R-Vision Incident Response Platform

Платформа для создания Центра реагирования на инциденты ИБ

R-Vision Incident Response Platform (IRP) представляет собой автоматизированный центр мониторинга, обработки и реагирования на инциденты информационной безопасности (SOC).

Платформа R-Vision IRP позволяет выявлять киберугрозы и инциденты в режиме реального времени, собирая информацию из множества источников в едином окне оперативного реагирования. При обнаружении инцидента запускаются преднастроенные алгоритмы и автоматизированные сценарии, которые обеспечивают быстроту реакции и слаженность действий команды реагирования, помогая свести к минимуму возможные негативные последствия от инцидента.

Наличие компонентов управления активами и управления уязвимостями минимизирует риски, связанные с контролем защищенности информационных ресурсов.

Для отслеживания эффективности обеспечения информационной безопасности и отдельных процессов предусмотрен широкий набор метрик и средств визуализации. Готовые шаблоны сводок позволяют быстро формировать отчетность для руководства, регуляторов и внутренних пользователей и отправлять ее адресатам в автоматическом режиме.

Автоматизация реагирования

В условиях постоянно возрастающего потока сообщений о возможных инцидентах и стремительную скорость совершения современных кибератак, эффективное реагирование становится невозможным без автоматизации выполняемых действий и применения готовых алгоритмов.

R-Vision IRP предлагает набор возможностей по автоматизации реагирования, которые могут быть легко настроены пользователем системы под собственные нужды:

  • Динамические сценарии реагирования (playbooks)
  • Скрипты автоматизации
  • Карта рабочего процесса по инциденту

Использование перечисленных инструментов позволяет в разы повысить скорость обработки инцидентов, сбора необходимых данных и развёртывания защитных мер по сравнению с действиями вручную.

Сценарии реагирования (так называемые playbooks) позволяют в автоматическом режиме реализовать алгоритм действий, заданный для конкретного типа инцидента при срабатывании определенного правила.

В сценарий реагирования могут быть включены такие действия как:

  • постановка задач, отправка уведомлений, принятие решений;
  • действия, направленные на блокировку атаки и минимизацию возможных последствий;
  • сбор ключевой информации для расследования инцидента, отправка запросов, запрос событий по инциденту в SIEM;
  • запуск необходимых коннекторов и сценариев реагирования.

Для быстрого старта в системе предусмотрен набор типовых сценариев реагирования, а встроенный графический редактор позволяет их легко адаптировать под специфику организации и конкретную структуру команды реагирования.

Скрипты автоматизации позволяют удаленно осуществлять сбор данных и выполнять определенные действия на оборудовании. В системе представлено более 50 готовых скриптов и их список постоянно пополняется. Можно создавать собственные скрипты на любом скриптовом языке.

Карта рабочего процесса по инциденту позволяет быстро оценить статус обработки инцидента, увидеть, сколько шагов выполнено, какие действия выполняются в данный момент и внести изменения на лету.

Контроль ИТ-инфраструктуры

Программный комплекс позволяет провести инвентаризацию инфраструктуры, выделить наиболее критичные активы, определить специалистов, ответственных за обеспечение безопасности активов. За счет интеграции с имеющимися решениями по безопасности (антивирусы, сканеры защищенности и др.), а также использования собственных механизмов контроля, обеспечиваются:

  • консолидация и представление в единой консоли различных сведений о состоянии безопасности инфраструктуры,
  • контроль установленного ПО,
  • обнаружение несанкционированного оборудования и внешних подключений,
  • выявление и контроль устранения уязвимостей.

Топология инфраструктуры может быть представлена в виде карт сетей, планов помещений и схем географического расположения.

Интеграция с внешними источниками

Сбор и консолидация необходимой информации по состоянию ИТ-инфраструктуры и зафиксированным инцидентам информационной безопасности могут быть обеспечены за счет использования нескольких механизмов:

  • электронной почты,
  • программного интерфейса (API),
  • встроенной системы приема сообщений
  • собственных коннекторов для ключевых систем защиты: сканеров уязвимости, средств антивирусной защиты, систем защиты от утечки информации (DLP), систем сбора и корреляции событий безопасности (SIEM) и других.

