Заместитель директора Департамента информационной безопасности Platformix Виталий Масютин дал интервью редакции CISOCLUB. В ходе него он рассказал, как SOAR-платформы влияют на эффективность оказания услуг; ответил на вопрос о влиянии SOAR на время реакции на инциденты и поделился метриками, которые применяет для оценки эффективности интеграции Threat Intelligence в процессы мониторинга и реагирования на инциденты у клиентов. Особое внимание Виталий уделил преимуществам использования продуктов Security Vision для MSSP.
Виталий прокомментировал, какие автоматизированные сценарии и плейбуки для MSSP являются наиболее полезными в повседневных операциях: «Плейбуки, в принципе, очень упростили нашу жизнь, т.к. избавили ее от длительного процесса обучения и адаптации аналитиков, которых мы набираем. Мы получили возможность достаточно быстро вводить человека в курс дела и давать ему опции или варианты принятия решений в зависимости от типа инцидента. Я не могу выделить конкретный плейбук, но могу отметить совокупность плейбуков как причину, по которой мы выбрали Security Vision и их SOAR систему».
Отвечая на вопрос о том, какие типы TI-источников в SOAR оказываются наиболее полезными для обогащения данных о киберугрозах, Виталий ответил: «Threat Intelligence (TI) можно охарактеризовать как дополнительную информацию, которая позволяет понять, что уже случилось и что может случиться. С точки зрения типов источников информация достаточно стандартная: данные о вирусах, хешах, IP-адресах и т.д. Нам нравится система Security Vision, потому что она дает возможность собрать эти данные из разных источников, включая как зарубежные, так и отечественные. Эффективность процесса расследования и обогащения во многом полагается на исходные данные, которые мы получаем от средств защиты. Часто бывает, что у заказчиков используются нишевые средства защиты или они работают с ограниченным функционалом из-за отключенных лицензий. И фактически мы компенсировали невозможность полагаться на исходные данные получением такой информации из TI. Внешняя платформа Security Vision позволяет получать нам более качественные данные и в более полном объеме».
Полное интервью Виталия Масютина: