Security Vision Incident Response Platform (IRP / SOAR)
- автоматическое выполнение дежурных процедур в режиме реального времени;
- уменьшение воздействия инцидентов кибербезопасности за счет сокращения времени реагирования в части выполнения:
- идентификации
- локализации
- уничтожения
- и восстановления
- снижение риска человеческого фактора и ошибок персонала, привлекаемого к реагированию на инциденты кибербезопасности;
- сокращение времени реагирования за счет автоматизации набора заранее разработанных процедур и сценариев реагирования, реализованных в компонентах Системы.

Результаты использования
до 90%
снижение вероятности распространения зловредов по сети при настроенном автоматическом реагировании
до 90%
снижение риска человеческого фактора и ошибок персонала, вовлеченного в реагирование на инциденты кибербезопасности
до 70%
высвобождение времени квалифицированного персонала, вовлеченного в реагирование на инциденты кибербезопасности, от рутинных операций для более экспертных задач
до 50%
повышение эффекта коллаборации за счет обогащения смежных систем кибербезопасности
до 90%
обработка риска кибербезопасности в автоматическом режиме (при использовании совместно с Security Vision [CRS])
1 место
оценка качества среди российских и иностранных IRP-систем по результатам открытых конкурсов в Сбербанке России, банке «Открытие», Почте России и др.
Системы класса Incident Response Platform: применение и основные функции

Системы IRP оказывают неоценимую помощь в обнаружении и предупреждении компьютерных атак, направленных на защищаемые информационные ресурсы, снимая со специалистов SOC массу рутинных задач и, что особенно важно, обеспечивая реагирование на киберинциденты в режиме онлайн. С учетом того, что при атаках на информационные ресурсы счет зачастую идет на секунды, роль скорости при реагировании сложно переоценить.
Системы Incident Response Platform весьма эффективны в комбинации с SIEM. Рассмотрим типовой пример: SIEM сигнализирует о вероятной атаке на информационные ресурсы организации. И тогда в действие приходит IRP – она выполняет множество рутинных операций по сбору дополнительной информации, осуществляет комплекс неотложных действий по сдерживанию и устранению угрозы, в случае необходимости восстанавливает подвергшуюся атаке систему, оповещает о случившемся инциденте профильных сотрудников. Кроме того, IRP собирает и структурирует все данные о расследованных инцидентах информационной безопасности. В случае отсутствия в организации системы IRP весь указанный комплекс действий вынуждены выполнять сотрудники Департамента Информационной безопасности – в ручном режиме. Чтобы понять, насколько различается эффективность процессов обеспечения информационной безопасности до и после автоматизации - естественно, мы говорим о внедрении не абстрактной системы, а конкретно системы Security Vision IRP, - вспомним проект ее внедрения в банке «Открытие», ставший победителем Национальной банковской премии. До реализации проекта сотрудники Департамента ИБ Банка тратили минимум по два часа, чтобы проверить всего лишь один-два параметра киберинцидента. Теперь эта работа выполняется в автоматическом режиме системой Security Vision IRP, которая за несколько секунд осуществляется более двухсот проверок! Отметим, что глубина проверок киберинцидентов в результате автоматизации также увеличилась .
Теперь рассмотрим подробнее основные этапы реагирования на киберинциденты и то, как системы класса IRP помогают автоматизировать действия специалиста ИБ на каждом их этих этапов.
Системы класса SOAR: применение и основные функции

Термин SOAR был введен в обиход в 2017 году исследовательской компанией Gartner для описания продукта, появившегося в результате эволюции и конвергенции трех технологий: платформ автоматизации процессов обеспечения информационной безопасности, платформ реагирования на инциденты кибербезопасности (IRP) и платформ управления средствами защиты и данными о киберугрозах (Threat Intelligence Platform, TIP). К основным свойствам SOAR-систем Gartner относит агрегацию данных об инцидентах информационной безопасности, обогащение сведений, управление СЗИ и автоматизацию реагирования на киберинциденты.
Gartner ожидает интенсивной рост применения технологий SOAR: согласно прогнозу, содержащемуся в отчете компании за 2019 год, «к концу 2022 года 30% организаций, в ИБ-службы которых входит более пяти человек, будут использовать инструменты в своих операциях по обеспечению безопасности, по сравнению с менее чем 5% сегодня». Действительно, в настоящее время многие вендоры расширяют функционал своих IRP-платформ, превращая их в SOAR-платформы (так, например, произошло с IRP-системами IBM Resilient и LogRhythm SmartResponse, а также с созданной ГК «Интеллектуальная безопасность» системой Security Vision IRP), а термины IRP и SOAR часто используются как синонимы.
Примеры реализации
Никита Виноградов
Руководитель службы мониторинга и реагирования на инциденты
Банк «Открытие»
Дмитрий Первухин
вице-президент, заместитель директора департамента ИТ-развития
Банк «Открытие»
Сергей Фомиченко
Начальник отдела информационной безопасности
АО «Корпорация «МСП»
Андрей Янкин
Директор ЦИБ
Инфосистемы Джет
«Сейчас наблюдаются два очевидных тренда в развитии систем обеспечения информационной безопасности предприятий. С одной стороны, системы защиты становятся все сложнее и разнообразнее, а значит, требуют отдельных централизованных средств управления и мониторинга. С другой, идет смещение фокуса от превентивных контролей ИБ к оперативному детектированию и реагированию. Коллеги из Security Vision предвосхитили эти изменения и уже более 10 лет создают и развивают продукт, который позволяет компаниям создавать эффективный центр управления ИБ. Думаю, сейчас он актуален, как никогда».
Владимир Журавлев
Директор департамента информационной безопасности
Банк «Открытие»
Сергей Ходаков
Операционный директор Кластера информационных технологий
Фонд «Сколково»
Илья Короткин
руководитель службы мониторинга и реагирования на инциденты информационной безопасности
Банк «Открытие»
Функциональные модули комплектации
Коробочное решение: 11 модулей
Проектное решение: опциональное количество модулей
Функциональные модули комплектации
Коробочное решение: 11 модулей
Проектное решение: опциональное количество модулей
Схема применения продукта

Особенности применения
Единая платформа
Продукты Security Vision дополняют друг друга, обеспечивая комплексную безопасность и финансовые преимущества использования систем класса SOC, IRP, SGRC, CRS на одной платформе.
Конструктор процессов реагирования
Покрывает полный жизненный цикл реагирования на инциденты:
• Идентификация;
• Локализация;
• Уничтожение;
• Восстановление.
Конструктор позволяет выстроить автоматизацию реагирования на инциденты кибербезопасности в соответствии с ... Читать далее
Конструктор процессов реагирования
• Идентификация;
• Локализация;
• Уничтожение;
• Восстановление.
Конструктор позволяет выстроить автоматизацию реагирования на инциденты кибербезопасности в соответствии с рабочими процессами - автоматизация выполнения частей дежурной процедуры, связанных с:
• внесением изменений во внешние ИТ системы или устройства;
• выполнением запросов к этим устройствам для получения данных (обогащение информации об инциденте).
Платформа-конструктор
Позволяет Заказчику формировать структуру, логику и наполнение решения под собственные бизнес-задачи без привлечения разработчика.
Универсальные коннекторы
Универсальные коннекторы имеют самый широкий спектр механизмов взаимодействия с источниками данных, апробированы на более чем 2000 источников.
Механизм коннекторов обеспечивает возможность создания соединения с удаленными системами с помощью следующих ... Читать далее
Универсальные коннекторы
Механизм коннекторов обеспечивает возможность создания соединения с удаленными системами с помощью следующих протоколов и механизмов: DNS, HTTP, HTTPS, PowerShell, RPC, SNMP, SSH, SSL, TLS, WMI, механизм подключения к Microsoft SQL, механизм подключения к MySQL, механизм подключения к Oracle, механизм подключения к PostgreSQL, механизм подключения к ActiveDirectory и другие.
Встроенные механизмы корреляции
Встроенные механизмы корреляции. Встроенные механизмы обработки получаемой информации от внешних систем для автоматического обнаружения инцидентов кибербезопасности.
Применяется в направлениях
Применяется в таких направлениях, как:
• Автоматизация рисков кибербезопасности в финансовой отрасли, в том числе в соответствии с Проектом Положения Банка России «О требованиях к системе управления операционным риском в кредитной ... Читать далее
Применяется в направлениях
• Автоматизация рисков кибербезопасности в финансовой отрасли, в том числе в соответствии с Проектом Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» в части управления киберрисками;
• Построение ситуационных центров мониторинга информационной безопасности (SOC);
• Построение центров реагирования на инциденты кибербезопасности (IRP);
• Выстраивание системы управления информационной безопасностью в соответствии со стандартом ISO серии 27ххх;
• Выстраивание системы управления информационной безопасностью в соответствии с лучшими международными стандартами и практиками;
• Соответствие нормативным и отраслевым требованиям, в том числе Общеевропейскому регламенту о персональных данных (General Data Protection Regulation, GDPR);
• Подключение к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), защита объектов критической информационной инфраструктуры;
• Взаимодействие с FinCERT;
• Мониторинг ИБ при работе с Единой биометрической системой.
Документация по продукту
Более полная техническая документация, содержащая описание функциональных характеристик программного обеспечения и информацию, необходимую для установки и эксплуатации программного обеспечения предоставляется по запросу на адрес: sales@securityvision.ru