Смотреть обзор ирп: Ошибка 404. Нет такой страницы

Разное

Содержание

Макс Брандт (САМЫЙ КРУТОЙ СУХПАЕК _ ОЧЕНЬ НЕОЖИДАННО _ ОБЗОР ИРП) — Передачи и шоу

Макс Брандт — это популярный канал о вкусной еде. Автор канала — фуд-блогер Макс Брандт, который отправляется в разные уголки мира для того, чтобы продегустировать различные вкусности. Новым опытом блогер в подробностях делится в своих видео. Иногда Макс становится гостем владельцев заведения. Приглашающая сторона угощает блогера своими деликатесами, в обмен на что он делится впечатлениями со своими подписчиками.

Свою деятельность в качестве блогера Макс Брандт начал в далеком 2008 году, когда увидел видео нескольких популярных на тот момент видеоблогеров. Его первые работы не увенчались успехом. Однако знакомство с таким же не особо популярным блогером Костей Павловым изменило ситуацию. Вместе ребята смогли поймать актуальную волну и создали несколько видеопередач, которые принесли им популярность вместе и по отдельности. Спустя некоторое время у Макса появился еще один род деятельности — продюсирование начинающих блогеров.

В современных университетах пока еще не научились, как правильно давать знания на тему набирающей популярность специальности «блогер». Всё необходимое новичкам приходится познавать самостоятельно. Однако, если выбрать выигрышную тему, например, фуд-блогерство, соединенное с путешествиями по миру, как и поступил Макс Брандт, часть успеха уже обеспечена. Стоит отметить, что у фуд-блогинга есть один существенный недостаток — для того, чтобы работать с темой, необходимо иметь хотя бы минимальные знания по теме, а также желательно иметь хорошую камеру для съемок.

Макс Брандт — это популярный канал о вкусной еде. Автор канала — фуд-блогер Макс Брандт, который отправляется в разные уголки мира для того, чтобы продегустировать различные вкусности. Новым опытом блогер в подробностях делится в своих видео. Иногда Макс становится гостем владельцев заведения. Приглашающая сторона угощает блогера своими деликатесами, в обмен на что он делится впечатлениями со свои

Обзор рынка платформ реагирования на инциденты (IRP) в России

Тематика платформ реагирования на инциденты (Incident Response Platforms, или IRP) набрала популярность в последние несколько лет — что подтверждает экспертная оценка. В этой статье мы определим, что такое IRP, и посмотрим, какое предложение IRP существует на рынке на начале 2018 года.

 

 

 

 

 

  1. Введение
  2. Определение предметной области и рынка платформ реагирования на инциденты
  3. Российские поставщики платформ реагирования на инциденты
    1. 3.1. Jet Signal
    2. 3.2. R-Vision Incident Response Platform
    3. 3.3. Security Vision Incident Response Platform
  4. Зарубежные поставщики платформ реагирования на инциденты
    1. 4.1. CyberBit SOC 3D
    2. 4.2. IBM
  5. Open-Source-платформы реагирования на инциденты
    1. 5.1. Fast Incident Response (FIR)
    2. 5.2. The Hive
  6. Выводы

 

Введение

Рост популярности IRP вызван как видимыми бизнесу атаками (WannaCry, Petya, большие DDoS-атаки на российские банковские и государственные структуры), так и постепенным уменьшением объема доступной на рынке труда экспертизе по ИБ.

 

Демографический кризис в сочетании с «клиповым» мышлением приводят к обмелению ранее обманчиво кажущегося безбрежным кадрового моря ИБ-талантов, и заставляет организации искать пути повышения КПД имеющегося персонала, а именно через разработку, внедрение и автоматизацию процессов ИБ, управления инцидентами и реагирования на инциденты, в частности.

Особую актуальность тематика автоматизации реагирования приобрела из-за точности и скорости процедур и процессов реагирования. Ведь именно в этот момент счет идет на секунды — организации стремятся снизить время реагирования (а значит, понесенный ущерб) до минимального значения.

 

Определение предметной области и рынка платформ реагирования на инциденты

Определения IRP в зависимости от источника существенно различаются, но в целом IRP — это класс технологий, направленных на автоматизацию и повышение эффективности процессов управления, реагирования и расследования инцидентов ИБ. Иногда поставщики называют IRP технологической основой для SOC — и с точки зрения рыночных практик с ними трудно спорить, ведь историческая основа для SOC SIEM потихоньку сходит с рынка, а понимание центральной роли log management (и концепции data lake в целом) на рынок еще не проникло в полной мере.

Определяющими характеристиками IRP являются наличие функций по автоматизации жизненного цикла управления инцидентами (Incidents management & investigations) и определенная база знаний (Security Knowledge Base), ценятся также функции проведения киберучений (Wargames), автоматического реагирования на инциденты определенного типа (Active Response) и интеграции с различными источниками данных об угрозах (например, платформами управления информацией об угрозах — Threat Intelligence Management Platforms),  что позволяет определить IRP как пересечение четырех множеств на рисунке 2.

 

Рисунок 1. Модель IRP аналитического центра Anti-Malware.ru версии 1.0

 

 

Каждое из направлений  IRP имеет свою специфику, например, автоматизация процессов ИБ (incident workflow management & orchestration) предназначена и имеет функции для поддержки достижения трех целей:

  • Контроль качества работы аналитиков в части классификации инцидентов и определениях их статуса (false positive) — архив инцидентов и кастомизируемые карточки инцидентов.
  • Контроль оперативности работы аналитиков — контроль выполнения SLA.
  • Повышение полезной нагрузки на аналитика — автоматическое распределение и назначение инцидентов.

На рисунке 2 приведен пример функциональности IRP, что поддерживает процессы реагирования на инциденты ИБ:

 

Рисунок 2. Пример функциональности IRP, поддерживающей процессы реагирования на инциденты ИБ

 

Рынок IRP включает в себя российских и зарубежных поставщиков решений, а также возможно использовать различные Open-Source-решения.

 

Российские поставщики платформ реагирования на инциденты

Рынок IRP в России представлен в первую очередь российскими поставщиками. Особой специфики в российском рынке IRP автору не удалось найти, но локальные игроки традиционно ведут более гибкие продуктовые и ценовые политики.

 

Jet Signal

Одним из наиболее молодых игроков на рынке IRP стала компания «Инфосистемы Джет». Компания давно известна своей способностью создавать продукты ИБ — на ее счету Dozor Jet, Jet InView, «Тропа» и много других, и несмотря на выделение вендорского ИБ-бизнеса в компанию Solar Security в 2015, «Джет» продолжает создавать новые продукты ИБ.

Вендор позиционирует Jet Signal как систему класса IRP — технологическую платформу для создания SOC, основные задачи которой — управление инцидентами ИБ на всех этапах жизненного цикла: сбор событий ИБ от подсистем ИБ, SIEM, неавтоматизированных источников, управление планами реагирования, автоматизация расследования, организация работы дежурных смен, ведение базы знаний, систематизация данных Threat Intelligence и т. д.

Достоинства:

  • Архитектура — как новое на рынке решение, система не имеет legacy-кода.
  • Киберучения — система позволяет проводить киберучения для подразделения мониторинга ИБ (нет отдельного модуля но можно создать синтетический инцидент).
  • Сертификация — система имеет сертификат соответствия требованиям безопасности информации по уровню контроля 2 НДВ и РДВ системы сертификации Министерства обороны и поддерживает комплекс средств защиты Astra Linux.

 

Рисунки 3, 4, 5. Возможности модулей Jet Signal и интерфейс Jet Signal

 

 

 

 

R-Vision Incident Response Platform

R-Vision IRP стал результатом развития R-Vision GRC в сторону автоматизации процессов мониторинга и реагирования на инциденты ИБ, поэтому в решении традиционно сильны компоненты работы с активами, а за счет длинного присутствия на рынке R-Vision GRC многие функции решения достигли промышленной зрелости и решение разворачивается из коробки — вендор готов проводить пилотные проекты для многих клиентов.

Однако стоит отметить, что любая кастомизация предполагает затраты с каждой из сторон, поэтому запросы на добавление функциональности решения определенно будут учтены, но могут быть не приняты вендором без дополнительной оплаты.

Достоинства:

  • Опыт проектов в России — источники в индустрии и публичные выступления (например, кейс МТС-банка на Сколково CyberDay 2017) свидетельствуют о значительном опыте вендора по автоматизации процессов реагирования на инциденты ИБ в России в организациях разного масштаба — например, банки топ-50, банки топ-10, государственные структуры.
  • Интеграция — R-Vision инвестировал миллионы в интеграцию с самыми разными средствами защиты информации, некоторые консоли управления от вендоров интегрируемых систем отображают меньше информации, чем R-Vision.
  • Наличие готовых скриптов реагирования (cmd, sh script, Power Shell) и возможность добавления собственных (cmd, sh script, Power Shell , а также в средах python, java и perl).
  • Динамические playbooks. Возможность включения в цепочку действия, результат которого будет зависеть от результата предыдущего.
  • Наличие функциональности по управлению активами и уязвимостями — редкий функциональный блок для классических, прежде всего, западных IRP-решений. Благодаря взаимосвязи указанных блоков с блоком управления реагированием на инциденты значительно повышается эффективность работы аналитиков SOC при расследовании инцидентов, устранении их последствий, установлении причин или оценке ущерба.

 

Рисунки 6, 7, 8, 9. Архитектура и интерфейс R-Vision IRP

 

 

Security Vision Incident Response Platform

Компания Security Vision работала над базовыми функциями IRP, когда аббревиатуры IRP не существовало на российском рынке, одни из первых автоматизировали жизненный цикл управления инцидентами на примере Сбербанка России, где решение находится в промышленной эксплуатации более 3 лет.

Для реагирования на инциденты (Active Response) решение использует автоматические планы реагирования и отдельное приложение «Агент реагирования», который является логическим продолжением и развитием собственной системы управления инцидентами ИБ (системы SGRC).  База знаний накапливает знания и позволяет проводить автоматический анализ ранее случившихся инцидентов безопасности и помогает в принятии решений. Функции проведения киберучений (Security Awareness), используется для повышения осведомленности сотрудников компании об информационной безопасности. Агентная и безагентная интеграция с различными источниками данных с поддержкой более 2000 источников (форматы CSV, email, STIX, XML, JSON, и др.) Интеграция для получения фидов на примере IBM X-Force и GIB, GovCERT.

Достоинства:

  • Реализация практически любого сценария реагирования на инцидент безопасности, проведение расследования за счет возможности определения цепочки последовательных действий.
  • Развитые средства визуализации и карта инцидентов ИБ (геоинформационная подсистема с проекцией 3D).
  • Полноценный Ticketing workflow (впервые реализован в Сбербанке в 2016 году) с редактором процессов, обеспечивающий работу с любой сущностью «заявки». Имеется автоматическое реагирование в соответствии с runbook/playbook/use case.
  • Высокая надежность, подтвержденная проектами федерального значения (крупнейший SOC в Восточной Европе, SOC госорганов). 
  • Наличие агентов для инвентаризации, контроля целостности, доступности и реагирования, что позволяет дополнять функции классической IRP.
  • SIEM-система Security Vision имеет конструктор простых правил корреляции.
  • Наличие функций управления активами, в том числе ИТ-активами.
  • Специализация на кибербезопасности — позволяет предположить более быстрое развитие продвинутой функциональности решений.
  • Ожидается получение сертификата ФСТЭК России.

 

Рисунки 10, 11, 12, 13. Интерфейс Security Vision IRP

 

 

 

 

Зарубежные поставщики платформ реагирования на инциденты

Несколько лет назад приобрести IRP от зарубежного игрока в России было непросто. Продвигая IRP, еще в 2014 году автор сталкивался как с малым интересом вендоров к России, так и с отсутствием у нас представительств и дистрибуторов. Приходилось выкручиваться с помощью ITSM\BPM-игроков, но с той поры стало легче — на рынок вышло 2 полноценных игрока.

При этом до конца неясно, появился ли у зарубежных игроков реальный интерес к рынку — их в стране всего два, в том числе ни одного представительства специализированной (pure play) IRP-компании. Сегмент представлен эксклюзивным дистрибутором CyberBit (IITD Group) и IBM, что ранее приобрела Resilient Systems.

 

CyberBit SOC 3D

Израильская компания CyberBit была основана в 2015 году для защиты корпоративных и критичных (АСУ ТП) инфраструктур от наиболее продвинутых угроз, возможно, ранее являясь внутренним подразделением израильского оборонного концерна Elbit (сейчас его дочерняя компания). Кроме IRP под названием CyberBit SOC 3D в портфеле решений компании возможно найти EDR, SCADA Security и даже решение класса Cyber Range, что предназначено для имитации корпоративной инфраструктуры при проведении упражнений RedTeam — BlueTeam.

Вендор декларирует наличие ключевых для IRP-решения функций автоматического реагирования на инциденты ИБ и управления и контроля обработки инцидентов и тикетов ИБ (подозрений на инциденты), но вынес функциональность киберучений в отдельное решение Cyber Range.

Вендор не разглашает своих клиентов, несколько неожиданно комбинируя на своем сайте клиентов с партнерами, поэтому при оценке решения желательно запросить истории успеха.

Достоинства:

  • Специализированный портфель решений — вероятна синергия при условии приобретения пакетом.
  • Глобальный опыт — офисы в Израиле, США, Великобритании, Германии и Сингапуре позволяют надеяться, что компания получит доступ к разным проблемам разных клиентов и сможет автоматизировать их решение для будущих клиентов.
  • Новый на российском рынке бренд и молодая компания — позволяет надеяться на ценовую лояльность производителя.
  • Специализация на кибербезопасности — позволяет предположить более быстрое развитие продвинутой функциональности решений.

 

Рисунки 14, 15, 16. Интерфейс IRP-решения CyberBit SOC 3D

 

 

 

 

IBM Resilient Incident Response Platform (IRP) 

В 2016 году известная своим широким портфелем ИБ-решений компания IBM приобрела самого известного IRP-вендора — Resilient Systems. Компания реализует, возможно, наиболее функционально полное на рынке решение, однако рыночные и открытие источники (например, нашумевший тендер в Пенсионном фонде России) свидетельствуют о соответствии цены функциональным возможностям. Видимо, цена не смущает действительно крупные организации — вендор заявляет о присутствии решения в 100 организациях из списка Fortune 500.

      Достоинства IBM Resilient Incident Response Platform (IRP):

  • Широкий портфель решений — вероятна синергия при условии приобретения пакетом или наличия ранее приобретенных решений IBM. или открытые решения) набирают популярность в разных категориях — от операционных систем и виртуализации до прикладных задач безопасности. Ввиду разработки небольшими коллективами энтузиастов FOSS могут развиваться и решать определенные задачи ИБ даже более полно, чем традиционные коммерческие решения от забюрократизированных гигантов — например, тесно интегрируются с TIMP, нативно поддерживают.

     

    Fast Incident Response (FIR)

    В 2014 году CERT Societe Generale (команда быстрого реагирования на инциденты ИБ глобальной банковской группы французского происхождения) выложила в открытый доступ платформу Fast Incident Response для учета и управления инцидентами ИБ.

    FIR является наиболее функционально простым решением из решений обзора и даже может быть исключен из класса IRP по формальным основаниям. Фактически в решении реализованы лишь процессы управления инцидентами. Однако такой набор функциональности востребован многими организациями среднего размера, которые еще не осознали пользу от развитых процессов и технологий для оптимизации реагирования на инциденты. Вместе с этим в наличии и продвинутая функция — интеграция с TIMP YETI.

    Открытые IRP-решения несколько концептуально противоречивы — IRP предназначены для повышения эффективности работы аналитиков, однако перед выбором открытого решения стоит определиться, кто из аналитиков (инженеров) будет поддерживать такое решение, неизбежно отвлекаясь тем самым от мониторинга угроз ИБ.

    Достоинства:

    • Простота — решение быстро разворачивается и обучать его использованию просто.
    • Финансовая гибкость — нет необходимости оплаты лицензий, а также ежегодной поддержки.
    • Технологическая гибкость — открытый код, распространенный язык программирования (Python) и небольшой размер кодовой базы позволяют подправить код самостоятельно при наличии соответствующих компетенций.

     

    Рисунки 19, 20, 21. Интерфейс платформы Fast Incident Response

     

     

     

     

     

     

     

    The Hive

    В 2016 году CERT Banque de France (команда быстрого реагирования на инциденты ИБ Центрального банка Франции) выложила в открытый доступ платформу The Hive для поддержки расследований инцидентов ИБ.

    The Hive плотно интегрирована с целым рядом смежных решений для поддержки расследования инцидентов ИБ — платформой по управлению информацией об угрозах MISP, специализированным поисковиком Cortex и агрегатором информации об угрозах Hippocampe.

    Достоинства:

    • Развитие — решение быстро развивается и обрастает новыми сервисами в рамках единой экосистемы.
    • Расследования — за счет плотной интеграции с техническими средствами расследования The Hive оптимален для Threat Hunting (поиска и расследования сложных угроз).
    • Финансовая гибкость — нет необходимости оплаты лицензий, а также ежегодной поддержки.
    • Интеграция с любым внешним источником (SIEM, IPS, DLP и т. д.) через TheHive4py.

     

    Рисунки 22, 23, 24. Платформа The Hive

     

     

     

     

     

     

    Выводы

    Сегодняшний рынок IRP находится еще в своем младенчестве — в России пока лишь десятки клиентов, кому тема интересна и кто готов за нее платить. Однако спрос в основном еще не квалифицирован, а решений мало, поэтому поставщики решений получают премиальную маржу, а развитие функциональности за счет такой маржи идет впечатляющими темпами.

    Несмотря на молодость рынка на нем уже есть 7 решений с достаточной для выполнения базовых задач функциональностью. Российские поставщики решений обладают уникальными функциями (управление активами и сканирование сети, собственные агенты) либо лучшими функциями на уровне мировых конкурентов (киберучения), зарубежные пока только присматриваются к рынку, а открытые решения угрожают забрать рынок среднего бизнеса у коммерческих — они проще в использовании, разворачиваются быстрее, чем некоторые коммерческие, и не требуют закупки программного обеспечения или обоснования приобретения ПО не из реестра Минкомсвязи.

    Отдельная тема — контентные базы и референсные библиотеки процессов из коробки. Архитектура и функциональные возможности решений во многом формируются стихийно, и даже мировые лидеры не в состоянии принести клиентам детальный стек проработанных процессов управления инцидентами — процессы «допиливаются» прямо на клиенте. Качественные процессные модели неминуемо станут конкурентным преимуществом для тех игроков, что будут в состоянии их разработать.

     

    Коллектив Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала коллегам:   

    Jet Signal

    • Андрей Янкин, заместитель директора Центра ИБ ЗАО «Инфосистемы Джет»

    R-Vision

    • Игорь Сметанев, коммерческий директор ООО «Р-Вижн»

    Security Vision

    • Артём Зюльманов, старший аналитик ООО «Интеллектуальная безопасность»

    Что такое IRP, где используется и как внедряется

    Руслан Рахметов, Security Vision

    Друзья, в предыдущих статьях мы с вами познакомились с основными концепциями информационной безопасности, узнали о Центрах SOC и выяснили, что такое SIEM. В сегодняшней публикации мы продолжим говорить про средства защиты информации, применяемые при реагировании на инциденты информационной безопасности: у нас на очереди платформы реагирования на инциденты ИБ — Incident Response Platform. Интересно, что такое IRP, где и как используется? Тогда — вперед!

    В предыдущей публикации мы рассмотрели системы SIEM и узнали, что они применяются в том числе и в SOC-Центрах для помощи специалистам при реагировании на инциденты информационной безопасности. Однако, на текущий момент количество инцидентов ИБ, особенно в крупных компаниях, достаточно велико, при реагировании на них счет идет буквально на минуты, а нанять большое количество высококлассных специалистов могут себе позволить не все компании. Таким образом, остро встает вопрос о том, как можно помочь аналитикам ИБ при реагировании на инциденты и как можно снять с них рутинную нагрузку по выполнению однотипных операций. Представим себе ситуацию, когда SIEM-система показывает, что происходит возможная атака на финансовую систему ДБО (дистанционное банковское обслуживание). Злоумышленники могут похитить деньги со счетов фирмы с минуты на минуту, и после этого вернуть денежные средства будет затруднительно. Аналитик SOC, увидев такой инцидент, должен по сценарию реагирования собрать большое количество вспомогательной информации, такой как имя атакованного сервера, название финансовой системы, уточнить фамилию и контактные данные ответственного, получить у него дополнительную информацию. Если не осталось сомнений в том, что этот инцидент — «боевой», а не ложноположительный, то аналитику нужно как можно быстрее изолировать атакованный сервер от сети компании, заблокировать скомпрометированную учетную запись, сообщить об инциденте руководителю и прочим лицам в соответствии с матрицей коммуникации.

    Как видим, задач — масса, и все их следует выполнить за строго отведенное нормативами время, например, за 10 минут. И как раз тут на помощь нашему аналитику может прийти платформа Incident Response Platform — это система автоматизации реагирования на инциденты информационной безопасности. Система IRP (сокращение от Incident Response Platform) помогает выполнить ряд рутинных операций по сбору дополнительной информации, осуществить неотложные действия по сдерживанию (англ. contain) и устранению (англ. eradicate) угрозы, восстановить (англ. recover) атакованную систему, оповестить заинтересованных лиц, а также собрать и структурировать данные о расследованных инцидентах информационной безопасности. Таким образом, в контексте защиты информации, IRP – это платформа реагирования на инциденты кибербезопасности, используемая для систематизации данных об инцидентах информационной безопасности. Кроме того, система позволяет роботизировать и автоматизировать действия оператора-специалиста ИБ, которые он производит при реагировании на инциденты информационной безопасности. Давайте подробнее остановимся на задачах реагирования на инциденты информационной безопасности, выполняемых IRP-системами.


    Для того, чтобы понять, как и где корректно применять и внедрять системы Incident Response Platform, нам следует сначала понять, что такое реагирование на инциденты информационной безопасности в целом и как можно автоматизировать этот процесс. Реагирование на инциденты ИБ состоит из нескольких взаимосвязанных процессов:

    1. Подготовка

    2. Детектирование

    3. Анализ

    4. Сдерживание/локализация

    5. Устранение

    6. Восстановление

    7. Пост-инцидентные действия

    Рассмотрим их подробнее.

    1. Этап подготовки является предварительным и одним из ключевых. На нём следует обеспечить группу реагирования на инциденты всем необходимым программным и аппаратным обеспечением (т.е. выдать ноутбуки, смартфоны, установить на них необходимые специальные программы), а также выполнить превентивные действия по предотвращению инцидентов (защитить сеть и устройства компании, установить средства защиты информации, провести обучение сотрудников). На данном этапе платформа IRP настраивается для эффективного применения: к ней подключаются ИТ-системы и средства защиты, с которыми предстоит взаимодействовать при реагировании на инциденты. Как правило, обеспечивают подключение тех систем, которые способны представить специалисту дополнительную информацию в контексте инцидента, например, сведения о затронутых инцидентом пользователях (контактные данные, должность, структурное подразделение, полномочия) и устройствах (тип операционной системы, установленное ПО, выполняемая функция). Кроме этого, подключаются и средства защиты, которые в рамках реагирования на инцидент будут выполнять задачи по сдерживанию и устранению угроз, например, средства защиты конечных точек, межсетевые экраны и системы управления сетью. На этом же этапе настраиваются и так называемые playbooks или runbooks — по сути, сценарии реагирования, в соответствии с которыми IRP-система будет предпринимать заранее заданные действия в зависимости от деталей инцидента. Например, в случае наступления инцидента ИБ на особо критичной системе IRP-платформа немедленно даст команду на изоляцию этой системы от сети компании для проведения дальнейших разбирательств. Таким образом, к моменту возникновения инцидента информационной безопасности в компании должны быть готовы как специально обученные специалисты по реагированию, так и система IRP должна быть приведена в полную боевую готовность. Это является залогом того, что даже если инцидент случится, то его можно будет быстро локализовать и его последствия не будут чрезмерно разрушительными.

    2. На этапе детектирования следует определить список возможных типов инцидентов ИБ и сформулировать перечень признаков возможных инцидентов. Признаки можно условно разделить на прекурсоры и индикаторы инцидентов информационной безопасности. Прекурсор — это признак того, что инцидент ИБ может произойти в будущем. Индикатор — это признак того, что инцидент уже произошел или происходит прямо сейчас. Примерами прекурсоров инцидента информационной безопасности могут быть зафиксированное интернет-сканирование открытых портов веб-серверов компании или выявление уязвимости в какой-то ИТ-системе. Примерами индикаторов инцидента информационной безопасности могут быть появление сообщений от средства защиты (антивируса, межсетевого экрана и т.д.) о возможной атаке, исчезновение важных данных из ИТ-систем, появление ошибок и сбоев в работе программ. Для того чтобы максимально эффективно задействовать систему IRP на этапе детектирования, следует интегрировать IRP-платформу с SIEM-системой: такая связка обеспечит «бесшовную» передачу прекурсоров и индикаторов инцидента от ИТ-систем и средств защиты компании через SIEM напрямую в IRP-систему, что позволит ей оперативно обнаруживать инциденты и в дальнейшем предпринимать адекватные меры по реагированию на них.

    3. Во время анализа инцидента основная нагрузка ложится на опыт и экспертизу аналитика — ему предстоит принять решение, был ли зафиксированный инцидент «боевым» или всё же это было ложноположительное срабатывание. На этом этапе бесценную помощь окажет IRP-платформа — благодаря тому, что она может предоставить ценную контекстную информацию, относящуюся к инциденту. Приведем пример: SIEM-система сообщает о том, что веб-сервер компании подвергся атаке, при этом использовавшаяся уязвимость применима только к ОС Linux. Аналитик, посмотрев в консоль IRP, сразу увидит, что атакованный веб-сервер работает на ОС Windows, следовательно, атака не могла быть успешной. Другой пример: антивирусная система на одном из ноутбуков сообщила о вирусном заражении и о последовавшим за этим обращением к определенным IP-адресам. Аналитик, воспользовавшись данными IRP-системы, увидит, что аналогичная сетевая активность наблюдается и на нескольких других устройствах в сети компании, что говорит не о единичном вирусе, а о массированном заражении. Инциденту будет присвоен статус «критичный», он будет эскалирован в соответствии с матрицей эскалации, и на его устранение будут направлены дополнительные ресурсы. Платформа IRP поможет запротоколировать все действия, выполненные в рамках реагирования, а также автоматизирует действия по коммуницированию и эскалации инцидента.

    4. На этапе сдерживания (или локализации) инцидента главной задачей является минимизация потенциального ущерба от инцидента ИБ и предоставление временного окна для принятия решения об устранении угрозы. Этого можно достичь, например, оперативно включив более строгие запретительные правила на межсетевом экране для зараженного устройства или вообще изолировав зараженный хост от локальной сети компании, отключив часть сервисов и функций, или, наконец, полностью выключив зараженное устройство. На данном этапе очень важно понимать, какую функцию выполняет затронутый инцидентом ИТ-актив, поскольку, например, выключение критически важного сервера может привести к более существенным негативным последствиям для компании, чем простая перезагрузка некритичного сервиса на нём. В данной ситуации IRP-платформа опять же подскажет, какие функции выполняет сервер, как и когда его можно выключать или изолировать. Кроме того, в playbooks IRP-системы на этапе подготовки должны быть заложены сценарии сдерживания, применимые для каждого конкретного типа инцидента. Например, в случае DDoS-атаки не стоит выключать атакуемые сервера, а в случае вирусного заражения внутри одного сегмента сети можно не изолировать устройства в другом сегменте. На этапе сдерживания также проводится анализ подробностей атаки: какая система была первой атакована, какими тактиками, техниками и процедурами пользовались атакующие, какие хакерские командные серверы используются в данной атаке и т.д. Указанную информацию поможет собрать IRP-система: интеграция с источниками киберразведки (англ. Threat Intelligence feeds) и специализированными поисковыми системами (например, VirusTotal, Shodan, Censys и т.д.) даст более чёткую и обогащенную картину произошедшего инцидента, что поможет эффективнее справиться с ним. В некоторых случаях может потребоваться также получить форензик-данные для последующего проведения компьютерной криминалистической экспертизы, и IRP-платформа поможет собрать такую информацию с атакованных устройств.

