Вышла новая R-Vision TIP с расширенной моделью данных

Вышла новая R-Vision TIP с расширенной моделью данных

Компания R-Vision выпустила новую версию платформы управления данными киберразведки R-Vision Threat Intelligence Platform (TIP) 1.17. Ключевые изменения затронули модель данных продукта, возможности распределенных сенсоров обнаружения индикаторов компрометации, обработку свободно распространяемых потоков данных об угрозах и формирование бюллетеней.

Для повышения качества описания угроз в R-Vision TIP 1.17 расширили модель данных. Теперь в правилах автоматизации продукта появились фильтры, позволяющие формировать атомарные выборки индикаторов компрометации, связанные с конкретной угрозой, киберпреступной группировкой или вредоносной программой. Для максимального сужения выборки аналитики SOC могут добавлять сразу несколько фильтров. Полученные данные можно экспортировать или, например, отправить в SIEM-систему для поиска релевантных индикаторов компрометации.

В новой версии платформы разработчики также улучшили распределенные сенсоры, предназначенные для сбора индикаторов на удаленных площадках рядом с потоком данных SIEM-системы. Теперь для каждого из них можно добавить свою политику, определяющую срок автоматического удаления собранных данных.

Еще одно новшество R-Vision TIP 1.17 касается обработки open source фидов об угрозах. Теперь при добавлении CSV-фидов пользователю доступен конструктор, в котором можно указать, какие объекты и из каких колонок должна собирать платформа. Это дает возможность собирать из CSV-фидов не только индикаторы компрометации, но и ценный контекст для получения более точной информации об угрозе, например, имена вредоносного ПО, временные метки, название вредоносной группировки или кампании.

Кроме того, в R-Vision TIP 1.17 расширены возможности по формированию информационных материалов об угрозах и уязвимостях. Ранее для каждой уязвимости в платформе нужно было создавать отдельные бюллетени, теперь же можно сформировать единый бюллетень о множественных угрозах. Эта функция призвана повысить удобство работы ИБ-аналитиков при необходимости распространить информацию и рекомендации по защитным мерам от связанных угроз.

«Мы планомерно развиваем как движок обработки TI-данных, так и возможности по удобному и быстрому поиску угроз внутри инфраструктуры. Первое позволяет более эффективно и качественно собирать данные TI, дает пользователям широкий кругозор и охват источников, второе помогает гибко и оперативно определять, подвержена ли инфраструктура организации актуальным для нее угрозам. Широкие возможности по сбору данных из различных источников, нормализация, валидация, механизмы управления жизненным циклом крайне важны, так как позволяют получать знания о ландшафте угроз и своевременно реагировать на них», — отметил Антон Соловей, менеджер продукта R-Vision Threat Intelligence Platform.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Cisco устранила 10-балльную уязвимость в IOS XE

Два дня назад компания Cisco Systems выпустила очередные обновления для своих ОС, суммарно устранив 27 уязвимостей. Три новые проблемы IOS XE оценены как критические, одна из них получила 10 баллов из 10 возможных по шкале CVSS.

Согласно бюллетеню, уязвимость CVE-2021-34770 связана с логической ошибкой, возникающей при проверке подлинности пакетов CAPWAP. Эксплойт позволяет удаленно, минуя аутентификацию, выполнить на устройстве любой код с привилегиями администратора или вызвать состояние отказа в обслуживании (DoS).

Наличие проблемы подтверждено для следующих продуктов Cisco:

  • контроллеры беспроводной связи серий 9800 и 9800-CL семейства Catalyst; 
  • свитчи Catalyst серий 9300, 9400 и 9500 со встроенным контроллером Catalyst 9800;
  • точки доступа Catalyst со встроенным контроллером беспроводной связи.

Критическая уязвимость CVE-2021-34727 (9,8 балла по CVSS) связана с процессом vDaemon и классифицируется как переполнение буфера. Она проявляется при обработке трафика и может спровоцировать DoS. Ошибку можно также использовать для удаленного выполнения команд с root-привилегиями и без аутентификации.

Эксплойт актуален для роутеров ISR серий 1000 и 4000, ASR серии 1000 и маршрутизаторов 1000V с включенной опцией SD-WAN (по умолчанию неактивна).

Причиной появления уязвимости CVE-2021-1619 в IOS XE (9,8 балла CVSS) является некорректная реализация механизма AAA (authentication, authorization, accounting — аутентификация, авторизация, учет). Эксплойт осуществляется путем передачи на устройство запросов NETCONF или RESTCONF и позволяет в обход аутентификации изменить конфигурацию устройства или вызвать DoS.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru