Security Vision представила новый продукт для защиты конечных точек — Security Vision EDR. Решение относится к классу Endpoint Detection and Response и предназначено для выявления, анализа и пресечения угроз на рабочих станциях и серверах под управлением Windows и Linux.
Главная особенность новинки — корреляция событий прямо на уровне агента, то есть непосредственно на конечной точке.
Такой подход позволяет фиксировать подозрительную активность и реагировать на неё без постоянной зависимости от центральной инфраструктуры. Проще говоря, часть логики срабатывает на месте, а не после отправки данных куда-то наверх.
В продукт встроены механизмы автоматической блокировки вредоносной активности. При этом предусмотрены и инструменты ручного реагирования, чтобы оператор мог отдельно вмешаться в инцидент и выполнить точечные действия там, где автоматического сценария недостаточно.
В составе Security Vision EDR заявлено более 800 преднастроенных правил корреляции, охватывающих типовые техники атак. Для настройки и доработки правил предусмотрен No-Code редактор — он позволяет адаптировать логику детектирования под конкретную инфраструктуру без программирования.
Отдельно в решении сделан акцент на настройке сенсоров и собираемой телеметрии. Это должно помочь компаниям балансировать между глубиной мониторинга и нагрузкой на систему, что для EDR-сегмента вопрос вполне практический, а не декоративный.
Ещё один важный блок — управление агентской инфраструктурой. В системе есть функции централизованного развёртывания агентов, контроля их доступности и оценки стабильности работы. Эти данные выводятся на дашборды и в отчёты, чтобы было проще следить за покрытием и состоянием всей агентской сети.
Кроме того, в продукт встроен модуль управления активами. Он позволяет сканировать инфраструктуру, инвентаризировать хосты и сервисы, формировать группы активов и классифицировать их по ролям и критичности. Для аналитиков это даёт дополнительный контекст при расследовании: можно быстрее понять, насколько важен затронутый актив и какое место он занимает в инфраструктуре.
Компания также сообщила, что продукт внесён в реестр российского ПО и имеет ряд сертификатов и заключений, включая документы ФСТЭК, ФСБ, Минобороны России и ОАЦ при Президенте Республики Беларусь.
Комментирует Сергей Хайрук, аналитик InfoWatch:
«Страховые компании наряду с финансовыми организациями периодически сталкиваются с нелояльностью собственных сотрудников. С начала этого года мы уже зарегистрировали 35 серьезных инцидентов в банках и страховых компаниях. В большинстве случаев вина за утечки данных и нелегитимное использование информации лежит на персонале пострадавших компаний. За 2013 год из банков и страховых компаний во всем мире утекло более 1,77 млн записей – персональные и платежные данные пользователей. В нашей стране за тот же период на долю сегмента «банки и финансы», куда входят страховые компании, пришлось 16% всех утечек персональных данных».