    5. На этапе устранения инцидента производятся уже активные действия по удалению угрозы из сети и предотвращению повторной атаки: удаляется вредоносное ПО, изменяются взломанные учетные записи (их можно временно заблокировать или, например, переименовать), устанавливаются обновления и «заплатки» для эксплуатированных уязвимостей, изменяются настройки средств защиты (например, для блокировки IP-адреса взломщиков). Указанные действия выполняются для всех затронутых инцидентом сущностей — и для устройств, и для учетных записей, и для программ. Чрезвычайно важно тщательно устранить уязвимости, которые использовались злоумышленниками, поскольку чаще всего, успешно взломав какую-либо компанию, хакеры возвращаются в надежде использовать всё те же недостатки её защиты. При выполнении данного процесса платформа IRP даст необходимые команды средствам защиты и соберет недостающие данные обо всех затронутых инцидентом устройствах. Таким образом, скорость реагирования на инцидент информационной безопасности в части устранения самой угрозы существенно возрастает при использовании IRP-системы, которая будет отличным подспорьем аналитику ИБ.

    6. На этапе восстановления следует проверить надежность предпринятых мер защиты, вернуть системы в нормальный режим работы (англ. business as usual), возможно, восстановив какие-то системы из резервных копий или установив заново. На данном этапе специалисты по ИБ задействованы уже в меньшей степени, но и тут системы IRP помогут не забыть все участвовавшие в инциденте устройства и хронологию событий, поскольку эти данные хранятся и накапливаются в IRP на протяжении всего цикла расследования инцидента.

    7. На этапе пост-инцидентных действий (англ. post-incident activities) следует проанализировать причины инцидента (англ. root cause analysis) для того, чтобы свести к минимуму вероятность повторного аналогичного инцидента в будущем, а также оценить корректность и своевременность действий персонала и средств защиты, и, возможно, оптимизировать какие-то процедуры реагирования. Рекомендуется использовать агрегированную базу знаний для ведения накопленного опыта реагирования, что также можно сделать в IRP-платформе, в которой уже хранится подробная информация о произошедших инцидентах ИБ и о предпринятых мерах реагирования. В некоторых случаях требуется составление официального отчета по инциденту, особенно если он был серьезным или затронул важные данные: например, информацию по компьютерным инцидентам в критической информационной инфраструктуре следует отправлять в государственную систему ГосСОПКА. Для таких целей в некоторых отечественных IRP-системах есть как API для работы с ГосСОПКА, так и возможность автоматизированного составления отчетов по инцидентам на основе заранее созданных шаблонов. Как видим, IRP – это еще и универсальное хранилище сведений об инцидентах информационной безопасности с возможностью роботизации рутинных действий специалиста по информационной безопасности.


    Подведем итог. Что же такое IRP-платформы, чем они полезны, как используются и внедряются? Системы IRP являются автоматизированными средствами реагирования на инциденты информационной безопасности, реализующие контрмеры для противодействия угрозам информационной безопасности в соответствии с заранее заданными сценариями реагирования. Сценарии реагирования называются playbooks или runbooks и представляют собой набор автоматизированных задач по детектированию угроз и аномалий в защищаемой инфраструктуре, реагированию и сдерживанию угроз в режиме реального времени. Сценарии реагирования действуют на основании настраиваемых правил и типов инцидентов, выполняя те или иные действия в зависимости от поступающих данных со средств защиты или информационных систем. Платформы IRP помогают проводить структурированное и журналируемое реагирование на инциденты информационной безопасности на основании правил и политик. По окончании реагирования на инцидент IRP-платформа поможет создать отчет об инциденте и предпринятых действиях по его устранению. Обобщая сказанное, можно сделать вывод, что система IRP – это платформа реагирования на инциденты кибербезопасности, предназначенная для защиты информации путем систематизации данных об инцидентах информационной безопасности и роботизации действий оператора-аналитика ИБ. Благодаря IRP-платформам команды реагирования на инциденты информационной безопасности могут существенно сэкономить время и усилия при расследовании инцидентов ИБ, что напрямую повышает операционную эффективность деятельности департаментов ИБ и SOC-Центров. Автоматизация и роботизация действий аналитика ИБ с помощью платформы IRP позволяют повысить производительность сотрудников департаментов информационной безопасности и Центров SOC.

    Обзор R-Vision IRP на Anti-Malware.

    ru

    Выбор программного обеспечения для решения той или иной проблемы — это всегда очень непростая задача. Понять кто вообще работает в этой области, какие есть аналоги, по каким критериям их сравнить, посмотреть на отзывы других пользователей.  Все это является крайне важным для принятия правильного решения. 

    Нам часто задают вопрос «А кто ваши конкуренты ?» и «А чем вы лучше/хуже?», мы отвечаем честно, конкурентов называем и всегда предлагаем посмотреть и оценить наш продукт в реальной работе. Потому как на бумаге и из уст специалистов по продажам все всегда звучит очень красиво (я уж не говорю что некоторые конкуренты идут на откровенный обман потребителей). А вот в реальной жизни и проверяется где действительно стоящая вещь, а где так…. фантик.

    Именно поэтому мы в свое время делали такой ресурс как ISM:Маркет, который позволил бы быстро получить картину предложения на рынке информационной безопасности. Проект к сожалению пришлось свернуть (т.к все усилия были направлены на основную разработку), но тем не менее с тех пор появилось несколько ресурсов с похожей целью.  

    И есть портал Anti-Malware.ru.  Коллеги во главе с Ильей Шабановым делают очень правильное дело, на мой взгляд. Они выпускают сравнения, обзоры решений и вообще дают очень полезную аналитику по рынку, которую пока у нас больше никто не поставляет (как-то довелось смотреть отчеты зарубежных грандов аналитики, честно говоря, их оценки российского рынка ИБ и игроков на этом рынке выглядели просто смешно, а точнее абсолютно некорректно). Некоторое время назад уже выходил обзор рынка SGRC решений, в котором был рассмотрен наш продукт по управлению рисками и комплаенсом. И вот сегодня коллеги выпустили детальный обзор нашего ключевого продукта по автоматизации реагирования на инциденты ИБ и централизации деятельности SOC —

    R-Vision Incident Response Platform

    Обзор получился довольно подробный, но даже он не смог охватить все возможные кейсы использования нашей разработки. Так что вернусь к изначальному посылу поста, все познается в реальной работе. Оставляйте у нас на сайте заявки на демо / пилоты, с удовольствем пообщаемся.  

    А еще приходите на наш стенд на SOC Форум, который пройдет уже на следующей неделе.

    usbkd.usbportmdportlog — Windows drivers | Microsoft Docs

    • Чтение занимает 2 мин

    В этой статье

    The !usbkd.usbportmdportlog command displays the USBPORT debug log if it is present in a crash dump that was generated as a result of Bug Check 0xFE.

