Вышла новая версия системы IRP/SOAR на платформе Security Vision 5

Вышла новая версия системы IRP/SOAR на платформе Security Vision 5

Вышла новая версия системы IRP/SOAR на платформе Security Vision 5

В продукте реализованы уникальные методы расследования и реагирования на инциденты ИБ на основе технологии динамических плейбуков. Все этапы обработки инцидентов максимально автоматизированы.

Наиболее значимые возможности:

Классификация инцидента

Security Vision IRP/SOAR автоматически классифицирует инцидент, связывая его с техниками и тактиками матрицы MITRE ATT&CK. Система может классифицировать более 250 типов инцидентов и событий ИБ, присваивая им более 110 различных техник и тактик. Встроенный в систему пакет экспертизы подробно описывает набор рекомендаций для аналитика ИБ по анализу, сдерживанию и реагированию по каждой выявленной технике.

Реагирование

Security Vision IRP/SOAR на основе технологии динамических плейбуков «на лету» собирает процесс реагирования, адаптированный под выявленную атаку и задействованную инфраструктуру. На основе техник и тактик MITRE, «сырых» данных в окрестностях инцидента, результата ретроспективного анализа, данных внешних аналитических сервисов и внутренней экспертизы система выстраивает динамический плейбук. Он собирается из более чем 150 различных действий и атомарных сценариев реагирования. При этом Security Vision IRP/SOAR умеет контролировать легитимность выполнения автоматизированных действий, учитывая специфику инфраструктуры заказчика: его конфиденциальность, разрешения, сегментацию и топологию.

Kill chain

Экспертный движок Security Vision IRP/SOAR автоматически выстраивает kill chain атаки из событий и инцидентов за счет анализа скрытых взаимосвязей. Анализируемые события и инциденты могут быть получены как от SIEM систем и Data Lake (Kafka, Hadoop, Elasticsearch и др.), так и напрямую от конечных устройств инфраструктуры заказчика с применением встроенных в продукт механизмов корреляции и группировки данных. Дополнительно в продукт встроен пакет экспертизы на основе sigma-правил, который позволяет обнаружить все затронутые элементы инфраструктуры, расширить и определить ландшафт атаки.

Граф расследования и реагирования

Security Vision IRP/SOAR умеет представлять инциденты и события в виде графа, функционал которого позволяет выстроить неочевидные связи, напрямую провести глубокую аналитику (через обогащение и sigma запросы), выполнить расследование и реагирование, выбирая конкретные действия. Исходя из необходимости, применяются контрмеры, меры сдерживания и цифровая криминалистика. На каждом шаге расследования пользователь видит ключевые связи и атрибуты, что позволяет выстроить полную картину инцидента.

 

Интеграции

В Security Vision IRP/SOAR реализовано большое количество (более 150) встроенных коннекторов для интеграции со всеми популярными SIEM системами (MaxPatrol SIEM, KUMA, Pangeo RADAR, RuSIEM, NEURODAT SIEM, ArcSight SIEM, QRadar, Splunk и др.), с инфраструктурой заказчика, в том числе с конечными устройствами (Windows/Linux системы), СЗИ (NGFW, DLP, Антивирусы, EDR, песочницы). Кроме того, Security Vision IRP/SOAR предлагает расширенное количество (более 30) встроенных интеграций с аналитическими сервисами (как внешними, так и внутренними), которые позволяют собрать всю необходимую информацию по атрибутам инцидента, требуемую для расследования. Security Vision IRP/SOAR умеет работать с разнообразными типами данных, унифицируя их и получая нормализованный результат.

Встроенные в платформу конструкторы интеграций позволяют в режиме no-code быстро реализовывать дополнительные интеграции с любыми новыми или уникальными системами заказчиков, расширяя возможности расследования, реагирования и действий, которые можно производить над объектами инфраструктуры заказчика.

Также в продукте есть встроенные механизмы интеграции с НКЦКИ и ФинЦЕРТ.

При сборе данных об инциденте и задействованной инфраструктуре, проведении реагирования на инцидент и события ИБ продукт использует безагентский метод работы, не требующий установки каких-либо дополнительных компонент на конечные устройства, Windows/Linux сервера и рабочие станции.

Гибкая ролевая модель

Для управления процессом расследования инцидентов в продукте реализована гибкая ролевая модель, позволяющая при проведении расследования разграничивать доступ к каждому полю и атрибуту инцидента и события ИБ. Процесс расследования содержит большое количество настроек, позволяющих адаптировать его как для небольших групп, работающих над расследованием инцидентов, так и для крупных SOC центров, с гибкой настройкой применяемых уровней реагирования (L1, L2, L3), эскалации, post-анализа и интеграции с внешними Service Desk’ами заказчика. Продукт поддерживает работу в режиме multitenancy, а также может применяться по модели MSSPP.

Нативная интеграция с линейкой продуктов Security Vision

Продукт работает еще эффективнее за счет нативной интеграции с линейкой продуктов Security Vision и совместного использования с модулями TIP, UEBA, CMDB, Vulnerability management, SGRC. Экосистема продуктов Security Vision позволяет комплексно закрыть все направления информационной безопасности в организации.

Процесс и автоматизация

Суммарно в продукте реализованы и максимально автоматизированы все этапы обработки инцидентов:

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Прорыв в квантовых вычислениях: точность вентилей — 99,999%

Группа исследователей из Делфтского технического университета, работающая совместно с Fujitsu и Element Six, разработала квантовые вентили, использование которых позволило снизить уровень ошибок до менее чем 0,1%.

Статья с результатами исследования опубликована в журнале Physical Review Applied.

Команда под руководством Ханса Бартлинга решила одну из ключевых задач квантовых вычислений — добиться вероятности ошибки менее 1% на каждый вентиль. Это открывает возможность компенсировать возникающие шумы с помощью механизмов коррекции ошибок.

В основе разработки — алмазные кубиты, использующие электронный и ядерный спины азото-замещённых вакансий в кристаллической решётке. Такие кубиты демонстрируют высокую стабильность при низких температурах благодаря минимальному взаимодействию с внешней средой. Однако сложности в управлении спиновыми состояниями и внешние помехи ранее не позволяли достичь необходимой точности.

Учёным из Делфта удалось решить эту проблему, применив алмазы с пониженным содержанием изотопа углерод-13 — основного источника импульсных помех. Кроме того, им удалось изолировать кубиты от остаточного шума. Для коррекции ошибок использовался метод томографии наборов вентилей, который позволяет выявлять даже незначительные отклонения в работе квантовых операций.

В результате точность однокубитовых операций достигла 99,999%. При масштабировании системы точность снижается, но остаётся в пределах менее 0,1%. По мнению исследователей, полученные результаты могут повысить точность вычислений не только в алмазных системах, но и на базе более доступных материалов — например, карбида кремния или кремния.

Тем не менее, как отмечают авторы работы, до коммерческого применения квантовых вычислений ещё предстоит пройти долгий путь. Необходима доработка всего технологического стека, и научному сообществу предстоит тесное взаимодействие с индустрией.

Ранее о решениях, устраняющих ключевые барьеры на пути к масштабируемым квантовым вычислителям, сообщали Google и Microsoft.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru