R-Vision представила экосистему R-Vision EVO для эволюции SOC

R-Vision представила экосистему R-Vision EVO для эволюции SOC

Разработчик систем кибербезопасности R-Vision анонсировал собственную экосистему технологий для эволюции SOC – R-Vision EVO. Экосистема объединила в себе существующие технологии, компоненты и процессы, а также была дополнена новыми технологиями, которые в ближайшее время на специальных условиях станут доступны клиентам вендора.

На фоне возрастающего числа киберугроз, требования бизнеса к защите информации меняются: на смену классическому подходу к построению центров мониторинга и реагирования на ИБ (Security Operation Center, SOC), где каждый продукт выполняет отдельную конкретную функцию, пришел новый – экосистемный подход. Экосистемы позволяют организациям комплексно подойти к вопросам кибербезопасности, обеспечить решение задач на стыке технологий, а также сфокусироваться на наиболее приоритетных для компаний бизнес-процессах.

Принимая во внимание запросы рынка и заказчиков, разработчик R-Vision представил экосистему R-Vision EVO – комплекс взаимосвязанных технологий, компонентов и выстроенных между ними процессов, которые позволяют компаниям построить Security Operation Center и развивать его до необходимого уровня зрелости. Отличительной особенностью экосистемы R-Vision является тот факт, что технологии вендора помогают эволюционировать всем центрам мониторинга и реагирования на ИБ, вне зависимости от их первоначального масштаба и отрасли, при этом разработчик представляет всем заказчикам возможность поэтапного наращивания и расширения функционала экосистемы по мере роста потребностей SOC.

В настоящий момент в состав R-Vision EVO входят следующие технологии и компоненты:

  • Технология Security Asset Management, которая выстраивает процесс управления активами организации;
  • Технология User and Entity Behavior Analytics, детектирующая нарушения в состоянии ИТ и ИБ-систем, подозрительную активность объектов и осуществляет динамическую оценку угроз и аномалий;
  • Технология Security Orchestration, Automation, Response, отвечающая за автоматизацию процесса управления инцидентами ИБ;
  • Технология Threat Intelligence, осуществляющая всестороннее управление данными киберразведки;
  • Технология Governance, Risk management, Compliance, с помощью которой формируютсяпроцессы менеджмента ИБ в соответствии с лучшими практиками и стандартами;
  • Технология Deception, которая имитирует элементы инфраструктуры, за счет чего осуществляется детектирование присутствия злоумышленника;
  • Технология Vulnerability Management, основной задачей которой является автоматизация процесса управления уязвимостями.
  • Кроме того, в ближайшее время заказчикам R-Vision станут доступны еще 2 технологии экосистемы:
  • Технология Endpoint Security, осуществляющая сбор и инвентаризацию информации о событиях ИБ с конечных точек, а также являющаяся инструментом реагирования на инциденты и ликвидации последствий атаки на хостах;
  • Технология Log Management, которая собирает события со всех элементов инфраструктуры, а также позволяет выстроить процесс сбора, нормализации и хранения событий ИБ и предоставляет пользователям возможность анализа собранной информации.

Важно отметить, что преимуществом построения SOC на базе экосистемы R‑Vision EVO является возможность комплексного и стратегически выверенного подхода к ИБ. Компоненты экосистемы обогащают друг друга и позволяют в любой момент обратиться как к более детальным техническим данным, так и к бизнес-аналитике. Вместе с этим экосистема R-Vision EVO представляет заказчикам огромное количество встроенных интеграционных механизмов, конфигураций и экспертизы, с которыми задачи по построению и развитию центра мониторинга и реагирования на инциденты ИБ становятся значительно проще и прозрачнее.

«Создание и развитие SOC – это сложная и многогранная задача, для которой недостаточно точечного решения проблем обособленными продуктами. В новых реалиях пользователи и рынок нуждаются в комплексном и стратегически продуманном подходе для построения действительно эффективной защиты. Обеспечить такой подход могут экосистемы, где технологии глубоко интегрированы между собой и работают в тесной связке. Таким образом, понимание этих факторов легло в основу создания экосистемы R-Vision EVO и добавления в нее новых технологий», – прокомментировал Игорь Сметанев, директор по стратегическому развитию R-Vision.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Шпионы Shedding Zmiy проникли в десятки российских организаций

По данным ГК «Солар», нацеленная на шпионаж APT-группа с условным именем Shedding Zmiy объявилась в России в 2022 году. На ее счету уже несколько десятков атак на госструктуры, промпредприятия, телеком-сети и другие объекты критической важности.

Обнаружив в ходе анализа бэкдор CobInt, эксперты предположили, что автор целевых атак — группировка Cobalt (это ее «фирменный» инструмент). Однако расследование показало, что это не так: взломщики не искали финансовой выгоды, они воровали данные с тем, чтобы использовать их в дальнейших атаках или слить в Telegram.

Обширный набор инструментов и техник позволяет Shedding Zmiy каждый раз менять тактику. Кибершпионы также подняли множество C2-серверов на территории России, воспользовавшись услугами облачных и хостинг-провайдеров, что помогает им обходить блокировки по GeoIP.

В атаках применяются и выложенные в паблик зловреды, и спецразработки под конкретные цели (загрузчики, бэкдоры, веб-шеллы). Для хранения вредоносного кода иногда используются взломанные серверы.

В арсенале Shedding Zmiy исследователи суммарно насчитали 35 инструментов разного назначения и 20 используемых уязвимостей — в основном хорошо известных, таких как Log4Shell, ProxyShell и PrintNightmare .

Один эксплойт оказался редким и замысловатым. Соответствующую уязвимость в ASP.NET (десериализация ненадежных данных в параметре VIEWSTATE) разработчики Microsoft пытались устранить еще десять лет назад, но затем оставили эту затею — в «Солар» полагают, из-за сложности использования лазейки.

«В процессе расследований мы нашли как знакомые по деятельности группы Cobalt вредоносные инструменты, так и не встречавшиеся ранее уникальные образцы ВПО, в частности, бэкдор Bulldog и загрузчик XDHijack, — отметил эксперт из команды Solar 4RAYS Антон Каргин. — Кроме того, группировка разработала целый фреймворк для эксплуатации уязвимости десериализации VIEWSTATE. Всё это говорит о высоком профессионализме злоумышленников и немалых ресурсах».

Участники Shedding Zmiy также активно используют элементы социальной инженерии. Так, в ходе одной из атак они создали в Telegram поддельный аккаунт ИБ-специалиста целевой компании и от его имени выманили у сотрудника учетные данные для доступа к внутренних хостам.

В другом случае злоумышленники сыграли на доверии между компаниями-партнерами (атака типа Trusted Relationship): взломав сеть телеком-провайдера, разослали от его имени десятки вредоносных писем в другие организации.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru