Платформа реагирования на инциденты ИБ (IRP)

screen-shot-2016-09-21-at-15-45-25Оперативное выявление и реагирование на инциденты ИБ в настоящее время становится одной из наиболее критичных дисциплин с точки зрения обеспечения корпоративной безопасности. Жертвами хакерских атак или действий инсайдеров ежедневно становится огромное количество компаний по всему миру и даже те, кто безусловно тратит немалые бюджеты на информационную безопасность. В последнее время даже стала популярной шутка о том, что безопасники делятся на тех, кто знает, что их взломали, и тех, кто об этом даже не подозревает.

С точки зрения мониторинга безопасности за последние годы на рынке появился широкий спектр решений различных классов: системы обнаружения вторжений, системы анализа поведения пользователей, DLP, SIEM и многие другие. Все эти комплексы позволяют собрать и обработать большое количество технической информации с целью выявления возможных индикаторов несанкционированной активности.  А что же происходит дальше ?  После выявления инцидента в компании должны запускаться соответствующие процедуры, направленные на оперативное блокирование инцидента и устранение его последствий.  А в случае, если факт инцидента уже стал достоянием широкой общественности, то потребуется подключить и смежные подразделения (юристы, PR, GR) с целью сгладить возможный имиджевый ущерб для компании.

Еще одной тенденцией последнего времени можно обозначить введение регулятивных норм, предписывающих компаниям отчитываться о произошедших инцидентах ИБ. В России первым таким регулятором был и остается ЦБ, который еще 4 года назад ввел ежемесячную форму отчетности по инцидентам, связанным с переводом денежных средств. На очереди похожие нормы в рамках взаимодействия организаций с FinCERT, РКН, ГосСОПКА. Помимо этого растет и потребность организаций в обмене данными по инцидентами с другими участниками отрасли.

Для решения всех подобных задач компании внедряют в организации так называемые корпоративные центры реагирования на инциденты или SOC-и (security operations center). Задача таких центров состоит в том, чтобы объединить людей, процессы и технологии для оперативного реагирования на инциденты ИБ. И для реализации подобных центров безусловно нужна платформа, в которую будут интегрированы имеющиеся средства защиты, люди и процессы. К такого рода платформам относятся решения класса Incident Response Platform, рынок еще зарождающийся, но уже привлекший внимание Gartner.

Давайте рассмотрим подробнее то, какими основными возможностями должна обладать платформа для создания центра реагирования на инциденты.

Интеграция со средствами защиты. Для консолидации информации обо всех инцидентах информационной безопасности платформа должна представлять широкие возможности по интеграции с имеющимися средствами защиты (SIEM, DLP, VA, IDS, AV и др.) посредством API, SMTP, скриптов и других стандартных механизмов взаимодействия.

Интеграция с инфраструктурой. В продукте должна быть возможность вести учет всех объектов инфраструктуры, защиту которых необходимо обеспечить. Помимо инвентаризационной информации полезной опцией является также сбор и представление дополнительных сведений о состоянии защищенности этих объектов.

Организация совместной работы команд реагирования. В процессе реагирования на инцидент информационной безопасности может потребоваться участие различных сотрудников компании, по этой причине команде для успешной и эффективной работы необходимо обеспечить механизмы коммуникции, уведомления о новых событиях по инциденту, а также хранения собранных материалов и их совместного анализа.

Автоматизация реагирования. При обнаружении инцидента счет порой идет на часы или даже минуты, поэтому очень важно иметь механизмы автоматического реагирования на инциденты, включающие в себя готовые планы реагирования, автоматическую постановку задач, а также технические мероприятия, направленные на блокировку инцидента и ограничение возможностей его распространения.

Адаптивность. В каждой компании процесс реагирования на инциденты безусловно будет иметь свою специфику, обусловленную особенностями бизнеса, используемой ИТ-инфраструктурой, а также другими внешними факторами. В силу этого платформа должна обеспечивать простую адаптивность под потребности команды реагирования без необходимости привлечения разработчика платформы или самостоятельного написания программного кода/скриптов.

Визуализация и отчетность. Деятельность по реагированию на инциденты все чаще привлекает внимание руководства компании, а также внешних сторон (регуляторов, контрагентов и пр.). В этой связи возможности по визуализации информации в виде графиков, карт, диаграмм, а также механизмы формирования необходимой отчетности является обязательными компонентами корпоративной платформы.

Обмен информацией с внешними источниками. Будь то обмен данными по инцидентам с дочерними структурами в рамках корпорации или обмен информацией с внешними центрами реагирования на инциденты, все это позволяет получать оперативную информацию от других участников и заблаговременно принимать превентивные меры.

Свяжитесь с нами чтобы узнать больше о возможностях R-Vision Incident Response Platform.

Поделиться записью:
Scroll Up