SecureVisio

SIEM,SOAR,UEBA

Secure Visio jest platformą, która daje możliwość wykrywania i zarządzania incydentami, podatnościami. System pozawala organizacjom, przedsiębiorstwom automatyzować i ujednolicać operacje związane z zarządzaniem bezpieczeństwem. Jedna, całkowicie zintegrowana platforma, optymalizuje czas i koszty w firmie. Pozwala lepiej sprawować kontrolę, wszystkie dane na temat luk, incydentów i ryzyka są zebrane w jednym miejscu. 

Obszary procesów

1. Inwentaryzacja, mapowanie, wizualizacja procesów i zasobów IT

Na poziomie strategicznym i operacyjnym najważniejsze jest budowanie świadomości sytuacyjnej związanej z procesami i zasobami. Narzędzie posiada pasywne i aktywne mechanizmy służące inwentaryzacji i mapowaniu sieci. Ponadto wykrywa systemy, urządzenia, aplikacje określając typ i ich relacje. Secure Visio definiuje procesy techniczne/biznesowe, możliwe zagrożenia, tworzy wektory ataku, analizuje zastosowane zabezpieczenia i punkty końcowe. Wyniki zapisywane są w formie interaktywnej mapy, a zgromadzone dane są wykorzystywane przez resztę modułów systemu:

  • są jednym z parametrów odnoszących się do korelacji zdarzeń
  • pozwalają na szerszy obraz kontekstowy incydentów
  • wykorzystuje się je w momencie doboru scenariuszy i podziału zdań dla zespołu
  • mają istotne znaczenie dla priorytetów incydentów
  • są podstawą analizy ryzyka
  • mają kluczowe znaczenie dla priorytetów i obsługi

2. Analiza ryzyka

Świadomość ryzyka w obszarze CyberSecurity jest bardzo ważna. Szczegółowa analiza pozwala na uświadomienie sobie sytuacji i wpływu procesów związanych z obsługą incydentów lub podatności. Narzędzie posiada mechanizmy automatycznej i dynamicznej analizy ryzyka zagrożeń, dzięki zgromadzonym informacjom i aktualizacjom. To zaawansowane algorytmy analityczne uwzględniające macierze zabezpieczeń, ryzyka, jak i również potencjalne konsekwencje. Dzięki kontekstowym regułom analiz incydentów mamy możliwość dostosowania mechanizmów do potrzeb konkretnej firmy. Wyniki przedstawiane są w sposób graficzny. 

3. SIEM/UEBA (pozwala na gromadzenie i zbieranie danych o zdarzeniach)

Do wykrywania incydentów wykorzystuje się dwie podstawowe metody: tradycyjną i nowoczesną. Pierwsza z nich zbiera i koreluje logi oparte o reguły (SIEM); druga - to analiza behawioralna użytkowników i zasobów (UEBA). UEBA umożliwia budowę profili użytkowników/zasobów i śledzenie odchyleń od normy. Połączenie tych dwóch metod daje najlepsze rezultaty i pozwala efektywniej wykrywać anomalie. Secure Visio jest wyposażony w zaawansowane, wydajne mechanizmy, gromadzi logi za pośrednictwem syslog, mechanizmu Windows, Event Forwarding, API, odczytów z plików tekstowych, baz, skrzynek. Baza oparta na plikach płasich umożliwiła uzyskanie idealnej wydajności. Co więcej, wbudowana archiwizacja pozwala na długotrwałe/centralne lub rozproszone przechowanie danych na wskazanej przestrzeni dyskowej.

