R-Vision SOAR
ранее R-Vision IRP

Продукт
Название базовой системы (платформы): R-Vision SGRC Центр контроля информационной безопасности
Разработчики: R-Vision (Р-Вижн)
Дата последнего релиза: 2023/04/24
Технологии: ИБ - Управление информацией и событиями в системе безопасности (SIEM)

Содержание

Основные статьи:


R-Vision SOAR (ранее R-Vision Incident Response Platform, R-Vision IRP) – это программная платформа для автоматизации деятельности по мониторингу, регистрации и реагированию на инциденты информационной безопасности.

2023

Интеграция с «СКДПУ НТ» и «СКДПУ НТ Компакт»

Компании «АйТи Бастион» и R-Vision заключили соглашение о сотрудничестве, в рамках которого провели работы по интеграции системы контроля действий привилегированных пользователей (PAM — Privileged Access Management) «СКДПУ НТ» и «СКДПУ НТ Компакт» с платформой по автоматизации реагирования на инциденты R-Vision SOAR. Об этом «АйТи Бастион» сообщил 7 сентября 2023 года. Подробнее здесь.

R-Vision SOAR 5.2 со встроенным функционалом почтовой переписки

24 апреля 2023 года компания R-Vision сообщила о выпуске обновления платформы для автоматизации реагирования на инциденты и повышения эффективности SOC R-Vision SOAR 5.2. В данной версии пользователям стал доступен инструмент для коммуникации по электронной почте и расширены возможности сценариев реагирования.

Одним из ключевых изменений платформы стал встроенный функционал почтовой переписки, которая реализована в виде отдельной вкладки в карточке инцидента. Все сообщения в ней отображаются в привычном для пользователей мессенджеров виде. При этом можно создать почтовый тред по инциденту как вручную, так и автоматически с использованием сценариев реагирования. Например, настроить автоматическую отправку стартового сообщения с просьбой предоставить дополнительную информацию сразу при создании инцидента. Это повышает удобство коммуникации в процессе работы с инцидентами и экономит время, затрачиваемое на переключение между интерфейсом системы и электронной почтой.TAdviser выпустил Карту российского рынка цифровизации строительства 25.4 т

В обновленной версии компания R-Vision усовершенствовала работу со сценариями реагирования за счет настройки автоматической обработки ошибок выполнения коннекторов. Таким образом, у пользователей R-Vision SOAR появилась возможность эффективней контролировать выполнение сценария. Если произойдет сетевой сбой или внешняя система станет временно недоступна, то коннекторы будут перезапущены автоматически, без участия человека.

Кроме этого, в R-Vision SOAR 5.2 разработчик представил новый подход к настройке автоматического запуска сценариев. Теперь в платформе можно задать в качестве условия запуска различные триггеры: создание нового инцидента, изменение существующего или добавление в инцидент комментария.

Еще одно изменение – глобальные переменные – функция для более гибкой работы со сценариями. С ее помощью возможно единожды задать значение и использовать его внутри разных сценариев реагирования. Глобальные переменные поддерживают хранение данных в защищенном виде и могут использоваться, например, для управления токенами авторизации во внешних системах.

«
Появившаяся функциональность платформы направлена, в первую очередь, на повышение удобства работы с системой. В частности, в версии 5.2 мы продолжаем совершенствовать механизмы автоматизации, которые являются одной из главных ценностей R-Vision SOAR. Развивая продукт, мы всегда ориентируемся на актуальные запросы рынка и обратную связь от наших Заказчиков. Таким образом, добавленные возможности при работе с почтой и сценариями реагирования позволяют существенно сократить трудозатраты пользователей, — сообщил Данил Бородавкин, менеджер продукта R-Vision SOAR.
»

2022

Совместимость с СУБД Jatoba

Завершена серия испытаний на корректность совместного функционирования СУБД Jatoba и продуктов R-Vision SOAR и R-Vision SGRC, являющимися функциональными блоками программной платформы «Центр контроля информационной безопасности Р-Вижн». Об этом компания «Газинформсервис» сообщила 9 августа 2022 года. Подробнее здесь.

Сертификация на соответствие стандартам ИБ Белоруссии

Продукты R-Vision SOAR, R-Vision SGRC и R-Vision ACP прошли сертификацию Оперативно-аналитического центра при Президенте РБ (ОАЦ) в составе программной платформы «Центр контроля информационной безопасности (ЦКИБ)» «Р‑Вижн». Наличие сертификата ОАЦ подтверждает соответствие продуктов R-Vision стандартам информационной безопасности Белоруссии и является важным условием для использования на территории государства. Об этом 27 июля 2022 года сообщили в компании R-Vision. Подробнее здесь.

Доступность на платформе Jet CyberCamp в рамках киберучений

7 июня 2022 года ИТ-компания «Инфосистемы Джет» сообщила, что совместно с разработчиком систем кибербезопасности R-Vision подготовили совместную программу киберучений. В рамках этой программы ИБ-специалисты смогут получить практический опыт работы с R-Vision SOAR, R-Vision SGRC и R-Vision TIP во время тренировок на платформе «Инфосистемы Джет» Jet CyberCamp. Подробнее здесь.

R-Vision SOAR версии 5.0

16 мая 2022 года компания R‑Vision сообщила, что выпустила обновление R‑Vision SOAR - платформы для автоматизации и повышения эффективности SOC, ранее известной как R-Vision IRP. В версии 5.0 представлен большой блок функциональных изменений. В частности, расширены возможности продукта по взаимодействию с ГосСОПКА, реализована возможность работы с группами инцидентов, индикаторами компрометации и многое другое. В данной версии также оптимизирован пользовательский интерфейс.

С выходом версии 5.0 система R-Vision IRP была переименована в R‑Vision SOAR. Смена названия подчеркивает текущий уровень зрелости программного продукта, функционал которого давно вышел за рамки решений класса IRP (Incident Response Platform) и соответствует требованиям класса SOAR (Security Orchestration, Automation and Response).

Одним из ключевых в изменений версии стал функционал по взаимодействию с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА): появилась возможность переписки с оператором НКЦКИ по отправленным и полученным инцидентам. Теперь, благодаря R-Vision SOAR, из ГосСОПКА можно получать инциденты, ранее зарегистрированные вне системы, а также создавать инциденты на базе входящих уведомлений от НКЦКИ для оперативной отработки информации от регулятора. При этом в сценариях реагирования возможно настроить автоматическое заполнение карточки ГосСОПКА данными по инциденту и его дальнейшую отправку в ГосСОПКА.

Существенные изменения коснулись функционала по управлению инцидентами. В R-Vision SOAR 5.0 появилась возможность объединять инциденты в группы, что позволяет обрабатывать ситуации, когда несколько инцидентов связаны между собой. Внутри группы инцидентов можно настроить правила автозаполнения полей. Например, пронаследовать статус родительского инцидента в дочерние или просуммировать величину ущерба из дочерних инцидентов в родительский. Еще одно важное изменение - поддержка индикаторов компрометации (IoC) в виде специального раздела в карточке инцидента и возможность вывода данных по индикаторам на дашборды.

В R-Vision SOAR 5.0 добавлены: отображение сценариев в виде наглядного таймлайна, кнопка для запуска сценария прямо из карточки инцидента, возможность настроить обязательные поля при смене статуса обработки инцидента и многое другое.

Работа с основными сущностями системы через программный интерфейс REST API была реализована в предыдущих версиях R-Vision SOAR. В 5-ой версии возможности API стали еще шире, что позволяет бесшовно встроить R-Vision SOAR в любые процессы и инфраструктуру организации.

С выходом версии 5.0 разработчик значительно упростил схему лицензирования продукта - R-Vision SOAR теперь поставляется бандлами, функционал которых оптимально закрывает потребности Заказчиков к масштабированию, отказоустойчивости и интеграции с другими системами. При этом, в отличии от других решений класса IRP/SOAR на российском рынке, в схеме лицензирования R-Vision SOAR не учитывается число внешних систем Заказчика, взаимодействующих с платформой в рамках сценариев реагирования.

«
«По результатам продолжительной работы в релиз R-Vision SOAR 5.0 вошло большое количество нововведений. Это достаточно значимое обновление системы за последние несколько лет. Дополнительные функции помогут более гибко управлять автоматизацией ИБ и обрабатывать инциденты в условиях увеличения их количества. Помимо обновления функционала, с версии 5.0 запущен процесс плавной переработки визуальной составляющей системы», -

прокомментировал Данил Бородавкин, менеджер продукта R-Vision SOAR в компании R-Vision.
»

Интеграция с «СёрчИнформ КИБ»

Контроль ИБ-инцидентов, выявленных DLP-системой «СёрчИнформ КИБ», теперь доступен в R-Vision Incident Response Platform (IRP). Благодаря интеграции ИБ-специалист может работать в одной консоли – SOC-системы. Это позволяет сократить время реагирования на инцидент. Об этом компания «СёрчИнформ» сообщила 1 февраля 2022 года. Подробнее здесь.

2021

R-Vision IRP версии 4.7

19 октября 2021 года компания R-Vision сообщила, что выпустила очередную версию платформы автоматизации мониторинга и реагирования на инциденты информационной безопасности R-Vision Incident Response Platform (IRP). В продукте появилась возможность работать с группами инцидентов, реализовано взаимодействие с ГосСОПКА, переработана визуализация сценариев реагирования и опции их запуска.

Контроль ИТ-инфраструктуры

Платформа R-Vision IRP 4.7 позволяет объединять инциденты в группы. В системе можно организовать работу с цепочками связанных или однотипных инцидентов. Для группы выбирается один родительский инцидент, остальные будут являться подчиненными. С помощью группировки инцидентов пользователь может рассматривать и анализировать события информационной безопасности в совокупности, если они, например, имеют единую причину возникновения. Помимо пользовательского интерфейса работа с группами инцидентов поддерживается в сценариях реагирования и через Public API системы.

Интеграция с внешними источниками

Реализовано взаимодействие с обновленной в 2021 году государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Пользователь платформы может оперативно передавать информацию по выявленным инцидентам регулятору, вести обмен комментариями с операторами ГосСОПКА в карточке инцидента и получать входящие уведомления об атаках. Исходящее сообщение в ГосСОПКА при этом может быть заполнено автоматически из данных, уже присутствующих в системе. Таким образом, можно организовать полноценное взаимодействие с регулятором непосредственно внутри системы, где производится обработка инцидентов и реагирование на них, что особенно актуально для субъектов КИИ.

«
«В интеграции с ГосСОПКА мы постарались сделать все для того, чтобы упростить взаимодействие с регулятором и дать возможности для высокой автоматизации этого процесса. Еще одно ключевое обновление 4.7 - группы инцидентов. Работа с агрегатами из инцидентов востребована среди наших пользователей, и мы будем развивать эту функциональность и дальше», -

отметил Данил Бородавкин, менеджер продукта R-Vision Incident Response Platform.
»

Обновления в платформе затронули и сценарии реагирования. В версии 4.7 в карточке инцидента доступен таймлайн запуска сценариев с возможностью управления его отображением: пользователь может перейти к выбранному сценарию, а также свернуть диаграмму сценария в компактный блок. Кнопку запуска того или иного плейбука теперь можно разместить в карточке инцидента.

Клиентская поддержка компании R-Vision оповестит текущих пользователей продукта о доступности обновлений для перехода.

R-Vision IRP версии 4.5

Компания R-Vision 4 марта 2021 года выпустила обновленную версию платформы реагирования на инциденты информационной безопасности R-Vision IRP. В версии 4.5 появилась возможность использовать сценарии реагирования для нескольких организаций в режиме multitenancy, настраиваемая валидация значений для полей карточки инцидента, методы Public API, а также ряд улучшений, способствующих повышению эффективности работы аналитика SOC.

В R-Vision IRP 4.5 появилась возможность формирования иерархии организаций в режиме мультиарендности, что особенно актуально для организаций с разветвленной филиальной сетью и для MSS-провайдеров. В данном формате родительская организация может распространять действие сценариев реагирования и коннекторов на нижестоящие организации. Это упрощает настройку автоматизации обработки инцидентов в больших компаниях и в случае сервисной модели предоставления ИБ-услуг заказчикам.

Расширены функции Public API, благодаря чему можно выгрузить из системы базу инцидентов и использовать полученные данные во внешних системах, например, для формирования необходимых отчетов, графиков, прогнозов, а также в рамках проведения оценки и анализа рисков в организации.

В системе реализована возможность валидировать поля карточки инцидента. Механизм проверки данных на соответствие заданному формату настраивается с помощью регулярных выражений для любого поля формы инцидента. Регулярные выражения для удобства использования могут быть сохранены в специальном справочнике.

«
В релизе 4.5 основные усилия направлены на повышение удобства работы с системой при ее использовании провайдерами сервисов мониторинга безопасности и крупными компаниями с разветвленной структурой дочерних организаций. Переход на дерево тенантов, являющееся основой для изменений, коснулся сценариев реагирования, а в дальнейшем будет распространен и на другие функциональные возможности продукта. Еще одно важное улучшение – API для выгрузки инцидентов. Это очень хороший интеграционный задел. В следующих версиях системы функциональность API также будет прирастать, – отметил Данил Бородавкин, руководитель продуктового направления IRP.
»

В данной версии платформы можно извлекать данные по контролируемым активам из произвольного источника путем написания скрипта на Python – одном из языков программирования.

Появилась возможность автозаполнения электронной формы для отправки данных в ФинЦЕРТ, что актуально для финансовых и кредитных организаций и снимает необходимость выполнения рутинных задач со специалистов центров мониторинга.

Из общих улучшений отмечено, что в данной версии системы любое текстовое значение в поле карточки инцидента можно представить в виде гиперссылки, формируемой по заданному правилу из его значения. В сценариях реагирования для действия «Уведомление» добавлена возможность прикрепить к электронному письму файлы свидетельств по инциденту, благодаря чему пользователь получит более полный контекст инцидента.

Платформа R-Vision IRP представляет собой продукт класса SOAR, который агрегирует данные об инцидентах из множества источников, обогащает дополнительным контекстом, автоматизирует рутинные процессы по обработке инцидентов, процедуры реагирования и координацию действий команды центра мониторинга и реагирования на инциденты ИБ (SOC), повышая его эффективность и скорость реакции на киберугрозы.

2020

Получение сертификата ФСТЭК по 4-му уровню доверия

Компания R-Vision 25 декабря 2020 года сообщила о получении сертификата Федеральной службы по техническому и экспортному контролю (ФСТЭК) России по 4-му уровню доверия на программный комплекс «Центр контроля информационной безопасности Р-Вижн». Таким образом, платформа реагирования на инциденты R-Vision IRP, входящая в состав программного комплекса, стала продуктом класса SOAR, сертифицированным по последним требованиям ФСТЭК.

«Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» утверждены Приказом ФСТЭК России от 30 июля 2018 г. №131 и вступили в силу с 1 июня 2019 г.

«
Мы сертифицировали наши решения R-Vision IRP и R-Vision SGRC на соответствие самым высоким требованиям, предъявляемым ФСТЭК к решениям, предназначенным для защиты информации ограниченного доступа, не являющейся государственной тайной. Это позволяет без каких-либо ограничений применять наши продукты для защиты систем всех категорий, классов и уровней защищенности, что существенно облегчает задачу построения корпоративных центров информационной безопасности и соответствия нормативным требованиям для наших клиентов, и конечно в очередной раз подчеркивает высокий уровень безопасности и качества наших технологий, – прокомментировал Валерий Богдашов, исполнительный директор R-Vision.
»

Выданный ведомством сертификат № 4346 действует до 22 декабря 2025 года. Он подтверждает возможность использовать платформы R-Vision IRP и R-Vision SGRC, входящие в состав «Центра контроля информационной безопасности Р-Вижн», в значимых объектах критической информационной инфраструктуры (КИИ) 1 категории и автоматизированных системах управления производственными и технологическими процессами (АСУ ТП) 1 класса защищенности. Также данный программный комплекс можно применять в государственных информационных системах (ГИС) 1 класса защищенности, в информационных системах персональных данных (ИСПДн) при необходимости обеспечения 1 уровня защищенности персональных данных и в информационных системах общего пользования II класса.

В составе услуги по автоматизации реагирования на инциденты на стороне заказчиков

«Ростелеком-Солар» и R-Vision 11 августа 2020 года сообщили о том, что запускают услугу по автоматизации реагирования на инциденты на стороне заказчиков. Совместное решение на базе платформы R-Vision IRP (Incident Response Platform) прорабатывалось больше года и теперь доступно клиентам центра мониторинга и реагирования на киберугрозы Solar JSOC. Сервис предоставляет набор готовых динамически обновляемых сценариев реагирования с разделением зон ответственности.

IRP-сервис от Solar JSOC помогает заказчикам упростить и сократить цикл реагирования в компании, а также минимизировать нагрузку на ИБ-специалистов за счет автоматизации ряда задач. Клиент получает готовый инструмент для управления инцидентами из единого окна с возможностью сквозного контроля за действиями как сервис-провайдера, так и внутренней ИБ-службы. Появляется возможность видеть в реальном времени: необходимые этапы реагирования с распределением ролей ответственных, статусы и сроки выполнения каждого из этапов.

Подключение к сервису происходит в течение 2-4 недель. В результате в распоряжении клиента оказывается обширная база регулярно обновляемых сценариев реагирования на инциденты (плейбуков) от экспертов Solar JSOC. При этом благодаря максимально подробной и понятной инструкции реализовать процессы реагирования смогут даже специалисты, не имеющие глубоких профильных знаний в информационной безопасности. За счет этого снижается влияние человеческого фактора.

«
«В рамках сервиса клиентам Solar JSOC становятся доступны инструменты для реагирования на инциденты, усиленные экспертизой специалистов «Ростелеком-Солар». Предоставление продуктов на основе сервисной модели – одно из приоритетных для нас направлений. Такая модель требует тесного сотрудничества с сервис-провайдером и предъявляет дополнительные требования к функциональным возможностям и гибкости продукта, чтобы заказчик в итоге получил высококачественную услугу, – отметил Игорь Сметанев, коммерческий директор R-Vision. – С «Ростелеком-Солар» мы сотрудничаем давно: некоторые заказчики нашей платформы IRP используют услуги JSOC по мониторингу и реагированию на инциденты, и в продукте была реализована соответствующая интеграция. Представленный сервис от JSOC – это очередная ступень нашего как технологического, так и коммерческого партнерства».
»

Для реализации сервиса R-Vision IRP была оснащена дополнительными возможностями, а также были адаптированы внутренние процессы Solar JSOC. Специалисты «Ростелеком-Солар» и R-Vision интегрировали платформу в цикл управления инцидентами Solar JSOC и настроили взаимодействие между внутренней IRP сервис-провайдера и клиентской частью на базе R-Vision IRP. Теперь благодаря централизованному управлению сценариями клиенты смогут получать новые плейбуки в день их разработки на стороне Solar JSOC – порядка 20 сценариев в квартал.

«
«В лице R-Vision мы нашли технологического партнера, который не только предоставил платформу для воплощения и автоматизации наших 8-летних наработок по реагированию, но и разделяет наше стратегическое видение развития данного направления», – заявил Владимир Дрюков, директор центра мониторинга и реагирования на киберугрозы Solar JSOC компании «Ростелеком-Солар».
»

Решение может быть предоставлено как в сервисной модели полного цикла (включая аренду лицензий и поддержание работоспособности выделенной под заказчика платформы), так и в гибридном варианте, когда к сервису подключается уже существующая у заказчика платформа R-Vision IRP. Это позволяет клиентам выбрать оптимальный для себя формат бюджетирования и управления стоимостью услуги без жестких ограничений со стороны сервис-провайдера.

На август 2020 года «Ростелеком-Солар» и R-Vision уже ведут совместные проекты внедрения сервиса IRP для нескольких федеральных компаний из коммерческого и государственного сектора.

R-Vision IRP 4.4: Появление вложенных сценариев реагирования, поддержка работы с массивами данных в карточке инцидента

19 июня 2020 года стало известно, что компания R-Vision обновила платформу реагирования на инциденты информационной безопасности R-Vision Incident Response Platform. В R-Vision IRP 4.4 появились вложенные сценарии реагирования, поддержка работы с массивами данных в карточке инцидента и ряд улучшений для повышения удобства и скорости работы оператора.

Одна из важных функциональных особенностей релиза - возможность работать с массивами данных. В карточке инцидента они отображаются в виде таблицы. Представленный формат позволяет хранить в рамках инцидента списки информации, например, связанные индикаторы компрометации, перечень внедренных мер или чек-лист необходимых действий для выполнения оператором. Массив данных можно вывести из системы в формате JSON или CSV целиком или в виде отдельных строк или колонок, которые адресуются тегами. Так можно сгенерировать уведомление или запрос информации с автоматической подстановкой данных из массива.

R-Vision IRP 4.4

В R-Vision IRP 4.4 поддержан запуск из сценария реагирования других сценариев, уже созданных в продукте. Вложенные плейбуки позволяют гибко настроить и легко корректировать алгоритмы реагирования. В Циклическом действии и действии типа Решение превышение лимита счетчика времени может использоваться в качестве критерия, что дает возможность инициировать какое-либо действие при нарушении SLA.

Появилась индикация количества непросмотренных инцидентов, функция быстрого назначения текущего пользователя ответственным за инцидент и ряд других улучшений, направленных на более удобную работу операторов SOC.

Расшились варианты визуализации данных: при создании графика через конструктор появилась опция отображения допустимого уровня и линии тренда, для диаграмм можно указать данные в процентах. Усовершенствован конструктор отчетов, для созданных в нем отчетов доступна возможность экспорта и импорта, вся отчетность теперь разделена на две вкладки: системные шаблоны и конструктор отчетов.

В R-Vision IRP 4.4 поддержана авторизация через внешние сервисы по протоколу OAuth 2.0. Чтобы авторизоваться, пользователю необходимо выбрать провайдера на странице авторизации R-Vision. Список доступных провайдеров настраивается администратором.

Платформа R-Vision IRP представляет собой продукт класса SOAR, который агрегирует данные об инцидентах из множества источников, обогащает дополнительным контекстом, автоматизирует рутинные процессы по обработке инцидентов, процедуры реагирования и координацию действий команды центра мониторинга и реагирования на инциденты ИБ (SOC), повышая его эффективность и скорость реакции на киберугрозы.

2019

Гибкие алгоритмы реагирования на инциденты и расширенные инструменты для командной работы в SOC

25 ноября 2019 года компания R-Vision сообщила об обновлении платформы автоматизации реагирования на инциденты информационной безопасности R-Vision Incident Response Platform. В релизах R-Vision IRP 4.2-4.3 усовершенствован конструктор автоматизации действий по реагированию, добавлены нововведения для совместной работы команд SOC и управления воркфлоу обработки инцидента.

Одно из главных новшеств системы – переход от линейного жизненного цикла, где инцидент проходит стадии обработки последовательно, к возможности задавать произвольные диаграммы обработки и управлять логикой переключения между статусами. Также появилась возможность гибкой настройки отображаемого содержимого инцидента: состав карточки инцидента может быть динамически изменен, согласно преднастроенным критериям, либо в зависимости от роли работающего с инцидентом пользователя.

Конструктор автоматизации в R-Vision IRP переведен на обновленный графический движок, благодаря которому диаграмма выполняемых для инцидента действий перестраивается автоматически при добавлении и удалении блоков. Помимо удобства использования, инструментарий автоматизации пополнился возможностью запускать действия в цикле и создавать задачи по инциденту.

Расширены инструменты командной работы SOC. Данная опция автоматического назначения ответственного за инцидент, исходя из загрузки и доступности сотрудников, облегчает организацию работы команды SOC. Благодаря переработанному встроенному чату и панели уведомлений взаимодействие по инциденту стало значительно удобнее.

«
Мы переосмыслили то, как продукт предлагает работать с инцидентами. Теперь процесс реагирования максимально подконтролен воркфлоу: мы можем задать, какая команда будет обрабатывать инцидент на той или иной стадии, автоматически распределять инциденты при переходе из одной стадии в другую и отображать адаптированную карточку инцидента с тем, чтобы каждый специалист, взаимодействующий с системой, мог сконцентрироваться на своей работе. И это очень здорово ложится на процессы в современном многоуровневом SOC,
прокомментировал Данил Бородавкин, руководитель продуктового направления IRP
»

С выходом данного релиза дополнительные опции по кастомизации получила функциональность по визуализации данных. Для создания пользовательских графиков добавлен конструктор графиков, поддерживающий все основные типы представления данных. Импорт инцидентов из внешних систем возможен теперь с использованием универсальной интеграции с базой данных.

Платформа R-Vision IRP представляет собой SOAR-решение, которое аккумулирует данные об инцидентах информационной безопасности из множества источников, обеспечивает координацию работы команды SOC и автоматизирует процедуры реагирования.

Интеграция с Attack Killer

4 февраля 2019 года компания Attack Killer (ГК InfoWatch) сообщила, что подписала партнерское соглашение о сотрудничестве с R-Vision. В рамках сотрудничества компании договорились об интеграции системы автоматической защиты веб-ресурсов и приложений Attack Killer с платформой реагирования на инциденты R-Vision IRP, что позволит субъектам КИИ выполнять требования федерального закона 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Подробнее здесь.

2018

Версия 4.0

Компания R-Vision, российский разработчик решений для автоматизации управления информационной безопасностью и реагирования на инциденты, 15 ноября 2018 года объявила о выпуске очередной версии платформы R-Vision Incident Response Platform. В версии 4.0 особое внимание уделено функционалу сценариев реагирования, более гибкой интеграции со сторонними решениями, а также подготовке инцидентов согласно требованиям регуляторов для последующей отправки в ФинЦЕРТ и ГосСОПКА.

Одна из отличительных особенностей решений класса IRP — наличие функционала сценариев реагирования, которые позволяют в автоматическом режиме выполнять алгоритм действий по реагированию, заданный для определенного типа инцидента. В версии 4.0 для более удобной настройки сценариев реагирования доступен графический редактор. Процесс выполнения сценария получил визуализацию в виде карты рабочего процесса по инциденту с цветовой индикацией статуса каждого действия, входящего в его состав. Взглянув на карту, специалист центра реагирования может быстро оценить ход обработки инцидента и оперативно внести необходимые корректировки в действия.

«
Развивая свой продукт, мы во многом делаем упор на реальные ситуации и конкретные потребности наших клиентов, партнеров и других компаний, с которыми мы ведем активный профессиональный диалог, — рассказал генеральный директор R-Vision Александр Бондаренко. — Таким образом, возможности, реализованные в версии 4.0, позволяют эффективно решать именно те проблемы, с которыми сталкивается большинство руководителей центров реагирования на инциденты ИБ.
»

Для быстрого взаимодействия с другими средствами в инфраструктуре продукт дополнен конструктором коннекторов, который позволяет непосредственно внутри интерфейса R-Vision создавать коннекторы к любым решениям и настроить их автоматический запуск в нужный момент времени или при срабатывании заданных условий.

В R-Vision 4.0 также сделан акцент на обеспечении соответствия последним требованиям регуляторов и законодательства. Так, описание инцидента содержит необходимый набор полей, требуемый для предоставления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), а также отправки в ФинЦЕРТ ЦБ РФ. Для информационного обмена с этими центрами реализованы соответствующие коннекторы.

Архитектура решения позволяет реализовать вертикальное и горизонтальное масштабирование, выстраивать многоуровневые модели центров SOC. Обновленная версия платформы также поддерживает корпоративные инсталляции в режиме multitanancy и использование продукта MSSP-провайдерами.

Возможности R-Vision IRP

Актуально на август 2018 года

На август 2018 года платформа R-Vision IRP предлагает следующие возможности:

  • Контроль ИТ-инфраструктуры:
    • Программный комплекс позволяет провести инвентаризацию инфраструктуры, выделить наиболее критичные активы, определить специалистов, ответственных за обеспечение безопасности активов. За счет интеграции с имеющимися решениями по безопасности (антивирусы, сканеры защищенности и др.), а также использования собственных механизмов контроля, обеспечивается консолидация и представление в единой консоли различных сведений о состоянии безопасности инфраструктуры, контроль установленного ПО, обнаружение несанкционированного оборудования и внешних подключений, выявление и контроль устранения уязвимостей. Топология инфраструктуры может быть представлена в виде карт сетей, планов помещений и схем географического расположения.

  • Интеграция с внешними источниками:

    • Сбор и консолидация необходимой информации по состоянию ИТ-инфраструктуры и зафиксированным инцидентам информационной безопасности могут быть обеспечены за счет использования нескольких механизмов: электронной почты, программного интерфейса (API), встроенной системы приема сообщений, а также собственных коннекторов для ключевых систем защиты: сканеров уязвимости, средств антивирусной защиты, систем защиты от утечки информации (DLP), систем сбора и корреляции событий безопасности (SIEM) и других. Разбор поступающих в систему сообщений может быть адаптирован под специфику защищаемой инфраструктуры путем использования правил на базе регулярных выражений или тегов.

  • Единая база инцидентов:

    • Отсутствие единого центра, содержащего сведения обо всех зафиксированных инцидентах информационной безопасности, является одной их ключевых проблем, снижающих оперативность реагирования на инциденты уполномоченных сотрудников. Использование платформы IRP в качестве основы для реализации центра реагирования на инциденты ИБ (SOC) позволяет обеспечить фиксацию фактов обнаружения инцидентов информационной безопасности, а также релевантной информации в единой, централизованной базе. Это, в свою очередь, позволяет повысить управляемость деятельности по реагированию на инциденты и оперативность обработки возникающих инцидентов, а также соблюсти соответствующие требования методических документов и стандартов, установленных регуляторами (ФСТЭК, ЦБ и др.).

  • Адаптируемая логика:

    • Платформа IRP содержит широкий спектр механизмов, позволяющих адаптировать логику работы системы под специфику и особенности процесса реагирования на инциденты в определенной компании. К таким механизмам относятся:
      • конструктор описания инцидентов, позволяющий задать состав сведений, собираемых по соответствующим категориям инцидентов;
      • конструктор циклов обработки инцидентов, позволяющий создавать различные схемы статусов (маршруты) движения инцидентов в процессе обработки;
      • гибкие правила настройки доступа к сведениям по инцидентам, включая возможность автоматического назначения ответственных лиц на инциденты на основании связанных активов, или заданных правил; ***настраиваемые справочники и шаблоны инцидентов, обеспечивающие возможность быстрого ввода данных по зафиксированным инцидентам.

  • Автоматизация реагирования:

    • Платформа IRP содержит набор готовых механизмов реагирования, которые могут быть легко настроены пользователем системы под собственные нужды:
      • правила уведомления, на основании которых система оперативно уведомляет определенных лиц в организации о возникновении инцидента;
      • правила эскалации и назначения, которые по заданным характеристикам инцидентов позволяют автоматически назначать ответственных лиц и состав рабочей группы реагирования на соответствующий инцидент;
      • правила реагирования, которые позволяют определить состав выполняемых действий по инциденту, распределить задачи в группе реагирования, а также в автоматическом режиме выполнить заданные скрипты для сбора релевантной информации.
      • нормативы по выполнению тех или иных действий, а также общие сроки реагирования на инциденты различных категорий и уровней критичности.

  • Обмен информацией по инцидентам:

    • Платформа IRP содержит встроенные механизмы обмена сведениями по инцидентам, которые позволяют обмениваться данными с другими участниками, при этом обладая полным контролем над объемом передаваемой информации и списками получателей.

  • Совместная работа:

    • Каждый инцидент в платформе R-Vision IRP обладает собственной рабочей областью, в рамках которой осуществляется взаимодействие сотрудников, ответственных за реагирование на соответствующий инцидент. Лицо, ответственное за обработку инцидента, обладает возможностью определять состав рабочей группы, устанавливать объем доступной для просмотра информации, распределять задачи между участниками рабочей группы. Все собранные в ходе обработки инцидента свидетельства и материалы сохраняются в общем хранилище и становятся доступны всем участникам рабочей группы. Оперативная коммуникация внутри команды обеспечивается за счет командного чата по инциденту.

  • Визуализация и отчетность:

    • Платформа IRP предлагает широкий набор средств визуализации информации. Кастомизируемые дашборды обеспечивают представление информации в виде графиков и диаграмм, содержащих функции перехода от графиков к соответствующей им информации (drill-down). Данные по инфраструктуре могут быть представлены в виде карт сетей и схем помещений. Анализ взаимосвязей между элементами системы, способствующий расследованию инцидентов, может быть проведен с использованием так называемых схем взаимосвязей. Информация по активам, инцидентам и другим элементам системы для ее последующей обработки также может быть экспортирована в виде Excel-файлов. R-Vision IRP содержит широкий список готовых отчетов, а также механизмы настройки собственных шаблонов. Правила создания и рассылки отчетов позволяют настроить расписание автоматической генерации документов и их отправки соответствующим адресатам.

Функционал класса Threat Intelligence Platform

15 мая 2018 года R-Vision объявила о расширении возможностей решения R-Vision Incident Response Platform функционалом класса Threat Intelligence Platform. Теперь платформа R-Vision может в автоматическом режиме собирать и обрабатывать данные киберразведки, использовать их в алгоритмах реагирования и передавать напрямую на средства защиты. Это облегчает выявление скрытой активности хакеров и повышает скорость реагирования, сводя к минимуму возможный ущерб.

Технология threat intelligence позволяет обнаружить вредоносную активность киберпреступников по определенным признакам, называемым индикаторами компрометации. Интеграция этих данных в процесс реагирования на инциденты позволяет быстрее установить компрометацию и оперативно блокировать угрозу. Однако без автоматизированного решения качественная обработка и аналитика огромного массива данных об угрозах практически невозможна.

Threat Intelligence Platform от R-Vision позволяет осуществлять в автоматическом режиме централизованный сбор, обработку и обогащение индикаторов компрометации, собираемых из фидов threat intelligence от различных поставщиков. Система обладает встроенной интеграцией с площадками обмена данными об угрозах IBM X-Force Exchange и AlienVault Open Threat Exchange, с threat intelligence сервисами от Group-IB и Лаборатории Касперского и позволяет подключить другие коммерческие и публичные источники.

Данный функционал позволяет не только загружать сведения из определенных фидов, но и осуществлять кросс-проверку данных по отдельным индикаторам с помощью дополнительных запросов во внешних источниках. Обработанные данные можно напрямую передать на используемые средства защиты, что позволяет снизить количество ложных срабатываний, которые возникают при использовании сырых данных.

Версия 3.6

Компания R-Vision, российский разработчик решений для автоматизации управления информационной безопасностью и реагирования на инциденты, 27 апреля 2018 года объявила о выпуске очередной версии R-Vision Incident Response Platform, предназначенной для создания корпоративных центров кибербезопасности (SOC).

По словам разработчиков, в версии 3.6 реализованы возможности, которые позволяют более гибко управлять инцидентами, и расширен спектр операций, которые могут быть выполнены удаленно в автоматическом режиме, обеспечивая тем самым более быстрое и адаптивное реагирование.

«
Мы продолжаем наращивать функциональность нашего продукта в сторону максимальной автоматизации выполняемых специалистами SOC операций, а также расширять спектр задач, которые можно реализовать из "единого окна" консоли R-Vision, — отметил Александр Бондаренко.
»

В части управления инцидентами добавлена макрокорреляция, позволяющая осуществлять поиск связанных инцидентов по определенному критерию. Также появилась возможность создавать инциденты из уязвимостей и контролировать их устранение на узлах.

Одна из ключевых особенностей платформы – динамические сценарии реагирования (так называемые "плейбуки"), которые позволяют в автоматическом режиме реализовать алгоритм действий, заданный для конкретного типа инцидента. В версии 3.6 сценарии реагирования дополнены следующими типами действий: запрос информации у пользователей и автоматическое принятие решения в ходе отработки сценария.

Значительная часть функционала R-Vision IRP 3.6 призвана облегчить работу с активами, отметили в компании. В частности, была оптимизирована интеграция с базами данных и реализована возможность напрямую подгружать информацию из базы данных по расписанию. Также добавлена опция удаленного подключения к проинвентаризированным узлам непосредственно из интерфейса R-Vision, функционал запуска скриптов автоматизации на активах по заданному расписанию и запуска скриптов с исполняемыми файлами.

В новой версии был также оптимизирован интерфейс системы и появилась возможность выбора между светлой и темной темами интерфейса. В дизайне геокарты также произошли изменения и была добавлена опция по отображению на ней активов, хостов, инцидентов и уязвимостей.

2017

Интеграция с Kaspersky Fraud Prevention Cloud

«Лаборатория Касперского» и компания R-Vision 4 сентября 2017 года объявили о технологическом партнерстве с целью совместного и более эффективного противодействия киберугрозам в дистанционных каналах обслуживания. Для этого компании объединили свои решения по распознаванию и предотвращению финансового мошенничества в интернете: Kaspersky Fraud Prevention Cloud (KFP) и R-Vision Incident Response Platform (IRP). Интеграция позволит запустить процесс обработки инцидентов информационной безопасности в автоматическом режиме на основе данных, в режиме реального времени поступающих из Kaspersky Fraud Prevention Cloud. Такой подход позволит не просто выявить мошенничество еще до совершения транзакции, но и предпринять необходимые действия для его предотвращения.

В результате объединения технологий «Лаборатории Касперского» и R-Vision процесс защиты пользователей онлайн-банкинга и платежных систем будет автоматизирован и ускорен за счет регистрации в IRP R-Vision инцидентов, обнаруживаемых средствами платформы Kaspersky Fraud Prevention Cloud в режиме реального времени. Уведомление специалистов о новых обнаруженных угрозах и распределение задач внутри команды по реагированию на инциденты также будет происходить в автоматическом режиме. Кроме того, после обработки каждого инцидента в системе R-Vision IRP обратная связь о нем будет поступать в Kaspersky Fraud Prevention — это позволит оптимизировать распознавание мошенничества с помощью технологий машинного обучения, применяющихся в решении «Лаборатории Касперского».

«
Сотрудничество с «Лабораторией Касперского» откроет для наших клиентов новые возможности по централизованному контролю системы информационной безопасности и оперативному отражению кибератак. Тесная интеграция наших продуктов позволит консолидировать в единой точке входа информацию об угрозах, поступающую из разных источников, а это, в свою очередь, ускорит ответную реакцию на все возможные инциденты. В итоге клиенты экономят свои ресурсы и время, получая при этом защиту более высокого уровня, — пояснил Александр Бондаренко, генеральный директор R-Vision.
»

«
Мы высоко ценим технологическое партнерство с R-Vision: на наш взгляд, это один из самых эффективных способов развития защитных технологий во всех сегментах корпоративных ИТ-инфраструктур. Кроме того, подобный подход особенно удобен и выгоден для конечных пользователей, которым не приходится продумывать, как интегрировать различные решения внутри одной сети, — подчеркнул Александр Ермакович, руководитель направления Kaspersky Fraud Prevention. — Компания R-Vision обладает передовыми технологиями реагирования на инциденты. Совместно мы сможем оптимизировать распознавание и предотвращение мошенничества в финансовой среде и не допустить денежных потерь.
»

Описание R-Vision Incident Response Platform

На ноябрь 2017 года система R-Vision позволяет создать корпоративный центр управления безопасностью (SOC), который представляет собой точку консолидации информации обо всех инцидентах информационной безопасности, а также платформу для автоматической обработки инцидентов и слаженной работы группы реагирования.

Скорость реакции на инциденты является одним из ключевых показателей эффективности подразделения информационной безопасности любой организации. В условиях все возрастающего количества фиксируемых сообщений о возможных инцидентах информационной безопасности и принимая во внимание скорость реализации современных кибератак, единственным способом сохранить возможность оперативного реагирования является автоматизация выполняемых действий и разработка готовых планов реагирования на возникающие ситуации.

Система R-Vision позволяет провести инвентаризацию ИТ-инфраструктуры, учёт материальных и нематериальных активов и их взаимосвязей, выделить наиболее критичные активы, выявить несанкционированные устройства и внешние подключения, уязвимости на сканируемых узлах и осуществлять их приоритезацию по степени критичности.

В части управления инцидентами платформа R-Vision собирает информацию по зафиксированным инцидентам информационной безопасности со всех используемых в организации источников. Каждое уведомление об инциденте обогащается деталями о связанных активах, пользователях, критичности бизнес-процессов.

Далее запускаются готовые сценарии реагирования, которые позволяют автоматизировать алгоритм действий команды реагирования (эскалация, уведомление, формирование рабочей группы, постановка задач), а также обеспечить выполнение действий по сбору дополнительных сведений, либо превентивных действий, направленных на блокирование атаки, в автоматическом режиме. Продукт позволяет гибко настроить политику реагирования на инциденты ИБ, задать различные варианты сценариев реагирования под каждую категорию инцидента.

Для эффективного отражения современных кибератак крайне важно иметь возможность обмениваться информацией с другими участниками отрасли, внешними экспертами и организациями, публичными центрами реагирования (CERT/SOC). Система R-Vision содержит встроенные механизмы обмена подобной информацией. Это позволяет оперативно получать сведения, которые могут быть использованы для обнаружения и блокирования кибератаки. Кроме того, это позволяет предоставить сведения, выявленные в ходе расследования инцидента, другим доверенным участникам обмена, в качестве которых могут выступать службы информационной безопасности дочерних и/или головных организаций (в случае крупных холдинговых структур), партнерских организаций/контрагентов, соответствующих государственных служб (ФинЦЕРТ, ГОССОПКА и др.).

В системе также выполняется учёт выполненных мероприятий по реагированию на инциденты ИБ, могут быть определены нормативы по выполнению тех или иных действий, а также общие сроки реагирования на инциденты различных категорий и уровней критичности. Все это в совокупности позволяет оценивать эффективность команды реагирования и определять области для улучшения.

Автоматизация процесса мониторинга и реагирования на инциденты информационной безопасности с помощью платформы R-Vision позволяет организациям контролировать защищенность информационных активов, существенно ускорить реагирование на инциденты ИБ, повысить эффективность работы сотрудников, отвечающих за информационную безопасность, и свести к минимуму риски и возможный ущерб от кибератак.

2016: Интеграция с InfoWatch Traffic Monitor

24 ноября 2016 года компания «Р-Вижн» и группа компаний InfoWatch сообщили о соглашении относительно совместной разработки, производства и распространения средств ИБ на рынке.

В рамках этого соглашения предполагается обеспечить интеграцию платформы для организации центра реагирования на инциденты ИБ R-Vision Incident Response Platform с технологией для предотвращения утечек конфиденциальной информации и защиты бизнеса от внутренних угроз InfoWatch Traffic Monitor.

В результате интеграции предполагается реализовать возможность отправки событий из InfoWatch Traffic Monitor в систему R-Vision IRP для анализа и хранения инцидентов корпоративной системы ИБ в единой информационной системе, упрощения доступа к ней офицера безопасности компании.

Появляется возможность сопоставить события, поступающие из InfoWatch Traffic Monitor с событиями, поступающими в R-Vision IRP из других систем.

«
В современных реалиях оперативное реагирование на инциденты информационной безопасности требует консолидации информации об инцидентах, поступающих из различных источников и средств защиты. Партнерство открывает новые возможности для реализации решений наших компаний, а также перспективы расширения клиентской и партнерской баз. Продукты ГК InfoWatch для защиты критичных данных используют многие организации, и за счет технологического партнерства мы планируем предоставить пользователям дополнительный синергетический эффект, достигаемый за счет тесной интеграции разработок нашей компании и решений InfoWatch.

Александр Бондаренко, генеральный директор ООО «Р-Вижн»
»

«
Интеграция DLP-решения InfoWatch и системы R-Vision IRP обеспечит заказчиков расширенным инструментарием для предотвращения возможных внутренних угроз, связанных с информационной безопасностью компании, при сопоставлении действий внешних злоумышленников с действиями сотрудников внутри организации, выявлении сговоров, определении круга сообщников и причастных лиц, а также существенно упростит процесс расследования таких инцидентов.

Марина Баталова, менеджер по развитию продуктов ГК InfoWatch
»



ПРОЕКТЫ (10) ИНТЕГРАТОРЫ (3) СМ. ТАКЖЕ (20)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год