Российские системы расследования инцидентов

2024. InfoWatch обновил Центр расследований



ГК InfoWatch расширила возможности продуктов в Центре расследований. В новой версии единой консоли InfoWatch реализована автоматическая разметка снимков экрана и расшифровка аудиозаписей, новый инструмент для работы с группами риска, а также другие дополнительные возможности для еще более быстрой работы офицера безопасности. «Центр расследований» – это собственная разработка ГК InfoWatch, которая работает на базе ОС Linux, соответствует требованиям импортозамещения и совместима с отечественными операционными системами. «Центр расследований» объединяет в себе возможности работы с событиями DLP-системы, данные о действиях сотрудников InfoWatch Activity Monitor, информацию о хранении и доступе к файлам InfoWatch Data Discovery, визуальную аналитику InfoWatch Vision и оповещение о вероятных рисках модуль работы с рисками InfoWatch Prediction в едином интерфейсном пространстве.


2024. RuSIEM теперь умеет собирать события по протоколу SNMP



Компания RuSIEM выпустила новый релиз своей SIEM-системы RuSIEM 4.2.0. Ключевой доработкой в новой версии стала возможность собирать события по протоколу SNMP, который является одним из наиболее распространенных методов сбора и передачи данными между сетевыми устройствами, мониторинга и управления их работой. Также в новом релизе появилась возможность отследить прекращение потока событий для источников, подключенных по коннектору syslog. Кроме этого, доработки коснулись и других микросервисов системы. Например, в корреляторе была проведена оптимизация для правил с двумя блоками условий, в отчетах – доработана область видимости пользовательских отчетов.


2018. Falcongaze выпустила новую версию DLP-системы SecureTower



Falcongaze представила новую версию DLP-системы SecureTower, предназначенной для предотвращения утечек информации, контроля персонала и выявления мошенничества. В SecureTower 6.2 появилось множество обновлений и дополнений, самые заметные из которых — возможность распознавания голоса и новый модуль «Центр расследования инцидентов». Центр расследования инцидентов — новый модуль, предназначенный упростить работу сотрудников службы безопасности. Благодаря ему появилась возможность не выходя из SecureTower расследовать инциденты безопасности и формировать дела, в которых можно подробно фиксировать ход расследований, выявлять фигурантов дела, а после завершения расследования — получать автоматически составленные отчеты для руководителей.  В SecureTower уже много лет доступен перехват аудиосообщений (как и любых других файлов) в почте, вебе и мессенджерах, а также контроль SIP-телефонии и подключенных к компьютеру гарнитур. Распознавание голоса позволяет применить к информации, передаваемой голосом, те же алгоритмы поиска, что и к тексту. Новая функциональность делает доступным контекстный поиск по переданным в аудио-формате данным, а также позволяет настроить правила, реагирующие на передачу чувствительной информации по телефону или при разговоре в мессенджере.

2018. Positive Technologies сообщила о запуске коммерческой версии системы анализа трафика и сетевого расследования инцидентов

Positive Technologies объявляет о выходе коммерческой версии комплексного решения сетевой безопасности, предназначенного для анализа сетевого трафика и расследования инцидентов PT Network Attack Discovery (PT NAD). Продукт успешно прошел длительную апробацию в крупных инфраструктурных проектах, в том числе в системе «ГосСОПКА», и готов к промышленной эксплуатации. Система PT Network Attack Discovery позволяет вести захват «сырого» трафика со скоростью до 10 Гбит/с, обеспечивает хранение больших объемов данных, их обработку, индексацию и запись в файлы формата Pcap. При использовании внешних хранилищ в зависимости от бизнес-задачи данные могут храниться до нескольких месяцев (при необходимости до полугода и дольше). Выявление атак, случившихся в прошлом, и распределенных во времени угроз реализуется в PT Network Attack Discovery посредством механизма ретроспективного анализа. Система позволяет отслеживать хронологию и векторы развития атак, а также проводить ретроспективный анализ не только по сохраненным с помощью PT Network Attack Discovery данным, но и по файлам с трафиком, загруженным из внешних источников.


