demkd

Whatsnew

В этой теме 1 сообщение

---------------------------------------------------------
 4.00
---------------------------------------------------------
Основные изменения по сравнению с v3.87, на которые стоит обратить внимание в первую очередь:

 o Добавлена очередь команд, вы можете отдавать команды без ожидания исполнения каждой команды в отдельности,
   что может очень существенно уменьшить общее время исполнения команд.

 o Теперь функции, а так же все соответствующие им скриптовые команды:
   o Удаление ссылки на объект (delref)
   o Удаление объекта вместе со всеми ссылками на него (delall)
   o Выгрузка из памяти (unload)
   o Удаление ссылок на отсутствующие файлы (delnfr)
   НЕ исполняются немедленно, а помещаются в очередь команд, очередь не имеет ограничений на количество элементов.

 o Для исполнения команд в очереди и применения изменений необходимо нажать новую кнопку "Принять изменения".
   Все команды в очереди будут исполнены за один проход.
   (!) Это верно для _всех_ режимов работы uVS.
   (!) Порядок исполнения команд не определен и зависит от id процессов и порядка расположения соотв. записей в реестре,
   (!) т.е. никак не зависит от очередности отдачи команд, однако соблюдается общий порядок: выгрузка процессов,
   (!) затем удаление ссылок и лишь потом удаление файлов.
   (!) Функция убить все найденные вирусы (delvir) кроме основной функции применяет все ранее сделанные изменения и очищает очередь.
   (!) Начало выполнения скрипта очищает очередь БЕЗ применения изменений.
   (!) В скрипте необязательно указывать команду "apply" она будет применена автоматически или в конце исполнения скрипта,
   (!) однако если процесс требует блоков последовательных действий или вы используете виртуализацию, вам необходимо убедиться,
   (!) что команда "apply" присутствует в конце блоков команд и перед командой актуализации реестра.

 o Удалить отдельные команды вы можете в новом разделе "Очередь команд".

 o Добавлена улучшенная функция эмуляции исполнения команд.
   Функция теперь работает в любом режиме uVS, т.е. доступна не только при работе с образом.
   Откат или удаление команды из очереди возвращает статус объекта на момент отдачи команды.
   (!) При работе с реальной системой эмуляция действует до отмены/выполнения команды, обновление списка
   (!) не оказывает влияние на статус объектов действия команд в очереди, т.е. в uVS вы видите результат еще не выполненных команд.
   (!) При работе с образом эмуляция действует до отмены команды или отката по Ctrl+Z до точки предшествующей
   (!) помещению команды в очередь. Кнопка "Применить" делает статус объекта постоянным, однако и в этом случае возможен откат по Ctrl+Z.
   (!) Эмуляция для связанных объектов производится только после нажатия кнопки "Применить". (например имеющих статус "авторановый")

С остальными изменениями вы можете ознакомиться ниже.
---------------------------------------------------------
 4.00 RC 2
---------------------------------------------------------
 o Исправлена интерфейсная ошибка вычисления размера окна лога.

 o Исправлена функция чтения пути до расширения Chrome.
   (Для систем старше WinXP)

---------------------------------------------------------
 4.00 RC 1
---------------------------------------------------------
 o Улучшена функция разбора параметров командной строки.

 o Исправлена функция анализа задач, в некоторых случаях файлы в параметрах запуска могли не попадать в список.

 o Функция удаления временных файлов теперь удаляет все _исполняемые_ файлы из каталога c:\windows\prefetch

---------------------------------------------------------
 4.00 Beta 13
---------------------------------------------------------
 o Добавлена возможность вычислять и помещать в базу проверенных хэши
   объектов. (ссылки, guid-ы и т.п. при работе с образом)

 o Ссылки содержащие символы отличные от ASCII теперь получают статусу подозрительного объекта.

 o Исправлена ошибка из-за которой в корне диска могли оставаться файлы *.tmp (после обновления списка)
   к сожалению из-за глюка windows некоторые из них не удаляются из активной системы даже после перезагрузки
   и удалить их можно лишь загрузившись с диска или из другой системы.

---------------------------------------------------------
 4.00 Beta 12
---------------------------------------------------------
 o Добавлен механизм обхода защиты от модификации параметров браузеров используемой некоторыми системами "проактивной защиты".

---------------------------------------------------------
 4.00 Beta 11
---------------------------------------------------------
 o Улучшена функция разбора параметров запуска браузеров.

 o Добавлена возможность использовать критерии на обнаруженные сигнатуры.
   (только при работе с образом)

 o В список для проверки добавлены новые ключи реестра.

---------------------------------------------------------
 4.00 Beta 10
---------------------------------------------------------
 o Вирусная база теперь немедленно сохраняется при конвертации из старого формата.

 o Исправлена ошибка в функции обработки команды addsgn.

 o Изменена функция горячей клавиши Del теперь она соответствует пункту контекстного меню Статус->Скрыть файл.

 o Оптимизирована функция автоскрипта.

 o Для объектов не являющихся файлом при добавлении команды в очередь фильтруются флаги unload и del.

 o Удаление сигнатур с учетом фильтра доступно только при не пустом фильтре.

