Interested Article - Security Vision

Security Vision — программный комплекс ( программное обеспечение ), предназначенный для автоматизации процессов информационной безопасности , мониторинга и реагирования на инциденты кибербезопасности. Включен в Единый реестр российских программ для ЭВМ и БД . Победитель Премии Рунета в номинации «Информационная безопасность» .

Функциональность

Функционал Security Vision позволяет автоматизировать процессы информационной безопасности, составляющие систему управления информационной безопасностью организации, в соответствии с серией международных стандартов ISO/IEC 27001 . Программный комплекс объединяет в себе платформу и модули, которые могут представлять из себя разные комбинации, в зависимости от целей и решаемых задач.

Отдельные модули могут выполнять следующие функции :

управление информационными активами;
управление документами, регламентирующими порядок обеспечения информационной безопасности;
управление записями и логами информационной безопасности;
управление соответствием требованиям информационной безопасности;
управление рисками информационной безопасности;
управление знаниями ;
управление взаимодействием с корпоративными системами;
управление осведомленностью сотрудников в области информационной безопасности;
управление мониторингом и аудитами ;
управления уязвимостями;
управление изменениями в ИТ-инфраструктуре;
управление непрерывностью бизнеса ;
управление носителями информации;
управление физической безопасностью объекта защиты;
управление резервным копированием ;
управление мобильными клиентами;
управление системой информационной безопасности в облачной инфраструктуре ;
управление визуализацией данных и оповещением о состоянии информационной безопасности;
управление отчетностью о состоянии информационной безопасности;
управление экономической безопасностью.

Архитектура

Имеет трёхуровневую архитектуру — уровень сбора, уровень ядра и уровень управления:

уровень сбора предназначен для сбора, нормализации и отправки на уровень ядра событий безопасности, поступающих от информационных систем и систем защиты;
уровень ядра предназначен для сбора, анализа и корреляции событий безопасности, поступающих от систем обеспечения безопасности сети;
уровень управления предназначен для автоматизации процесса управления информационной безопасностью и представляет собой русскоязычный портал отчетности.

Системные требования

Для установки платформы необходимы вычислительные ресурсы. Компоненты могут быть развернуты как на физических, так и на виртуальных серверах.

Минимальные системные требования для функционирования программного обеспечения уровня управления
Операционная система	Аппаратные требования
Microsoft Windows Server 2012 R2 Microsoft Windows Server 2008 R2 Microsoft Windows Server 2008 SP2 32/64 Microsoft Windows Server 2012 Microsoft Windows Server 2016	Процессор — два 4-ядерных 2.4 ГГц Оперативная память — 8 Гб Свободное место на жестком диске — 50 Гб Сетевая плата

Минимальные системные требования для функционирования программного обеспечения уровня ядра
Операционная система	Аппаратные требования
Red Hat Enterprise Linux 5.7 64-bit	Процессор — два 4-ядерных 2.4 ГГц Оперативная память — 24 Гб Свободное место на жестком диске — 3 Тб (RAID10) Сетевая плата

Минимальные системные требования для функционирования программного обеспечения уровня сбора
Операционная система	Аппаратные требования (для работы с логами)	Аппаратные требования (для инвентаризации и контроля целостности)
Microsoft Windows Server 2012 Microsoft Windows Server 2008 R2 Microsoft Windows Server 2008 SP2 32/64 Microsoft Windows Server 2003 R2 SP2 32/64 Microsoft Windows Server 2003 SP2 32/64 Microsoft Windows 8 32/64 Microsoft Windows 7 32/64 Microsoft Windows Vista 32/64 Microsoft Windows XP SP3 32/64	Процессор — 1.4 ГГц Оперативная память — 512 Мб Свободное место на жестком диске — 500 Мб Сетевая плата	Процессор — 800 МГц Оперативная память — 512 Мб Свободное место на жестком диске — 500 Мб Сетевая плата

Поддерживаемые системы

Системы защиты информации.
Системы технической защиты.
ИТ-системы.
Автоматизированные системы управления технологическим процессом (АСУ ТП).
Операционные системы — серверные и на рабочих станциях.

Поддерживаемые коннекторы к источникам данных

Может осуществлять сбор событий как от собственной или внешних SIEM-систем , так и напрямую от источников данных. Для этих целей и последующего анализа информации используется универсальный коннектор данных, который поддерживает следующие типы коннекторов: File ( XML , Json , CSV , TXT, Binary), IMAP , MS SQL, MySQL, POP3 , PostgreSQL , REST , SOAP , Syslog . Для каждого коннектора используются индивидуальные параметры подключения.

В качестве источников данных могут выступать сетевые устройства, средства защиты информации, средства виртуализации, рабочие станции и сервера на базе различных операционных систем, а также прочие специализированные IP-ориентированные приложения и системы.

Поддерживаемые коннекторы реагирования

В системе IRP/SOAR присутствует универсальный коннектор реагирования, который может расширяться пользователем на базе встроенного конструктора. Универсальный коннектор реагирования поддерживает следующие типы коннекторов: Active Directory , DNS , MS Exchange , IMAP , MaxPatrol, MSSQL, MySQL , Oracle, POP3, PostgreSQL, REST, SMTP , SNMP , SOAP, SSH , SSHShell, MSWindows .

Коннекторы реагирования реализованы посредством специализированного сервиса, который может быть установлен как локально, так и на удаленных серверах. Менеджеры коннекторов реагирования могут автоматически распределять задачи между собой для обеспечения отказоустойчивости и распределения нагрузки.

Награды

Победитель в номинации «ИТ-решение в области информационной безопасности» в Национальной банковской премии. Награда за проект внедрения системы Security Vision IRP в банке «Открытие» .
Победитель в номинации «Информационные технологии. Информационная безопасность» в национальной премии «Приоритет-2021» .
Премия Рунета 2023 г. в номинации «Информационная безопасность» .

Продукты на платформе Security Vision

Security Operation Center (SOC) — построение ситуационного центра информационной безопасности.
Incident Response Platform (IRP)/Security Orchestration, Automation and Response (SOAR) — автоматизация действий по реагированию на инциденты кибербезопасности.
Cyber Risk System (CRS) — автоматизация процессов управления рисками кибербезопасности.
Security Governance, Risk Management and Compliance (SGRC) — автоматизация построения комплексной системы управления информационной безопасностью на предприятии.
Security Vision КИИ — автоматизация процесса категорирования и обеспечения безопасности объектов критической информационной инфраструктуры .
Threat Intelligence Platform (TIP) — класс автоматизированных систем, которые на основании данных об угрозах генерируют в реальном времени обнаружения подозрительной активности в инфраструктуре, проводят обогащение индикаторов и обнаруженных инцидентов, интегрируются с инфраструктурой и средствами защиты, обеспечивают ситуационную осведомленность .
User and Entity Behavior Analytics (UEBA) — автоматически выстраивает типовые модели поведения и находит отклонения, анализируя сырые потоки данных по сетевому трафику, прокси-серверов, почтовых серверов, Windows/Linux серверов и рабочих станций.
Anomaly Detection — расширяет возможности выявления аномалий в корпоративной инфраструктуре, применяя большое количество разных моделей и методик машинного обучения , стекируя результаты отдельных моделей и объединяя полученные события в инциденты для дальнейшего расследования.