2018. «Гарда Технологии» выходит на российский рынок ИБ

«Гарда Технологии» объявила о выходе на российский рынок информационной безопасности. Компания основана на базе ИБ-направления «МФИ Софт». «Гарда Технологии» аккумулировала в себе экспертизу по разработке и внедрению решений для защиты от внутренних и внешних угроз информационной безопасности.  Все решения компании построены на базе собственной технологической платформы, запатентован ряд уникальных разработок собственного исследовательского центра.   В продуктовый портфель «Гарда Технологии» вошли решения для защиты от внутренних и внешних угроз информационной безопасности: Гарда Предприятие (DLP-система), Гарда БД (система защиты баз данных), Гарда Монитор (система расследования сетевых инцидентов), Гарда Фильтр (решение для ограничения доступа к сайтам), Периметр (решение для защиты от DDoS-атак), Антифрод (для контроля порядка пропуска трафика на сетях операторов связи).


2017. Искусственный интеллект поможет Windows Defender бороться с угрозами безопасности



Microsoft объявила о том, что продукт Windows Defender Advanced Threat Protection (ATP), появившийся одновременно с Windows 10 Fall Creators Update, помогает компаниям сокращать время на выявление и расследование атак на корпоративные сети. Windows Defender ATP помогает выявлять и расследовать инциденты, а с последним обновлением в его арсенал вошло средство, основанное на искусственном интеллекте. Технология автоматического расследования инцидентов с применением искусственного интеллекта основана на решении компании Hexadite, которая присоединилась к Microsoft в июне 2017 г. Теперь Windows Defender ATP может не только выявлять угрозы, но и автоматически расследовать их, а также снабжать службу безопасности информацией о том, какие действия следует предпринять для разрешения инцидента и устранения уязвимости.


2017. «Смарт Лайн» и RuSIEM представили совместное решение для защиты корпоративных данных

«Смарт Лайн» и RuSIEM объявили о реализации технологической интеграции собственных решений для повышения эффективности в решении задач предотвращения утечек корпоративной информации и анализа инцидентов. В результате интеграции решений двух российских разработчиков DLP-комплекс DeviceLock DLP выступает для системы управления событиями информационной безопасности RuSIEM в качестве источника событий информационной безопасности, связанных с доступом пользователя к периферийным устройствам, съемным накопителям, принтерам, каналам сетевых коммуникаций. DeviceLock DLP позволяет направлять в SIEM-системы оперативную информацию (тревожные оповещения) в реальном времени по протоколам SNMP и SYSLOG, а также дублировать записи журналов событийного протоколирования. Такие тревожные оповещения могут создаваться и направляться в SIEM-системы в результате как разрешенных, так и запрещенных попыток передачи данных по различным каналам сетевых коммуникаций, записи информации на съемные накопители, печати документов на локальные и сетевые принтеры, передачу данных в терминальных сессиях через буфер обмена и т.д.


2016. Вышла новая версия системы контроля привилегированных пользователей SafeInspect

Компания «Новые технологии безопасности» (НТБ) — российский разработчик программного обеспечения для повышения уровня безопасности информационных систем и управления критичной ИТ-инфраструктурой — выпустила новую версию системы контроля привилегированных пользователей SafeInspect 1.3.2. Компания предлагает решения для отслеживания и контроля доступа к ИТ-инфраструктуре организаций. Одним из таких решений и является система SafeInspect, которая позволяет управлять доступом привилегированных пользователей. SafeInspect выступает защитным барьером для суперпользователей, позволяет записывать все их действия для последующего просмотра с целью определения причины инцидента. Кроме того, данное решение помогает соблюдать требования стандартов в сфере ИТ-безопасности, таких как PCI DSS, SOX, Basel II, Банка России, ФСТЭК России и др. По утверждению разработчиков, развертывание SafeInspect не представляет трудностей, а для его использования не требуется устанавливать агент.


2016. Новая версия PT Application Firewall блокирует DDoS-атаки и упрощает расследование инцидентов

Компания Positive Technologies представила версию 3.3 межсетевого экрана прикладного уровня PT Application Firewall, предназначенного для обнаружения и блокирования кибератак на веб-порталы, мобильные и облачные приложения, системы ДБО и ERP. Теперь PT Application Firewall поддается более тонкой настройке и защищает от клиентских атак и прикладных DDoS-атак, отслеживает посетителей по GeoIP, выявляет хакерские инструменты, упрощает расследование инцидентов. DDoS-атаки на уровне приложения не требуют от злоумышленника значительных ресурсов, а противодействовать им все сложнее, отметили в компании. Боты начинают массово поддерживать веб-протоколы и эмулировать браузер, что затрудняет применение традиционных методов борьбы. В новой редакции PT AF реализован механизм защиты от DDoS-атак на прикладном уровне, использующий технологии машинного обучения. Все события разделены на два этапа: обнаружение признаков отказа в обслуживании и поиск атакующего.


