R-Vision Incident Response Platform (IRP)

Продукт
Разработчики: R-Vision (Р-Вижн)
Дата последнего релиза: 2019/02/04
Технологии: ИБ - Управление информацией и событиями в системе безопасности (SIEM)

Содержание

R-Vision Incident Response Platform – это программная платформа для автоматизации деятельности по мониторингу, регистрации и реагированию на инциденты информационной безопасности.

Актуально на август 2018 года

2019: Интеграция с Attack Killer

4 февраля 2019 года компания Attack Killer (ГК InfoWatch) сообщила, что подписала партнерское соглашение о сотрудничестве с R-Vision. В рамках сотрудничества компании договорились об интеграции системы автоматической защиты веб-ресурсов и приложений Attack Killer с платформой реагирования на инциденты R-Vision IRP, что позволит субъектам КИИ выполнять требования федерального закона 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Подробнее здесь.

2018

Версия 4.0

Компания R-Vision, российский разработчик решений для автоматизации управления информационной безопасностью и реагирования на инциденты, 15 ноября 2018 года объявила о выпуске очередной версии платформы R-Vision Incident Response Platform. В версии 4.0 особое внимание уделено функционалу сценариев реагирования, более гибкой интеграции со сторонними решениями, а также подготовке инцидентов согласно требованиям регуляторов для последующей отправки в ФинЦЕРТ и ГосСОПКА.

Одна из отличительных особенностей решений класса IRP — наличие функционала сценариев реагирования, которые позволяют в автоматическом режиме выполнять алгоритм действий по реагированию, заданный для определенного типа инцидента. В версии 4.0 для более удобной настройки сценариев реагирования доступен графический редактор. Процесс выполнения сценария получил визуализацию в виде карты рабочего процесса по инциденту с цветовой индикацией статуса каждого действия, входящего в его состав. Взглянув на карту, специалист центра реагирования может быстро оценить ход обработки инцидента и оперативно внести необходимые корректировки в действия.

«
Развивая свой продукт, мы во многом делаем упор на реальные ситуации и конкретные потребности наших клиентов, партнеров и других компаний, с которыми мы ведем активный профессиональный диалог, — рассказал генеральный директор R-Vision Александр Бондаренко. — Таким образом, возможности, реализованные в версии 4.0, позволяют эффективно решать именно те проблемы, с которыми сталкивается большинство руководителей центров реагирования на инциденты ИБ.
»

Для быстрого взаимодействия с другими средствами в инфраструктуре продукт дополнен конструктором коннекторов, который позволяет непосредственно внутри интерфейса R-Vision создавать коннекторы к любым решениям и настроить их автоматический запуск в нужный момент времени или при срабатывании заданных условий.

В R-Vision 4.0 также сделан акцент на обеспечении соответствия последним требованиям регуляторов и законодательства. Так, описание инцидента содержит необходимый набор полей, требуемый для предоставления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), а также отправки в ФинЦЕРТ ЦБ РФ. Для информационного обмена с этими центрами реализованы соответствующие коннекторы.

Архитектура решения позволяет реализовать вертикальное и горизонтальное масштабирование, выстраивать многоуровневые модели центров SOC. Обновленная версия платформы также поддерживает корпоративные инсталляции в режиме multitanancy и использование продукта MSSP-провайдерами.

Возможности R-Vision IRP

На август 2018 года платформа R-Vision IRP предлагает следующие возможности:

  • Контроль ИТ-инфраструктуры:
    • Программный комплекс позволяет провести инвентаризацию инфраструктуры, выделить наиболее критичные активы, определить специалистов, ответственных за обеспечение безопасности активов. За счет интеграции с имеющимися решениями по безопасности (антивирусы, сканеры защищенности и др.), а также использования собственных механизмов контроля, обеспечивается консолидация и представление в единой консоли различных сведений о состоянии безопасности инфраструктуры, контроль установленного ПО, обнаружение несанкционированного оборудования и внешних подключений, выявление и контроль устранения уязвимостей. Топология инфраструктуры может быть представлена в виде карт сетей, планов помещений и схем географического расположения.

