Вышла R-Vision IRP 4.5, повышающая эффективность работы аналитика SOC

Вышла R-Vision IRP 4.5, повышающая эффективность работы аналитика SOC

Вышла R-Vision IRP 4.5, повышающая эффективность работы аналитика SOC

Компания R-Vision выпустила новую версию платформы реагирования на инциденты информационной безопасности R-Vision IRP. В версии 4.5 появилась возможность использовать сценарии реагирования для нескольких организаций в режиме multitenancy, настраиваемая валидация значений для полей карточки инцидента, новые методы Public API, а также ряд улучшений, способствующих повышению эффективности работы аналитика SOC.

В R-Vision IRP 4.5 появилась возможность формирования иерархии организаций в режиме мультиарендности, что особенно актуально для организаций с разветвленной филиальной сетью и для MSS-провайдеров. В новом формате родительская организация может распространять действие сценариев реагирования и коннекторов на нижестоящие организации. Это упрощает настройку автоматизации обработки инцидентов в больших компаниях и в случае сервисной модели предоставления ИБ-услуг заказчикам.

Расширены функции Public API, благодаря чему можно выгрузить из системы базу инцидентов и использовать полученные данные во внешних системах, например, для формирования необходимых отчетов, графиков, прогнозов, а также в рамках проведения оценки и анализа рисков в организации.

В системе реализована возможность валидировать поля карточки инцидента. Механизм проверки данных на соответствие заданному формату настраивается с помощью регулярных выражений для любого поля формы инцидента. Регулярные выражения для удобства использования могут быть сохранены в специальном справочнике.

«В релизе 4.5 основные усилия направлены на повышение удобства работы с системой при ее использовании провайдерами сервисов мониторинга безопасности и крупными компаниями с разветвленной структурой дочерних организаций. Переход на дерево тенантов, являющееся основой для нововведений, коснулся сценариев реагирования, а в дальнейшем будет распространен и на другие функциональные возможности продукта. Еще одно важное улучшение – API для выгрузки инцидентов. Это очень хороший интеграционный задел. В новых версиях системы функциональность API также будет прирастать», – отметил Данил Бородавкин, руководитель продуктового направления IRP.

В новой версии платформы можно извлекать данные по контролируемым активам из произвольного источника путем написания скрипта на Python – одном из самых используемых языков программирования.

Появилась возможность автозаполнения электронной формы для отправки данных в ФинЦЕРТ, что актуально для финансовых и кредитных организаций и снимает необходимость выполнения рутинных задач со специалистов центров мониторинга.

Из общих улучшений отметим, что в новой версии системы любое текстовое значение в поле карточки инцидента можно представить в виде гиперссылки, формируемой по заданному правилу из его значения. В сценариях реагирования для действия «Уведомление» добавлена возможность прикрепить к электронному письму файлы свидетельств по инциденту, благодаря чему пользователь получит более широкий контекст инцидента.

Платформа R-Vision IRP представляет собой продукт класса SOAR, который агрегирует данные об инцидентах из множества источников, обогащает дополнительным контекстом, автоматизирует рутинные процессы по обработке инцидентов, процедуры реагирования и координацию действий команды центра мониторинга и реагирования на инциденты ИБ (SOC), повышая его эффективность и скорость реакции на киберугрозы.

Подробнее узнать об обновлениях в R-Vision IRP 4.5 вы сможете на вебинаре 11 марта в 15:00. Зарегистрироваться на мероприятие можно по ссылке.

Не светите ключами в соцсетях: по фото можно напечатать рабочий дубликат

Фотография с ключами в руке может оказаться не такой милой, как кажется. Специалист по кибербезопасности Эван Оттингер показал, что по обычному снимку ключа из соцсетей можно сделать рабочую копию, для этого не нужна лаборатория злодея из кино.

Оттингер — типичный ред тимер, по заказу компаний имитирует реальные атаки, проверяет защиту сетей и иногда даже физическую безопасность зданий.

По его словам, люди постоянно выкладывают фото ключей — от обычных пользователей до знаменитостей. А зря.

Если на фотографии хорошо виден профиль и нарезка ключа, их можно проанализировать, восстановить геометрию и изготовить копию. Оттингер использовал открытые инструменты для декодирования ключей, графический редактор и 3D-принтер. В итоге эксперимент сработал: пластиковый ключ, напечатанный по данным со снимка, оказался пригоден для открытия замка.

 

Сам исследователь признаёт, что сначала тоже сомневался: «Да ладно, не может же это реально работать?» Оказалось, что может. Более того, для подготовленного человека весь путь от скачанного фото до готового ключа может занять около 10-15 минут.

Главная проблема в том, что такой способ не похож на взлом в привычном смысле. В отличие от отмычек, использование копии ключа не оставляет очевидных следов на замке. Для прохожих всё выглядит нормально: человек просто открыл дверь своим ключом. Именно такие сценарии, по словам Оттингера, и заставляют специалистов по безопасности нервничать.

Ключи нужно воспринимать как пароли. Их не показывают крупным планом, не выкладывают в сторис и не держат перед камерой ради красивого поста. Если очень хочется поделиться радостью о новом доме, лучше закрыть зубцы ключа рукой, размыть их или вообще сфотографировать брелок.

Оттингер также советует не полагаться только на один замок. Камеры, сигнализация и другие уровни защиты делают дом менее удобной целью.

RSS: Новости на портале Anti-Malware.ru