ИТБ: Security Capsule

Продукт
Разработчики: Инновационные Технологии в Бизнесе, ИТБ
Дата премьеры системы: 2015/12/12
Технологии: ИБ - Управление информацией и событиями в системе безопасности (SIEM)

Содержание

Security Capsule - SIEM-cистема регистрации событий безопасности.

2024

Интеграция GigaChat

«Инновационные Технологии в Бизнесе» интегрировал нейросетевую модель GigaChat для бизнеса в свою систему мониторинга и корреляции событий информационной безопасности (ИБ) Security Capsule SIEM. Об этом компания сообщила 12 ноября 2024 года. Данная функциональность позволила сократить время реагирования на инциденты до 70%, а точность их анализа увеличилась до 30%. Также удалось на 40% снизить операционные расходы компаний-пользователей решения, но при этом на 50% повысить рост эффективности их команд.

GigaChat делает работу с Security Capsule SIEM более интуитивно понятной и доступной. В отличие от традиционных систем SIEM, которые предоставляют «сырую» информацию и технические описания событий, генеративный искусственный интеллект интерпретирует эти данные и объясняет их смысл простым и понятным языком. Помимо описания инцидентов, искусственный интеллект генерирует рекомендации по их устранению и снижению негативного эффекта на инфраструктуру. Например, если система выявляет попытку несанкционированного доступа, GigaChat может предложить шаги по ограничению входа, обновлению программного обеспечения или усилению защиты периметра сети.

Обработка большого массива данных, быстрое предоставление четких объяснений и рекомендаций позволяют операторам значительно сократить время на анализ инцидентов и принятие решений, а это снижает риски, связанные с кибератаками, и повышает уровень защиты информационных систем компаний.

«
Заказчики, особенно крупные компании, государственные структуры и организации, работающие с критически важной инфраструктурой, сталкиваются с постоянно усложняющимся ландшафтом киберугроз. Также у них существовала проблема с обработкой огромных массивов данных, событий ИБ, которые в основном генерируются корпоративными сетями и системами, и помимо этого часто возникала потребность в улучшении коммуникации между командами, чтобы упростить координацию и анализ событий. Решить все эти задачи и сделать систему Security Capsule SIEM более гибкой, интеллектуальной и масштабируемой нам помог GigaChat для бизнеса,
сказал Сергей Графов, руководитель проекта «Инновационные Технологии в Бизнесе».
»

В дальнейших планах компании – усиление интеграции возможностей GigaChat в Security Capsule SIEM, в том числе в части автоматического анализа инцидентов в режиме реального времени.

Интеграция с F.A.C.C.T. Threat Intelligence

12 сентября 2024 года компания F.A.C.C.T. объявила о технологической интеграции системы мониторинга и корреляции событий информационной безопасности Security Capsule SIEM (SC SIEM) с системой киберразведки F.A.C.C.T. Threat Intelligence. Техническое сотрудничество предоставит пользователям SC SIEM более глубокий проактивный подход к защите от актуальных киберугроз, обнаружению сложных целевых атак. Подробнее здесь.

2016

Сертификация ФСТЭК России

Осенью 2016 года программно-аппаратный комплекс «Security Capsule» успешно прошел сертификационные испытания в системе сертификации ФСТЭК России. Сертификат соответствия №3649 от 9 ноября 2016 года.

Выпуск модернизированной версии ПАКАБ SIEM Security Capsule

28 сентября 2016 года компания "ИТБ" сообщила о выпуске релиза модернизированной версии ПАКАБ SIEM «Security Capsule».

ПАКАБ SIEM «Security Capsule» предназначен для регистрации событий информационной безопасности и выполняет функции:

  • регистрация и учет событий информационной безопасности (ИБ) в информационно-вычислительных системах и сетях,
  • разграничение доступа пользователей к информационным ресурсам SIEM,
  • контроль доступа SIEM,
  • контроль целостности файлов SIEM,
  • корреляцию событий ИБ,
  • реакцию на события ИБ.

Архитектура системы, (2015)

На основе анализа информации, полученной с помощью SIEM «Security Capsule», администратор безопасности принимает меры по обеспечению безопасности объектов информационно-вычислительных систем и сетей.

Регистрация событий информационной безопасности реализуется путем ведения журналов регистрации событий информационной безопасности:

  • доступ пользователя к приложению и завершение работы;
  • разрешенные/неразрешенные действия пользователей по доступу к информационным ресурсам;
  • сообщения, получаемые от сетевых устройств;
  • действия операторов на клиентских рабочих станциях такие как: установление доступа к рабочей станции с помощью USB-ключа eToken;
  • обращение к внешним USB-устройствам, обращение к файлам на внешних устройствах.

Состав модулей программы (коннекторов) вариативен по согласованию с заказчиком.

Перечень разработанных коннекторов, накапливающих данные о событиях информационной безопасности:

SIEM «Security Capsule» ориентирована на соответствие отечественным техническим регламентам и стандартам в сфере информационной безопасности.

Система ориентирована на использование:

  • администраторами безопасности;
  • администраторами ИС, СУБД, ЛВС, СПД;
  • руководителями служб безопасности;
  • руководителями компаний, предприятий (организаций);
  • разработчиками систем защиты конфиденциальной информации.

Использование

Для использования SIEM-системы должны выполняться условия:Эволюция в развитии российских средств защиты от сетевых угроз: как Kaspersky NGFW меняет расстановку сил на рынке SIEM «Security Capsule» функционирует под управлением ОС Microsoft Windows XP\7\8\10, Windows Sever 2010\2012, OC Linux. Для работоспособности программы необходимо окружение выполнения Microsoft .NET Framework 4.0. Программа работает в архитектуре клиент/сервер. Серверной часть - СУБД. В качестве СУБД используется My SQL Database Server 5.5.2 или MS SQL.

Архитектура

ПАКАБ «Security Capsule» действует на основе клиент-серверной технологии для распределенных неоднородных ИС, СПД, ЛВС и системы защиты конфиденциальной информации.

В составе ПАКАБ «Security Capsule» модули:

  • модуль серверной части;
  • модуль мониторинга и администрирования;
  • центральный модуль;
  • клиентские модули;
  • коннекторы;
  • модуль формирования отчетов.

Серверный компонент имеет иерархическую структуру. Таким образом, мониторинг событий может осуществляться локально в территориально удаленных подразделениях, филиалах, дочерних и зависимых организациях. Первичная обработка событий ИБ осуществляется на локальных серверах, на центральный сервер передается либо полный состав событий ИБ, либо сформированный перечень критических событий и результаты анализа.

С целью снижения нагрузки на сеть передачи данных первичная обработка событий осуществляется на серверах «Security Capsule», установленных в ЛВС. В зависимости от степени важности и критичности, информация о событиях ИБ передается на серверы более высокого уровня. С целью снижения трафика информация на сервера более высокого уровня передается по расписанию, как правило, во время наименьшей нагрузки на СПД. Критические события передаются в режиме реального времени.

Важный модуль системы - модуль обработки и отображения информации о событиях, формирования отчетов. Администраторы системы имеют возможность самостоятельно, в соответствии с требованиями политики информационной безопасности, определять перечень контролируемых событий, выбирая из базового набора, требуемый. Определять уровни критичности.

В рамках анализа событий подразделяются на события ИБ ОС, сетевых устройств, СЗИ от НСД, СУБД, антивирусных средств, прикладных систем. Каждому контролируемому событию или группе событий на этапе настройки системы присваивается статус. Сбор событий может быть непрерывным, дискретным с привязкой к системе единого времени, во временном интервале. События от различных источников событий могут быть сопоставлены по различным критериям. События могут быть отсортированы, ранжированы и отфильтрованы по различным признакам. Администратор системы имеет возможность управлять правилами обработки событий. Отдельно обрабатываются события, связанные с контролем учетных записей пользователей, включая создание, изменение, удаление, контроль прав доступа на основе контроля , например, AD. Также обработке подлежат события связанные с установкой и\или удалением общесистемного и прикладного ПО, средств защиты с использованием механизма контроля системного реестра. В Security Capsule реализовано ведение «белого» и «черного» списков ПО.

Для администрирования системой предусмотрены группы пользователей с настраиваемыми правами доступа и функциональностью.

Модульная архитектура обеспечивает простоту обслуживания и масштабирования SIEM «Security Capsule».

С помощью SIEM «Security Capsule» возможно выявить:

  • Сетевые атаки во внутреннем и внешнем периметрах.
  • Минимальные требования к аппаратной среде.
  • Вирусные заражения, бэкдоры и трояны.
  • Попытки несанкционированного доступа к информации.
  • Фрод и мошенничество.
  • Ошибки в работе информационных систем.
  • Уязвимости.
  • Ошибки конфигураций в средствах защиты и информационных системах.

События, фиксируемые SIEM «Security Capsule»:

  • связанные с попытками пользователей установления доступа.
  • сообщения от сетевых устройств.
  • вызванные действиями пользователей на рабочих станциях.
  • получаемые от средств контроля съёмных носителей.
  • прикладных информационных систем.
  • связанные с AD.
  • контроль операционной и программной сред.
  • СУБД.
  • ОС семейства Windows, Linux.
  • получаемые от СЗИ от НСД.

