsearch), а также получение логов напрямую с Windows/Linux устройств и рабочих станций.
Встроенные в платформу конструкторы интеграций позволяют в режиме no-code быстро реализовывать дополнительные интеграции с любыми иными источниками данных по большому количеству протоколов, включая графический конструктор по нормализации получаемых данных.
Настраиваемые правила и аналитический движок
Пользователям доступно несколько десятков встроенных правил для статистического анализа различных параметров активностей пользователей, учетных записей, хостов, процессов, а также объемных показателей трафика, количества соединений и др. Функционал продукта позволяет гибко расширять и настраивать правила анализа, настраивать их активность, оценку и порог влияния на создание итогового инцидента.
Также в платформу встроен полноценный движок правил корреляции, используя который, можно настраивать правила любой глубины и сложности. Для примера в поставку продукта включены sigma-правила и типовые правила корреляции.
Инциденты и реагирование
Все выявленные отклонения автоматически объединяются относительно объекта сработки. При превышении заданных пороговых значений система генерирует инцидент, в котором отражена вся детальная информация об объекте инцидента, связанных объектах и всех выявленных аномальных событиях.
Для обработки инцидентов в продукте настроены автоматизированные действия: отправка в системы IRP/SOAR, отправка в SIEM, добавления в Active List’ы SIEM, добавление в листы блокировки на NGFV, блокировка в сервисе каталогов и др. Пользователь может настройками регулировать выполняемые действия: включать их выполнение автоматически или вручную, управлять их видимостью на карточке инцидента. Аналогичным образом можно управлять и оповещениями по инциденту.
Система автоматически создает отдельные объекты для всех связанных атрибутов инцидента (устройства, учетные записи и др.). По каждому объекту автоматически запускаются сбор и обогащения дополнительными данными из инфраструктуры заказчика или из внешних аналитических сервисов. Процесс сбора данных и обогащения регулируется настройками системы.
Для работы с выявленными инцидентами и связанными объектами в продукте реализованы встроенные рабочие процессы, которые управляют жизненным циклом инцидента, обогащениями, а также позволяют выполнять действия. Встроенный в платформу конструктор рабочих процессов позволяет пользователям кастомизировать необходимый процесс реагирования и настраивать взаимодействие с внешними системами.
В платформе доступны гибкие возможности по созданию и настройке дополнительных действий по реагированию, сбору и обогащению данными как полученного инцидента, так и всех связанных с ним объектов инфраструктуры заказчика или внешних систем.
Визуализация и отчетность
В карточке инцидента все выявленные события по объекту отображены в виде Timeline с соблюдением хронологии их возникновения. Большое количестве ссылок на связанные объекты (устройства, учетные записи, процессы и др.) позволяет переходить на их карточки для получения дополнительных данных и анализа.
Дополнительно все связанные объекты и атрибуты отображаются в виде графа, который позволяет выстроить связи между объектами инцидента и быстро перейти на детальную информацию по ним. Пользователь может добавлять дополнительные действия на графе для реагирования, обогащения данными или построения дополнительных связей.
Общие представления и дашборды позволяют посмотреть сводную информацию по всем выявленным объектам, в соответствии с рассчитанным рейтингом. Drill-down позволяет просмотреть детализацию по каждой группе анализа.
По каждому объекту в системе реализована возможность выгрузки отчетов, содержащих всю детальную информацию о выявленных сработках и объектах нарушений. Сводные отчеты за период могут быть выгружены вручную или получены по расписанию по различным каналам: по электронной почте, Telegram и др.
Конструктор отчетности и дашбордов, встроенный в платформу, позволяет пользователям самостоятельно настраивать требуемую отчетность и визуализацию данных в режиме no-code без использования каких-либо внешних продуктов и тулов.
Наиболее значимые возможности Security Vision Anomaly Detection:
- В дополнение ко всем указанным выше возможностям пользователь получает большое количество преднастроенных и обученных моделей Machine Learning, которые расширяют возможности по детекту аномальных и подозрительных действий в корпоративной инфраструктуре, не выявляемых правилами корреляции и функционалом стандартных СЗИ.
- В продукте применяются различные методики ML, обученные модели на различных датасетах, связанных с активностью ботнетов, ВПО, DDOS атак и др., модели «без учителя», автоматически апроксимирующих активности и выявляющих отклонения по различным комбинациям параметров, нейросети, учитывающих последовательность событий и их взаимосвязи и др. Полученные в результате сработки автоматически обрабатываются, группируются в наборы событий, применяется дедупликация данных.
- Применяемые в продукте модели автоматически регулярно переобучаются на данных заказчика, адаптируясь под настройки инфраструктуры, сетевую, техническую и пользовательскую активность. Используется как ручной, так и автоматический подбор параметров моделей для повышения качества выявляемых сработок.
- В продукте встроены возможности применения «белых списков» для настройки исключений. Также модели автоматически учитывают сработки false-positive при последующем переобучении моделей.
Подрядчики-лидеры по количеству проектов
Инфосистемы Джет (66)
Softline (Софтлайн) (56)
SearchInform (СёрчИнформ) (52)
ДиалогНаука (44)
Информзащита (39)
Другие (918)
Инфосистемы Джет (5)
R-Vision (Р-Вижн) (4)
Card Security (Кард Сек) (4)
Softline (Софтлайн) (4)
Национальный аттестационный центр (НАЦ) (4)
Другие (62)
Солар (ранее Ростелеком-Солар) (8)
SearchInform (СёрчИнформ) (4)
А-Реал Консалтинг (3)
Информзащита (3)
Национальный аттестационный центр (НАЦ) (2)
Другие (44)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
SearchInform (СёрчИнформ) (19, 56)
InfoWatch (ИнфоВотч) (14, 49)
Солар (ранее Ростелеком-Солар) (4, 48)
FalconGaze (Фалконгейз) (1, 38)
Positive Technologies (Позитив Текнолоджиз) (8, 37)
Другие (406, 309)
R-Vision (Р-Вижн) (1, 4)
Солар (ранее Ростелеком-Солар) (2, 2)
Инфосекьюрити (Infosecurity) (2, 2)
Tele Link Soft (TLS) PTE. Ltd (1, 2)
SETERE Group (быв. Security Technology Research -ТБИ (Технологии Безопасность Исследования)) (1, 2)
Другие (10, 13)
Солар (ранее Ростелеком-Солар) (2, 7)
SearchInform (СёрчИнформ) (2, 4)
А-Реал Консалтинг (1, 3)
Positive Technologies (Позитив Текнолоджиз) (1, 2)
Makves (Маквес) (1, 2)
Другие (5, 6)
SearchInform (СёрчИнформ) (2, 2)
Перспективный мониторинг (1, 1)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
Colizeum Langame Software, CLS (Колизеум Лангейм Софт) (1, 1)
Makves (Маквес) (1, 1)
Другие (8, 8)
SearchInform (СёрчИнформ) (2, 14)
Перспективный мониторинг (1, 3)
Positive Technologies (Позитив Текнолоджиз) (1, 2)
Crosstech Solutions Group (Кросстех Солюшнс Групп) (1, 1)
Интеллектуальная безопасность ГК (бренд Security Vision) (1, 1)
Другие (3, 3)
Распределение систем по количеству проектов, не включая партнерские решения
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 50
InfoWatch Traffic Monitor Enterprise (IWTM) - 46
FalconGaze SecureTower - 38
MaxPatrol SIEM - 33
DeviceLock Endpoint DLP Suite - 31
Другие 345
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
MaxPatrol SIEM - 2
SETERE: ПК ИСУ Терминал (Интегрированная система управления терминалами защищенного доступа) - 2
Kickidler Система учета рабочего времени - 2
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 2
Другие 12
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 4
Solar Dozor DLP-система - 4
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Solar JSOC - 3
SearchInform FileAuditor - 2
Другие 10
Подрядчики-лидеры по количеству проектов
Интеллектуальная безопасность ГК (бренд Security Vision) (92)
Positive Technologies (Позитив Текнолоджиз) (23)
SearchInform (СёрчИнформ) (16)
Инфосистемы Джет (16)
Softline (Софтлайн) (14)
Другие (141)
Интеллектуальная безопасность ГК (бренд Security Vision) (6)
R-Vision (Р-Вижн) (3)
Softline (Софтлайн) (3)
Ngenix (Современные сетевые технологии, ССТ) (2)
Positive Technologies (Позитив Текнолоджиз) (2)
Другие (10)
Интеллектуальная безопасность ГК (бренд Security Vision) (13)
Positive Technologies (Позитив Текнолоджиз) (6)
InnoSTage (Инностейдж) (4)
CyberOK (СайберОК) (4)
SearchInform (СёрчИнформ) (2)
Другие (11)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Интеллектуальная безопасность ГК (бренд Security Vision) (13, 92)
Positive Technologies (Позитив Текнолоджиз) (17, 39)
SearchInform (СёрчИнформ) (2, 17)
Лаборатория Касперского (Kaspersky) (8, 14)
ArcSight (5, 13)
Другие (278, 110)
Интеллектуальная безопасность ГК (бренд Security Vision) (4, 6)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
R-Vision (Р-Вижн) (1, 3)
IBM (2, 2)
Инфосекьюрити (Infosecurity) (2, 2)
Другие (7, 8)
Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13)
InnoSTage (Инностейдж) (2, 4)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
SearchInform (СёрчИнформ) (1, 2)
Уральский центр систем безопасности (УЦСБ) (1, 2)
Другие (5, 5)
Лаборатория Касперского (Kaspersky) (3, 3)
SearchInform (СёрчИнформ) (1, 3)
Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2)
CloudLinux (1, 1)
Positive Technologies (Позитив Текнолоджиз) (1, 1)
Другие (9, 9)
SearchInform (СёрчИнформ) (1, 9)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Лаборатория Касперского (Kaspersky) (3, 3)
Перспективный мониторинг (1, 3)
Русием (RuSIEM) (1, 2)
Другие (6, 6)
Распределение систем по количеству проектов, не включая партнерские решения
Security Vision Security Operation Center (SOC) - 37
MaxPatrol SIEM - 33
Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 28
СёрчИнформ SIEM - 17
Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 11
Другие 156
R‑Vision SOAR (ранее R-Vision IRP) - 3
Ngenix Облачная платформа - 2
Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 2
MaxPatrol SIEM - 2
Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2
Другие 13
Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 9
CyberART Сервисная служба киберзащиты - 4
Innostage SOAR (ранее Innostage IRP) - 4
Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 4
Security Vision Incident Response Platform (Security Vision IRP) SOAR - 2
Другие 13