    !usbkd.usbportmdportlog

    DLL

    Usbkd.dll

    Remarks

    Use this command only when you are debugging a crash dump file that was generated as a result of Bug Check 0xFE: BUGCODE_USB_DRIVER.

    Examples

    Here is an example of a portion of the output of !usbportmdportlog.

    1: kd> !analyze -v
*** ...
BUGCODE_USB_DRIVER (fe) 
...
1: kd> !usbkd.usbportmdportlog
Minidump USBPORT DEBUG_LOG buffer size 32768, entries 1024, index 400
*LOG: 0000000113be9600  LOGSTART: 0000000113be6400 *LOGEND: 0000000113bee3e0 # 1024 
[ 000] 0000000113be9600 Bfe2 ffffe0001416802c ffffe000020a44f0 ffffe0001416801c 
[ 001] 0000000113be9620 Bfe0 0000000000000000 ffffe000039f4720 ffffe00000b76cb0 
[ 002] 0000000113be9640 epr+ ffffe000043ee010 ffffe000008f5b80 ffffe00002820a0c 
[ 003] 0000000113be9660 alTR ffffe00002820a0c ffffe000039f4720 ffffe00000b76cb0 
//
// USBPORT_Core_AllocTransferEx()
// transfer:                ffffe00002820a0c
// Urb:                     ffffe000039f4720
// Irp:                     ffffe00000b76cb0

[ 004] 0000000113be9680 TRcs 0000000000000060 0000000000000468 0000000000000001 
[ 005] 0000000113be96a0 urbi ffffe0001422c4cc 0000000000000012 000000000000000b 
[ 006] 0000000113be96c0 dURB ffffe000039f4720 ffffe00000b76cb0 000000000000000b 
//
// USBPORT_ProcessURB() - Device Handle valid and has been referenced
// Urb:                     ffffe000039f4720
// Irp:                     ffffe00000b76cb0
// function:                URB_FUNCTION_GET_DESCRIPTOR_FROM_DEVICE

[ 007] 0000000113be96e0 vld> ffffe0001421ddd0 0000000000000004 ffffe000039f4720 
//
// USBPORT_NeoValidDeviceHandle()
// DeviceHandle:            ffffe0001421ddd0
// ReferenceObj:            ffffe000039f4720

[ 008] 0000000113be9700 devH ffffe0001421ddd0 ffffe000039f4720 0000000000000000 
[ 009] 0000000113be9720 pURB ffffe000039f4720 ffffe00000b76cb0 000000000000000b 
//
// USBPORT_ProcessURB()
// Urb:                     ffffe000039f4720
// Irp:                     ffffe00000b76cb0
// function:                URB_FUNCTION_GET_DESCRIPTOR_FROM_DEVICE

[ 010] 0000000113be9740 PURB ffffe000039f4720 ffffe000020a44f0 000000000000000b 
//
// USBPORT_ProcessURB() - Exit STATUS_PENDING
// Urb:                     ffffe000039f4720
// Irp:                     ffffe000020a44f0
// function:                URB_FUNCTION_GET_DESCRIPTOR_FROM_DEVICE

[ 011] 0000000113be9760 Urb< 0000000000000103 000000000000000b 0000000000000000 
[ 012] 0000000113be9780 xSt0 ffffe000012bbf18 0000000000000006 0000000000000001 
[ 013] 0000000113be97a0 xnd8 ffffe000012bbf18 ffffe000012bb050 0000000000000000 
[ 014] 0000000113be97c0 xnd0 ffffe000012bbf18 ffffe000012bb050 0000000000000000 
//
// USBPORT_Xdpc_End()

[ 015] 0000000113be97e0 mapF 0000000000000000 0000000000000000 0000000000000000 
[ 016] 0000000113be9800 map5 0000000000000000 0000000000000000 0000000000000000 
[ 017] 0000000113be9820 DMAx 0000000000000000 0000000000000000 0000000000000000 
[ 018] 0000000113be9840 subx 0000000000000000 0000000000000000 ffffe0001416801c 
[ 019] 0000000113be9860 tmoZ 0000000000000000 ffffe0001416801c ffffe000141680a4 
. ..
...

    See also

    USB 2.0 Debugger Extensions

    Universal Serial Bus (USB) Drivers

    Спортивный арбитраж отклонил иски россиян о недопуске на Олимпиаду

    Спортивный арбитражный суд (CAS) отклонил апелляции 45 российских спортсменов и двух тренеров, оспаривавших отказ Международного олимпийского комитета (МОК) выдать им приглашения на Олимпийские игры в Пхенчхан. Об этом сообщается в решении, опубликованном на сайте суда. Таким образом, они не смогут принять участие в открывающихся сегодня Играх.

    6 февраля апелляции в CAS подали 32 российских спортсмена, не замешанных в допинговых скандалах. В их числе были олимпийские чемпионы Игр в Сочи шорт-трекист Виктор Ан, биатлонист Антон Шипулин, а также чемпион мира лыжник Сергей Устюгов. Еще 15 спортсменов, которые были дисквалифицированы МОКом, но оправданы спортивным арбитражем, подали заявления 7 февраля. Среди них были, в частности, обладатели золотых медалей – лыжник Александр Легков и скелетонист Александр Третьяков. Все 47 заявителей просили отменить решение МОКа не приглашать их на Игры-2018 и разрешить им принять участие в Олимпиаде. Дела спортсменов рассматривали три арбитра – Кэрол Робертс из Канады, Бернард Велтен из Швейцарии и Зали Стеллаг из Австралии.

    Арбитры изучили критерии, на основании которых МОК решал вопрос о приглашении российских спортсменов. Суд пришел к выводу, что решение МОКа нельзя назвать «санкцией» против российских представителей, которым была предоставлена возможность выступить на Играх под олимпийским флагом с целью «соблюдения баланса и в интересах отдельных атлетов из России». По мнению CAS, заявители не предоставили свидетельств того, что комиссии МОКа по рассмотрению приглашений (Invitation Review Panel (IRP) и по участию в Играх «Олимпийских атлетов из России» (Olympic Athlete from Russia Implementation Group (OAR IG) принимали решения «дискриминационным, произвольным или несправедливым образом».

    В декабре МОК приостановил членство в своих рядах Олимпийского комитета России (ОКР), а также наложил ограничения на участие чистых российских спортсменов на Олимпиаде в Южной Корее – они смогут выступать только под нейтральным флагом и в составе команды «Олимпийские атлеты из России». Чтобы принять участие в Олимпиаде, российские спортсмены должны были получить приглашение от МОКа, который, в свою очередь, отбирал спортсменов из списка, полученного от ОКР. В список ОКР вошли около 500 спортсменов и тренеров, однако МОК пригласил на Игры только 340 человек, в том числе 169 атлетов.

    1 февраля спортивный арбитраж удовлетворил жалобы 28 российских спортсменов на пожизненную дисквалификацию, однако это решение не означало, что МОК должен их допустить до Олимпиады в Южной Корее. Для допуска требовалось еще одно решение CAS о незаконности отказа МОКа в выдаче приглашений некоторым спортсменам из России.

    Заявления еще шести российских спортсменов суд рассматривать отказался, сославшись на то, что их вопрос находится за пределами юрисдикции CAS. Ранее они были уличены в употреблении допинга, но сроки их дисквалификаций давно истекли.