---------------------------------------------------------
 4.00 Beta 9
---------------------------------------------------------
 o Исправлена ошибка в функции эмуляции "Убить все вирусы", при работе с образом в очередь добавлялись дублирующие работу delvir команды.

 o Функции "Проверить список" и "Добавить вирус" больше не добавляют в скрипт команды addsgn/bl/zoo.

 o Обновлена функция "Убить все вирусы" функция добавляет в скрипт команды addsgn/bl/zoo и комментарий для всех файлов имеющих статус вирус
   в соответствии с флагами bAutoZooOnF7/bAutoBLOnF7/bAddComment.

 o Оптимизирована и улучшена функция автоскрипта.

 o Добавлена поддержка фильтрующего поиска в очереди команд и списке сигнатур.

 o Добавлена возможность удалять все сигнатуры прошедшие фильтр.

---------------------------------------------------------
 4.00 Beta 8
---------------------------------------------------------
 o Обновлен формат базы вирусных сигнатур.
   Добавлена дата модификации (заполняется автоматически при создании и модификации) и флаги которые управляют способом удаления объекта в функции
   "Убить все вирусы".

 o Изменена скриптовая команда "addsgn" добавлено поле "флаги".
   ADDSGN сигнатура длина имя флаги, старая команда без флагов поддерживается в этом случае флаг = 7.
   (флаг есть битовая комбинация значений unload(1), delref(2), del(4))

 o функции "Безопасное удаление ссылок на ВСЕ отсутствующие объекты" не вызывает предварительное обновление списка,
   если это было сделано хотя бы 1 раз.

 o Добавлен запрос на исполнение команд при выходе из uVS.
   Для всех режимов кроме режима работы с образом, запрос выводится в случае если очередь команд не пуста.

 o В очереди команд теперь отображается поле производитель и доступны горячие клавиши Alt+W и Alt+J.
   В контекстном меню доступны команды для работы с VT и JT.

 o Флаг bWebVT больше не поддерживается.
   Для проверки на VT теперь вам необходимо получить свой VTAPI ключ и прописать его в параметр VTAPIKey файла settings.ini

 o При выполнении скрипта завершающая проверка списка на вирусы производится лишь в случае если в скрипте была команда "delvir".

 o Обновлена функция "Убить все вирусы".
   Теперь функция проверяет файлы со статусом "ВИРУС" на наличие всех сигнатур из базы, все флаги найденных в файле сигнатур суммируются и
   формируется команда в очереди, по окончанию процесса все команды в очереди исполняются, при работе с образом эмулируются,
   а команды записываются в скрипт.

 o Исправлена ошибка при добавлении сигнатур из скрипта, в некоторых случаях могло не сохраняться изменение длины сигнатуры.

---------------------------------------------------------
 4.00 Beta 7
---------------------------------------------------------
 o Улучшена функция разбора параметров cmd.exe

 o Исправлена функция чтения пути до расширения Yandex Browser.
   (добавлена поддержка UTF-8)

 o Изменена функция автоскрипта, команды chklst и delvir добавляются только при наличии в скрипте команды addsgn.

 o Изменено расположение управляющих элементов, добавлен новый элемент скрыть "DLL без точки входа".
   Как и для скрыть "без производителя" требуется предварительное сканирование списка по F3.

 o Новый параметр ImgAutoClean
   [Settings]
   ; Завершить функцию автоскрипта командами deltmp+delnfr (delnfr может быть развернут в очередь команд если ImgDelnfrUnwind=1)
     ImgAutoClean (по умолчанию 0)

---------------------------------------------------------
 4.00 Beta 6
---------------------------------------------------------
 o Обновлен формат файла образа автозапуска.
   Старые форматы образов поддерживаются.   

 o Обновлена утилита cmpimg до v1.02

 o Обновлена утилита uvs_snd до v1.02

 o В контекстное меню окна установленных программ добавлен пункт для копирования в буфер обмена имени раздела в реестре.

 o Оптимизирован процесс перерисовки списка, время перерисовки сокращено в 5 раз, что прямо повлияло на скорость
   фильтрующего поиска и сортировки на списке с большим количеством элементов. (например в категории "все").

 o Обновлена функция обработки горячей клавиши RWin, из-за глюков Windows с активизацией окон
   окно uVS могло не всплывать на верхний уровень случайным образом.

 o Добавлена новая функция кнопке закрытия uVS (x) в окне удаленного рабочего стола, нажатие ее с зажатой клавишей RWin
   дополнительно выгружает серверную часть uVS (актуально при bReUseRemote=1).

 o Исправлена функция считывания командной строки 64-х битных процессов.

 o Исправлена ошибка при работе с удаленной системой, не отсылались команды на перезагрузку и реинициализацию серверной части (при bReUseRemote=1).

---------------------------------------------------------
 4.00 Beta 5
---------------------------------------------------------
 o При работе с образом теперь нет необходимости нажимать завершающий "Применить",
   можно просто закрыть uVS, команды из очереди будут помещены в скрипт.

 o Добавлена улучшенная функция эмуляции исполнения команд.
   Функция теперь работает в любом режиме uVS, т.е. доступна не только при работе с образом.
   Откат или удаление команды из очереди возвращает статус объекта на момент отдачи команды.
   (!) При работе с реальной системой эмуляция действует до отмены/выполнения команды, обновление списка
   (!) не оказывает влияние на статус объектов действия команд в очереди, т.е. в uVS вы видите результат еще не выполненных команд.
   (!) При работе с образом эмуляция действует до отмены команды или отката по Ctrl+Z до точки предшествующей
   (!) помещению команды в очередь. Кнопка "Применить" делает статус объекта постоянным, однако и в этом случае возможен откат по Ctrl+Z.
   (!) Эмуляция для связанных объектов производится только после нажатия кнопки "Применить". (например имеющих статус "авторановый")

 o Функция безопасного удаления ссылок на все отсутствующие объекты теперь автоматически переносит команды из очереди в скрипт.
   Восстановлена и улучшена функция эмуляции команды при работе с образом.
   (!) Только при работе с образом и флаг ImgDelnfrUnwind равен 0.

 o Функции удаления каталогов теперь автоматически переносят команды из очереди в скрипт.

 o Исправлена ошибка при выполнении скрипта: команда delvir очищала очередь команд без их исполнения в случае если ей не было обнаружено ни одного вируса.

---------------------------------------------------------
 4.00 Beta 4
---------------------------------------------------------
 o При запуске uVS теперь по умолчанию активна опция "быстрое обновление списка".

 o Исправлена ошибка при обработке горячей клавиши Ctrl+Shift+Del.

 o Исправлена функция проверки скрипта (все та же ошибка обработки команды V400c).

 o Флаг ImgDelnfrUnwind снова используется. Значение по умолчанию 1.

 o Теперь при выполнении скрипта команды del/delref/delall не выводят сообщение о добавлении файла в очередь.

 o Скриптовые команды deldir/deldirex теперь выводят статистику в лог.

 o Скриптовая команда deltmp теперь автоматически добавляет в очередь команд delref для удаленных файлов.

 o При удалении файла вместе с ссылками (delall) с расширениями .wsf, .vbs, .js в очередь автоматически добавляется команда unload для wscript.exe
   (!) Команда генерируется только для активной системы, при работе с образом команда не генерируется, она будет сгенерирована
   (!) при добавлении команды delall в очередь во время _выполнения_ скрипта.

---------------------------------------------------------
 4.00 Beta 3
---------------------------------------------------------
 o Изменено поведение горячей клавиши RWin, служащей для быстрого переключения между
   удаленным рабочим столом в uVS и другими окнами в системе _оператора_.
   Теперь с помощью этой клавиши можно вернуться в окно uVS из любого другого окна в системе оператора.

 o В список для проверки добавлены новые ключи реестра.

 o Добавлена новая горячая клавиша Del - Скрыть объект из списка до следующего обновления списка.
   Объект скрывается чисто визуально.
   (!) Не путать с командой Статус->Скрыть.

 o Автоматическое копирование файла в ZOO, а так же его занесение в черный список перенесено на этап удаления ссылок,
   сразу после завершения процессов и выгрузки модулей/драйверов.
   (!) При работе с образом перед добавление команды delall в скрипт.

 o Исправлена ошибка в обработке горячей клавиши Shift+Space для MBR/VBR/IPL.

 o В окно информации о файле теперь автоматически добавляется блок обнаруженных сигнатур.
   (!) Только при работе с образом.

 o Исправлена ошибка с обработки команды V400c.

 o Изменена индикация операции в списке команд и обновлена функция сортировки.

---------------------------------------------------------
 4.00 Beta 2
---------------------------------------------------------
 o Исправлена критическая ошибка в функции удаления исполняемых файлов с рабочего стола.

 o Исправлена ошибка при работе с образом, кнопка "Принять изменения" не очищала очередь команд.

 o Теперь запуск автоскрипта автоматически добавляет в скрипт все команды из очереди и очищает очередь команд.

---------------------------------------------------------
 4.00 Beta 1
---------------------------------------------------------
 o Добавлена очередь команд, вы можете отдавать команды без ожидания исполнения каждой команды в отдельности,
   что может очень существенно уменьшить общее время исполнения команд.

 o Теперь функции, а так же все соответствующие им скриптовые команды:
   o Удаление ссылки на объект (delref)
   o Удаление объекта вместе со всеми ссылками на него (delall)
   o Выгрузка из памяти (unload)
   o Удаление ссылок на отсутствующие файлы (delnfr)
   НЕ исполняются немедленно, а помещаются в очередь команд, очередь не имеет ограничений на количество элементов.

 o Для исполнения команд в очереди и применения изменений необходимо нажать новую кнопку "Принять изменения".
   Все команды в очереди будут исполнены за один проход.
   (!) Это верно для _всех_ режимов работы uVS.
   (!) Порядок исполнения команд не определен и зависит от id процессов и порядка расположения соотв. записей в реестре,
   (!) т.е. никак не зависит от очередности отдачи команд, однако соблюдается общий порядок: выгрузка процессов,
   (!) затем удаление ссылок и лишь потом удаление файлов.
   (!) Функция убить все найденные вирусы (delvir) кроме основной функции применяет все ранее сделанные изменения и очищает очередь.
   (!) Начало выполнения скрипта очищает очередь БЕЗ применения изменений.
   (!) В скрипте необязательно указывать команду "apply" она будет применена автоматически или в конце исполнения скрипта,
   (!) однако если процесс требует блоков последовательных действий или вы используете виртуализацию, вам необходимо убедиться,
   (!) что команда "apply" присутствует в конце блоков команд и перед командой актуализации реестра.

 o Удалить отдельные команды вы можете в новом разделе "Очередь команд".

 o Новая скриптовая команда "apply" применяет все сделанные изменения и очищает очередь.

 o Улучшен фильтр для обработки параметров запуска браузеров.

 o Улучшена эмуляция исполнения команд при работе с образом.

 o Флаг ImgDelnfrUnwind устарел и более не используется.

 o Устаревшая скриптовая команда delnfr теперь может быть добавлена в скрипт лишь вручную.

---------------------------------------------------------
 3.87.10
---------------------------------------------------------
 o Добавлена поддержка .hta файлов.

 o Добавлена функция анализа параметров запуска основных браузеров.

 o Исправлена критическая ошибка возникающая при разборе поврежденных значений реестра.

---------------------------------------------------------
 3.87.9
---------------------------------------------------------
 o Добавлена поддержка Яндекс браузера.
   Категория Google Chrome переименована в Chrome/Yandex.

 o Добавлена поддержка стартовых страниц новых версий Chrome.
   (удаление отдельных страниц не поддерживается, удаляются все сразу)

 o Исправлена ошибка - некоторые ранее проверенные объекты (не файлы) могли терять статус проверенного при обновлении списка.

---------------------------------------------------------
 3.87.8
---------------------------------------------------------
 o Добавлен новый пункт меню Реестр->Создать доступную копию реестра из каталога RegBack и выбрать ее
   Создается каталог \System32\config\uVSRegBack в него копируется заблокированное содержимое каталога \System32\config\RegBack
   Затем UvsRegBack выбирается в качестве каталога по умолчанию с бэкапом реестра, что позволяет использовать копию реестра для операций
   с восстановлением реестра или его отдельных ключей в активной системе.
   Функция доступна для Windows Vista и старше
   (!) Использовать эту функцию НЕ рекомендуется при наличии доступного бэкапа реестра.
   (!) Доступно только для активной системы.

---------------------------------------------------------
 3.87.7
---------------------------------------------------------
 o Обновлена функция чтения TaskCache, добавлена поддержка CLASSID.

 o Добавлен парсер NON-ASCII имен расширений для старых версий Chrome.

 o Флаг bWebVT по умолчанию теперь равен нулю.

 o Обновлены функции разбора расширений Firefox и Chrome.
   Некоторые программы с проактивной защитой могли блокировать сбор данных о расширениях.

---------------------------------------------------------
 3.87.6
---------------------------------------------------------
 o Исправлен обработчик кнопки "Добавить в базу".
   (для случая, когда выбран только 1 файл)

 o Добавлена возможность поиска по каталогу в разделе известных файлов.

---------------------------------------------------------
 3.87.5
---------------------------------------------------------
 o Обновлен механизм обмена данными с удаленной системой для устранения задержек при работе и подвисаний при подключении, вызванных проблемами с кривым кэшем SMB 2/3 в Windows.
   В случае если у вас останутся проблемы и на этой версии uVS то необходимо установить два ключа в ветке реестра.
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanworkstation\Parameters
     o FileNotFoundCacheLifetime : DWORD 0
     o DirectoryCacheLifetime    : DWORD 0
   После чего перезапустить службу Lanmanworkstation.
   Это отключит кэширование запросов и решит все проблемы с задержками и подвисаниями возникающими из-за нерабочего сетевого кэша.

 o Добавлен 37-й твик "Исправить \\ в пути к файлам".
   Поддерживается исправление значений в реестре только для типов данных REG_SZ и REG_SZ_EXPAND.

 o Добавлено удаление из реестра ключей кэша задач при удалении задачи.

 o Исправлена ошибка при первоначальном подключении к удаленной системе с установкой службы.
   Флаг bFixedName игнорировался для клиентской части.