  • Интеграция с внешними источниками:

    • Сбор и консолидация необходимой информации по состоянию ИТ-инфраструктуры и зафиксированным инцидентам информационной безопасности могут быть обеспечены за счет использования нескольких механизмов: электронной почты, программного интерфейса (API), встроенной системы приема сообщений, а также собственных коннекторов для ключевых систем защиты: сканеров уязвимости, средств антивирусной защиты, систем защиты от утечки информации (DLP), систем сбора и корреляции событий безопасности (SIEM) и других. Разбор поступающих в систему сообщений может быть адаптирован под специфику защищаемой инфраструктуры путем использования правил на базе регулярных выражений или тегов.

  • Единая база инцидентов:

    • Отсутствие единого центра, содержащего сведения обо всех зафиксированных инцидентах информационной безопасности, является одной их ключевых проблем, снижающих оперативность реагирования на инциденты уполномоченных сотрудников. Использование платформы IRP в качестве основы для реализации центра реагирования на инциденты ИБ (SOC) позволяет обеспечить фиксацию фактов обнаружения инцидентов информационной безопасности, а также релевантной информации в единой, централизованной базе. Это, в свою очередь, позволяет повысить управляемость деятельности по реагированию на инциденты и оперативность обработки возникающих инцидентов, а также соблюсти соответствующие требования методических документов и стандартов, установленных регуляторами (ФСТЭК, ЦБ и др.).

  • Адаптируемая логика:

    • Платформа IRP содержит широкий спектр механизмов, позволяющих адаптировать логику работы системы под специфику и особенности процесса реагирования на инциденты в определенной компании. К таким механизмам относятся:
      • конструктор описания инцидентов, позволяющий задать состав сведений, собираемых по соответствующим категориям инцидентов;
      • конструктор циклов обработки инцидентов, позволяющий создавать различные схемы статусов (маршруты) движения инцидентов в процессе обработки;
      • гибкие правила настройки доступа к сведениям по инцидентам, включая возможность автоматического назначения ответственных лиц на инциденты на основании связанных активов, или заданных правил; ***настраиваемые справочники и шаблоны инцидентов, обеспечивающие возможность быстрого ввода данных по зафиксированным инцидентам.

  • Автоматизация реагирования:

    • Платформа IRP содержит набор готовых механизмов реагирования, которые могут быть легко настроены пользователем системы под собственные нужды:
      • правила уведомления, на основании которых система оперативно уведомляет определенных лиц в организации о возникновении инцидента;
      • правила эскалации и назначения, которые по заданным характеристикам инцидентов позволяют автоматически назначать ответственных лиц и состав рабочей группы реагирования на соответствующий инцидент;
      • правила реагирования, которые позволяют определить состав выполняемых действий по инциденту, распределить задачи в группе реагирования, а также в автоматическом режиме выполнить заданные скрипты для сбора релевантной информации.
      • нормативы по выполнению тех или иных действий, а также общие сроки реагирования на инциденты различных категорий и уровней критичности.

  • Обмен информацией по инцидентам:

    • Платформа IRP содержит встроенные механизмы обмена сведениями по инцидентам, которые позволяют обмениваться данными с другими участниками, при этом обладая полным контролем над объемом передаваемой информации и списками получателей.

  • Совместная работа:

    • Каждый инцидент в платформе R-Vision IRP обладает собственной рабочей областью, в рамках которой осуществляется взаимодействие сотрудников, ответственных за реагирование на соответствующий инцидент. Лицо, ответственное за обработку инцидента, обладает возможностью определять состав рабочей группы, устанавливать объем доступной для просмотра информации, распределять задачи между участниками рабочей группы. Все собранные в ходе обработки инцидента свидетельства и материалы сохраняются в общем хранилище и становятся доступны всем участникам рабочей группы. Оперативная коммуникация внутри команды обеспечивается за счет командного чата по инциденту.

  • Визуализация и отчетность:

    • Платформа IRP предлагает широкий набор средств визуализации информации. Кастомизируемые дашборды обеспечивают представление информации в виде графиков и диаграмм, содержащих функции перехода от графиков к соответствующей им информации (drill-down). Данные по инфраструктуре могут быть представлены в виде карт сетей и схем помещений. Анализ взаимосвязей между элементами системы, способствующий расследованию инцидентов, может быть проведен с использованием так называемых схем взаимосвязей. Информация по активам, инцидентам и другим элементам системы для ее последующей обработки также может быть экспортирована в виде Excel-файлов. R-Vision IRP содержит широкий список готовых отчетов, а также механизмы настройки собственных шаблонов. Правила создания и рассылки отчетов позволяют настроить расписание автоматической генерации документов и их отправки соответствующим адресатам.