    Обзор сухого пайка ИРП-7 — Денис Мокрушин — ЖЖ

    Как-то из поездки в 34-ю горную бригаду я привез сухой паек ИРП-7, подаренный одним из офицеров. Сегодня, наконец-то, дошли руки до пробы на вкус.
    Имеем: индивидуальный рацион питания (ИРП), вариант 7.
    Напоминаю, что это лишь один из предлагаемых вариантов пайка, в других комплектация может быть иной.
    Специально фотографирую рядом с коробком спичек, чтобы можно было оценить габариты
    1.

    Изготовлено ОАО «Ленинградское» (Краснодарский край. Является многоотраслевым структурным производством Министерства обороны РФ), головное производство — ОАО «Грязинский пищевой комбинат» (Липецкая область)
    2.

    Сейчас сухие пайки выпускаются именно в таких картонных упаковках, покрытых изнутри фольгой. Мне подобный вариант не нравится, т.к. коробка менее стойка к повреждениям, чем используемая ранее пластиковая. Например, в рассматриваемом варианте очень быстро надорвалась ручка, хотя за нее я активно и не дергал. Если вытаскивать из туго набитого вещмешка или рюкзака — оторвется. Также после вскрытия выяснилось, что несмотря на внешнюю целостность коробки, каким-то образом был поврежден пакетик с сахаром и пакетик с повидлом, в результате чего часть банок и упаковок пришлось оттирать от вышеозначенных продуктов. В довершении ко всему одна из ложек, входивших в комплект была практически сломана пополам. Либо мне так не повезло, либо коробка действительно боится сдавливаний.
    Вскрытая упаковка
    3.

    Изнутри извлекается коробка, в которой плотно уложено содержимое пайка
    4.

    Инструкция по применению
    5.

    6.

    Мясо с зеленым горошком и морковью
    7.

    Говядина тушеная
    8.

    Гречневая каша с говядиной
    9.

    Сельдь в масле
    10.

    Овощная икра
    11.

    Плавленный сыр
    12.

    13.

    14.

    Серьезная заявка
    15.

    Всего галет 4 упаковки (по 8 шт.), из них две из муки пшеничной первого сорта, и две из муки пшеничной обойной. Ранее галеты в сухих пайках изготавливались только из муки первого сорта
    16.

    17.

    18.

    19.

    20.

    Концентрат сухого напитка
    21.

    22.

    В комплекте три пакета чая
    23.

    24.

    Теперь это не жженый сахар с экстрактом, как раньше, а вполне себе обычный пакетик с заваркой
    25.

    К чаю идет два пакетика яблочного повидла
    26.

    27.

    Сахар на три кружки чая
    28.

    Пакетик полностью бумажный, никакой защиты от влаги нет, поэтому про запас в полевых условиях долго не проносишь: либо порвется, либо промокнет. Неудобно
    29.

    Новинка по сравнению с более ранними сухпайками — черный молотый перец и соль. Я никогда не желал поперчить или посолить сухпай, поэтому смысла в них особого не вижу (соль, правда, можно для обычной еды использовать), но любители острого точно будут рады
    30.

    Что перец, что соль, опять же в бумажных пакетиках, что не позволяет их сохранить про запас в полевых условиях.
    31.

    Поливитамин — 1 шт.
    32.

    33.

    Предметы гигиены представлены дезинфицирующими салфетками. Теперь их два варианта — для тела и экипировки и для столовых приборов. В полях по-любому на надписи обращать внимания не будут, тем более состав салфеток одинаковый ))
    34.

    35.

    Просечка, разделяющая салфетки, плохо сделана, из-за чего при попытке разделить их произошло вскрытие одной из упаковок. Надо исправить
    36.

    37.

    В комплекте предусмотрены три простых бумажных салфетки
    38.

    И целых три ложки против одной в более ранних вариантах. На фото их четыре, т.к. в комплекте идет сыр
    39.

    Та самая ложка, которая оказалась надломленной во внешне абсолютно целой коробке. Видны и следы от повидла из поврежденного пакетика
    40.

    Вскрыватель для банок
    41.

    42.

    Охотничьи спички и сухое горючее. На последнем видны следы все того же выдавленного повидла
    43.

    44.

    Вскрываю банки. Их, конечно, можно подогревать и в закрытом виде, но надо следить, чтобы банка не взорвалась из-за перегрева и потом неудобно вскрывать горячую. Поэтому предпочел открыть заранее
    45.

    Банка с овощной икрой вскрывается проще — достаточно потянуть за уголок
    46.

    Банка с плавленным сыром вскрывается еще удобнее
    47.

    48.

    Открытая говядина
    49.

    Мясо с зеленым горошком
    50.

    Гречневая каша
    51.

    Сельдь в масле. Было неудобно вскрывать, т.к. банка была немного деформирована и масло сразу же ринулось наружу. Лучше упаковать в такую же жесткую банку, как и сыр
    52.

    Галеты из муки обойной
    53.

    Приступаю к разогреву.
    Вытаскиваю кнопку, рассоединяя таганок и контейнер с таблетками
    54.

    Привожу таганок в рабочее состояние
    55.

    Если таблетка была извлечена из контейнера простым надавливанием, то терка, будучи изготовленной из мягкого материала, никак не желала продавливать упаковку, в результате чего ее пришлось вырезать ножом. Недоработка
    56.

    Сера на таблетке, конечно, воспламенялась при чиркании о терку, но пламя практически сразу затухало, поэтому пришлось поджигать спичками. На сере экономят что ли?
    57.

    Личный совет — если вы греете консервы, то ставьте таганок таким образом, как на фото. А если хотите вскипятить в кружке воду, то переверните таганок. Тогда таблетка окажется непосредственно под кружкой и пламя будет греть ее, а не атмосферу 😉
    58.

    Перед разогревом рекомендую мелко «порубить» содержимое, так быстрее и равномернее подогревается и потом есть удобнее — не брызгает при неловких попытках отделить кусок
    59.

    60.

    Зажигаем охотничью спичку
    61.

    Дело пошло
    62.

    Мне кажется, или это сухое горючее после выгорания оставляет больше «перегара», чем раньше?
    63.

    Впечатления от процесса еды.
    1. Ложки — отстой. Во-первых, страшно нажать на нее, ощущение, что вот-вот сломается. Во-вторых, кто придумал делать у нее острые кромки? Чуть ли не каждый раз после отправки очередной порции в рот, болела внутренняя поверхность губ, которую скребла ложка. Хорошо, что ложка теперь более вместительная, чем в прежних пайках, но сделайте ее чуть прочнее и закруглите концы.
    2. Тушеная говядина. Радует, что к ней опять вернулся вкус мяса, который пропал в прошлые годы.
    3. Гречневая каша. Ничего не поменялось, как была хорошей, так и осталась.
    4. Мясо с зеленым горошком. Я просто не любитель подобных блюд, поэтому особого впечатления оно на меня не произвело, но в полях пойдет на ура. Очень сытная штука, кстати.
    5. Сельдь. Обычные рыбные консервы.
    6. Овощная икра. Опять же, не большой любитель подобных блюд, поэтому предпочел, чтобы просто положили томатный соус. Но опять же в полях пойдет за милую душу.
    7. Плавленный сыр. Просто плавленный сыр.
    8. Повидло. Очень хорошо идет с галетами. Минус — нет насечки на упаковке для надрыва. В результате приходится рвать зубами.
    64.