Analiza/korelacja zdarzeń

System jest wyposażony w:

- zestaw parserów zdarzeń dla różnych źródeł (mechanizmy: regex, xml, json, parsowanie warunkowe/podrzędne, graficzny interfejs z debuggerem) 
- mechanizmy korelacji zdrzeń/rozwijane reguły oparte m.in. na matrycy MITRE ATT&CK 
- elastyczny, zaawansowany silnik korelacyjny, który daje możliwości:

  • tworzenia zdarzeń i incydentów na podstawie innych
  • nadawania priorytetów
  • zastosowania mechanizmu scoringowego w zależności od profili zasobów
  • tworzenia/odwoływania do tablic referencyjnych
  • uwzględniania w korelacji (według: typu/roli/ procesu/rodzaju przetwarzanych danych/konsekwencji/wektorów ataku/wyników analizy)
  • przedstawienia interfejsu w formie graficznej (tworzenie reguł)

SOAR

W przedstawianej platformie zaimplementowano moduł SOAR (Security Orchestration Automation and Response), zgodnie z praktykami ISO- 270035, NIST SP 800-61R2, ENIISA, Carnegie Mellon University. Każdy incydent, który pojawił się w wyniku pracy mechanizmów, staje się elementem procesu. Oznacza to, że system wzbogaca się o kolejne dane i bada różne scenariusze, analizy i reakcje. Warto także dodać, że Secure Visio może automatycznie przydzielać zadania członkom SOC. 

Zaawansowane funkcje SOAR to m.in.:

  • graficzne tworzenie scenariuszy
  • plany z podziałem na kroki i etapy
  • interakcje, możliwość zadawania pytań i podejmowania dalszych kroków
  • zmiany scenariuszy ze względu na okoliczności
  • automatyczne, wbudowane akcje systemowe
  • automatyzacja scenariuszy w zależności od parametrów
  • powiadomienia dla właścicieli zasobów
  • informacje o zmianach statusu zdarzeń
  • powiadomienia w przypadku przekroczonego czasu reakcji/ obsługi
  • możliwość uzależnienia od priorytetu incydentu

Moduł do obsługi incydentów posiada gotowe scenariusze i akcje dla zautomatyzowania interakcji z zewnętrznymi systemami (prace z uzupełnianiem informacji, pivotingiem, reagowaniem). Proces zarządzania - posiada interfejsy integracji, które umożliwiają skanowanie i import wyników, dzięki czemu wspiera w:

  • ustalaniu priorytetów
  • automatyzacji w przydzielaniu zadań i scenariuszy zespołowi (według kontekstu)
  • powiadamianiu (automatyzacja powiadomień)
  • śledzeniu czasu reakcji i obsługi
  • automatycznej eskalacji
  • wzbogacaniu informacji dla podatności w informacje kontekstowe z reszty modułów

Ochrona danych osobowych

Moduł wspiera organizacje w obsłudze czynności, kategorii, przetwarzaniu i raportowaniu. Oferuje również:

  • wyszukiwanie systemów IT, które przetwarzają dane osobowe, ale także: grupy, kategorie
  • wyznaczanie dostępnych zabezpieczeń technicznych przed możliwymi zagrożeniami dla wszystkich systemów
  • automatyczne generowanie raportu ("Raport naruszenia ochrony danych osobowych dla organu nadzorczego")
  • możliwość przeprowadzenia oceny skutków dla ochrony danych (analizy ryzyka) w sposób zautomatyzowany
  • automatyczne analizy ryzyka związane z utratą dostępności, poufności, integralności danych
  • informacje, które w ramach tego modułu stanowią dodatkowy kontekst w procesach incydentów bezpieczeństwa i innych obszarach

Secure Visio to doskonałe narzędzie wpierające pracę Security Operations Center (SOC).

Funkcjonalności:

  • kompleksowe zarządzanie podatnościami, ryzykiem i incydentami
  • orkiestracja i automatyzacja do zarządzania incydentami bezpieczeństwa 
  • zarządzanie z możliwością priorytezacji 
  • sprawowanie kontroli nad bezpieczeństwem zgodnie z RODO
  • możliwość odpowiedniego zarządzania ryzykiem oraz sytuacjami kryzysowymi

Masz pytania odnośnie do przedstawionego rozwiązania? Napisz do nas: kontakt

Załączniki: