Обзор систем управления рисками. Антон Ленский, рассэ (гк АйТеко) Владислав Вайц, мгту им. Н. Э. Баумана Сравнение решений sgrc

24 группирование активов по задаваемым критериям).
Настройка политики обнаружения ПО (поиск определенных файлов и каталогов на устройствах).
Настройка политик сканирования (расписание, используемые учетные записи, сканируемые подсети
ЛВС).
Настройка политики защищенности персонала – построение карты
«уязвимостей» сотрудников в зависимости от результатов учебных фишинговых атак и прохождения сотрудниками обучения в системе
«Антифишинг» целевой системе, настраиваемые в рамках рабочего процесса инвентаризации с использованием графического редактора. В качестве действий предусмотрено создание нового объекта, изменение свойств текущего объекта, наполнение справочников, выполнение скриптов автоматизации (Bash,
PowerShell, Batch, cmd, Java,
Javascript, Python), выполнение запросов к системам (SNMP, SOAP,
REST, DNS), выполнение запросов к базам данных (MS
SQL, MySQL, Oracle,
PostgreSQL).
Предусмотрен чат по объектам, в рамках которого пользователи системы могут общаться по связанным с активом задачам
Возможности
интеграции со
сторонними
решениями
MaxPatrol 8
MaxPatrol SIEM
Micro Focus ArcSight
ESM
RedCheck
Механизмы:
Aruba ClearPass Policy
Manager
AttackIQ Platform
Azure Sentinel
Better Mobile
BitDefender
Blue Hexagon
Corrata
MaxPatrol 8
Micro Focus ArcSight
ESM
Nessus
Qualys
RSA Netwitness SIEM, другие продукты RSA
Symantec SIM
Active Directory
AlienVault
Atlassian JIRA
Cisco (SSH, REST)
CMDB iTop
Forcepoint AP-DATA
Fortinet FortiMail
Fortinet FortiSandbox
Active Directory
Apache Kafka
Atlassian Confluence
Atlassian JIRA
Cisco (SSH, REST, SNMP)
Cisco FirePower
Cisco IronPort/ESA
CMDB iTop

25
RDBMS (ODBC,
OLEDB)
SOAP WS
REST WS
LDAP
POP3/SMTP
XML (файл)
MS EXCEL (файл)
CyberMDX
CyberSponse CyOps
Cymulate
Cyren Wen Filter
Delta Risk ActiveEye
Demisto
IBM QRadar
Lookout MTP
Micro Focus ArcSight
ESM
MISP ThreatSharing
Morphisec
Nexpose Rapid7
Palo Alto
RSA Netwitness SIEM
SafeBreach
ServiceNow
Skybox
Splunk
Swimlane
Symantec Endpoint
Protection Mobile
THOR Cloud
ThreatConnect
Vectra NDR
XM Cyber
Zimperium
Gigamon GigaVue-Fm
Group IB Bot-Trek Intelligence
HP Comware
HP SM (REST)
IBM QRadar
Imperva
InfoWatch Device Monitor
InfoWatch Traffic Monitor
Juniper
Kaspersky Fraud Prevention
Kaspersky Security Center
Lieberman ERPM
MaxPatrol 8
MaxPatrol SIEM
McAfee ePO
McAfee ESM
Micro Focus ArcSight ESM
Micro Focus UCMDB
MS Exchange
MS SCCM
MS SQL
MS System Center Endpoint
Protection
MS TMG
MySQL
Naumen CMDB
Naumen Service Desk
Nessus
Nexpose Rapid7
OpenStack
OpenVAS
Oracle DB
Palo Alto
PostgreSQL
QLikView
CheckPoint
CheckPoint SandBlast
FireEye
FireEye IPS
Fortinet Fortimail
Fortinet FortiSandbox
Fortinet SIEM
Gigamon GigaVue-Fm
HP SM (REST, SOAP)
HP SM ADV
IBM MQ
IBM QRadar (REST)
Imperva SecureSphere
InfoWatch Traffic Monitor
Juniper
Kaspersky IPS
Kaspersky Security Center
Lieberman ERPM
MailArchiva
MaxPatrol 8
MaxPatrol SIEM
McAfee ESM
Micro Focus ArcSight ESM
MS Exchange
MS SCCM
MS SQL
MS System Center Endpoint
Protection
MS TMG
MXtoolBox
MySQL
Naumen Service Desk
Nessus
OpenStack
Oracle DB

26
Qualys
RedCheck
Secret Net
Secret Net Studio
Solar JSOC
Splunk
StoneGate
Symantec Endpoint Protection
VMware
Vulners.com
Zabbix
Антифишинг
Примечание:
При интеграции с Active
Directory собираются ограниченные свойства учетных записей (ФИО, имя учетной записи, должность, подразделение), отсутствует возможность настройки получения значений иных свойств.
Получаемые от интегрированных систем данные ограничены статусом
СЗИ, техническими характеристиками устройств, списком устройств, пользователей, ПО, уязвимостей.
Подключение новой системы занимает от 1 дня
OTRS
Palo Alto
Ping-Admin.ru
PostgreSQL
QLikView
Qualys
RedCheck
RSA Netwitness SIEM
RuSIEM
ScanOVAL
Skybox (REST, SOAP)
Splunk
Symantec Critical System
Protection
Symantec Endpoint Protection
Symantec IPS
TripWire
URLScan.io
VirusTotal
VMware ESXi
VMware vCenter
Zabbix
1С
АС Банка
Государственные интернет- сервисы (ФССП, ЕГРЮЛ,
ЕГРИП и т.д.)
КИБ СёрчИнформ
Консультант +
Портал ДЗО
СКУД (различные производители)
СПАРК-Интерфакс
ФПСУ-IP
ФПСУ-TLS

27
Примечание:
С подключаемых систем можно получать, обрабатывать, нормализовать и загружать в Security Vision любые данные, которые может предоставить целевая система, в том числе неструктурированные (XML,
JSON, CSV, TXT, Binary).
Поддерживаются запросы к внешним общедоступным сервисам (Google API,
Яндекс API).
Подключение новой системы занимает 1-2 часа
Необходимые
права доступа
для сбора
инвентаризаци
онных данных
Нет данных
Агентная инвентаризация
Нет данных
Для сканирования Windows- систем требуется предоставить учетной записи права локального администратора на целевом устройстве.
Для сканирования Windows- систем требуется предоставить учетной записи права локального администратора на целевом устройстве.
Для подключения к Active
Directory можно использовать стандартные полномочия пользователя домена
Метрики
процесса
инвентаризаци
и активов
Нет данных
Визуализация устранения уязвимостей, применения рекомендованных настроек безопасности,
Нет данных
Типы метрик: время реагирования на инцидент
(функционал IRP), исполнение сроков реагирования, понесенный и
Любые требующиеся метрики, задание пользовательских алгоритмов и логики

28 состояния информационной безопасности (Security
Score, Compliance Score) в виде графиков предотвращенный ущерб.
Создание дополнительных пользовательских метрик не поддерживается.
Метрики ведутся для активов типа «Организация»
(«Подразделения»), «Бизнес- процессы», «Группы ИТ- активов».
Поддерживается изменение пороговых значений для метрик и задание персональных метрик для определенных активов.
Визуализация метрик: графический (графики, цветовая индикация) и цифровой (текст) вид сравнения, произвольные пороговые значения.
Создание метрик для любого типа логических объектов, включая активы.
Визуализация метрик: в виде интерактивных диаграмм и дашбордов с функцией Drill-
Down, графиков, отчетов
2.1.2. Управление уязвимостями
Источники
информации
об уязвимостях
Интеграция со сканерами уязвимостей
Собственный репозиторий, репозиторий MITRE
Интеграция со сканерами уязвимостей
Полученные по результатам инвентаризации данные об установленном ПО соотносятся с базой уязвимостей Vulners.com, которая агрегирует данные из различных репозиториев уязвимостей (CVE, вендорские базы).
Интеграция с БДУ ФСТЭК
России.
Интеграция со сканерами уязвимостей
Интеграция с БДУ ФСТЭК
России, ПО ScanOVAL.
Интеграция со сканерами уязвимостей.
Возможна интеграция с любым репозиторием уязвимостей

29
Критерии
критичности
уязвимостей
Соответствует критериям, используемым сканерами уязвимостей
Соответствует нотации
CVSS v3
Соответствует критериям, используемым сканерами уязвимостей
Собственная метрика критичности R-Vision (5 уровней)
Гибко настраивается. По умолчанию соответствует нотации CVSS v3
Типы
уязвимостей
• Уязвимости ПО
• Уязвимости ПО
• Уязвимости конфигураций
• Уязвимости ПО
• Уязвимости ПО
• Уязвимости ПО
• Уязвимости конфигураций
Данные об
уязвимостях
Нет данных
Нет данных
Нет данных
• Описание уязвимости
• Источник
• Уровень критичности
• Связанные узлы/группы активов/сети/ оборудование
• Информация для устранения уязвимости
• Временные метрики
(даты обнаружения, открытия, последнего обновления, устранения, закрытия, установки отметки
«ложное срабатывание»)
• Количество уязвимых активов
• Статус устранения уязвимости
• Источник
• Идентификаторы в различных системах
• Описание
• Краткое описание
• Способ исправления:
• CVSS (базовая оценка)
• CVSS (временная оценка)
• CVSSv3 (базовая оценка)
• CVSSv3 (временная оценка)
• Метрики эксплуатируемости базовой оценки
• Метрики эксплуатируемости временной оценки
• Ссылки
• Наличие публично доступного эксплойта

30
• Дата первого обнаружения
• Дата последнего обнаружения
• Время устранения
• Время закрытия
Настройка
процесса
управления
уязвимостями
Нет данных
Установка статусов уязвимостей.
Ручное или автоматическое назначение ответственного за устранение уязвимостей и постановка сроков
Нет данных
Установка статусов уязвимостей
(открыта/закрыта) вручную или автоматически по результатам инвентаризации/сканировани я.
Ручное или автоматическое назначение ответственного за устранение уязвимостей и постановка сроков (в зависимости от уровня критичности).
Оповещение ответственных по email.
Возможность вручную завести инцидент по результатам обнаружения определенной уязвимости, при этом в свойствах инцидента отсутствует динамическое обновление информации об активах с обнаруженной впоследствии аналогичной уязвимостью
Процесс управления уязвимостями гибко настраивается в рамках логического рабочего процесса управления уязвимостями.
Предусмотрены ручные
(выполнение действий по команде пользователя) и автоматические (выполнение действий при наступлении определенных условий) транзакции-действия в целевой системе, настраиваемые в рамках рабочего процесса управления уязвимостями с использованием графического редактора. В качестве действий предусмотрено создание нового объекта, изменение свойств текущего объекта, наполнение справочников, выполнение скриптов автоматизации (Bash,
PowerShell, Batch, cmd, Java,

31
Javascript, Python), выполнение запросов к внешним системам, выполнение запросов к базам данных.
Выполнение скриптов автоматизации позволяет запустить произвольный процесс обработки уязвимостей
(установка/удаление ПО, изменение ключей реестра, конфигурационных файлов, настроек устройств и т.д.).
Рабочий процесс управления уязвимостями может включать в себя постановку задач на устранение уязвимостей, маршрутизацию задач исполнителям, контроль качества и сроков устранения уязвимостей и т.д.
Предусмотрен чат по объектам, в рамках которого пользователи системы могут общаться по связанным с уязвимостью задачам
Виртуальный
патчинг
уязвимостей
Нет
Нет
Нет
Нет
Да, путем выполнения скриптов автоматизации

32
(используя
встроенный
функционал
решения)
2.1.3. Управление задачами, документами, требованиями
Настройка
процесса
управления
задачами
Поддерживается ручное и автоматическое создание задач
Поддерживается ручное создание задач
Поддерживается ручное создание задач
Поддерживается ручное и автоматическое создание задач.
Автоматически задачи создаются из модулей
«Аудит и контроль» и
«Инциденты» в результате привязки замечаний по аудиту к активам организации или добавления действий по инциденту
Процесс управления задачами гибко настраивается в соответствии с логическим рабочим процессом, с выполнением автоматических и ручных действий.
Процесс управления задачами может полностью воспроизвести принятый в организации механизм обработки заявок любого характера, включая не только
ИБ/ИТ-задачи, но и произвольные бизнес- процессы
Функционал
процесса
управления
задачами
Возможность устанавливать степень критичности задачи, контроля исполнения, отправки оповещений по email.
Возможность создавать отчетность по задачам
Просмотр задач в интерфейсе системы.
Возможность устанавливать степень критичности задачи, контроля исполнения, отправки оповещений по email
Просмотр задач в интерфейсе системы.
Возможность устанавливать степень критичности задачи, контроля исполнения, отправки оповещений по email
Возможность просматривать информацию по задачам, формировать список задач, добавлять комментарии и документы к задачам, экспортировать задачи в
Excel-файл.
Присутствует светофорная индикация статуса задачи, назначаются 4 уровня важности задачи.
Автоматические и ручные действия по задаче могут включать в себя уведомление пользователей, выполнение скриптов автоматизации на целевой системе, создание подзадач (декомпозиция), назначение ответственных в зависимости от свойств задачи, эскалацию задачи при превышении сроков выполнения или увеличении критичности и т.д.

33
Возможность присвоения задачи ответственному, оповещения по email, распределения подзадач сотрудникам с указанием родительской задачи
(декомпозиция).
Ведение перечня задач во взаимосвязи с ролевой моделью.
В системе присутствуют функции сервис-деск с маршрутизацией и отслеживанием задач по линиям L1-L2-L3 Центров
SOC.
Присутствует возможность управления задачами с использованием функционала «Базы знаний/решений», в которой накапливается и анализируется информация по ранее решенным задачам с возможностью поиска наиболее подходящего решения на основе нейронной сети с динамическими весовыми коэффициентами и с механизмом «обучение с учителем».
Предусмотрен чат по объектам, в рамках которого пользователи системы могут общаться по назначенным задачам

34
Настройка
процесса
управления
документами и
требованиями
Настройка процесса управления требованиями подразумевает создание перечня стандартов и нормативных требований, используемых при проведении аудитов
Использование встроенного перечня стандартов и рекомендаций, составление своего перечня
Использование встроенного перечня стандартов и рекомендаций, составление своего перечня
Настройка процесса управления требованиями подразумевает создание перечня стандартов и нормативных требований, используемых при проведении аудитов.
Требования связываются со списком контрольных проверок, поддерживается создание пользовательских контрольных проверок и задание их весовых коэффициентов.
Управление документами осуществляется путем создания списка документов, описывающих защитные меры (регламенты, политики) с указанием утверждающего, даты создания и планового пересмотра с напоминанием о сроках. Документ связывается с объектами ИТ- инфраструктуры, подпадающими под его действие
Настройка процесса управления требованиями подразумевает создание перечня стандартов и нормативных требований, используемых при проведении аудитов.
Создание рабочего процесса для управления документами и требованиями/стандартами позволяет реализовывать произвольную логику их обработки: назначение ответственных и сроков пересмотра с оповещением, изменение свойств других объектов (например, повышение критичности актива при попадании его в поле действия отраслевого/ государственного стандарта), объединение в группы, экспорт/импорт и т.д.
Функционал
процесса
управления
документами и
требованиями
Поддерживается добавление пользовательских стандартов и
Поддерживается добавление пользовательских стандартов и
Поддерживается добавление пользовательских стандартов и
Поддерживается добавление пользовательских стандартов и нормативных требований.
Поддерживается добавление пользовательских документов, стандартов и нормативных требований.

