Российский разработчик систем информационной безопасности «Гарда технологии» (входит в «ИКС Холдинг») сообщил об обновлении сервиса «Гарда TI» (Threat Intelligence), предоставляющего актуальные сведения о признаках и индикаторах вредоносной активности на основе данных из открытых и собственных источников аналитического центра группы компаний «Гарда».

В новой версии «Гарда TI» данные аналитики о хакерских группировках, методах и тактиках атак предоставляют заказчикам более полную информацию об индикаторах компрометации для повышения эффективности противодействия угрозам. Обновились связи между индикаторами, благодаря чему специалисты ИБ-служб могут сократить время реакции на вредоносную активность и самостоятельно проводить анализ угроз.

Источник изображения: freepik.com

Кроме прочего, в базе «Гарда TI» стали доступны новые типы индикаторов: JA3/JA3S-отпечатки. Использование таких отпечатков позволяет точнее анализировать паттерны поведения злоумышленников и идентифицировать необычные или вредоносные активности в сети. Это помогает в обнаружении кибератак, инсайдерских активностей, вредоносного программного обеспечения, детектировании угроз в шифрованном трафике и ранее неизвестных угроз нулевого дня. Также сообщается о повышении удобства пользовательского интерфейса сервиса.

Система «Гарда TI» зарегистрирована в реестре отечественного ПО, что подтверждает соответствие продукта требованиям российского законодательства, предоставляет возможность беспрепятственного использования в организациях, относящихся к органам государственной власти и критической информационной инфраструктуре.

Компания Positive Technologies сообщила о выпуске новой версии комплексного решения PT Industrial Security Incident Manager 4.4 (PT ISIM 4.4), предназначенного для защиты автоматизированных систем управления технологическими процессами (АСУ ТП).

Представленный российским разработчиком продукт осуществляет сбор и анализ сетевого трафика в инфраструктуре предприятия. PT ISIM обеспечивает поиск следов нарушений информационной безопасности в сетях АСУ ТП, помогает на ранней стадии выявлять кибератаки, активность вредоносного ПО, неавторизованные действия персонала (в том числе злоумышленные) и обеспечивает соответствие требованиям законодательства (187-ФЗ, приказы ФСТЭК № 31, 239, ГосСОПКА).

PT Industrial Security Incident Manager 4.4 включает в себя расширенный контроль сетевых коммуникаций на современных цифровых энергообъектах по стандарту МЭК-61850. В продукте появился новый microView Sensor, который устанавливается на компактные промышленные ПК и предназначен для использования на небольших объектах автоматизации: подстанциях 6–10 кВ, тепловых пунктах, в цехах и инженерных системах ЦОД и зданий.

Решение может выявлять аномальные сетевые соединения, отказы и ошибки коммуникации по протоколам MMS и GOOSE, свидетельствующие о неправильной эксплуатации, некорректной настройке оборудования или попытках компрометации устройств. Также упростился пользовательский интерфейс PT ISIM 4.4. Обновление предыдущих версий теперь полностью централизованно для всех поддерживаемых операционных систем — ручное обновление дополнительных модулей не требуется.

Компания «СёрчИнформ» объявила о выпуске обновлённой Linux-версии программного комплекса «Контур информационной безопасности» (КИБ).

Платформа «СёрчИнформ КИБ» относится к классу систем Data Loss Prevention (DLP) и предназначена для предотвращения утечек конфиденциальной информации в корпоративных сетях, управления рисками и всесторонней защиты бизнеса от внутренних угроз. Решение состоит из модулей, каждый из которых контролирует свой канал передачи информации. Система показывает, какой путь проходят данные, и делает прозрачными все коммуникации.

Обновлённая Linux-версия DLP-системы получила расширенные средства контроля веб-камеры, монитора и пользовательской активности. Так, с помощью модуля CameraController ИБ-службы могут создавать снимки пользователя за ПК и просматривать происходящее в зоне видимости веб-камеры в режиме реального времени. MonitorController записывает видео с экранов рабочих станций и делает контрольные снимки, если настроена съёмка по расписанию. Наконец, модуль ProgramController анализирует пользовательскую активность в веб-браузерах и оценивает, насколько продуктивно сотрудники проводят время в интернете.

Полученные сведения складываются в отчёты, по которым можно судить о дисциплине и эффективности работы сотрудника. Кроме того, ИИ-инструменты позволяют выявлять нетипичные угрозы. Например, аналитический движок сравнивает снимки CameraController с образцовым фото пользователя и с помощью распознавания лиц выявляет, что за ПК чужак или никого нет (возможно несанкционированное удалённое подключение), и сигнализирует службе ИБ. Также распознавание работает для телефонов и позволяет выявлять попытки «слить» данные, сфотографировав экран на смартфон.

«Обновление уравняло возможности Linux-версии «СёрчИнформ КИБ» с версией для Windows — мы наконец адаптировали все модули. Это актуальные новости для госсектора и субъектов критической информационной инфраструктуры, которые в рамках импортозамещения перешли на российские операционные системы на базе Linux», — отмечают разработчики.

«Лаборатория Касперского» сообщила о выпуске обновлённой промышленной платформы Kaspersky Industrial CyberSecurity (KICS), включающей набор специализированных продуктов и сервисов, призванных обеспечить кибербезопасность промышленных предприятий. Решение помогает реализовать комплексный подход к кибербезопасности на всех уровнях, начиная с анализа защищённости и тренингов для сотрудников и заканчивая технологиями защиты АСУ ТП и реагированием на инциденты.

В обновлённой версии платформы решение для защиты конечных точек KICS for Nodes может использоваться в качестве узлового агента для сбора расширенного набора данных для глубокого анализа инцидентов, а также реагирования на них. Благодаря этому операторы будут получать оповещения о событиях в сети, содержащие данные о хосте и протекающих на нём процессах, активности зарегистрированных пользователей и сетевых коммуникациях с более высокой точностью.

Компоненты Kaspersky Industrial CyberSecurity

Среди других важных изменений — встроенные средства централизованного аудита безопасности сетевых узлов и устройств на базе Windows и Linux. Благодаря этой функции ИБ-службы могут автоматически проверять хост или группу хостов на наличие уязвимостей в программном обеспечении, неправильных настроек, а также на соответствие локальному или международному законодательству и корпоративным политикам, в частности требованиям ФСТЭК России.

Доработкам подвергся компонент KICS for Networks, дополнившийся продвинутой системой анализа сетевого трафика (NTA), предоставляющей возможность анализировать трафик как на периметре, так и по всей инфраструктуре. Решение для защиты промышленных узлов KICS for Nodes получило поддержку новых моделей ПЛК. Наконец, благодаря расширенным возможностям XDR клиенты теперь могут управлять установочной базой KICS из единой консоли, а также масштабировать работу по обеспечению безопасности АСУ ТП на множество крупных географически распределённых площадок.

Компания «ИТ-Экспертиза» сообщила о выпуске новой версии программного комплекса информационной безопасности «Сакура» 2.32.

«Сакура» обеспечивает контроль доступа к корпоративным ресурсам, мониторинг состояния защищённости рабочих мест на основе политик, а также защиту используемых сотрудниками устройств как в периметре организации, так и при удалённом подключении к IT-инфраструктуре предприятия. В числе особенностей платформы — наличие инструментов поведенческого анализа пользователей с помощью алгоритмов машинного обучения и преднастроенных профилей безопасности рабочих мест с учётом требований российского законодательства. Продукт совместим с операционными системами Windows, macOS, Linux (включая отечественные Astra Linux, «Ред ОС» и Alter OS) и поддерживает интеграцию с VPN-провайдерами.

Архитектура программного комплекса «Сакура» (источник изображения: it-expertise.ru)

Обновлённый комплекс «Сакура» 2.32 дополнился поддержкой VPN Check Point, новым механизмом исполнения скриптов на стороне сервера и средствами управления подключением по SSH к защищаемым устройствам (аналогично подключениям по RDP). Доработкам также подверглись механизм сбора данных о работе пользователя на рабочем месте, модуль генерации отчётов, API платформы, пользовательский интерфейс и различные компоненты системы.

Платформа «Сакура» включена в единый реестр российских программ для электронных вычислительных машин и баз данных Минцифры России и может использоваться в проектах по импортозамещению ПО.

Российский разработчик решений по информационной безопасности NGR Softlab обновил аналитическую платформу Dataplan до версии 1.9.1.

Программный комплекс Dataplan предназначен для оценки состояния защиты корпоративной IT-среды, поведения пользователей и элементов инфраструктуры. Решение имеет модульную архитектуру, построено с применением алгоритмов Machine Learning, включает инструменты интеллектуального анализа данных, позволяет выявлять признаки инсайдерской деятельности и компрометации учётных данных.

В новой версии Dataplan существенным доработкам подвергся модуль поведенческой аналитики xBA Application, выполняющий функции класса решений UBA/UEBA. В нём стали доступными сведения об аномальных учётных записях, хостах, процессах и других объектах контроля в рамках конкретного поведенческого профиля. Дополнительно реализована возможность моментального просмотра основных сведений по поведению группы объектов и наиболее аномальным среди них. Также в обновлении расширена статистика работы модуля — для более оперативного принятия решений при расследовании инцидентов и отслеживания наиболее опасных объектов, несущих угрозу информационной безопасности предприятия.

Система Dataplan включена в единый реестр российских программ для электронных вычислительных машин и баз данных Минцифры России и может использоваться в проектах по импортозамещению ПО.

Компания Positive Technologies сообщила о выпуске восьмой версии программного комплекса MaxPatrol SIEM.

MaxPatrol SIEM относится к классу решений Security information and event management и позволяет IT-службам в режиме реального времени осуществлять централизованный мониторинг событий ИБ, выявлять инциденты информационной безопасности, оперативно реагировать на возникающие угрозы, а также выполнять требования, предъявляемые регуляторами к защите персональных данных, в том числе к обеспечению безопасности государственных информационных систем.

В числе ключевых изменений MaxPatrol SIEM 8.0 — снижение требований к аппаратному обеспечению, повышение производительности системы до обработки свыше 540 тысяч событий в секунду, а также увеличение до шести раз объёма либо сроков хранения данных благодаря использованию СУБД собственной разработки — LogSpace.

В числе прочих нововведений продукта фигурирует ML-модуль поведенческого анализа Behavioral Anomaly Detection, благодаря технологиям машинного обучения позволяющий быстрее и точнее принимать решения по инцидентам информационной безопасности. Чтобы упростить задачу по проверке гипотез, разработчиками была расширена интеграция с продуктами Positive Technologies и сторонними программными комплексами: из карточки событий теперь можно отправлять кросс-сервисные запросы в PT Network Attack Discovery, MaxPatrol EDR, RST Cloud, Whois7 и другие системы.

Компания «Информационные технологии и коммуникационные системы» («ИнфоТеКС») объявила о выпуске новой версии программного комплекса ViPNet EndPoint Protection 1.6.

ViPNet EndPoint Protection обеспечивает защиту рабочих станций и серверов от цифровых угроз. В основу продукта положена модульная клиент-серверная архитектура, ключевыми компонентами которой являются эвристический Anti-Malware-модуль, межсетевой экран, система обнаружения и предотвращения вторжений, модуль поведенческого анализа, а также контроль запуска приложений на основе чёрных и белых списков.

В ViPNet EndPoint Protection 1.6 реализован набор функций из стека технологий ZTNA (Zero Trust Network Access) и добавлена поддержка российской ОС Astrа Linux Special Edition 1.7 для серверных компонентов защитного решения. За счёт внедрения функций TLS-инспекции и SafeBrowsing появилась возможность расшифровки HTTPS-трафика, что позволяет осуществлять фильтрацию и блокировку доступа к веб-ресурсам с вредоносным, фишинговым и спам содержимым. Также в продукте добавлены средства управления корневыми сертификатами и возможность создания пользовательских фильтров сети для защищённой сети ViPNet.

Программный комплекс поддерживает работу с операционными системами Windows, Linux и зарегистрирован в реестре отечественного ПО. В настоящее время ViPNet EndPoint Protection 1.6 проходит сертификацию во ФСТЭК России.

«Лаборатория Касперского» сообщила о получении экспертного заключения Национального координационного центра по компьютерным инцидентам, подтверждающего соответствие программного комплекса Kaspersky Unified Monitoring and Analysis Platform (KUMA) требованиям к средствам государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), утверждённым приказом ФСБ России N196 от 6 мая 2019 года.

KUMA относится к классу решений SIEM (Security information and event management) и позволяет IT-службам в режиме реального времени осуществлять централизованный мониторинг событий ИБ, выявлять инциденты информационной безопасности, оперативно реагировать на возникающие угрозы, а также выполнять требования, предъявляемые регуляторами к защите персональных данных, в том числе к обеспечению безопасности государственных информационных систем.

Архитектура решения Kaspersky Unified Monitoring and Analysis Platform

По словам «Лаборатории Касперского», SIEM-решение KUMA стало первым среди отечественных технологий этого класса, подтвердившим соответствие требованиям к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

«Соответствие системы 196 приказу означает не только наличие интеграции с ГосСОПКА, но и выполнение других требований регулятора к функциям SIEM. Полученное экспертное заключение — независимое подтверждение всех заявленных возможностей продукта, на которое смогут опираться компании, которым ещё предстоит выбрать SIEM», — говорится в заявлении компании.

Компания «Интеллектуальная безопасность», работающая на ИБ-рынке под брендом Security Vision, пополнила портфолио защитных решений новым продуктом по реагированию на киберугрозы следующего поколения — Next Generation SOAR.

Security Vision Next Generation SOAR представляет собой автоматизированный центр мониторинга, обработки и реагирования на инциденты информационной безопасности (Security Operation Center, SOC). Программный комплекс аккумулирует данные об инцидентах ИБ из множества источников, обеспечивает координацию работы команды SOC и автоматизирует процедуры реагирования.

Источник изображения: securityvision.ru

Платформа умеет самостоятельно осуществлять триаж (первичное категорирование) поступающих оповещений, приоритизировать инциденты, выбирать подходящий сценарий реагирования и оперативно предпринимать контрмеры по локализации инцидента для недопущения его распространения и нанесения значимого ущерба организации. В продукте задействованы методы машинного обучения и статистического анализа свойств инцидентов для выявления аномалий и возможных незамеченных ранее киберинцидентов в IT-инфраструктуре, а также для прогнозирования дальнейших шагов атакующих и развития инцидента с целью выбора оптимальных мер противодействия.

Security Vision Next Generation SOAR также позволяет формировать и отправлять отчётности по киберинцидентам в НКЦКИ (через систему ГосСОПКА), ФинЦЕРТ (через интерфейс АСОИ), Роскомнадзор и в отраслевые CERT. Для автоматизации такого взаимодействия в систему встроены инструменты отправки уведомлений и обмена данными с указанными структурами, а также для создания внутренней отчётности и визуализации состояния киберзащищенности компании в целях обеспечения ситуационной осведомлённости ИБ-служб.