Платформа R-Vision Incident Response Platform (IRP) представляет собой решение класса SOAR (Security Orchestration, Automation and Response), которое агрегирует данные об инцидентах из множества источников, обогащает дополнительным контекстом, автоматизирует рутинные процессы по обработке инцидентов, процедуры реагирования и координацию действий команды центра управления информационной безопасностью (ЦУИБ). При обнаружении инцидента запускаются преднастроенные алгоритмы и автоматизированные сценарии, которые обеспечивают быстроту реакции и слаженность действий команды реагирования, помогая свести к минимуму возможные негативные последствия от инцидента.

Наличие компонентов управления активами и уязвимостями минимизирует риски, связанные с контролем защищенности информационных ресурсов.

Для отслеживания эффективности обеспечения информационной безопасности и отдельных процессов предусмотрен широкий набор метрик и средств визуализации. Готовые шаблоны сводок позволяют быстро формировать отчетность для руководства, регуляторов и внутренних пользователей и отправлять ее адресатам в автоматическом режиме.

r-vision irp/soar

Преимущества

  • Повышение скорости реагирования на инциденты;
  • Минимизация потенциального ущерба и негативных последствий от инцидентов;
  • Снижение влияния человеческого фактора и вероятности ошибок;
  • Повышение эффективности работы команды ЦУИБ;
  • Контроль защищённости активов;
  • Полная картина о состоянии ИБ, контроль SLA.

Ключевые возможности

Все инциденты в одной консоли

Платформа R-Vision IRP обеспечивает непрерывный мониторинг инцидентов безопасности в едином окне оперативного реагирования. При регистрации в системе инцидента, поступившего из какого-либо источника, автоматически формируется карточка инцидента, которая содержит все первичные сведения. Данные по инциденту автоматически обогащаются доступной информацией о связанных активах, пользователях, бизнес-процессах и дополняются новыми сведениями и свидетельствами, полученными в ходе его обработки. В результате, все данные по инциденту и статусу его обработки хранятся в единой централизованной системе и доступны в любой момент времени. Работа с инцидентами информационной безопасности в единой консоли существенно облегчает и ускоряет процесс их обработки, позволяя контролировать их статус.

Инциденты r-vision irp/soar

Автоматизация реагирования на инциденты ИБ

В условиях постоянно возрастающего потока сообщений о возможных инцидентах и стремительную скорость совершения современных кибератак, эффективное реагирование становится невозможным без автоматизации выполняемых действий и применения готовых алгоритмов.

R-Vision IRP предлагает набор возможностей по автоматизации реагирования, которые могут быть легко настроены пользователем системы под собственные нужды:

  • Динамические сценарии реагирования (playbooks);

Динамические сценарии реагирования

  • Скрипты автоматизации;

Сценарии автоматизации

  • Карта рабочего процесса по инциденту.

Карта рабочего процесса по инциденту

Использование перечисленных инструментов позволяет в разы повысить скорость обработки инцидентов, сбора необходимых данных и развёртывания защитных мер, по сравнению с действиями вручную.

Сценарии реагирования (так называемые playbooks) позволяют в автоматическом режиме реализовать алгоритм действий, заданный для конкретного типа инцидента при срабатывании определенного правила.

В сценарий реагирования могут быть включены такие действия как:

  • Постановка задач, отправка уведомлений, принятие решений;
  • Действия, направленные на блокировку атаки и минимизацию возможных последствий;
  • Сбор ключевой информации для расследования инцидента, отправка запросов, запрос событий по инциденту в SIEM;
  • Запуск необходимых коннекторов и сценариев реагирования.

Встроенный графический редактор позволяет легко разработать и настроить сценарии реагирования под специфику конкретной организации и её структуру команды реагирования.

Скрипты автоматизации позволяют удаленно осуществлять сбор данных и выполнять определенные действия на оборудовании. В системе представлено более 50 готовых скриптов и их список постоянно пополняется, с помощью конструктора есть возможность создавать пользовательские скрипты.

Карта рабочего процесса по инциденту позволяет быстро оценить статус обработки инцидента, увидеть, сколько шагов выполнено, какие действия выполняются в данный момент и внести изменения на лету.

Управление активами и уязвимостями

В состав R-Vision IRP входит система управления активами и уязвимостями R-Vision ACP. Система позволяет провести полную инвентаризацию ИТ-инфраструктуры и выстроить схему взаимосвязей активов и бизнес-процессов – ресурсно-сервисную модель организации, а также позволяет автоматизировать процесс управления уязвимостями и их устранения. Топология инфраструктуры может быть представлена в виде карт сетей, планов помещений и схем географического расположения.

Топология инфраструктуры

Интеграция с внешними источниками

Для интеграции R-Vision IRP с внешними системами доступны:

  • Набор готовых коннекторов к широкому диапазону сканеров уязвимостей, средств антивирусной защиты, систем защиты от утечки информации (DLP), систем сбора и корреляции событий безопасности (SIEM), ITSM и других средств обеспечения информационной безопасности.
  • Встроенный почтовый сервер для обмена информацией.
  • Встроенный конструктор коннекторов, который обеспечивает взаимодействие с любыми сторонними решениями, используя REST API, SOAP, SSH и другие механизмы.

