Аналитическая платформа кибербезопасности R-Vision SENSE выявляет подозрительную активность объектов и фиксирует нарушения в состоянии систем, благодаря чему повышается эффективность работы центров мониторинга и реагирования на инциденты в информационной безопасности (SOC — Security Operations Center). Продукт сочетает в себе функции систем класса SIEM (Security Information and Event Management) и UEBA (User and Entity Behavioral Analytics).
Мнение
Обзоры
В конце прошлого года Интерпол и Европол практически одновременно сообщили о двух крупных международных спецоперациях. В Нигерии были задержаны члены преступной группы, скомпрометировавшей около 500 тысяч государственных и частных компаний, а в Европе в ходе операции против кардеров удалось предотвратить ущерб для банков Евросоюза на 40 млн евро. В обоих случаях расследованию помогла система для исследования киберугроз и охоты за атакующими — Group-IB Threat Intelligence & Attribution. Давайте разберёмся, как работает эта платформа.
Kaspersky Threat Intelligence Portal (TIP) — сервис «Лаборатории Касперского», предназначенный для анализа потенциальных угроз информационной безопасности. Решение предоставляет актуальные сведения об угрозах, что позволяет оперативно выявлять события из области ИБ и эффективно расследовать инциденты. Кроме того, посредством этого портала пользователи получают глобальные исследовательские и аналитические материалы о киберугрозах.
Анализ рынка
Чем заменить иностранные продукты и решения по кибербезопасности от производителей, которые покинули российский рынок? Системный интегратор «Информзащита» подготовил каталог импортозамещения, с помощью которого можно быстро подобрать отечественные аналоги средств защиты информации. Навигатор по продуктам поможет российским заказчикам при выборе подходящей замены.
Мы проанализировали мировой и российский рынок сервисов и платформ Threat Intelligence, приведя краткую характеристику коммерческих продуктов от ведущих вендоров, а также популярных решений с открытым исходным кодом.
Метод Threat Hunting заключается в эвристическом поиске признаков вредоносной активности; его цель — выявить и пресечь те угрозы, которые уже проникли внутрь периметра организации. В обзоре рассматриваются принципы такого подхода, коммерческие решения Cisco, Infocyte, Mantix4, Alert Logic, Nuix, а также продукты с открытым исходным кодом (open source).
Технологии и практика
На сегодняшний день существует много разновидностей инструментов для автоматизации процессов в информационной безопасности: Threat Intelligence Platform; Security Orchestration, Automation and Response; Incident Response Platform; Security Governance, Risk Management and Compliance; Extended Detection and Response. Сфокусируем внимание на сходствах и различиях этих классов.
Российский рынок решений для анализа угроз и киберразведки быстро растет, но продукты сегмента Threat Intelligence порой сильно отличаются друг от друга. Компания Security Vision выпустила обновленную версию Threat Intelligence Platform (TIP). Представители разработчика рассказали, для чего нужно решение и какие возможности дает бизнесу.
Киберразведка (Threat Intelligence) занимается сбором информации о хакерских группировках, применяемых ими техниках и тактиках. Она даёт прогнозы по угрозам, помогает выявлять признаки начала атак, поставляет ценные данные другим участникам системы ИБ. Какую роль играет TI при защите от сложных APT-атак?
Сравнения
Разработчики решений класса Threat Intelligence Platform сталкиваются с определенными проблемами. По тому, насколько успешно они с ними справляются, можно оценивать уровень зрелости решений, т. е. их способность соответствовать эталонному подходу к работе с информацией об угрозах. Рассмотрены четыре актуальных, по мнению авторов, решения класса TIP: MISP, R-Vision TIP, Anomali ThreatStream и OpenCTI. Оценка выполнена по методике агентства Европейского союза по сетевой и информационной безопасности (ENISA).