Вышла R-Vision SOAR 5.0 с обновленными сценариями и управлением инцидентами

Вышла R-Vision SOAR 5.0 с обновленными сценариями и управлением инцидентами

Компания R‑Vision выпустила масштабное обновление R‑Vision SOAR — платформы для автоматизации и повышения эффективности SOC, ранее известную как R-Vision IRP. В версии 5.0 разработчик представил большой блок функциональных обновлений.

В частности, расширены возможности продукта по взаимодействию с ГосСОПКА, реализована возможность работы с группами инцидентов, индикаторами компрометации и многое другое. В новую версию также вошли улучшения пользовательского интерфейса.

С выходом версии 5.0 система R-Vision IRP была переименована в R‑Vision SOAR. Смена названия подчеркивает текущий уровень зрелости программного продукта, функционал которого давно вышел за рамки решений класса IRP (Incident Response Platform) и соответствует требованиям класса SOAR (Security Orchestration, Automation and Response).

Одним из ключевых в обновленной версии стал функционал по взаимодействию с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА): появилась возможность переписки с оператором НКЦКИ по отправленным и полученным инцидентам. Теперь, благодаря R-Vision SOAR, из ГосСОПКА можно получать инциденты, ранее зарегистрированные вне системы, а также создавать инциденты на базе входящих уведомлений от НКЦКИ для оперативной отработки информации от регулятора. При этом в сценариях реагирования возможно настроить автоматическое заполнение карточки ГосСОПКА данными по инциденту и его дальнейшую отправку в ГосСОПКА.

Существенные изменения коснулись функционала по управлению инцидентами. В R-Vision SOAR 5.0 появилась возможность объединять инциденты в группы, что позволяет удобно обрабатывать ситуации, когда несколько инцидентов связаны между собой. Внутри группы инцидентов можно настроить правила автозаполнения полей. Например, пронаследовать статус родительского инцидента в дочерние или просуммировать величину ущерба из дочерних инцидентов в родительский. Еще одно важное нововведение – поддержка индикаторов компрометации (IoC) в виде специального раздела в карточке инцидента и возможность вывода данных по индикаторам на дашборды.

Кроме этого, удобство в работе с системой добавляют такие нововведения, как отображение сценариев в виде наглядного таймлайна, кнопка для запуска сценария прямо из карточки инцидента, возможность настроить обязательные поля при смене статуса обработки инцидента и многое другое.

Работа с основными сущностями системы через программный интерфейс REST API была реализована в предыдущих версиях R-Vision SOAR. В 5-ой версии возможности API стали еще шире, что позволяет бесшовно встроить R-Vision SOAR в любые процессы и инфраструктуру организации.

Дополнительно отметим, что с выходом версии 5.0 разработчик значительно упростил схему лицензирования продукта – R-Vision SOAR теперь поставляется бандлами, функционал которых оптимально закрывает потребности Заказчиков к масштабированию, отказоустойчивости и интеграции с другими системами. При этом, в отличие от других решений класса IRP/SOAR на российском рынке, в схеме лицензирования R-Vision SOAR не учитывается число внешних систем Заказчика, взаимодействующих с платформой в рамках сценариев реагирования.

«По результатам продолжительной работы в релиз R-Vision SOAR 5.0 вошло огромное количество нововведений. Это самое масштабное обновление системы за последние несколько лет. Новые функции помогут более гибко управлять автоматизацией ИБ и удобно обрабатывать инциденты в условиях увеличения их количества. Помимо обновления функционала, с версии 5.0 запущен процесс плавной переработки визуальной составляющей системы. В последующих обновлениях система обретет новый внешний вид и станет более удобной для использования», – прокомментировал Данил Бородавкин, менеджер продукта R-Vision SOAR в компании R-Vision.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

PT ICS обрела возможность выявлять SCADA-зловредов и атаки на ПЛК Siemens

Платформа для защиты промышленности от киберугроз PT Industrial Cybersecurity Suite (PT ICS) получила первый пакет экспертизы для выявления атак на АСУ на базе ПЛК Siemens Simatic S7. В пакет, доступный клиентам Positive Technologies в рамках лицензии для защиты индустриального сегмента, также включены правила, позволяющие обнаружить вредоносные программы, заточенные под АСУ ТП, — в том числе неизвестные.

В I квартале промышленные предприятия, по данным ИБ-компании, заняли третье место среди наиболее атакуемых российских учреждений, обогнав СМИ, сферу услуг, ИТ, науку и образование. Тенденция сохраняется уже несколько лет; в связи с этим остро встал вопрос об обеспечении комплексной защиты инфраструктуры промышленных компаний.

Таким решением является платформа PT ICS, объединяющая ключевые продукты Positive Technologies. Инструменты, хорошо известные корпоративным клиентам компании, дополнены возможностями по выявлению угроз, специфичных для АСУ ТП.

Представленный пакет экспертизы PT ICS содержит 24 правила корреляции для MaxPatrol SIEM, которые позволяют обнаружить атаки на АСУ, полагающиеся на ПЛК Siemens семейства Simatic S7. В частности, они помогают выявить действия злоумышленников в среде разработки Totally Integrated Automation Portal (TIA Portal), Simatic Step 7 и SCADA-системах Simatic WinCC.

В итоге MaxPatrol SIEM в составе PT ICS обрел возможность отслеживать события, грозящие нарушением технологического процесса — например, такие:

  • изменение параметров сети в ПЛК,
  • изменения в системном каталоге TIA Portal,
  • удаленное управление рабочей или инженерной станцией (сервером).

Новую экспертизу получил и PT Sandbox: он теперь умеет динамически выявлять использование инструментов Energetic Bear, Industroyer, Industroyer2, Triton и других вредоносных программ, взаимодействующих с контроллерами. Продукт также проводит поведенческий анализ образцов, обнаруженных в файлах и ссылках из почты, трафика, общих сетевых папок и конечных узлов АСУ ТП, и по специфической активности определяет зловредов, нацеленных на компоненты SCADA.

Кроме того, новые правила детектирования PT Sandbox помогают статически выявлять попытки сканирования портов, используемых промышленными ПЛК более 50 зарубежных и отечественных вендоров, в том чсиле CIP, ELCOM, IOSYS, Modbus и PhoenixHW. Подобная активность может свидетельствовать о поиске ПЛК и SCADA-систем, пригодных для атаки.

«Расширив существующие лицензии для поддержки промышленного сегмента, специалисты по ИБ продолжат работать со знакомыми и понятными инструментами, дополненными технологической экспертизой, — комментирует Роман Краснов, руководитель направления кибербезопасности промышленных предприятий в Positive Technologies. — Это позволит компаниям снизить затраты на внедрение новых систем кибербезопасности и интеграцию сторонних решений, а также повысить эффективность работы служб ИБ».

По словам эксперта, функциональность PT ICS будет и впредь совершенствоваться за счет новых возможностей и агентов. Таким образом, индустриальные компании смогут на одной платформе и в едином продуктовом портфеле построить SOC, равнозначно работающий как с корпоративной, так и технологической инфраструктурой.

Согласно пресс-релизу, следующие пакеты экспертизы PT ICS будут сформированы для таких компонентов, как MaxPatrol VM, MaxPatrol SIEM, PT ISIM и PT XDR.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru