Категория:
Системы управления
Исполнение:
ПАК

ViPNet Threat Intelligence Analytics System (ViPNet TIAS) — программно-аппаратный комплекс для анализа событий информационной безопасности из различных источников.

Продукт ViPNet TIAS автоматически выявляет инциденты по событиям сенсоров систем обнаружения вторжений ViPNet IDS и Snort/Suricata-based IDS и оперативно информирует о них пользователей.

ПАК ViPNet TIAS служит эффективным инструментом для решения следующих задач:

  • Сбор информации от сенсоров систем обнаружения вторжений и её итоговый анализ.
  • Автоматическое выявление инцидентов информационной безопасности.
  • Регистрация инцидентов.
  • Информирование об обнаруженных инцидентах.
  • Передача информации об инцидентах во внешние системы.
  • Работа с инцидентами и событиями при проведении расследований.
  • Отчётность по событиям и инцидентам информационной безопасности.

Выявление инцидентов информационной безопасности в системе ViPNet TIAS строится на основе двух комбинированных методов:

  • Сигнатурный метод анализа, основанный на использовании базы решающих метаправил. База обновляется экспертами компании «Перспективный мониторинг» по результатам анализа инструментов и техник выполнения атак — Threat Intelligence.
  • Математическая модель принятия решений, разработанная на основе статистического анализа угроз. Данный метод позволяет системе ViPNet IDS выявлять инциденты ИБ даже в случаях отсутствия решающих правил.

Сценарии использования

Анализ событий и автоматическое выявление инцидентов

  • Корреляция событий и автоматическое выявление более 300 кластеров инцидентов при помощи математической модели принятия решений (бессигнатурного метода выявления).
  • Автоматическое формирование карточки инцидента.
  • Автоматическая классификация угроз (Вредоносное ПО, DDoS, Нарушение политик ИБ, Подбор паролей, Атака, Эксплуатация уязвимостей).
  • Историческая корреляция.

Реагирование на инциденты

  • Графический интерфейс для работы с инцидентами, в котором отображаются все характеристики инцидента — от источника до воздействия на информационную систему.
  • Оповещение пользователей об инцидентах в интерфейсе ViPNet TIAS и по электронной почте.
  • Готовые сценарии реагирования на инциденты.
  • Отображение статуса реагирования в карточке инцидента.
  • Передача карточки инцидента во внешние системы в JSON-формате.

Анализ и расследование инцидентов

  • Интерфейс для аналитики и экспресс-расследования инцидента.
  • Выборка событий и инцидентов по параметрам для экспресс-расследования.
  • Запрос и получение полной информации о событии с сенсора.

Сбор данных о событиях ИБ

  • Сбор и обработка информации от разнородных источников;
  • Нормализация записей о событиях;
  • Получение данных из внешних систем лог-менеджмента;
  • Анализ до 2 000 событий в секунду;
  • Интеграция с SIEM.

Хранение записей о событиях ИБ

  • Хранение записей о зафиксированных событиях в течение 45 дней, а об инцидентах — в течение трёх лет.
  • Подключение внешних хранилищ данных.

Отображение оперативной информации

  • Отображение динамически обновляемой агрегированной информации о событиях и инцидентах в виде графиков и дэшбордов.
  • Отображение детализированной информации о событиях и инцидентах.
  • Фильтрация отображаемой информации по времени, типам событий и сегментам контролируемой зоны.

Отчётность

  • Предоставление отчётов по выявленным инцидентам и событиям.
  • Выгрузка информации об инцидентах в систему ГосСОПКА.

Интеграция с системой ViPNet IDS

  • Сбор, нормализация и консолидация записей о событиях с ViPNet IDS.
  • Загрузка образцов трафика на сработавшие сигнатуры ViPNet IDS.

Эксплуатация платформы

  • Простая настройка ПАК ViPNet IDS через WEB-интерфейс.
  • Оперативная техническая поддержка платформы специалистами компании ИнфоТеКС.
  • Методологическое сопровождение и консультационные услуги экспертов Центра мониторинга.

Преимущества

  • Снижение затрат на эксплуатацию системы обнаружения вторжений за счёт сокращения нагрузки на персонал, обслуживающий систему.
  • Упрощение реагирования на угрозы и инциденты информационной безопасности благодаря автоматически формируемым рекомендациям по снижению последствий выявленных инцидентов.
  • Наглядная демонстрация выявления угроз информационной безопасности в виде отчётов и дэшбордов.
  • Получение услуги детального анализа событий информационной безопасности квалифицированными аналитиками компании «Перспективный мониторинг» и адаптация системы под условия конкретного заказчика.
  • Установка системы за 1 рабочий день без изменения инфраструктуры заказчика.
  • Сокращение среднего времени обнаружения инцидента в 15 раз: с 30 минут до 2 минут (по сравнению с ручным анализом).

ПАК ViPNet TIAS поставляется с предустановленными базами решающих правил и математической моделью принятия решений. Базы решающих правил регулярно обновляются.

Добавим, что пользователи могут иметь свое представление о том, какую последовательность событий можно считать инцидентом. Исходя из политики обеспечения информационной безопасности и модели угроз заказчика, компания «Перспективный мониторинг» предлагает пользователям продукта ViPNet TIAS кастомизированные правила обнаружения инцидентов.

В системе ViPNet TIAS реализована глубокая интеграция с Системой управления инцидентами (СУИ) «Перспективного мониторинга», в которую передаются карточки инцидентов для совместного разбора и реагирования. При этом аналитик передает информацию об инцидентах заинтересованным сотрудникам в соответствии с ролевой моделью, после чего он осуществляет сбор данных для детального анализа от экспертов и информационных систем.

При обнаружении инцидентов информационной безопасности аналитик может выполнить запрос в Систему управления уязвимостями «Перспективного мониторинга» для получения подробной информации по наличию уязвимостей у затронутых инцидентом узлов. Кроме этого, аналитик получает подробное описание уязвимости, степень критичности (в зависимости от узла) и способы устранения проблемы. Данный функционал значительно упрощает расследования инцидентов, а также ускоряет процедуры реагирования: больше нет необходимости искать описания на сторонних сайтах и базах данных.

ПАК ViPNet TIAS 1000 (базовая версия)

ПАК ViPNet TIAS 2000 (базовая версия)