---------------------------------------------------------
 3.87.4
---------------------------------------------------------
 o Добавлена функция обработки заданий BITS.
   Файлы помещаются в категорию "Задачи"
   (!) Только для активных и удаленных систем.
   (!) Вы не сможете удалить задания которыми владеет NT\SYSTEM, даже если вы запустите uVS под LocalSystem.
   (!) Это особенность (баг?) BITS при которой пользователь обязан выполнить вход в сеть, что для LocalSystem не выполнимо.

 o В контекстное меню файла добавлена команда "Запретить запуск файла".
   (скриптовая команда BP)

 o Обновлена функция определения версии MSIE для новых систем.

 o Исправлена проблема реинициализации в серверной части для режима bReUseRemote=1
   (для удаленных систем)

---------------------------------------------------------
 3.87.3
---------------------------------------------------------
 o Улучшен разбор командной строки cmd.exe

 o Новая скриптовая команда: BP
   Заблокировать запуск указанного в параметре файла по пути или маске.
   Допустимо использовать переменные окружения Windows и символы ? и *.
   Примеры:
     %APPDATA%\*.exe
     trojan*.*
     c:\auto*.???

 o Новый параметр fHeight
   [Settings]
   ; Размер шрифта в редакторе скриптов
     fHeight (по умолчанию 9)

 o Новый параметр fWeight
   [Settings]
   ; Вес (жирность) шрифта
     fWeight (по умолчанию 300)

 o Новый параметр fFaceName
   [Settings]
   ; Имя шрифта
     fFaceName (по умолчанию Tahoma)

---------------------------------------------------------
 3.87.2
---------------------------------------------------------
 o В окне сохранения скрипта теперь принудительно выставляется единый шрифт.

 o Добавлен анализ нескольких настраиваемых URL для MSIE.

---------------------------------------------------------
 3.87.1
---------------------------------------------------------
 o Исправлена ошибка копирования в буфер обмена полного пути из окна
   установленных программ.

 o Исправлена функция определения наличия доверенной ЭЦП при проверке на ]VT.
   Теперь зеленой подписи "Signed file, verified signature" и наличия имени подписавшего
   в белом списке (при его наличии) недостаточно для получения статуса проверенного файла.
   Теперь для этого требуется отсутствие негативных статусов для всех сертификатов в цепочке.
   (только для веб метода (включен по умолчанию), см. флаг bWebVT)

 o Исправлена функция обработки имени подписавщего файл при проверке на VT.
   (расшифровка   & ")

 o Добавлена обработка SearchScope для MSIE.

 o Новый твик #36 Очистить ключ Microsoft Edge

 