Можно настроить автоматический запуск любого коннектора в нужный момент времени или при срабатывании заданных условий.

Единое рабочее пространство

Слаженная работа команды реагирования является крайне важным фактором, обеспечивающим результативность действий. Платформа R-Vision IRP предоставляет единое рабочее пространство и координацию действий сотрудников службы ИБ и других задействованных лиц в рамках решения следующих задач по управлению инцидентами, активами, устранению уязвимостей и расследований:

  • Формирование рабочих групп;
  • Распределение задач;
  • Отправка уведомлений;
  • Контроль выполнения задач;
  • Установка и контроль SLA;
  • Экскалация;
  • Единое хранилище сведений по задачам, документам, фактам и свидетельствам;
  • Обмен информацией.

Каждая задача обладает собственной рабочей областью, в рамках которой осуществляется взаимодействие сотрудников, ответственных за ее выполнение.

Расследование инцидентов

Обеспечивается консолидация сведений, полученных в результате исполнения скриптов или собранных вручную аналитиками и приложенных к задаче в виде файлов. При расследовании инцидентов используются все имеющиеся данные по активам и уязвимостям.

Предустановленные справочники помогают оценить и выявить:

  • Последствия инцидента;
  • Возможный ущерб от реализации инцидента;
  • Предпосылки;
  • Причины возникновения;
  • Степень преднамеренности;
  • Статус реализации;
  • Вероятность повторного возникновения инцидента.

Механизмы визуализации графов связей инцидента и активов компании позволяют проанализировать возможные цели атакующих.

По результатам расследования инцидента и установления предпосылок к его возникновению корректируются меры защиты, редактируются сценарии реагирования и формируются соответствующие задачи.

Используя единое рабочее пространство платформы R-Vision IRP, аналитики, отвечающие за расследование инцидента, могут привлекать коллег из смежных подразделений.

Визуализация, метрики и отчетность

Платформа R-Vision предлагает широкий набор средств визуализации данных, что облегчает контроль эффективности реализованных мер защиты, выполнения задач подразделением ИБ и отдельных процессов.

В системе предусмотрены:

  • Визуализация информации в виде диаграмм, графиков, интерактивных схем и карт;
  • Готовый набор метрик, позволяющих контролировать эффективность обеспечения информационной безопасности и отдельных процессов;
  • Сводки по инцидентам, уязвимостям, задачам, перечни оборудования, пользователей и другие данные в различных разрезах;
  • Набор предустановленных отчетов;
  • Возможность настроить автоматическое формирование отчётности и ее рассылку заданным получателям;
  • Конструктор отчётов для предоставления информации по собственному шаблону;
  • Формирование отчётных документов по инфраструктуре (паспортов сетей, систем и помещений, перечней оборудования, сводных отчетов и пр.);
  • Экспорт данных по активам, инцидентам, уязвимостям и другим элементам в Excel.

Визуализация, метрики и отчетность

Технические особенности платформы

  • Гибкая настройка продукта под задачи и специфику организации
  • Обширный набор предустановленных справочников
  • Готовые коннекторы к распространенным SIEM, DLP и другим решениям для защиты информации,
  • Возможность создания собственных коннекторов к любым системам
  • Масштабируемая архитектура и высокая скорость работы
  • Интуитивно понятный удобный интерфейс
  • Отказоустойчивость

Результаты внедрения

Для аналитиков ЦУИБ

  • Работа в едином интерфейсе с отслеживанием состояния системы ИБ;
  • Повышение эффективности и оперативности работы команды реагирования ЦУИБ;
  • Автоматизация рутинных задач в процессе обработки инцидентов;
  • Выстроенное взаимодействие между ИБ и ИТ-подразделениями.

Для руководства ИБ

  • Контроль ИТ-инфраструктуры и уровня ее защищенности;
  • Автоматизация процессов управления инцидентами и уязвимостями;
  • Снижение вероятности негативных событий и сокращение масштабов потенциального ущерба;
  • Полная картина о состоянии ИБ, отчетность и метрики для принятия решений.

Масштабирование и развитие

R-Vision является ключевым компонентом центра управления информационной безопасностью (ЦУИБ), обеспечивающим быстрое и эффективное реагирование на инциденты ИБ.

По мере развития и появления новых средств и методов киберзащиты как в самом ЦУИБ, так и в корпоративной, отраслевой или территориальной структуре обслуживания ЦУИБ, они могут подключаться к R-Vision IRP, передавая в него собираемую информацию и получая эффективные рекомендации по реагированию, решению и недопущению инцидентов, минимизации последствий и быстрому восстановлению.

Компания МультиТек Инжиниринг поставляет, внедряет и сопровождает как отдельные решения, так и комплексные системы обеспечения и управления информационной безопасностью.

Мы предлагаем демонстрацию возможностей и пилотирование решений заинтересованным организациям.