Новый продукт SENSE стратегического партнера R-Vision
Компания R-Vision, представила аналитическую платформу кибербезопасности R-Vision SENSE. Новый продукт дополнит спектр технологий, используемых в Security Operation Center, расширенными аналитическими возможностями, которые позволят выявлять признаки начинающихся атак и приоритизировать угрозы для реагирования.
Аналитическая платформа R-Vision SENSE позволяет контролировать состояние безопасности инфраструктуры, выявлять значимые аномалии и сигнализировать об угрозе, предоставляя необходимый контекст для принятия решений.
«Работая с крупнейшими SOC в России, выполняя ряд проектов по автоматизации процесса мониторинга и реагирования на инциденты для крупных компаний и государственных организаций, мы видим сложности, с которыми сталкиваются ИБ-специалисты, решая свои задачи классическими средствами. Сюда относится нехватка персонала, его перегруженность уведомлениями от средств мониторинга и размытое внимание, вследствие чего некоторые критичные инциденты могут быть обработаны несвоевременно, — пояснил Игорь Сметанев, коммерческий директор R-Vision. — R-Vision SENSE базируется на ряде принципов, за счет которых решаются эти проблемы. Во-первых, это объектно-центричный подход, согласно которому любое событие анализируется относительно конкретного объекта – пользователя, рабочей станции, учетной записи и т.д. Постоянно контролируя состояние объектов, платформа выявляет аномалии, которые свидетельствуют о действиях злоумышленника. Во-вторых, использование гибких аналитических инструментов, которые автоматически адаптируются при изменении источников данных. Это облегчает поддержку и настройку системы. В-третьих, скоринговая оценка угроз помогает выделить наиболее критичные аномалии и отсеять менее значимые инциденты, тем самым снижая нагрузку на аналитиков».
В фокусе R-Vision SENSE находятся объекты инфраструктуры — пользователи, оборудование, учетные записи, сервисы и другие типы объектов. Опираясь на данные, получаемые от источников напрямую или собираемые с помощью инструментов лог-менеджмента или SIEM, платформа анализирует их поведение. С помощью многоуровневой системы программных экспертов осуществляется мониторинг запуска процессов и приложений, запросов аутентификации, доступа процессов к данным, подключений VPN, почтового трафика и других параметров. R-Vision SENSE запоминает нормальное поведение объектов и фиксирует подозрительную активность в случае отклонений. Также для выявления вредоносной активности применяется набор простых правил, которые срабатывают по определенным критериям. Последовательность событий, аномалий и контекст по каждому объекту сохраняется в виде «таймлайна», что облегчает расследование инцидента, восстановление хронологии атаки и выявления проблем в защите для устранения.
В платформе R-Vision SENSE используется универсальный формат данных для анализа, что обеспечивает гибкость в работе аналитических инструментов: простые правила и программные эксперты самостоятельно адаптируются к изменениям источников данных и не требуют частой донастройки вручную. С точки зрения алгоритмов, в продукте используется комбинация статистического и поведенческого анализа и методов машинного обучения.