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • sharyga777
    • AM_Bot
      Генеральный директор компании «Аванпост» Андрей Конусов поделился с Anti-Malware.ru своим видением ситуации на российском рынке систем IDM. О том, что нужно российским заказчикам IDM , по каким критериям сегодня они выбирают такие системы, каковы сроки окупаемости внедрения — об этом и многом другом читайте в интервью. Читать далее
    • AM_Bot
      Тематика платформ реагирования на инциденты (Incident Response Platforms, или IRP) набрала популярность в последние несколько лет — что подтверждает экспертная оценка. В этой статье мы определим, что такое IRP, и посмотрим, какое предложение IRP существует на рынке на начале 2018 года.     ВведениеОпределение предметной области и рынка платформ реагирования на инцидентыРоссийские поставщики платформ реагирования на инциденты3.1. Jet Signal3.2. R-Vision Incident Response Platform3.3. Security Vision Incident Response PlatformЗарубежные поставщики платформ реагирования на инциденты4.1. CyberBit4.2. IBMOpen-Source-платформы реагирования на инциденты5.1. Fast Incident Response (FIR)5.2. The HiveВыводы ВведениеРост популярности IRP вызван как видимыми бизнесу атаками (WannaCry, Petya, большие DDoS-атаки на российские банковские и государственные структуры), так и постепенным уменьшением объема доступной на рынке труда экспертизе по ИБ. Демографический кризис в сочетании с «клиповым» мышлением приводят к обмелению ранее обманчиво кажущегося безбрежным кадрового моря ИБ-талантов, и заставляет организации искать пути повышения КПД имеющегося персонала, а именно через разработку, внедрение и автоматизацию процессов ИБ, управления инцидентами и реагирования на инциденты, в частности.Особую актуальность тематика автоматизации реагирования приобрела из-за точности и скорости процедур и процессов реагирования. Ведь именно в этот момент счет идет на секунды — организации стремятся снизить время реагирования (а значит, понесенный ущерб) до минимального значения. Определение предметной области и рынка платформ реагирования на инцидентыОпределения IRP в зависимости от источника существенно различаются, но в целом IRP — это класс технологий, направленных на автоматизацию и повышение эффективности процессов управления, реагирования и расследования инцидентов ИБ. Иногда поставщики называют IRP технологической основой для SOC — и с точки зрения рыночных практик с ними трудно спорить, ведь историческая основа для SOC SIEM потихоньку сходит с рынка, а понимание центральной роли log management (и концепции data lake в целом) на рынок еще не проникло в полной мере.Определяющими характеристиками IRP являются наличие функций по автоматизации жизненного цикла управления инцидентами (Incidents management & investigations) и определенная база знаний (Security Knowledge Base), ценятся также функции проведения киберучений (Wargames), автоматического реагирования на инциденты определенного типа (Active Response) и интеграции с различными источниками данных об угрозах (например, платформами управления информацией об угрозах — Threat Intelligence Management Platforms),  что позволяет определить IRP как пересечение четырех множеств на рисунке 2. Рисунок 1. Модель IRP аналитического центра Anti-Malware.ru версии 1.0  Каждое из направлений  IRP имеет свою специфику, например, автоматизация процессов ИБ (incident workflow management & orchestration) предназначена и имеет функции для поддержки достижения трех целей:Контроль качества работы аналитиков в части классификации инцидентов и определениях их статуса (false positive) — архив инцидентов и кастомизируемые карточки инцидентов.Контроль оперативности работы аналитиков — контроль выполнения SLA.Повышение полезной нагрузки на аналитика — автоматическое распределение и назначение инцидентов.На рисунке 2 приведен пример функциональности IRP, что поддерживает процессы реагирования на инциденты ИБ: Рисунок 2. Пример функциональности IRP, поддерживающей процессы реагирования на инциденты ИБ  Рынок IRP включает в себя российских и зарубежных поставщиков решений, а также возможно использовать различные Open-Source-решения. Российские поставщики платформ реагирования на инцидентыРынок IRP в России представлен в первую очередь российскими поставщиками. Особой специфики в российском рынке IRP автору не удалось найти, но локальные игроки традиционно ведут более гибкие продуктовые и ценовые политики.Jet SignalОдним из наиболее молодых игроков на рынке IRP стала компания «Инфосистемы Джет». Компания давно известна своей способностью создавать продукты ИБ — на ее счету Dozor Jet, Jet InView, «Тропа» и много других, и несмотря на выделение вендорского ИБ-бизнеса в компанию Solar Security в 2015, «Джет» продолжает создавать новые продукты ИБ.Вендор позиционирует Jet Signal как систему класса IRP — технологическую платформу для создания SOC, основные задачи которой — управление инцидентами ИБ на всех этапах жизненного цикла: сбор событий ИБ от подсистем ИБ, SIEM, неавтоматизированных источников, управление планами реагирования, автоматизация расследования, организация работы дежурных смен, ведение базы знаний, систематизация данных Threat Intelligence и т. д.Достоинства:Архитектура — как новое на рынке решение, система не имеет legacy-кода.Киберучения — система позволяет проводить киберучения для подразделения мониторинга ИБ (нет отдельного модуля но можно создать синтетический инцидент).Сертификация — система имеет сертификат соответствия требованиям безопасности информации по уровню контроля 2 НДВ и РДВ системы сертификации Министерства обороны и поддерживает комплекс средств защиты Astra Linux. Рисунки 3, 4, 5. Возможности модулей Jet Signal и интерфейс Jet Signal  R-Vision Incident Response PlatformR-Vision IRP стал результатом развития R-Vision GRC в сторону автоматизации процессов мониторинга и реагирования на инциденты ИБ, поэтому в решении традиционно сильны компоненты работы с активами, а за счет длинного присутствия на рынке R-Vision GRC многие функции решения достигли промышленной зрелости и решение разворачивается из коробки — вендор готов проводить пилотные проекты для многих клиентов.