Платформа оркестрации, автоматизации ИБ и реагирования на инциденты (SOAR)

R-Vision SOAR (Security Orchestration, Automation and Response) – ключевой элемент центров управления информационной безопасностью (ЦУИБ), который агрегирует данные об инцидентах из множества источников, обогащает дополнительным контекстом, автоматизирует рутинные процессы по обработке инцидентов, процедуры реагирования и координацию действий команды центра управления информационной безопасностью ЦУИБ. При обнаружении инцидента запускаются преднастроенные алгоритмы и автоматизированные сценарии, которые обеспечивают быстроту реакции и слаженность действий команды реагирования, помогая свести к минимуму возможные негативные последствия от инцидента.

Наличие компонентов управления активами и уязвимостями минимизирует риски, связанные с контролем защищенности информационных ресурсов.

Для отслеживания эффективности обеспечения информационной безопасности и отдельных процессов предусмотрен широкий набор метрик и средств визуализации. Готовые шаблоны сводок позволяют быстро формировать отчетность для руководства, регуляторов и внутренних пользователей и отправлять ее адресатам в автоматическом режиме.

Преимущества R-Vision SOAR

Повышение скорости реагирования на инциденты;
Минимизация потенциального ущерба и негативных последствий от инцидентов;
Снижение влияния человеческого фактора и вероятности ошибок;

Повышение эффективности работы команды ЦУИБ;
Контроль защищённости активов;
Полная картина о состоянии ИБ, контроль SLA.

Ключевые возможности

Все инциденты в одной консоли

Платформа R-Vision SOAR обеспечивает непрерывный мониторинг инцидентов безопасности в едином окне оперативного реагирования. При регистрации в системе инцидента, поступившего из какого-либо источника, автоматически формируется карточка инцидента, которая содержит все первичные сведения. Данные по инциденту автоматически обогащаются доступной информацией о связанных активах, пользователях, бизнес-процессах и дополняются новыми сведениями и свидетельствами, полученными в ходе его обработки. В результате, все данные по инциденту и статусу его обработки хранятся в единой централизованной системе и доступны в любой момент времени. Работа с инцидентами информационной безопасности в единой консоли существенно облегчает и ускоряет процесс их обработки, позволяя контролировать их статус.

Автоматизация реагирования на инциденты ИБ

В условиях постоянно возрастающего потока сообщений о возможных инцидентах и стремительную скорость совершения современных кибератак, эффективное реагирование становится невозможным без автоматизации выполняемых действий и применения готовых алгоритмов.

R-Vision SOAR предлагает набор возможностей по автоматизации реагирования, которые могут быть легко настроены пользователем системы под собственные нужды:

Динамические сценарии реагирования (playbooks);

Скрипты автоматизации;

Карта рабочего процесса по инциденту.

Использование перечисленных инструментов позволяет в разы повысить скорость обработки инцидентов, сбора необходимых данных и развёртывания защитных мер, по сравнению с действиями вручную.

Сценарии реагирования (так называемые playbooks) позволяют в автоматическом режиме реализовать алгоритм действий, заданный для конкретного типа инцидента при срабатывании определенного правила.

В сценарий реагирования могут быть включены такие действия как:

Постановка задач, отправка уведомлений, принятие решений;
Действия, направленные на блокировку атаки и минимизацию возможных последствий;
Сбор ключевой информации для расследования инцидента, отправка запросов, запрос событий по инциденту в SIEM;
Запуск необходимых коннекторов и сценариев реагирования.

Встроенный графический редактор позволяет легко разработать и настроить сценарии реагирования под специфику конкретной организации и её структуру команды реагирования.

Скрипты автоматизации позволяют удаленно осуществлять сбор данных и выполнять определенные действия на оборудовании. В системе представлено более 50 готовых скриптов и их список постоянно пополняется, с помощью конструктора есть возможность создавать пользовательские скрипты.

Карта рабочего процесса по инциденту позволяет быстро оценить статус обработки инцидента, увидеть, сколько шагов выполнено, какие действия выполняются в данный момент и внести изменения на лету.

Управление активами и уязвимостями

В состав R-Vision SOAR входит система управления активами и уязвимостями R-Vision ACP. Система позволяет провести полную инвентаризацию ИТ-инфраструктуры и выстроить схему взаимосвязей активов и бизнес-процессов – ресурсно-сервисную модель организации, а также позволяет автоматизировать процесс управления уязвимостями и их устранения. Топология инфраструктуры может быть представлена в виде карт сетей, планов помещений и схем географического расположения.

Интеграция с внешними источниками

Для интеграции R-Vision SOAR с внешними системами доступны:

Набор готовых коннекторов к широкому диапазону сканеров уязвимостей, средств антивирусной защиты, систем защиты от утечки информации (DLP), систем сбора и корреляции событий безопасности (SIEM), ITSM и других средств обеспечения информационной безопасности.
Встроенный почтовый сервер для обмена информацией.
Встроенный конструктор коннекторов, который обеспечивает взаимодействие с любыми сторонними решениями, используя REST API, SOAP, SSH и другие механизмы.

Можно настроить автоматический запуск любого коннектора в нужный момент времени или при срабатывании заданных условий.

Единое рабочее пространство

Слаженная работа команды реагирования является крайне важным фактором, обеспечивающим результативность действий. Платформа R-Vision SOAR предоставляет единое рабочее пространство и координацию действий сотрудников службы ИБ и других задействованных лиц в рамках решения следующих задач по управлению инцидентами, активами, устранению уязвимостей и расследований:

Формирование рабочих групп;
Распределение задач;
Отправка уведомлений;
Контроль выполнения задач;
Установка и контроль SLA;
Экскалация;
Единое хранилище сведений по задачам, документам, фактам и свидетельствам;
Обмен информацией.

Каждая задача обладает собственной рабочей областью, в рамках которой осуществляется взаимодействие сотрудников, ответственных за ее выполнение.

Расследование инцидентов

Обеспечивается консолидация сведений, полученных в результате исполнения скриптов или собранных вручную аналитиками и приложенных к задаче в виде файлов. При расследовании инцидентов используются все имеющиеся данные по активам и уязвимостям.

Предустановленные справочники помогают оценить и выявить:

Последствия инцидента;
Возможный ущерб от реализации инцидента;
Предпосылки;
Причины возникновения;
Степень преднамеренности;
Статус реализации;
Вероятность повторного возникновения инцидента.

Механизмы визуализации графов связей инцидента и активов компании позволяют проанализировать возможные цели атакующих.

По результатам расследования инцидента и установления предпосылок к его возникновению корректируются меры защиты, редактируются сценарии реагирования и формируются соответствующие задачи.

Используя единое рабочее пространство платформы R-Vision SOAR, аналитики, отвечающие за расследование инцидента, могут привлекать коллег из смежных подразделений.

Визуализация, метрики и отчетность

Платформа R-Vision SOAR предлагает широкий набор средств визуализации данных, что облегчает контроль эффективности реализованных мер защиты, выполнения задач подразделением ИБ и отдельных процессов.

В системе предусмотрены:

Визуализация информации в виде диаграмм, графиков, интерактивных схем и карт;
Готовый набор метрик, позволяющих контролировать эффективность обеспечения информационной безопасности и отдельных процессов;
Сводки по инцидентам, уязвимостям, задачам, перечни оборудования, пользователей и другие данные в различных разрезах;
Набор предустановленных отчетов;
Возможность настроить автоматическое формирование отчётности и ее рассылку заданным получателям;
Конструктор отчётов для предоставления информации по собственному шаблону;
Формирование отчётных документов по инфраструктуре (паспортов сетей, систем и помещений, перечней оборудования, сводных отчетов и пр.);
Экспорт данных по активам, инцидентам, уязвимостям и другим элементам в Excel.

Технические особенности платформы

Гибкая настройка продукта под задачи и специфику организации
Обширный набор предустановленных справочников
Готовые коннекторы к распространенным SIEM, DLP и другим решениям для защиты информации,
Возможность создания собственных коннекторов к любым системам
Масштабируемая архитектура и высокая скорость работы
Интуитивно понятный удобный интерфейс
Отказоустойчивость

Результаты внедрения

Для аналитиков ЦУИБ

Работа в едином интерфейсе с отслеживанием состояния системы ИБ;
Повышение эффективности и оперативности работы команды реагирования ЦУИБ;
Автоматизация рутинных задач в процессе обработки инцидентов;
Выстроенное взаимодействие между ИБ и ИТ-подразделениями.

Для руководства ИБ

Контроль ИТ-инфраструктуры и уровня ее защищенности;
Автоматизация процессов управления инцидентами и уязвимостями;
Снижение вероятности негативных событий и сокращение масштабов потенциального ущерба;
Полная картина о состоянии ИБ, отчетность и метрики для принятия решений.

Масштабирование и развитие

R-Vision является ключевым компонентом центра управления информационной безопасностью (ЦУИБ), обеспечивающим быстрое и эффективное реагирование на инциденты ИБ.

По мере развития и появления новых средств и методов киберзащиты как в самом ЦУИБ, так и в корпоративной, отраслевой или территориальной структуре обслуживания ЦУИБ, они могут подключаться к R-Vision SOAR, передавая в него собираемую информацию и получая эффективные рекомендации по реагированию, решению и недопущению инцидентов, минимизации последствий и быстрому восстановлению.

Компания МультиТек Инжиниринг поставляет, внедряет и сопровождает как отдельные решения, так и комплексные системы обеспечения и управления информационной безопасностью.

Мы предлагаем демонстрацию возможностей и пилотирование решений заинтересованным организациям.

Для получения более подробной информации отправьте, пожалуйста, письмо с запросом или свяжитесь с нами по телефону +375 17 28 28 959

ЗАПРОС