Разбор поступающих в систему сообщений может быть адаптирован под специфику защищаемой инфраструктуры путем использования правил на базе регулярных выражений или тегов.

Единая база инцидентов

Отсутствие единого центра, содержащего сведения обо всех зафиксированных инцидентах информационной безопасности, является одной их ключевых проблем, снижающих оперативность реагирования на инциденты уполномоченных сотрудников.

Использование платформы IRP в качестве основы для реализации центра реагирования на инциденты ИБ (SOC) позволяет обеспечить фиксацию фактов обнаружения инцидентов информационной безопасности, а также релевантной информации в единой, централизованной базе. Это, в свою очередь, позволяет повысить управляемость деятельности по реагированию на инциденты и оперативность обработки возникающих инцидентов, а также соблюсти соответствующие требования методических документов и стандартов, установленных регуляторами (ФСТЭК, ЦБ и др.).

Адаптируемая логика

Платформа IRP содержит широкий спектр механизмов, позволяющих адаптировать логику работы системы под специфику и особенности процесса реагирования на инциденты в определенной компании. К таким механизмам относятся:

  • конструктор описания инцидентов, позволяющий задать состав сведений, собираемых по соответствующим категориям инцидентов;
  • конструктор циклов обработки инцидентов, позволяющий создавать различные схемы статусов (маршруты) движения инцидентов в процессе обработки;
  • гибкие правила настройки доступа к сведениям по инцидентам, включая возможность автоматического назначения ответственных лиц на инциденты на основании связанных активов, или заданных правил;
  • настраиваемые справочники и шаблоны инцидентов, обеспечивающие возможность быстрого ввода данных по зафиксированным инцидентам.

Обмен информацией по инцидентам

Для эффективного отражения современных кибератак крайне важно иметь возможность обмениваться информацией с другими участниками отрасли, внешними экспертами и организациями, публичными центрами реагирования (CERT/SOC).  Это позволяет оперативно получать сведения, которые могут быть использованы для обнаружения и блокирования кибератаки. Кроме того, это позволяет предоставить сведения, выявленные в ходе расследования инцидента, другим доверенным участникам обмена, в качестве которых могут выступать службы информационной безопасности дочерних и/или головных организаций (в случае крупных холдинговых структур), партнерских организаций/контрагентов, соответствующих государственных служб (ФинЦЕРТ, ГОССОПКА и др.).

Платформа IRP содержит встроенные механизмы обмена сведениями по инцидентам, которые позволяют обмениваться данными с другими участниками, при этом обладая полным контролем над объемом передаваемой информации и списками получателей.

Совместная работа

Слаженная работа команды реагирования является крайне важным фактором, обеспечивающим результативность деятельности по реагированию на инциденты информационной безопасности.

Каждый инцидент в платформе R-Vision IRP обладает собственной рабочей областью, в рамках которой осуществляется взаимодействие сотрудников, ответственных за реагирование на соответствующий инцидент. Лицо, ответственное за обработку инцидента, обладает возможностью определять состав рабочей группы, устанавливать объем доступной для просмотра информации, распределять задачи между участниками рабочей группы. Все собранные в ходе обработки инцидента свидетельства и материалы сохраняются в общем хранилище и становятся доступны всем участникам рабочей группы. Оперативная коммуникация внутри команды обеспечивается за счет командного чата по инциденту.

Визуализация и отчетность

Платформа IRP предлагает широкий набор средств визуализации информации.

  • Кастомизируемые дашборды обеспечивают представление информации в виде графиков и диаграмм, содержащих функции перехода от графиков к соответствующей им информации (drill-down).
  • Данные по инфраструктуре могут быть представлены в виде карт сетей и схем помещений.
  • Анализ взаимосвязей между элементами системы, способствующий эффективному расследованию инцидентов, может быть проведен с использованием так называемых схем взаимосвязей.
  • Информация по активам, инцидентам и другим элементам системы для ее последующей обработки также может быть экспортирована в виде Excel-файлов.

R-Vision IRP содержит широкий список готовых отчетов, а также механизмы настройки собственных шаблонов. Правила создания и рассылки отчетов позволяют настроить расписание автоматической генерации документов и их отправки соответствующим адресатам.