Однако стоит отметить, что любая кастомизация предполагает затраты с каждой из сторон, поэтому запросы на добавление функциональности решения определенно будут учтены, но могут быть не приняты вендором без дополнительной оплаты.Достоинства:Опыт проектов в России — источники в индустрии и публичные выступления (например, кейс МТС-банка на Сколково CyberDay 2017) свидетельствуют о значительном опыте вендора по автоматизации процессов реагирования на инциденты ИБ в России в организациях разного масштаба — например, банки топ-50, банки топ-10, государственные структуры.Интеграция — R-Vision инвестировал миллионы в интеграцию с самыми разными средствами защиты информации, некоторые консоли управления от вендоров интегрируемых систем отображают меньше информации, чем R-Vision.Наличие готовых скриптов реагирования (cmd, sh script, Power Shell) и возможность добавления собственных (cmd, sh script, Power Shell , а также в средах python, java и perl).Динамические playbooks. Возможность включения в цепочку действия, результат которого будет зависеть от результата предыдущего.Наличие функциональности по управлению активами и уязвимостями — редкий функциональный блок для классических, прежде всего, западных IRP-решений. Благодаря взаимосвязи указанных блоков с блоком управления реагированием на инциденты значительно повышается эффективность работы аналитиков SOC при расследовании инцидентов, устранении их последствий, установлении причин или оценке ущерба. Рисунки 6, 7, 8, 9. Архитектура и интерфейс R-Vision IRP    Security Vision Incident Response PlatformКомпания Security Vision работала над базовыми функциями IRP, когда аббревиатуры IRP не существовало на российском рынке, одни из первых автоматизировали жизненный цикл управления инцидентами на примере Сбербанка России, где решение находится в промышленной эксплуатации более 3 лет.Для реагирования на инциденты (Active Response) решение использует автоматические планы реагирования и отдельное приложение «Агент реагирования», который является логическим продолжением и развитием собственной системы управления инцидентами ИБ (системы SGRC).  База знаний накапливает знания и позволяет проводить автоматический анализ ранее случившихся инцидентов безопасности и помогает в принятии решений. Функции проведения киберучений (Security Awareness), используется для повышения осведомленности сотрудников компании об информационной безопасности. Агентная и безагентная интеграция с различными источниками данных с поддержкой более 2000 источников (форматы CSV, email, STIX, XML, JSON, и др.) Интеграция для получения фидов на примере IBM X-Force и GIB, GovCERT.Достоинства:Реализация практически любого сценария реагирования на инцидент безопасности, проведение расследования за счет возможности определения цепочки последовательных действий.Развитые средства визуализации и карта инцидентов ИБ (геоинформационная подсистема с проекцией 3D).Полноценный Ticketing workflow (впервые реализован в Сбербанке в 2016 году) с редактором процессов, обеспечивающий работу с любой сущностью «заявки». Имеется автоматическое реагирование в соответствии с runbook/playbook/use case.Высокая надежность, подтвержденная проектами федерального значения (крупнейший SOC в Восточной Европе, SOC госорганов). Наличие агентов для инвентаризации, контроля целостности, доступности и реагирования, что позволяет дополнять функции классической IRP.SIEM-система Security Vision имеет конструктор простых правил корреляции.Наличие функций управления активами, в том числе ИТ-активами.Специализация на кибербезопасности — позволяет предположить более быстрое развитие продвинутой функциональности решений.Ожидается получение сертификата ФСТЭК России. Рисунки 10, 11, 12, 13. Интерфейс Security Vision    Зарубежные поставщики платформ реагирования на инцидентыНесколько лет назад приобрести IRP от зарубежного игрока в России было непросто. Продвигая IRP, еще в 2014 году автор сталкивался как с малым интересом вендоров к России, так и с отсутствием у нас представительств и дистрибуторов. Приходилось выкручиваться с помощью ITSM\BPM-игроков, но с той поры стало легче — на рынок вышло 2 полноценных игрока.При этом до конца неясно, появился ли у зарубежных игроков реальный интерес к рынку — их в стране всего два, в том числе ни одного представительства специализированной (pure play) IRP-компании. Сегмент представлен эксклюзивным дистрибутором CyberBit (IITD Group) и IBM, что ранее приобрела Resilient Systems.CyberBitИзраильская компания CyberBit была основана в 2015 году для защиты корпоративных и критичных (АСУ ТП) инфраструктур от наиболее продвинутых угроз, возможно, ранее являясь внутренним подразделением израильского оборонного концерна Elbit (сейчас его дочерняя компания). Кроме IRP (CyberBit SOC3D) в портфеле решений компании возможно найти EDR, SCADA Security и даже решение класса Cyber Range, что предназначено для имитации корпоративной инфраструктуры при проведении упражнений RedTeam — BlueTeam.Вендор декларирует наличие ключевых для IRP-решения функций автоматического реагирования на инциденты ИБ и управления и контроля обработки инцидентов и тикетов ИБ (подозрений на инциденты), но вынес функциональность киберучений в отдельное решение Cyber Range.Вендор не разглашает своих клиентов, несколько неожиданно комбинируя на своем сайте клиентов с партнерами, поэтому при оценке решения желательно запросить истории успеха.Достоинства:Специализированный портфель решений — вероятна синергия при условии приобретения пакетом.Глобальный опыт — офисы в Израиле, США, Великобритании, Германии и Сингапуре позволяют надеяться, что компания получит доступ к разным проблемам разных клиентов и сможет автоматизировать их решение для будущих клиентов.Новый на российском рынке бренд и молодая компания — позволяет надеяться на ценовую лояльность производителя.