Компания R-Vision представила аналитическую платформу кибербезопасности SENSE, которая дополнит спектр технологий, используемых в Security Operation Center, расширенными аналитическими возможностями. Это поможет выявлять признаки начинающихся атак и приоритизировать угрозы для реагирования.

Платформа R-Vision SENSE позволяет контролировать состояние безопасности инфраструктуры, выявлять значимые аномалии и сигнализировать об угрозе, предоставляя необходимый контекст для принятия решений. Как отмечают в R-Vision, чтобы обеспечить защиту от киберугроз, недостаточно отдельных показателей в определенный момент времени, важно отслеживать изменения в динамике. Эксперты полагают, что априори инфраструктура любой организации скомпрометирована, и нужно действовать исходя из этой парадигмы, постоянно отслеживая следы присутствия злоумышленника, а главная задача специалистов по безопасности – вовремя обнаружить компрометацию, до того как она может нанести серьезный ущерб организации.

В R-Vision SENSE используется объектно-центричный подход: любое событие анализируется относительно конкретного объекта инфраструктуры – пользователя, рабочей станции, учетной записи, сервиса и т.д., состояние которых постоянно контролируется. Опираясь на данные, получаемые от источников напрямую или собираемые с помощью инструментов лог-менеджмента или SIEM, платформа анализирует поведение объектов. С помощью многоуровневой системы программных экспертов ведется мониторинг запуска процессов и приложений, запросов аутентификации, доступа процессов к данным, подключений VPN, почтового трафика и других параметров. R-Vision SENSE запоминает нормальное поведение объектов и фиксирует подозрительную активность в случае отклонений. Также для выявления вредоносной активности применяется набор простых правил, которые срабатывают по определенным критериям. Последовательность событий, аномалий и контекст по каждому объекту сохраняется в виде «таймлайна», что облегчает расследование инцидента, восстановление хронологии атаки и выявления проблем в защите для устранения.

В платформе SENSE используется универсальный формат данных для анализа, что обеспечивает гибкую работу аналитических инструментов: простые правила и программные эксперты самостоятельно адаптируются к изменениям источников данных и не требуют частой донастройки вручную. Что касается алгоритмов, в продукте используется комбинация статистического и поведенческого анализа и методов машинного обучения.

Наконец, в R-Vision SENSE реализована скоринговая оценка угроз, помогающая выделить наиболее критичные аномалии и отсеять менее значимые инциденты, что снижает нагрузку на аналитиков.