R-Vision CERS

Построение центра реагирования на угрозы и уязвимости

Программный комплекс R-Vision CERS (Computer Emergency Response System) позволяет создать на базе конкретной организации ведомственный, региональный или корпоративный центр мониторинга и реагирования на компьютерные инциденты – CERT (Computer Emergency Response Team).

Оператор CERT получает удобный инструмент взаимодействия с конечными заказчиками для выстраивания процессов по мониторингу кибератак и обмену электронными сообщениями по инцидентам и уведомлениями о компьютерных угрозах и уязвимостях.

Аналитики центра мониторинга с помощью R-Vision CERS имеют возможность:

  • Собирать данные со всех подключенных к оператору участников
  • Актуализировать и анализировать собранную информацию
  • Вырабатывать рекомендации по мерам защиты от кибератак
  • Формировать информационные материалы по угрозам и уязвимостям
  • Информировать всех заинтересованных участников об угрозах и уязвимостях
  • Взаимодействовать с регуляторами, сторонними и зарубежными CERT
Схема работы R-Vision CERS
Схема работы R-Vision CERS

Преимущества от использования

  • Создание государственного или корпоративного центра мониторинга и экспертизы
  • Выстраивание информационного обмена и связанных процессов по угрозам и уязвимостям внутри отрасли или ряда организаций
  • Получение удобного инструмента для обработки больших объемов данных в качестве места работы аналитика CERT
  • Распространение собственной экспертизы на группу компаний, отрасль, регион
  • Повышение уровня осведомленности об актуальных угрозах и, как следствие, уровня защищенности для всех подключенных организаций

Ключевые возможности

Аккумуляция всей информации об угрозах и уязвимостях

Программный комплекс R-Vision CERS агрегирует информацию об угрозах и уязвимостях, поступающую из внешних источников, а также от подключенных организаций, сообщающих об инциденте оператору. Все поступающие сведения об индикаторах вредоносной активности обрабатываются, обогащаются дополнительным контекстом благодаря встроенной интеграции с площадками обмена данными об угрозах и уязвимостях и сервисами обогащения. Таким образом формируется аналитическая база данных индикаторов компрометации, уязвимого ПО и отчетов.

Создание личного кабинета подключенной организации

В системе предусмотрена возможность создания Личного Кабинета (ЛК) для подключаемой организации с целью оперативного обмена данными. Готовый инструмент обладает рядом функциональных возможностей, среди которых:

  • отправка сообщений об инцидентах
  • получение обратной связи от оператора
  • взаимодействие со специалистами оператора по текущим вопросам
  • просмотр сводной статистики по инцидентам
  • получение бюллетеней от оператора

Передача сведений об активах организации в CERT

В рамках созданного личного кабинета заказчики могут передавать сведения о своих информационных активах оператору CERT. В ЛК могут быть заведены различные типы ИТ-активов, как предустановленные, например, оборудование, информационные системы, сети, домены, организационная структура, так и разнообразные пользовательские активы, актуальные для той или иной отрасли подключенных организаций. Таким образом, в личном кабинете организации могут вести базу информационных активов с указанием атрибутов для их идентификации.

Автоматизация реагирования на сообщения об инцидентах

Система R-Vision CERS содержит готовый набор сценариев организационного реагирования, базу информационных активов подключенных организаций, а также базу сторонних CERT и провайдеров, что в комплексе позволяет автоматизировать процесс обработки сообщений об инцидентах и определения получателя информации, который может быть связан с индикатором компрометации.

Так, после поступления информации об инциденте, происходит его типизация, автоматическое обогащение индикаторов компрометации и запуск того или иного плейбука в зависимости от типа инцидента.

Формирование информационных бюллетеней

В R-Vision CERS с целью отправки обработанных сведений заказчикам, сторонним CERT, MSS-провайдерам предусмотрена возможность формирования информационных бюллетеней о компьютерных угрозах и уязвимостях на основе данных, полученных из внешних источников, от подключенных организаций, а также от аналитиков CERT. В бюллетене содержится общее описание угрозы или уязвимости, могут указываться сведения о наличии эксплойтов, подгружаться изображения с комментариями для детализации информации, а также расписываются рекомендации по устранению уязвимости или способы минимизации влияния угрозы на инфраструктуру заказчика. Для удобства подачи информации разработаны различные шаблоны бюллетеней.

Информационные материалы могут не только рассылаться напрямую адресатам, но и публиковаться на внешних ресурсах оператора.

Информационный обмен с подключенными организациями

В системе происходит регистрация всех поступающих обращений от подключенных организаций. Встроенные сценарии реагирования позволяют оперативно обрабатывать входящую информацию, оповещать заказчиков о новых угрозах и уязвимостях в ПО и направлять рекомендации для эффективного реагирования на инциденты.

Взаимодействие оператора с организациями для обмена данными может происходить двумя способами: через личный кабинет заказчика или посредством электронной почты. Предусмотрен способ оперативного обмена комментариями относительно отправленных/полученных инцидентов с помощью чата. Также в созданной карточке инцидента ИБ-специалисты заказчиков, взаимодействующие посредством ЛК, могут направлять свидетельства оператору CERT.

Предоставление статистических данных и отчетность

Специалисты центров мониторинга с помощью комплекса программ R-Vision CERS могут формировать требуемые отчеты и графики:

  • информация по собранным и отработанным инцидентам
  • данные по собранным информационным активам
  • отчет/график по выполнению SLA
  • детальная статистика по работе ответственных за выявление инцидентов, обрабатываемых в CERT
  • отчеты для руководства
  • иные пользовательские отчеты и графики

Подключенным организациям в личном кабинете для просмотра доступны сформированные оператором графики с метриками по входящим и исходящим инцидентам и бюллетеням.

Выстраивание взаимодействия с зарубежными и сторонними CERT, внешними MSSP и регуляторами

Для своевременного реагирования на актуальные кибератаки крайне важно иметь возможность обмениваться информацией об инцидентах со сторонними центрами реагирования (CERT/SOC), MSS-провайдерами, регуляторами, другими участниками отрасли. С помощью встроенных механизмов системы R-Vision CERS возможно выстраивание двустороннего взаимодействия с командами внешних центров реагирования или MSSP и с аналогичными зарубежными центрами, выступая при этом равноправным членом международного сообщества таких организаций.

Обмен данными позволяет оперативно получать важные сведения, относящиеся к актуальным угрозам, и способствовать своевременному предупреждению критичной ситуации.