Специализация на кибербезопасности — позволяет предположить более быстрое развитие продвинутой функциональности решений. Рисунки 14, 15, 16. Интерфейс IRP-решения компании CyberBit   IBMВ 2016 году известная своим широким портфелем ИБ-решений компания IBM приобрела самого известного IRP-вендора — Resilient Systems. Компания реализует, возможно, наиболее функционально полное на рынке решение, однако рыночные и открытие источники (например, нашумевший тендер в Пенсионном фонде России) свидетельствуют о соответствии цены функциональным возможностям. Видимо, цена не смущает действительно крупные организации — вендор заявляет о присутствии решения в 100 организациях из списка Fortune 500.      Достоинства:Широкий портфель решений — вероятна синергия при условии приобретения пакетом или наличия ранее приобретенных решений IBM.Глобальный опыт — многочисленные офисы IBM по миру позволяют надеяться, что компания получит доступ к разным проблемам разных клиентов и сможет автоматизировать их решение для будущих клиентов.Сильный бренд — «еще никого не уволили за то, что он купил IBM».Функциональное лидерство на российском рынке. Рисунки 17, 18. Схемы работы Resilient Systems компании IBM   Open-Source-платформы реагирования на инцидентыБесплатные решения с открытым исходным кодом (Free Open Source Solutions, FOSS^ или открытые решения) набирают популярность в разных категориях — от операционных систем и виртуализации до прикладных задач безопасности. Ввиду разработки небольшими коллективами энтузиастов FOSS могут развиваться и решать определенные задачи ИБ даже более полно, чем традиционные коммерческие решения от забюрократизированных гигантов — например, тесно интегрируются с TIMP, нативно поддерживают .Fast Incident Response (FIR)В 2014 году CERT Societe Generale (команда быстрого реагирования на инциденты ИБ глобальной банковской группы французского происхождения) выложила в открытый доступ платформу Fast Incident Response для учета и управления инцидентами ИБ.FIR является наиболее функционально простым решением из решений обзора и даже может быть исключен из класса IRP по формальным основаниям. Фактически в решении реализованы лишь процессы управления инцидентами. Однако такой набор функциональности востребован многими организациями среднего размера, которые еще не осознали пользу от развитых процессов и технологий для оптимизации реагирования на инциденты. Вместе с этим в наличии и продвинутая функция — интеграция с TIMP YETI.Открытые IRP-решения несколько концептуально противоречивы — IRP предназначены для повышения эффективности работы аналитиков, однако перед выбором открытого решения стоит определиться, кто из аналитиков (инженеров) будет поддерживать такое решение, неизбежно отвлекаясь тем самым от мониторинга угроз ИБ.Достоинства:Простота — решение быстро разворачивается и обучать его использованию просто.Финансовая гибкость — нет необходимости оплаты лицензий, а также ежегодной поддержки.Технологическая гибкость — открытый код, распространенный язык программирования (Python) и небольшой размер кодовой базы позволяют подправить код самостоятельно при наличии соответствующих компетенций. Рисунки 19, 20, 21. Интерфейс платформы Fast Incident Response     The HiveВ 2016 году CERT Banque de France (команда быстрого реагирования на инциденты ИБ Центрального банка Франции) выложила в открытый доступ платформу The Hive для поддержки расследований инцидентов ИБ.The Hive плотно интегрирована с целым рядом смежных решений для поддержки расследования инцидентов ИБ — платформой по управлению информацией об угрозах MISP, специализированным поисковиком Cortex и агрегатором информации об угрозах Hippocampe.Достоинства:Развитие — решение быстро развивается и обрастает новыми сервисами в рамках единой экосистемы.Расследования — за счет плотной интеграции с техническими средствами расследования The Hive оптимален для Threat Hunting (поиска и расследования сложных угроз).Финансовая гибкость — нет необходимости оплаты лицензий, а также ежегодной поддержки.Интеграция с любым внешним источником (SIEM, IPS, DLP и т. д.) через TheHive4py. Рисунки 22, 23, 24. Платформа The Hive      ВыводыСегодняшний рынок IRP находится еще в своем младенчестве — в России пока лишь десятки клиентов, кому тема интересна и кто готов за нее платить. Однако спрос в основном еще не квалифицирован, а решений мало, поэтому поставщики решений получают премиальную маржу, а развитие функциональности за счет такой маржи идет впечатляющими темпами.Несмотря на молодость рынка на нем уже есть 7 решений с достаточной для выполнения базовых задач функциональностью. Российские поставщики решений обладают уникальными функциями (управление активами и сканирование сети, собственные агенты) либо лучшими функциями на уровне мировых конкурентов (киберучения), зарубежные пока только присматриваются к рынку, а открытые решения угрожают забрать рынок среднего бизнеса у коммерческих — они проще в использовании, разворачиваются быстрее, чем некоторые коммерческие, и не требуют закупки программного обеспечения или обоснования приобретения ПО не из реестра Минкомсвязи.Отдельная тема — контентные базы и референсные библиотеки процессов из коробки. Архитектура и функциональные возможности решений во многом формируются стихийно, и даже мировые лидеры не в состоянии принести клиентам детальный стек проработанных процессов управления инцидентами — процессы «допиливаются» прямо на клиенте. Качественные процессные модели неминуемо станут конкурентным преимуществом для тех игроков, что будут в состоянии их разработать. Коллектив Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала коллегам:   Jet SignalАндрей Янкин, заместитель директора Центра ИБ ЗАО «Инфосистемы Джет»R-VisionИгорь Сметанев, коммерческий директор ООО «Р-Вижн»Security VisionРуслан Рахметов, генеральный директор ООО «Интеллектуальная безопасность»Роман Овчинников, инженер ООО «Интеллектуальная безопасность» Читать далее
    • Openair
    • IgorIgorev
      На ставках не пробовал поднимать денег, как то не сильно интересует. Вот игровые автоматы более интересны, сейчас и в онлайн режиме можно поиграть не выходить из дома. Моей маленькой дочурке тоже нравиться нажимать на клавиши, хотя ничего не понимает главное, что сказочные картинки скачут в экране. Играю в основном на автомате Fairy Gate, все что одобрил мой ребенок. Почитать обзор этой игры  можно тут http://casinofreebonuses3.info/slots/fairy-gate .