    9. Концентрат сухого напитка. Если пили «Юпи» или «Инвайт», то знаете как это выглядит. В полевых условиях весьма любимый напиток
    65.

    66.

    10. Галеты. Те, что из муки первого сорта в норме, обойные — как-то не очень, видимо потому, что изделия из отрубей не ем. Непривычно.
    11. Чай. Наконец-то обычный пакетик, а не экстракт с сахаром.

    Что ж, ИРП-7 неплохой сухой паек, которые слегка надо доработать в плане упаковки и качества комплектующих. Жаль, что нет конфет, они бы совсем не помешали.

    Рекомендую просмотреть все мои записи по тэгу «сухой паек», вы сможете увидеть тестирование пайка ИРП-Б-1 и общение с одним из производителей сухих пайков. Кстати, некоторые мои замечания, как видим, учтены ;).


    Процесс обзора

    IRP | Программа внутренних исследований NIH

    Наш процесс обзора: пошаговое руководство

    Программа внутренних исследований (IRP) — это национальное биомедицинское исследовательское предприятие, в котором работают около 1200 главных исследователей и более 4000 докторантов, выполняющих фундаментальные, переводческие и клинические исследования. Чтобы гарантировать финансирование только самых выдающихся исследований, исследователи IRP оцениваются как по достижениям с момента их последнего обзора, так и по предлагаемым планам будущих исследований.

    исследователей IRP обычно проверяются каждые 4 года

    исследователя IRP проверяются по всей программе исследований

    IRP обзоры являются в основном ретроспективными

    исследователей IRP проверены советами научных консультантов (BSC), сторонними специалистами с выдающейся научной квалификацией, которые привержены предоставлению строгих и объективных обзоров

    Научные эксперты проводят личных посещений для оценки качества работы отдельного главного исследователя

    Главный исследователь также может быть оценен в контексте общего портфеля Института или Центра

    Окончательные рекомендации BSC представлены научному директору (SD), который сообщает о них заместителю директора NIH по внутренним исследованиям (DDIR) и Совету института. Впоследствии SD определяет уровней финансирования, укомплектование персоналом и продвижение по службе

    Тщательные проверки имеют решающее значение для планирования и обеспечения финансирования только самых выдающихся исследований . Если программа не оправдывает ожиданий, средства переводятся

    Исследователи IRP проверяются с использованием строгого набора критериев оценки:

    • Значение
    • Подход
    • Инновации
    • Окружающая среда
    • Поддержка
    • Обучение
    • Производительность
    • Наставничество

    Эта инфографика является репрезентативной для всего процесса проверки IRP и может отличаться для отдельных институтов и центров.

    Платт-Ривер принимает фокус-группы для IRP

    Беседы, проводимые Центром общественного обсуждения

    FORT COLLINS, Colo., 13 февраля 2020 г. — Platte River будет спонсировать заседания фокус-групп с жителями и владельцами бизнеса для обсуждения вариантов энергетического портфеля в рамках Интегрированного плана ресурсов (IRP) организации на 2020 год. Центр общественного обсуждения (CPD) Университета штата Колорадо будет способствовать работе фокус-групп по Platte River и сообщать о своих выводах руководству коммунального предприятия.

    IRP, который обычно производится каждые пять лет, подробно описывает, как Platte River будет вырабатывать и доставлять электроэнергию своим владельцам в общины Эстес-Парк, Форт-Коллинз, Лонгмонт и Лавленд. Он включает в себя сложное моделирование уникальных ресурсов, доступных технологий и конкретных ограничений, которые были изучены отраслевыми экспертами с использованием передового опыта для разработки вариантов сочетания ресурсов Platte River на будущее. Документ готовится и представляется на год раньше запланированного срока в ответ на указание совета директоров Platte River о переходе к 100% -ной безуглеродной структуре энергоснабжения к 2030 году.

    «Мы добились значительного прогресса в нашей IRP в 2019 году и с нетерпением ждем ответа от сообществ наших владельцев», — сказал Джейсон Фрисби, генеральный директор и генеральный директор Platte River. «Под руководством НПР участники будут иметь возможность ознакомиться с вариантами планов ресурсов, пообщаться с другими жителями, задать вопросы и высказать свое мнение относительно энергетического будущего северного Колорадо».

    Примерно 30% энергии, поставляемой общинам владельцев Platte River, поступает из неуглеродных источников, включая ветер, солнечную энергию и гидроэнергетику.К 2021 году неуглеродная энергия увеличится до 50% за счет добавления 225 МВт новой ветровой мощности и 22 МВт новой солнечной энергии (плюс 2 МВт-ч аккумуляторной батареи). Кроме того, Platte River оценивает заявки на добавление до 150 МВт солнечной энергии к 2023 году, что потенциально повысит долю неуглеродной энергии, поставляемой сообществам владельцев, до 60%.

    Заседания фокус-групп будут включать краткое введение от Platte River, за которым последуют беседы под руководством CPD о будущей структуре ресурсов Platte River. Участники получат описания четырех вариантов сочетания ресурсов, которые включают прогнозируемые капитальные, эксплуатационные, топливные и экологические (углеродный налог и социальные затраты на углерод) затраты.Участникам будет предложено высказать свое мнение относительно того, какой баланс энергоснабжения следует использовать в Platte River. CPD ассимилирует все данные фокус-групп и предоставит Platte River отчет, который будет использоваться для информирования совета директоров при принятии решений IRP.

    Ниже приводится полное расписание мероприятий:

    4 марта с 18:00 до 20:00.
    17th Avenue Place Event Center
    478 17th Avenue, Longmont

    5 марта с 18:00 до 20:00.
    Отель Риджелайн, Банкетный зал
    101 S.Сен-Врайн Авеню, Эстес-Парк

    11 марта с 18.00 до 20.00
    Embassy Suites Loveland, Aspen Daisy / Elderberry Room
    4705 Clydesdale Parkway, Loveland

    12 марта с 18.00 до 20.00
    Drake Center, Восточный банкетный зал
    802 W. Drake Road, Fort Collins

    Члены сообщества, заинтересованные в посещении сеанса фокус-группы, могут ответить онлайн здесь или позвонить по телефону (970) 229.5657. Жители могут посетить микросайт IRP Platte River, чтобы посмотреть видеозаписи предыдущих сессий слушания сообщества и ознакомиться с ключевыми документами, связанными с IRP, по мере их появления.

    ###

    Platte River Power Authority — некоммерческий оптовый поставщик электроэнергии и электроэнергии, который поставляет безопасную, надежную, экологически ответственную и финансово устойчивую энергию и услуги своим владельцам в общинах Эстес-Парк, Форт-Коллинз, Лонгмонт и Лавленд, штат Колорадо. своим потребителям коммунальных услуг.

    цен первой сделки с момента блокировки COVID; CREFC обращается к необходимости обновлений IRP