Security Vision (Security Vision)

Security Vision — российская платформа (программное обеспечение), предназначенная для автоматизации и роботизации процессов информационной безопасности, мониторинга и реагирования на инциденты кибербезопасности. Включена в Единый реестр российских программ для ЭВМ и БД^[3]. Имеет сертификат соответствия ФСТЭК России и лицензии ФСБ России^[4]. Победитель Премии Рунета в номинации «Информационная безопасность»^[5].

Функционал Security Vision позволяет автоматизировать процессы информационной безопасности, составляющие систему управления информационной безопасностью организации, в соответствии с серией международных стандартов ISO/IEC 27001. Программный комплекс объединяет в себе платформу и модули, которые могут представлять из себя разные комбинации, в зависимости от целей и решаемых задач. Встроенный редактор панели индикаторов и отображаемых виджетов, позволяет осуществлять настройку без навыков программирования и работает в режимах low-code/no-code^[6].

Отдельные модули могут выполнять следующие функции^[3][7]:

• мониторинг событий информационной безопасности;
• управление инцидентами информационной безопасности и автоматизация реагирования;
• управление информационными активами;
• управление уязвимостями с возможностью поиска в инфраструктуре;
• взаимодействие с регуляторами;
• управление рисками информационной безопасности;
• управление операционными рисками;
• управление соответствием требованиям информационной безопасности и аудитами;
• управление соответствием 187-ФЗ для объектов критической информационной инфраструктуры;
• управление документами, регламентирующими порядок обеспечения информационной безопасности;
• управление непрерывностью бизнеса;
• анализ угроз кибербезопасности, киберразведка;
• поведенческий анализ;
• управление визуализацией данных и оповещением о состоянии информационной безопасности;
• управление отчетностью о состоянии информационной безопасности.

В разделе не хватает ссылок на источники (см. рекомендации по поиску). Информация должна быть проверяема, иначе она может быть удалена. Вы можете отредактировать статью, добавив ссылки на авторитетные источники в виде сносок. (26 декабря 2023)

Имеет сервисную архитектуру и состоит из следующих основных компонентов:

• веб-портал — предоставляет доступ к функциям платформы и включает графический пользовательский интерфейс и сервис API;
• база данных — для хранения данных и настроек;
• сервисы — набор компонентов для решения отдельных задач:
  • сервис коннекторов, который отвечает за получение событий от внешних систем и обеспечивает выполнение действий по реагированию на внешних системах;
  • сервис коллектора, который выполняет нормализацию, фильтрацию, агрегацию и корреляцию событий, полученных от внешних систем;
  • сервис процессинга, который обрабатывает рабочие процессы и выполняет расчеты;
  • сервис оповещений, который обрабатывает оповещения и рассылает их конечным адресатам;
  • сервис отчетности, который формирует отчеты и отправляет их по расписанию конечным адресатам.

Для установки платформы необходимы вычислительные ресурсы. Компоненты могут быть развернуты как на физических, так и на виртуальных серверах, а также с применением контейнеризации.

В качестве источников данных могут выступать сетевые устройства, средства защиты информации, средства виртуализации, рабочие станции и сервера на базе различных операционных систем, а также прочие специализированные IP-ориентированные приложения и системы.

Для подключения средств реагирования реализованы используется специализированный сервис, который может быть установлен как локально, так и на удаленных серверах.

Для целей сбора данных из источников, их последующего анализа и реагирования используется универсальный коннектор данных, который поддерживает следующие типы коннекторов:

• HTTP (API запросы get, post, put, patch, delete) и DNS;
• Kafka;
• базы данных (SQL запросы в БД: MS SQL, MySQL, Postgres и Oracle);
• файлы (операции чтения/записи с машиночитаемыми файлами);
• корпоративная почта (IMAP, POP3, SMTP, Exchange);
• службы каталогов (LDAP, Active Directory);
• логи и события журналирования (Syslog, EventLog);
• удаленное выполнение скриптов (WMI, PowerShell, SSH, SshShell);
• локальное исполнение скриптов (Shell скрипт, команды Bash Unix, Python, Java, JavaScript и др.).

• Победитель в номинации «ИТ-решение в области информационной безопасности» в Национальной банковской премии. Награда за проект внедрения системы Security Vision IRP в банке «Открытие»^[8].
• Победитель в номинации «Информационные технологии. Информационная безопасность» в национальной премии «Приоритет-2021»^[9].
• Победитель в номинации «Информационная безопасность» в Национальной банковской премии. Награда за внедрение платформы Security Vision SOAR/SGRC в «Альфа-банке»^[10]
• Премия Рунета 2023 г. в номинации «Информационная безопасность»^[5].

• Incident Response Platform (IRP)/Security Orchestration, Automation and Response (SOAR) — автоматизация действий по реагированию на инциденты кибербезопасности.
• Security Information and Event Management (SIEM) — мониторинг событий информационной безопасности с целью логирования событий безопасности, сбора логов, нормализации событий в единую модель данных, а также анализа событий согласно правилам корреляции.
• Asset Management (AM)/Configuration Management Database (CMDB) - управление активами и инвентаризацией для описания ИТ-ландшафта, обнаружения новых объектов в сети, идентификации типа актива, категорирования активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах.
• Vulnerability Management (VM) - выстраивание процесса обнаружения уязвимостей, сбор информации с имеющихся сканеров защищенности, платформ управления обновлениями, обогащение данных из экспертных внешних сервисов, приоритизация и устранение технических уязвимостей.
• ГосСОПКА - формирование новых задач, заявок и инцидентов с учётом регламентов НКЦКИ, а также информирование регулятора об инцидентах.
• FinCERT - двустороннее взаимодействие с Центральным Банком, передача информации об инцидентах и получение оперативных уведомлений или бюллетеней от регулятора.
• Критическая информационная инфраструктура (КИИ) — автоматизация процесса категорирования и обеспечения безопасности объектов критической информационной инфраструктуры^[11].
• Compliance Management (CM) - аудит соответствия и комплаенса различным методологиям и стандартам нормативно методической документации.
• Risk Management (RM) - формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка.
• Operational Risk Management (ORM) - учет и фиксация событий операционных рисков, мониторинг ключевых индикаторов рисков и проведение самооценки или контроля согласно положению №716-П ЦБ РФ.
• Business Continuity Plan (BCP) - автоматизация процесса обеспечения непрерывности и восстановления деятельности после наступления чрезвычайных ситуаций.
• Threat Intelligence Platform (TIP) — класс автоматизированных систем, которые на основании данных об угрозах генерируют в реальном времени обнаружения подозрительной активности в инфраструктуре, проводят обогащение индикаторов и обнаруженных инцидентов, интегрируются с инфраструктурой и средствами защиты, обеспечивают ситуационную осведомленность^[12].
• User and Entity Behavior Analytics (UEBA) — автоматически выстраивает типовые модели поведения и находит отклонения, анализируя сырые потоки данных по сетевому трафику, прокси-серверов, почтовых серверов, Windows/Linux серверов и рабочих станций.

• Официальный сайт Security Vision