Interested Article - Security Vision

Security Vision — программный комплекс ( программное обеспечение ), предназначенный для автоматизации процессов информационной безопасности , мониторинга и реагирования на инциденты кибербезопасности. Включен в Единый реестр российских программ для ЭВМ и БД . Победитель Премии Рунета в номинации «Информационная безопасность» .

Функциональность

Функционал Security Vision позволяет автоматизировать процессы информационной безопасности, составляющие систему управления информационной безопасностью организации, в соответствии с серией международных стандартов ISO/IEC 27001 . Программный комплекс объединяет в себе платформу и модули, которые могут представлять из себя разные комбинации, в зависимости от целей и решаемых задач.

Отдельные модули могут выполнять следующие функции :

Архитектура

Имеет трёхуровневую архитектуру — уровень сбора, уровень ядра и уровень управления:

  • уровень сбора предназначен для сбора, нормализации и отправки на уровень ядра событий безопасности, поступающих от информационных систем и систем защиты;
  • уровень ядра предназначен для сбора, анализа и корреляции событий безопасности, поступающих от систем обеспечения безопасности сети;
  • уровень управления предназначен для автоматизации процесса управления информационной безопасностью и представляет собой русскоязычный портал отчетности.

Системные требования

Для установки платформы необходимы вычислительные ресурсы. Компоненты могут быть развернуты как на физических, так и на виртуальных серверах.

Минимальные системные требования для функционирования программного обеспечения уровня управления
Операционная система Аппаратные требования
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2008 SP2 32/64
  • Microsoft Windows Server 2012
  • Microsoft Windows Server 2016
  • Процессор — два 4-ядерных 2.4 ГГц
  • Оперативная память — 8 Гб
  • Свободное место на жестком диске — 50 Гб
  • Сетевая плата
Минимальные системные требования для функционирования программного обеспечения уровня ядра
Операционная система Аппаратные требования
  • Red Hat Enterprise Linux 5.7 64-bit
  • Процессор — два 4-ядерных 2.4 ГГц
  • Оперативная память — 24 Гб
  • Свободное место на жестком диске — 3 Тб (RAID10)
  • Сетевая плата
Минимальные системные требования для функционирования программного обеспечения уровня сбора
Операционная система Аппаратные требования (для работы с логами) Аппаратные требования (для инвентаризации и контроля целостности)
  • Microsoft Windows Server 2012
  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2008 SP2 32/64
  • Microsoft Windows Server 2003 R2 SP2 32/64
  • Microsoft Windows Server 2003 SP2 32/64
  • Microsoft Windows 8 32/64
  • Microsoft Windows 7 32/64
  • Microsoft Windows Vista 32/64
  • Microsoft Windows XP SP3 32/64
  • Процессор — 1.4 ГГц
  • Оперативная память — 512 Мб
  • Свободное место на жестком диске — 500 Мб
  • Сетевая плата
  • Процессор — 800 МГц
  • Оперативная память — 512 Мб
  • Свободное место на жестком диске — 500 Мб
  • Сетевая плата

Поддерживаемые системы

  • Системы защиты информации.
  • Системы технической защиты.
  • ИТ-системы.
  • Автоматизированные системы управления технологическим процессом (АСУ ТП).
  • Операционные системы — серверные и на рабочих станциях.

Поддерживаемые коннекторы к источникам данных

Может осуществлять сбор событий как от собственной или внешних SIEM-систем , так и напрямую от источников данных. Для этих целей и последующего анализа информации используется универсальный коннектор данных, который поддерживает следующие типы коннекторов: File ( XML , Json , CSV , TXT, Binary), IMAP , MS SQL, MySQL, POP3 , PostgreSQL , REST , SOAP , Syslog . Для каждого коннектора используются индивидуальные параметры подключения.

В качестве источников данных могут выступать сетевые устройства, средства защиты информации, средства виртуализации, рабочие станции и сервера на базе различных операционных систем, а также прочие специализированные IP-ориентированные приложения и системы.

Поддерживаемые коннекторы реагирования

В системе IRP/SOAR присутствует универсальный коннектор реагирования, который может расширяться пользователем на базе встроенного конструктора. Универсальный коннектор реагирования поддерживает следующие типы коннекторов: Active Directory , DNS , MS Exchange , IMAP , MaxPatrol, MSSQL, MySQL , Oracle, POP3, PostgreSQL, REST, SMTP , SNMP , SOAP, SSH , SSHShell, MSWindows .

Коннекторы реагирования реализованы посредством специализированного сервиса, который может быть установлен как локально, так и на удаленных серверах. Менеджеры коннекторов реагирования могут автоматически распределять задачи между собой для обеспечения отказоустойчивости и распределения нагрузки.

Награды

  • Победитель в номинации «ИТ-решение в области информационной безопасности» в Национальной банковской премии. Награда за проект внедрения системы Security Vision IRP в банке «Открытие» .
  • Победитель в номинации «Информационные технологии. Информационная безопасность» в национальной премии «Приоритет-2021» .
  • Премия Рунета 2023 г. в номинации «Информационная безопасность» .

Продукты на платформе Security Vision

  • Security Operation Center (SOC) — построение ситуационного центра информационной безопасности.
  • Incident Response Platform (IRP)/Security Orchestration, Automation and Response (SOAR) — автоматизация действий по реагированию на инциденты кибербезопасности.
  • Cyber Risk System (CRS) — автоматизация процессов управления рисками кибербезопасности.
  • Security Governance, Risk Management and Compliance (SGRC) — автоматизация построения комплексной системы управления информационной безопасностью на предприятии.
  • Security Vision КИИ — автоматизация процесса категорирования и обеспечения безопасности объектов критической информационной инфраструктуры .
  • Threat Intelligence Platform (TIP) — класс автоматизированных систем, которые на основании данных об угрозах генерируют в реальном времени обнаружения подозрительной активности в инфраструктуре, проводят обогащение индикаторов и обнаруженных инцидентов, интегрируются с инфраструктурой и средствами защиты, обеспечивают ситуационную осведомленность .
  • User and Entity Behavior Analytics (UEBA) — автоматически выстраивает типовые модели поведения и находит отклонения, анализируя сырые потоки данных по сетевому трафику, прокси-серверов, почтовых серверов, Windows/Linux серверов и рабочих станций.
  • Anomaly Detection — расширяет возможности выявления аномалий в корпоративной инфраструктуре, применяя большое количество разных моделей и методик машинного обучения , стекируя результаты отдельных моделей и объединяя полученные события в инциденты для дальнейшего расследования.

Примечания

  1. . Дата обращения: 15 февраля 2023. 14 апреля 2023 года.
  2. . Дата обращения: 27 августа 2019. 27 августа 2019 года.
  3. . Дата обращения: 22 февраля 2023. 14 апреля 2023 года.
  4. . Дата обращения: 6 марта 2023. 6 марта 2023 года.
  5. . Дата обращения: 20 февраля 2023. 20 февраля 2023 года.
  6. . Дата обращения: 20 февраля 2023. 20 февраля 2023 года.
  7. . Дата обращения: 15 февраля 2023. 14 апреля 2023 года.
  8. . Дата обращения: 25 мая 2023. 1 июня 2023 года.

Ссылки

Источник —

Same as Security Vision