Требования к аппаратному окружению

  • процессор Intel X86 или совместимый с частотой 1 ГГц или выше;
  • не менее 256 Мб ОЗУ;
  • для установки Изделия необходимо не менее 200 Мб свободного места на используемой ЭВМ постоянном носителе машинной памяти;
  • ручной манипулятор типа «мышь»;
  • устройство для работы со съемными носителями информации (дисковод для CD и DVD);
  • видеокарта SVGA;
  • сетевой Ethernet-адаптер с типом разъёма 8P8C для витой пары;
  • компьютерная клавиатура;
  • монитор с диагональю не менее 15 дюймов и режимом разрешения не менее 800х600 dpi.

ПАКАБ «Security Capsule» сертифицирована ФСТЭК России для защиты конфиденциальной информации, включая ИСПДн. Сертификат ФСТЭК России №2705 от 7 сентября 2012 года.



СМ. ТАКЖЕ (3)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Интеллектуальная безопасность ГК (бренд Security Vision) (92)
  Positive Technologies (Позитив Текнолоджиз) (24)
  SearchInform (СёрчИнформ) (16)
  Инфосистемы Джет (16)
  Softline (Софтлайн) (14)
  Другие (141)

  Интеллектуальная безопасность ГК (бренд Security Vision) (6)
  R-Vision (Р-Вижн) (3)
  Softline (Софтлайн) (3)
  Инфосекьюрити (Infosecurity) (2)
  Инфосистемы Джет (2)
  Другие (10)

  Интеллектуальная безопасность ГК (бренд Security Vision) (13)
  Positive Technologies (Позитив Текнолоджиз) (6)
  CyberOK (СайберОК) (4)
  InnoSTage (Инностейдж) (4)
  Уральский центр систем безопасности (УЦСБ) (2)
  Другие (11)

  SearchInform (СёрчИнформ) (3)
  Лаборатория Касперского (Kaspersky) (2)
  Positive Technologies (Позитив Текнолоджиз) (2)
  RED Security, Прикладная техника (ранее МТС RED, Серенити сайбер секьюрити) (2)
  Softline (Софтлайн) (2)
  Другие (12)

  SearchInform (СёрчИнформ) (8)
  Softline (Софтлайн) (5)
  Positive Technologies (Позитив Текнолоджиз) (4)
  Перспективный мониторинг (2)
  Интеллектуальная безопасность ГК (бренд Security Vision) (1)
  Другие (12)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Интеллектуальная безопасность ГК (бренд Security Vision) (13, 92)
  Positive Technologies (Позитив Текнолоджиз) (17, 39)
  SearchInform (СёрчИнформ) (2, 17)
  Лаборатория Касперского (Kaspersky) (8, 14)
  ArcSight (5, 13)
  Другие (279, 110)

  Интеллектуальная безопасность ГК (бренд Security Vision) (4, 6)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  R-Vision (Р-Вижн) (1, 3)
  Инфосекьюрити (Infosecurity) (2, 2)
  IBM (2, 2)
  Другие (7, 8)

  Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13)
  InnoSTage (Инностейдж) (2, 4)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  SearchInform (СёрчИнформ) (1, 2)
  Уральский центр систем безопасности (УЦСБ) (1, 2)
  Другие (5, 5)

  Лаборатория Касперского (Kaspersky) (3, 3)
  SearchInform (СёрчИнформ) (1, 3)
  Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2)
  Перспективный мониторинг (1, 1)
  F.A.C.C.T. (ранее Group-IB в России) (1, 1)
  Другие (9, 9)

  SearchInform (СёрчИнформ) (1, 9)
  Positive Technologies (Позитив Текнолоджиз) (3, 4)
  Лаборатория Касперского (Kaspersky) (3, 3)
  Перспективный мониторинг (1, 3)
  Русием (RuSIEM) (1, 2)
  Другие (6, 6)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Security Vision Security Operation Center (SOC) - 37
  MaxPatrol SIEM - 33
  Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 28
  СёрчИнформ SIEM - 17
  Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 11
  Другие 156

  R‑Vision SOAR (ранее R-Vision IRP) - 3
  MaxPatrol SIEM - 2
  Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2
  Ngenix Облачная платформа - 2
  Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 2
  Другие 13

  Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 9
  Innostage SOAR (ранее Innostage IRP) - 4
  Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 4
  CyberART Сервисная служба киберзащиты - 4
  УЦСБ: DATAPK - 2
  Другие 13

  СёрчИнформ SIEM - 3
  Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2
  Инфосекьюрити ISOC - 1
  МТС Центр информационной безопасности (SOC) - 1
  R-Vision Threat Intelligence Platform (TIP) - 1
  Другие 11

  СёрчИнформ SIEM - 9
  Positive Technologies: MaxPatrol VM (Vulnerability Management) - 3
  Перспективный мониторинг: Ampire Киберполигон - 3
  Kaspersky Endpoint Detection and Response (KEDR) - 2
  MaxPatrol SIEM - 2
  Другие 11