Поделиться
«Интеллектуальная безопасность» представила новую версию платформы Security Vision
«Интеллектуальная безопасность» представила новую версию платформы Security Vision. Изменения коснулись множества аспектов, от дизайна и архитектуры до наполнения модулей и принципов работы с данными. Security Vision - это платформа автоматизации и оркестрации процессов информационной безопасности, гибкость которой позволяет оптимизировать практически любое направление деятельности ИБ. Вне зависимости от выбранных функциональных модулей (IRP/SOAR, SGRC) продукт меняет парадигму зонтичных решений, открывая огромное пространство возможностей.
Пользовательский интерфейс стал еще более дружелюбным, появилась возможность выбора темной или светлой темы, а также поддержка нескольких языков. Появились функции быстрой фильтрации и сквозного поиска по всем объектам. Элементы управления теперь полностью функциональны на мобильных устройствах и планшетах.
Теперь объекты в системе не ограничены только одним рабочим процессом, а это снимает все ограничения на потенциал учета и автоматизации. Один и тот же объект, например, Техническое средство, теперь может иметь не зависящие друг от друга циклы анализа и обработки в модулях Инвентаризации, Оценки рисков и Расследования инцидента.
Рабочие процессы теперь могут как запускаться при наступлении триггера в виде события или быть порождены другим рабочим процессом, так и стартовать по команде планировщика задач на регулярной основе. Совместная работа и тестирование рабочих процессов стали значительно удобнее благодаря появлению версионности.
Данные, полученные при инвентаризации активов и обработке инцидентов, бесшовно доступны при работе с рисками или аудитами. Однако теперь система предоставляет собственную пользовательскую витрину каждому пользователю.
Теперь все возможности редактора карточек, такие как создание вкладок, графическое выделение, различные формы ввода и представления информации доступны в No-Code конструкторе. Уже на этапе создания объектов системы пользователь может задать шаблоны автозаполнения информации, создать правила для вводимых данных на основании справочников или регулярных выражений, а также указать поля для дедупликации.
Теперь полученные на одном сервисе параметры авторизации могут быть использованы для получения данных и выполнения команд на другом. Интеграции поддерживают как процессную, так и микросервисную возможность запуска. Первая сохранена для большей скорости и совместимости со встроенными механизмами аутентификации. Контейнеры же позволяют на лету использовать промежуточные сервисы обработки данных.
Появилась возможность вызова ручных операций не только из полной карточки инцидента, но и из краткой и даже из табличного представления. Cтала доступна автоматическая сводка по решению аналогичных инцидентов, на основании Базы знаний и решений. Назначение инцидентов на доступного сотрудника теперь может выполняться, исходя из его текущей загруженности и требуемых навыков.
В карточках интегрированы различные виды таймеров, позволяющие как проводить расчет эффективности обработки, так и автоматически запускать эскалацию при просрочке согласованного уровня обслуживания.
Появилась возможность встраивать в карточки инцидентов графические виджеты для более углубленного анализа. Расширены возможности работы с индикаторами компрометации.
Добавлена возможность провести аналитику связанных инцидентов, индикаторов компрометации, отчетов исследователей и данных из платформ обогащения прямо из карточки инцидента.
Появилась поддержка средств виртуализации, таких как VMware и Hyper-V. Инвентаризация распределенных подразделений и дочерних компаний теперь доступна с помощью механизма Конфигураций и Менеджеров коннекторов. Появился полноценный инструментарий по постановке и снятию активов с учета в рамках их жизненного цикла. Все изменения состояний активов, а также источники получения данных доступны во вкладке История.
Модуль Уязвимости платформы Security Vision позволяет консолидировать информацию с имеющихся сканеров уязвимостей, платформ управления обновлениями и других продуктов сбора и анализа данных, в частности со SkyBox.
Пользователю доступны аналитические сводки с ресурсов Vulners.com, AttackerKB, VulDB и других коммерческих и свободно распространяемых источников. Карточка уязвимости теперь может быть снабжена информацией о наличии в сети интернет PoC эксплоитов, а также ссылкой на него, ориентировочной стоимостью разработки эксплоита на черном рынке и его текущей востребованностью среди злоумышленников.
Пользователь может самостоятельно выбирать политику оценки уязвимостей, используя любые доступные параметры, внося изменения в существующие коэффициенты, либо пользоваться шаблонной оценкой. Политика устранения уязвимостей теперь позволяет задавать Соглашения (SLA) c ИТ департаментом, в рамках которых уязвимости должны быть устранены.
Помимо уже имеющейся двусторонней интеграции с ФинЦЕРТ через почтовое или online взаимодействия, в системе появилась возможность подключения коммерческих платформ Threat Intelligence, таких как Kaspersky, Group-IB, а также IBM X-Force Exchange. Полученные данные нормализуются, дедуплицируются и обогащаются при загрузке. Доступен функционал как исторического поиска в SIEM системах, так и поиск в реальном времени с использованием брокеров обработки больших данных.
Работа с большими данными из программных брокеров сообщений позволяет системе получить доступ к значительно большему объему информации, нежели в SIEM. Доступен поиск в реальном времени индикаторов компрометации, а также выявление аномалий в сообщениях с сетевых и конечных устройств. Имеющиеся в системе алгоритмы глубокого обучения способны выявлять аномалии, анализируя миллионы событий в день, не требуя при этом значительных производственных мощностей и утилизации лицензии SIEM системы на массивный объем сообщений.
Виджеты, дашборды и отчеты любой сложности в новой версии портала можно создавать с использованием No-Code и Low-Code конструкторов. Пользователи могут самостоятельно настраивать drill-down до связанных виджетов или табличных представлений данных, загружать шаблоны отчетов, настраивать их регулярное формирование, отправку по e-mail или прикрепление в качестве доказательства соответствующего технического контроля.
Новая версия стала полностью кроссплатформенной. Осталась поддержка установки компонентов на MS Windows, чтобы не потерять безопасного и быстрого функционала взаимодействия с системами под управлением ОС Microsoft, при этом как сама платформа, так и база данных, и коннекторы теперь доступны для установки на Astra Linux и Альт.
Поддержка баз данных для хранения информации теперь пополнилась PostgreSQL. В новой версии доступна возможность физического разделения данных, обмена индикаторами и инцидентами между связанными компаниями, а также возможность совместного использования коннекторов реагирования.
Короткая ссылка
