R-Vision Incident Response Platform

Представляет собой автоматизированный центр мониторинга, обработки и реагирования на инциденты информационной безопасности (SOC).

Платформа R-Vision IRP позволяет выявлять киберугрозы и инциденты в режиме реального времени, собирая информацию из множества источников в едином окне оперативного реагирования. При обнаружении инцидента запускаются преднастроенные алгоритмы и автоматизированные сценарии, которые обеспечивают быстроту реакции и слаженность действий команды реагирования, помогая свести к минимуму возможные негативные последствия от инцидента.

Наличие компонентов управления активами и управления уязвимостями минимизирует риски, связанные с контролем защищенности информационных ресурсов.

Для отслеживания эффективности обеспечения информационной безопасности и отдельных процессов предусмотрен широкий набор метрик и средств визуализации. Готовые шаблоны сводок позволяют быстро формировать отчетность для руководства, регуляторов и внутренних пользователей и отправлять ее адресатам в автоматическом режиме.

Преимущества

  • Повышение скорости реагирования на инциденты
  • Минимизация потенциального ущерба и негативных последствий от инцидентов
  • Снижение человеческого фактора и вероятности ошибок
  • Повышение эффективности работы команды SOC
  • Контроль защищённости информационных активов
  • Полная картина о состоянии ИБ, контроль SLA
  • Соответствие требованиям регуляторов и законодательства

Сценарии использования

  • Создание центра мониторинга и реагирования на инциденты (SOC)
  • Управление и контроль жизненного цикла инцидентов
  • Информационный обмен данными с ФинЦЕРТ ЦБ РФ и ГосСОПКА.
  • Контроль IT-инфраструктуры и защищенности информационных активов
  • Управление уязвимостями
  • Обеспечение соответствия внутренним политикам ИБ, требованиям регуляторов и стандартов

Обзор возможностей R-Vision IRP

Все инциденты на одной консоли

Платформа R-Vision IRP обеспечивает непрерывный мониторинг инцидентов и событий безопасности в едином окне оперативного реагирования.

При регистрации в системе инцидента, поступившего из какого-либо источника, автоматически формируется карточка инцидента, которая содержит все первичные сведения. Данные по инциденту автоматически обогащаются доступной информацией о связанных активах, пользователях, бизнес-процессах и дополняются новыми сведениями и свидетельствами, полученными в ходе его обработки.

В результате, все данные по инциденту и статусу его обработки хранятся в единой централизованной системе и доступны в любой момент времени.

Работа с инцидентами информационной безопасности на единой консоли существенно облегчает и ускоряет процесс их обработки, позволяя контролировать их статус.

Автоматизация реагирования на инциденты ИБ

В условиях постоянно возрастающего потока сообщений о возможных инцидентах и стремительную скорость совершения современных кибератак, эффективное реагирование становится невозможным без автоматизации выполняемых действий и применения готовых алгоритмов.

R-Vision IRP предлагает набор возможностей по автоматизации реагирования, которые могут быть легко настроены пользователем системы под собственные нужды:

  • Динамические сценарии реагирования (playbooks)
  • Скрипты автоматизации
  • Карта рабочего процесса по инциденту

Использование перечисленных инструментов позволяет в разы повысить скорость обработки инцидентов, сбора необходимых данных и развёртывания защитных мер, по сравнению с действиями вручную.

Сценарии реагирования (так называемые playbooks) позволяют в автоматическом режиме реализовать алгоритм действий, заданный для конкретного типа инцидента при срабатывании определенного правила.

В сценарий реагирования могут быть включены такие действия как:

  • Постановка задач, отправка уведомлений, принятие решений
  • Действия, направленные на блокировку атаки и минимизацию возможных последствий
  • Сбор ключевой информации для расследования инцидента, отправка запросов, запрос событий по инциденту в SIEM
  • Запуск необходимых коннекторов и сценариев реагирования

Для быстрого старта в системе предусмотрен набор типовых сценариев реагирования, а встроенный графический редактор позволяет их легко адаптировать под специфику организации и конкретную структуру команды реагирования.

Скрипты автоматизации позволяют удаленно осуществлять сбор данных и выполнять определенные действия на оборудовании. В системе представлено более 50 готовых скриптов и их список постоянно пополняется. Можно создавать собственные скрипты на любом скриптовом языке.

Карта рабочего процесса по инциденту позволяет быстро оценить статус обработки инцидента, увидеть, сколько шагов выполнено, какие действия выполняются в данный момент и внести изменения на лету.

Интеграция с внешними источниками

Для интеграции R-Vision IRP с внешними системами доступны:

Набор готовых коннекторов к широкому диапазону сканеров уязвимостей, средств антивирусной защиты, систем защиты от утечки информации (DLP), систем сбора и корреляции событий безопасности (SIEM), ITSM и других средств обеспечения информационной безопасности.

Встроенный почтовый сервер для обмена информацией.

Встроенный конструктор коннекторов, который обеспечивает взаимодействие с любыми сторонними решениями, используя REST API, SOAP, SSH и другие механизмы.

Можно настроить автоматический запуск любого коннектора в нужный момент времени или при срабатывании заданных условий.

Инвентаризация активов

Система R-Vision позволяет провести полную инвентаризацию ИТ-инфраструктуры и выстроить схему взаимосвязей активов и бизнес-процессов — ресурсно-сервисную модель организации.

За счет интеграции с используемыми в организации решениями по безопасности (антивирусами, сканерами защищенности и др.), а также использования собственных коллекторов и механизмов контроля, обеспечиваются:

  • Агрегация, консолидация и представление в единой консоли различных сведений о составе ИТ-инфраструктуры и степени ее защищенности
  • Контроль установленного ПО, обнаружение несанкционированного ПО
  • Обнаружение несанкционированного оборудования и внешних подключений
  • Учёт материальных и нематериальных активов и их взаимосвязей (процессы, информация, системы, сети, оборудование, пользователи и пр.)
  • Выявление критичных активов
  • Контроль изменения структуры и состава компонентов ИТ-инфраструктуры
  • Управление жизненным циклом активов
  • Контроль привилегий пользователей
  • Настройка политик управления активами

Топология инфраструктуры может быть представлена в виде карт сетей, планов помещений и схем географического расположения.

Управление уязвимостями

R-Vision IRP позволяет автоматизировать процесс управления уязвимостями и их устранения. Для этого доступны следующие возможности:

  • Агрегация информации по уязвимостям из нескольких источников в единой базе
  • Приоритезация, сортировка нерелевантных уязвимостей
  • Назначение ответственных сотрудников, постановка задач, учёт устранения, контроль SLA
  • Оперативное обновление статусов уязвимостей
  • Создание инцидента из уязвимости
  • Полная отчетность для служб ИБ и ИТ

Единое рабочее пространство

Слаженная работа команды реагирования является крайне важным фактором, обеспечивающим результативность действий.

Платформа R-Vision IRP предоставляет единое рабочее пространство для всех сотрудников службы ИБ и других задействованных лиц в рамках задач по управлению инцидентами, активами, устранению уязвимостей и расследований, обеспечивая координацию их действий.

Возможности продукта:

  • Формирование рабочих групп
  • Распределение задач
  • Отправка уведомлений
  • Контроль выполнения задач
  • Установка и контроль SLA
  • Экскалация
  • Единое хранилище сведений по задачам, документам, фактам и свидетельствам
  • Обмен информацией

Каждая задача обладает собственной рабочей областью, в рамках которой осуществляется взаимодействие сотрудников, ответственных за ее выполнение.

Расследование инцидентов

Продукт позволяет консолидировать сведения, полученные в результате исполнения скриптов или собранные вручную аналитиком и приложить к задаче любые файлы. При расследовании инцидентов используются все имеющиеся данные по активам и уязвимостям.

Предустановленные справочники помогают оценить и выявить:

  • Последствия инцидента
  • Возможный ущерб от реализации инцидента
  • Предпосылки
  • Причины возникновения
  • Степень преднамеренности
  • Статус реализации
  • Вероятность повторного возникновения инцидента

Механизмы визуализации графов связей инцидента и активов компании позволяют проанализировать возможные цели атакующих.

По результатам расследования инцидента и установления предпосылок к его возникновению корректируются меры защиты, редактируются сценарии реагирования и формируются соответствующие задачи.

Используя единое рабочее пространство платформы R-Vision IRP, аналитики, отвечающие за расследование инцидента, могут привлекать коллег из смежных подразделений.

Обмен информацией по инцидентам

Оперативный обмен данными с регуляторами, независимыми центрами реагирования (CERT/SOC), внешними экспертами, партнерскими или дочерними организациями помогает своевременно обнаруживать киберугрозы, получать необходимые сведения для расследования инцидентов и противостоять киберпреступности на глобальном уровне.

Платформа IRP содержит встроенные механизмы обмена сведениями по инцидентам, которые позволяют обмениваться данными с другими участниками, при этом обладая полным контролем над объемом передаваемой информации и списками получателей.

Обмен данными по инцидентам с регуляторами:

  • R-Vision IRP позволяет наладить двусторонний информационный обмен с центром ГосСОПКА как в ручном, так и автоматическом режиме. Объем передаваемых сведений регулируется в индивидуальном порядке
  • Продукт также позволяет подготавливать инциденты для отправки в ФинЦЕРТ по установленной форме ЦБ и сформировать отчет

Визуализация, метрики и отчетность

Платформа R-Vision предлагает широкий набор средств визуализации данных, что облегчает контроль эффективности реализованных мер защиты, выполнения задач подразделением ИБ и отдельных процессов.

В системе предусмотрены:

  • Визуализация информации в виде диаграмм, графиков, интерактивных схем и карт
  • Готовый набор метрик, позволяющих контролировать эффективность обеспечения информационной безопасности и отдельных процессов
  • Сводки по инцидентам, уязвимостям, задачам, перечни оборудования, пользователей и другие данные в различных разрезах
  • Набор предустановленных отчетов, включая предустановленные формы отчетности, например, № 0403203 ЦБ РФ (для кредитно-финансовых организаций)
  • Возможность настроить автоматическое формирование отчётности и ее рассылку заданным получателям
  • Конструктор отчётов для предоставления информации по собственному шаблону
  • Формирование отчётных документов по инфраструктуре (паспортов сетей, систем и помещений, перечней оборудования, сводных отчетов и пр.)
  • Экспорт данных по активам, инцидентам, уязвимостям и другим элементам в Excel

Технические особенности платформы

  • Гибкая настройка продукта под задачи и специфику организации
  • Обширный набор предустановленных справочников
  • Готовые коннекторы к распространенным SIEM, СЗИ, DLP и другим решениям
  • Возможность создания собственных коннекторов к любым системам
  • Масштабируемая архитектура и высокая скорость работы
  • Интуитивно понятный удобный интерфейс
  • Отказоустойчивость

Для получения более подробной информации отправьте, пожалуйста, письмо с запросом или свяжитесь с нами по телефону +375 17 28 28 959