Функционал класса Threat Intelligence Platform

15 мая 2018 года R-Vision объявила о расширении возможностей решения R-Vision Incident Response Platform функционалом класса Threat Intelligence Platform. Теперь платформа R-Vision может в автоматическом режиме собирать и обрабатывать данные киберразведки, использовать их в алгоритмах реагирования и передавать напрямую на средства защиты. Это облегчает выявление скрытой активности хакеров и повышает скорость реагирования, сводя к минимуму возможный ущерб.

Технология threat intelligence позволяет обнаружить вредоносную активность киберпреступников по определенным признакам, называемым индикаторами компрометации. Интеграция этих данных в процесс реагирования на инциденты позволяет быстрее установить компрометацию и оперативно блокировать угрозу. Однако без автоматизированного решения качественная обработка и аналитика огромного массива данных об угрозах практически невозможна.

Threat Intelligence Platform от R-Vision позволяет осуществлять в автоматическом режиме централизованный сбор, обработку и обогащение индикаторов компрометации, собираемых из фидов threat intelligence от различных поставщиков. Система обладает встроенной интеграцией с площадками обмена данными об угрозах IBM X-Force Exchange и AlienVault Open Threat Exchange, с threat intelligence сервисами от Group-IB и Лаборатории Касперского и позволяет подключить другие коммерческие и публичные источники.

Данный функционал позволяет не только загружать сведения из определенных фидов, но и осуществлять кросс-проверку данных по отдельным индикаторам с помощью дополнительных запросов во внешних источниках. Обработанные данные можно напрямую передать на используемые средства защиты, что позволяет снизить количество ложных срабатываний, которые возникают при использовании сырых данных.

Версия 3.6

Компания R-Vision, российский разработчик решений для автоматизации управления информационной безопасностью и реагирования на инциденты, 27 апреля 2018 года объявила о выпуске очередной версии R-Vision Incident Response Platform, предназначенной для создания корпоративных центров кибербезопасности (SOC).

По словам разработчиков, в версии 3.6 реализованы возможности, которые позволяют более гибко управлять инцидентами, и расширен спектр операций, которые могут быть выполнены удаленно в автоматическом режиме, обеспечивая тем самым более быстрое и адаптивное реагирование.

«
Мы продолжаем наращивать функциональность нашего продукта в сторону максимальной автоматизации выполняемых специалистами SOC операций, а также расширять спектр задач, которые можно реализовать из "единого окна" консоли R-Vision, — отметил Александр Бондаренко.
»

В части управления инцидентами добавлена макрокорреляция, позволяющая осуществлять поиск связанных инцидентов по определенному критерию. Также появилась возможность создавать инциденты из уязвимостей и контролировать их устранение на узлах.

Одна из ключевых особенностей платформы – динамические сценарии реагирования (так называемые "плейбуки"), которые позволяют в автоматическом режиме реализовать алгоритм действий, заданный для конкретного типа инцидента. В версии 3.6 сценарии реагирования дополнены следующими типами действий: запрос информации у пользователей и автоматическое принятие решения в ходе отработки сценария.

Значительная часть функционала R-Vision IRP 3.6 призвана облегчить работу с активами, отметили в компании. В частности, была оптимизирована интеграция с базами данных и реализована возможность напрямую подгружать информацию из базы данных по расписанию. Также добавлена опция удаленного подключения к проинвентаризированным узлам непосредственно из интерфейса R-Vision, функционал запуска скриптов автоматизации на активах по заданному расписанию и запуска скриптов с исполняемыми файлами.

В новой версии был также оптимизирован интерфейс системы и появилась возможность выбора между светлой и темной темами интерфейса. В дизайне геокарты также произошли изменения и была добавлена опция по отображению на ней активов, хостов, инцидентов и уязвимостей.

2017

Интеграция с Kaspersky Fraud Prevention Cloud

«Лаборатория Касперского» и компания R-Vision 4 сентября 2017 года объявили о технологическом партнерстве с целью совместного и более эффективного противодействия киберугрозам в дистанционных каналах обслуживания. Для этого компании объединили свои решения по распознаванию и предотвращению финансового мошенничества в интернете: Kaspersky Fraud Prevention Cloud (KFP) и R-Vision Incident Response Platform (IRP). Интеграция позволит запустить процесс обработки инцидентов информационной безопасности в автоматическом режиме на основе данных, в режиме реального времени поступающих из Kaspersky Fraud Prevention Cloud. Такой подход позволит не просто выявить мошенничество еще до совершения транзакции, но и предпринять необходимые действия для его предотвращения.

В результате объединения технологий «Лаборатории Касперского» и R-Vision процесс защиты пользователей онлайн-банкинга и платежных систем будет автоматизирован и ускорен за счет регистрации в IRP R-Vision инцидентов, обнаруживаемых средствами платформы Kaspersky Fraud Prevention Cloud в режиме реального времени. Уведомление специалистов о новых обнаруженных угрозах и распределение задач внутри команды по реагированию на инциденты также будет происходить в автоматическом режиме. Кроме того, после обработки каждого инцидента в системе R-Vision IRP обратная связь о нем будет поступать в Kaspersky Fraud Prevention — это позволит оптимизировать распознавание мошенничества с помощью технологий машинного обучения, применяющихся в решении «Лаборатории Касперского».

«
Сотрудничество с «Лабораторией Касперского» откроет для наших клиентов новые возможности по централизованному контролю системы информационной безопасности и оперативному отражению кибератак. Тесная интеграция наших продуктов позволит консолидировать в единой точке входа информацию об угрозах, поступающую из разных источников, а это, в свою очередь, ускорит ответную реакцию на все возможные инциденты. В итоге клиенты экономят свои ресурсы и время, получая при этом защиту более высокого уровня, — пояснил Александр Бондаренко, генеральный директор R-Vision.
»

«
Мы высоко ценим технологическое партнерство с R-Vision: на наш взгляд, это один из самых эффективных способов развития защитных технологий во всех сегментах корпоративных ИТ-инфраструктур. Кроме того, подобный подход особенно удобен и выгоден для конечных пользователей, которым не приходится продумывать, как интегрировать различные решения внутри одной сети, — подчеркнул Александр Ермакович, руководитель направления Kaspersky Fraud Prevention. — Компания R-Vision обладает передовыми технологиями реагирования на инциденты. Совместно мы сможем оптимизировать распознавание и предотвращение мошенничества в финансовой среде и не допустить денежных потерь.
»

Описание R-Vision Incident Response Platform

На ноябрь 2017 года система R-Vision позволяет создать корпоративный центр управления безопасностью (SOC), который представляет собой точку консолидации информации обо всех инцидентах информационной безопасности, а также платформу для автоматической обработки инцидентов и слаженной работы группы реагирования.

Скорость реакции на инциденты является одним из ключевых показателей эффективности подразделения информационной безопасности любой организации. В условиях все возрастающего количества фиксируемых сообщений о возможных инцидентах информационной безопасности и принимая во внимание скорость реализации современных кибератак, единственным способом сохранить возможность оперативного реагирования является автоматизация выполняемых действий и разработка готовых планов реагирования на возникающие ситуации.

Система R-Vision позволяет провести инвентаризацию ИТ-инфраструктуры, учёт материальных и нематериальных активов и их взаимосвязей, выделить наиболее критичные активы, выявить несанкционированные устройства и внешние подключения, уязвимости на сканируемых узлах и осуществлять их приоритезацию по степени критичности.

В части управления инцидентами платформа R-Vision собирает информацию по зафиксированным инцидентам информационной безопасности со всех используемых в организации источников. Каждое уведомление об инциденте обогащается деталями о связанных активах, пользователях, критичности бизнес-процессов.

Далее запускаются готовые сценарии реагирования, которые позволяют автоматизировать алгоритм действий команды реагирования (эскалация, уведомление, формирование рабочей группы, постановка задач), а также обеспечить выполнение действий по сбору дополнительных сведений, либо превентивных действий, направленных на блокирование атаки, в автоматическом режиме. Продукт позволяет гибко настроить политику реагирования на инциденты ИБ, задать различные варианты сценариев реагирования под каждую категорию инцидента.

Для эффективного отражения современных кибератак крайне важно иметь возможность обмениваться информацией с другими участниками отрасли, внешними экспертами и организациями, публичными центрами реагирования (CERT/SOC). Система R-Vision содержит встроенные механизмы обмена подобной информацией. Это позволяет оперативно получать сведения, которые могут быть использованы для обнаружения и блокирования кибератаки. Кроме того, это позволяет предоставить сведения, выявленные в ходе расследования инцидента, другим доверенным участникам обмена, в качестве которых могут выступать службы информационной безопасности дочерних и/или головных организаций (в случае крупных холдинговых структур), партнерских организаций/контрагентов, соответствующих государственных служб (ФинЦЕРТ, ГОССОПКА и др.).

В системе также выполняется учёт выполненных мероприятий по реагированию на инциденты ИБ, могут быть определены нормативы по выполнению тех или иных действий, а также общие сроки реагирования на инциденты различных категорий и уровней критичности. Все это в совокупности позволяет оценивать эффективность команды реагирования и определять области для улучшения.

Автоматизация процесса мониторинга и реагирования на инциденты информационной безопасности с помощью платформы R-Vision позволяет организациям контролировать защищенность информационных активов, существенно ускорить реагирование на инциденты ИБ, повысить эффективность работы сотрудников, отвечающих за информационную безопасность, и свести к минимуму риски и возможный ущерб от кибератак.

2016: Интеграция с InfoWatch Traffic Monitor

24 ноября 2016 года компания «Р-Вижн» и группа компаний InfoWatch сообщили о соглашении относительно совместной разработки, производства и распространения средств ИБ на рынке.

В рамках этого соглашения предполагается обеспечить интеграцию платформы для организации центра реагирования на инциденты ИБ R-Vision Incident Response Platform с технологией для предотвращения утечек конфиденциальной информации и защиты бизнеса от внутренних угроз InfoWatch Traffic Monitor.

В результате интеграции предполагается реализовать возможность отправки событий из InfoWatch Traffic Monitor в систему R-Vision IRP для анализа и хранения инцидентов корпоративной системы ИБ в единой информационной системе, упрощения доступа к ней офицера безопасности компании.

Появляется возможность сопоставить события, поступающие из InfoWatch Traffic Monitor с событиями, поступающими в R-Vision IRP из других систем.

«
В современных реалиях оперативное реагирование на инциденты информационной безопасности требует консолидации информации об инцидентах, поступающих из различных источников и средств защиты. Партнерство открывает новые возможности для реализации решений наших компаний, а также перспективы расширения клиентской и партнерской баз. Продукты ГК InfoWatch для защиты критичных данных используют многие организации, и за счет технологического партнерства мы планируем предоставить пользователям дополнительный синергетический эффект, достигаемый за счет тесной интеграции разработок нашей компании и решений InfoWatch.

Александр Бондаренко, генеральный директор ООО «Р-Вижн»
»

«
Интеграция DLP-решения InfoWatch и системы R-Vision IRP обеспечит заказчиков расширенным инструментарием для предотвращения возможных внутренних угроз, связанных с информационной безопасностью компании, при сопоставлении действий внешних злоумышленников с действиями сотрудников внутри организации, выявлении сговоров, определении круга сообщников и причастных лиц, а также существенно упростит процесс расследования таких инцидентов.

Марина Баталова, менеджер по развитию продуктов ГК InfoWatch
»





Подрядчики-лидеры по количеству проектов

За всю историю
2016 год
2017 год
2018 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2016 год
2017 год
2018 год
Текущий год

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2016 год
2017 год
2018 год
Текущий год

  Angara Cyber Resilience Center (ACRC) - 2 (2, 0)
  MaxPatrol SIEM - 2 (2, 0)
  Security Vision - 2 (2, 0)
  Group-IB Threat Intelligence - 1 (1, 0)
  Panda Adaptive Defense - 1 (1, 0)
  Другие 3