2015. «Контур информационной безопасности SearchInform» получил новый инструмент для проведения расследований

Компания SearchInform представила обновленную версию своего флагманского продукта — «Контур информационной безопасности SearchInform». Наибольший интерес представляют новые поисковые алгоритмы и новый продукт IncidentCenter, предназначенный для проведения расследований инцидентов информационной безопасности. По словам разработчиков, IncidentCenter используется для двух задач: помощь при проведении расследований и ведение досье по сотрудникам. Так, любой документ, перехваченный «Контуром информационной безопасности», можно прикрепить к «Делу» или «Досье». IncidentCenter также поддерживает импорт файлов из сторонних систем, что позволяет консолидировать всю информацию по инциденту в рамках одной системы. «Заметки» и «Промежуточные резюме», в свою очередь, позволяют параллельно расследовать дело сразу нескольким сотрудникам отдела ИБ. В то же время, на каждого сотрудника может быть заведено «Досье», в котором будет аккумулироваться вся информация, полезная для контроля и общения с этим человеком: контакты, увлечения, сильныеслабые стороны и т.д.


2014. Вышел новый релиз программного комплекса «Дозор-Джет»

Компания «Инфосистемы Джет» объявила о выходе нового релиза программного комплекса «Дозор-Джет» 5.0.4. Ключевая особенность релиза — наличие инцидентной модели расследования. Обновленный управленческий интерфейс системы позволяет интерпретировать и визуализировать необходимые для расследования данные в удобной форме с различным уровнем детализации. Как рассказали в компании, инцидентная модель превращает DLP-систему в инструмент расследования фактов нарушения информационной и экономической безопасности, повышающий эффективность ИБ- и СБ-служб, позволяя им выявлять и пресекать факты мошенничества или коммерческого сговора сотрудников на начальных стадиях. Новый функционал позволяет разбирать инциденты на трех уровнях. Оперативный уровень: система автоматически ведет мониторинг и анализ всех корпоративных коммуникаций сотрудников, создавая инциденты по событиям ИБ и присваивая им необходимый уровень критичности.


2013. Экспертиза компьютерных инцидентов — новая услуга «Доктор Веб»

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщила о начале предоставления новой услуги. В случае возникновения признаков совершения киберпреступлений с использованием вредоносного или потенциально опасного ПО, причинивших ущерб организации, специалисты компании готовы провести экспертизу. С ее помощью будут установлены причины и механизмы произошедшего, выявлена степень предполагаемой ответственности лиц, причастных к инциденту, в том числе с использованием психологической экспертизы персонала заказчика, и даны необходимые технические и организационно-правовые рекомендации для устранения последствий. Экспертиза вирусозависимых компьютерных инцидентов (ВКИ) от «Доктор Веб» в целом — это комплекс мероприятий, направленных на всестороннее изучение инцидента, его причин и последствий, а также предоставление исчерпывающих рекомендаций по возмещению ущерба и недопущению новых ВКИ.


2011. Group-IB выпустила первый универсальный автоматизированный деобфускатор

Компания Group-IB, занимающаяся расследованием ИТ-инцидентов и нарушений информационной безопасности, объявила о выпуске уникального деобфускатора Ariadne. Подобное решение не имеет аналогов и позволяет экспертам в области обратной инженерии быстро и эффективно исследовать защищенные от анализа алгоритмы работы программ, утверждают в компании. Ariadne представляет собой универсальный набор инструментов (фреймворк), который позволяет сэкономить время при исследовании принципов работы разнообразного программного обеспечения. Используя Ariadne, можно читать и модифицировать исполняемые файлы, переводить их машинный код в символьные обозначения и даже преобразовывать часть кода в удобное для анализа промежуточное представление, говорится в сообщении Group-IB. Новый фреймворк прост в применении и легко встраивается в другие продукты. Например, сегодня уже существует плагин для популярного дизассемблера IDA. Главной же особенностью Ariadne является наличие ряда оригинальных алгоритмов оптимизации, используя которые, можно упростить код, защищенный с помощью методов обфускации.