R-Vision продолжает развивать решения в области кибербезопасности и расширять экспертизу в продукте R-Vision SIEM для заказчиков. Для этого разработчик сформировал две команды исследователей для отслеживания мировых тенденций кибербезопасности и добавил новые правила корреляции для эффективного детектирования угроз. Об этом CNews сообщили представители R-Vision.

Трансформация исследовательских команд

Исследователи R-Vision SIEM регулярно занимаются поиском новых угроз кибербезопасности, анализируя атаки хакеров и выявляя их методы и приемы. Чтобы сосредоточиться на глубоком изучении угроз, вендор сформировал две команды: «Анализ и выявление угроз» и «Исследовательская лаборатория», которые следят за мировыми тенденциями в области кибербезопасности. Эти специализированные группы аналитиков сосредоточены на всестороннем изучении угроз, что позволяет расширить экспертизу R-Vision SIEM.

На IV квартал 2024 г. R-Vision SIEM поддерживает более 200 источников для сбора событий. Среди них — решения российских разработчиков, таких как «1С», «Бастион», «ИнфоТеКС», «Ред Софт», «Группа Астра», «СберТех», «Код Безопасности», Eltex, VipNet, Positive Technologies, SearchInform и Solar Security. Вендор взаимодействует с технологическими партнерами и участниками российского ИТ- и ИБ-рынка, чтобы расширять возможности по работе с данными в R-Vision SIEM.

Более 500 правил корреляции для оперативного детектирования угроз

Разработка правил корреляции — приоритет в совершенствовании SIEM-системы. Сегодня R-Vision SIEM включает более 500 правил корреляции, которые охватывают свыше 70% актуальных векторов атак и разработаны с опорой на лучшие мировые практики, включая техники и тактики, которые покрываются SIEM.

Диана Кожушок, руководитель подразделения анализа и выявления угроз кибербезопасности R-Vision: «Основной функционал SIEM заключается в мониторинге событий информационной безопасности и своевременном выявлении угроз. Подготовленные нами правила экспертизы покрывают распространенные векторы атак, часто эксплуатируемые уязвимости, а также отражают переход на отечественные и Open Source решения. Благодаря этому наши заказчики могут оперативно приступить к обнаружению угроз и уменьшить возможные риски».

Расширение базы угроз и улучшение покрытия

На основе актуальных знаний аналитики R-Vision каждые две недели обновляют и расширяют базу правил для более эффективного детектирования современных угроз. Внесенные улучшения включают: пакет FreeIPA (ALD Pro) с 21 правилом для обнаружения различных тактик MITRE ATT&CK; правила для детектирования использования туннелирования и эксплуатации уязвимостей в расширениях VSCode; обнаружение уязвимостей, активно эксплуатируемых атакующими, таких как CVE-2023-38831 (WinRAR), CVE-2023-22515, CVE-2023-22527 и CVE-2023-22518 (Confluence), CVE-2024-0507 (GitHub), а также уязвимости в xz; правила для выявления хакерских утилит, таких как ngrok и gsocket, а также инструментов для атаки RDPStrike; обнаружение использования Telegram как канала управления (C2); правила для выявления DNS-туннелирования, которое может быть использовано для организации управления (C2) и эксфильтрации данных с устройств жертвы.

Помимо этого, в систему были добавлены базовые правила для мониторинга различных бизнес-приложений, таких как Confluence, Jira и GitLab, а также для мониторинга систем виртуализации (vCenter), баз данных (например, PostgreSQL и Clickhouse) и для сетевых устройств (Eltex, Cisco) и СЗИ (SolarWebProxy, «Континент»).

Фокус на качестве и актуальности контента

Диана Кожушок, руководитель подразделения анализа и выявления угроз кибербезопасности R-Vision: «Наш фокус при разработке правил по-прежнему остается на качестве контента и его актуальности для наших заказчиков. Мы понимаем, насколько важно для наших клиентов иметь доступ к точным и своевременно обновляемым средствам для защиты от угроз, и продолжаем работать в этом направлении».

Короткая ссылка