R-Vision Incident Response Platform

Платформа для создания Центра реагирования на инциденты ИБ

R-Vision Incident Response Platform (IRP) – это программная платформа для оперативной организации и автоматизации деятельности по мониторингу, регистрации и реагированию на инциденты информационной безопасности.

Система позволяет создать единую точку консолидации информации обо всех инцидентах информационной безопасности (корпоративный SOC), а также платформу для совместной работы группы реагирования на инциденты ИБ с возможностью сбора, анализа и хранения сведений, относящихся к инцидентам ИБ. R-Vision IRP обеспечивает координацию деятельности сотрудников компании, распределение задач и учёт выполненных мероприятий по реагированию на инциденты ИБ.

Автоматизация реагирования

Скорость реакции на инциденты является одним из ключевых показателей эффективности подразделения, отвечающего за информационную безопасность. В условиях все возрастающего количества фиксируемых сообщений о возможных инцидентах ИБ и принимая во внимание скорость реализации современных кибератак, единственным способом сохранить возможность оперативного реагирования является автоматизация выполняемых действий и разработка готовых планов реагирования на возникающие ситуации.

В платформе IRP предусмотрен функционал сценариев реагирования (так называемые playbooks), которые позволяют в автоматическом режиме реализовать алгоритм действий, заданный для конкретного типа инцидента. Динамические playbooks R-Vision IRP позволяют включить в цепочку действие, результат которого будет зависеть от результата предыдущего.

В сценарий реагирования могут быть включены такие действия как:

  • формирование команды реагирования и постановка задач;
  • проактивные действия, направленные на блокировку атаки и минимизацию возможных последствий;
  • сбор ключевой информации для расследования инцидента;
  • отправка уведомлений и др.

Скрипты автоматизации позволяют удаленно осуществлять сбор данных и выполнять определенные действия на оборудовании. В системе их представлено более 50 и их список постоянно пополняется. Пользователь также может создавать собственные скрипты на любом скриптовом языке.

В системе также могут быть определены нормативы по выполнению тех или иных действий, а также общие сроки реагирования на инциденты различных категорий и уровней критичности. Все это в совокупности позволяет оценивать эффективность команды реагирования и определять области для улучшения.

Контроль ИТ-инфраструктуры

Программный комплекс позволяет провести инвентаризацию инфраструктуры, выделить наиболее критичные активы, определить специалистов, ответственных за обеспечение безопасности активов. За счет интеграции с имеющимися решениями по безопасности (антивирусы, сканеры защищенности и др.), а также использования собственных механизмов контроля, обеспечиваются:

  • консолидация и представление в единой консоли различных сведений о состоянии безопасности инфраструктуры,
  • контроль установленного ПО,
  • обнаружение несанкционированного оборудования и внешних подключений,
  • выявление и контроль устранения уязвимостей.

Топология инфраструктуры может быть представлена в виде карт сетей, планов помещений и схем географического расположения.

Интеграция с внешними источниками

Сбор и консолидация необходимой информации по состоянию ИТ-инфраструктуры и зафиксированным инцидентам информационной безопасности могут быть обеспечены за счет использования нескольких механизмов:

  • электронной почты,
  • программного интерфейса (API),
  • встроенной системы приема сообщений
  • собственных коннекторов для ключевых систем защиты: сканеров уязвимости, средств антивирусной защиты, систем защиты от утечки информации (DLP), систем сбора и корреляции событий безопасности (SIEM) и других.

Разбор поступающих в систему сообщений может быть адаптирован под специфику защищаемой инфраструктуры путем использования правил на базе регулярных выражений или тегов.

Единая база инцидентов

Отсутствие единого центра, содержащего сведения обо всех зафиксированных инцидентах информационной безопасности, является одной их ключевых проблем, снижающих оперативность реагирования на инциденты уполномоченных сотрудников.

Использование платформы IRP в качестве основы для реализации центра реагирования на инциденты ИБ (SOC) позволяет обеспечить фиксацию фактов обнаружения инцидентов информационной безопасности, а также релевантной информации в единой, централизованной базе. Это, в свою очередь, позволяет повысить управляемость деятельности по реагированию на инциденты и оперативность обработки возникающих инцидентов, а также соблюсти соответствующие требования методических документов и стандартов, установленных регуляторами (ФСТЭК, ЦБ и др.).

Адаптируемая логика

Платформа IRP содержит широкий спектр механизмов, позволяющих адаптировать логику работы системы под специфику и особенности процесса реагирования на инциденты в определенной компании. К таким механизмам относятся:

  • конструктор описания инцидентов, позволяющий задать состав сведений, собираемых по соответствующим категориям инцидентов;
  • конструктор циклов обработки инцидентов, позволяющий создавать различные схемы статусов (маршруты) движения инцидентов в процессе обработки;
  • гибкие правила настройки доступа к сведениям по инцидентам, включая возможность автоматического назначения ответственных лиц на инциденты на основании связанных активов, или заданных правил;
  • настраиваемые справочники и шаблоны инцидентов, обеспечивающие возможность быстрого ввода данных по зафиксированным инцидентам.

Обмен информацией по инцидентам

Для эффективного отражения современных кибератак крайне важно иметь возможность обмениваться информацией с другими участниками отрасли, внешними экспертами и организациями, публичными центрами реагирования (CERT/SOC).  Это позволяет оперативно получать сведения, которые могут быть использованы для обнаружения и блокирования кибератаки. Кроме того, это позволяет предоставить сведения, выявленные в ходе расследования инцидента, другим доверенным участникам обмена, в качестве которых могут выступать службы информационной безопасности дочерних и/или головных организаций (в случае крупных холдинговых структур), партнерских организаций/контрагентов, соответствующих государственных служб (ФинЦЕРТ, ГОССОПКА и др.).

Платформа IRP содержит встроенные механизмы обмена сведениями по инцидентам, которые позволяют обмениваться данными с другими участниками, при этом обладая полным контролем над объемом передаваемой информации и списками получателей.

Совместная работа

Слаженная работа команды реагирования является крайне важным фактором, обеспечивающим результативность деятельности по реагированию на инциденты информационной безопасности.

Каждый инцидент в платформе R-Vision IRP обладает собственной рабочей областью, в рамках которой осуществляется взаимодействие сотрудников, ответственных за реагирование на соответствующий инцидент. Лицо, ответственное за обработку инцидента, обладает возможностью определять состав рабочей группы, устанавливать объем доступной для просмотра информации, распределять задачи между участниками рабочей группы. Все собранные в ходе обработки инцидента свидетельства и материалы сохраняются в общем хранилище и становятся доступны всем участникам рабочей группы. Оперативная коммуникация внутри команды обеспечивается за счет командного чата по инциденту.

Визуализация и отчетность

Платформа IRP предлагает широкий набор средств визуализации информации.

  • Кастомизируемые дашборды обеспечивают представление информации в виде графиков и диаграмм, содержащих функции перехода от графиков к соответствующей им информации (drill-down).
  • Данные по инфраструктуре могут быть представлены в виде карт сетей и схем помещений.
  • Анализ взаимосвязей между элементами системы, способствующий эффективному расследованию инцидентов, может быть проведен с использованием так называемых схем взаимосвязей.
  • Информация по активам, инцидентам и другим элементам системы для ее последующей обработки также может быть экспортирована в виде Excel-файлов.

R-Vision IRP содержит широкий список готовых отчетов, а также механизмы настройки собственных шаблонов. Правила создания и рассылки отчетов позволяют настроить расписание автоматической генерации документов и их отправки соответствующим адресатам.