35 нормативных требований нормативных требований.
Поддерживается создание пользовательских контрольных проверок
(assessments) нормативных требований
Поддерживается создание контрольных проверок, объединяемых в группы и чек-листы, для отслеживания соответствия требованиям и назначенным защитным мерам.
Список защитных мер: пользовательский список, типовой каталог защитных мер R-Vision, SANS CIS
Critical Security Controls v6, v7.
Загрузка, изменение, удаление в системе произвольного документа (в т.ч. с файловым вложением), с автоматическим назначением ответственного за загруженный объект
Список защитных мер: пользовательский список, авторский каталог защитных мер Security Vision, SANS
CIS Critical Security Controls v6, v7
2.1.4. Мониторинг состояния информационной безопасности
Визуализация Типы панелей графического отображения:
• Карты
• Дашборды
Функционал Drill-Down
Типы панелей графического отображения:
• Карты (режимы карт: карта мира, схемы взаимосвязей)
• Графики
• Дашборды
Функционал Drill-Down
Типы панелей графического отображения:
• Графики
• Дашборды
Типы панелей графического отображения:
• Карты (режимы карт: карта мира, карта сетей, планы помещений, схемы взаимосвязей)
• Графики
• Схемы
• Дашборды
Типы графиков:
Встроенный конструктор отчетов и дашбордов для использования любых данных и тонкой настройки отображаемой информации.
Визуализация произвольных данных, получаемых путем создания SQL-запросов к БД.
Экспорт графических представлений в форматы pdf, jpg, png.

36
• Аудит и контроль
• Управление инцидентами (более
10 предустановленных диаграмм)
• Управление активами
(более 10 предустановленных диаграмм)
• Управление рисками, включая визуализацию ущерба от киберинцидентов
Функционал карт:
• Отображение инцидентов, активов, уязвимостей, групп
ИТ-активов на географических картах
• Функционал Drill-
Down (переход с карты на инциденты/активы с просмотром подробных сведений),
• Поиск активов по карте
• Переход с активов на сетевую схему
• Отображение активов на планах помещений
• Экспорт карт (формат png)
Импорт графических представлений из форматов jpg, png.
Во всех графических представлениях предусмотрен поиск по объектам, функционал Drill-
Down, быстрый переход к связанным объектам
(активам, инцидентам).
Графические представления
(виджеты) с поддержкой интерактивного взаимодействия для формирования дашбордов любого состава и конфигурации.
Предустановленные типы отображения данных для виджетов:
• Линейный график
• Гистограмма
• Таблица
• Секторная диаграмма
• Список
• Календарь инцидентов
Предустановленные панели визуализации:
• Операционный дашборд (информация

37
• Импорт пользовательских планов помещений
(форматы png, jpg)
Функционал графиков:
• Указание пользовательского временного диапазона для построения графика
• Построение произвольных графиков
• Построение графиков по параметрам заранее созданного фильтра
• Конструктор графиков
(типы диаграмм: круговая, столбчатая, линейная)
Функционал схем:
• Связывание произвольных типов инцидентов/активов друг с другом
• Визуализация активов на сетевой схеме
Функционал дашбордов:
• Диаграммы и метрики, отображающие историю, текущие по киберинцидентами)
• Тактический дашборд
(статистическая информация, визуализация динамики инцидентов)
• Общий дашборд по рискам (визуализация динамики киберрисков, распределение рисков, история)
• Расширенный дашборд по рискам для информационных систем
(распределение рисков, история)
Географическая карта с визуализацией зданий, населенных пунктов, планеты. Отображение характеристик, взаимосвязей, взаимодействий между объектами, включая активы и инциденты, с отображением доступности устройств и сервисов.
Визуализация предустановленных объектов на карте:

38 статусы, события и статистику
• Визуализация данных по оборудованию, рискам, показателям соответствия (аудиту), уязвимостям, ПО, ОС
• Активы (инциденты, уязвимости, риски, связанные с активами)
• Инциденты (с визуализацией источников атак и атакуемых активов)
• Филиалы и отделения
(отображение активов и консолидированной информации по географическим пунктам)