Security Vision Incident Response Platform (IRP / SOAR)
- автоматическое выполнение дежурных процедур в режиме реального времени;
- уменьшение воздействия инцидентов кибербезопасности за счет сокращения времени реагирования в части выполнения:
- идентификации
- локализации
- уничтожения
- и восстановления
- снижение риска человеческого фактора и ошибок персонала, привлекаемого к реагированию на инциденты кибербезопасности;
- сокращение времени реагирования за счет автоматизации набора заранее разработанных процедур и сценариев реагирования, реализованных в компонентах Системы.

Результаты использования
до 90%
снижение вероятности распространения зловредов по сети при настроенном автоматическом реагировании
до 90%
снижение риска человеческого фактора и ошибок персонала, вовлеченного в реагирование на инциденты кибербезопасности
до 70%
высвобождение времени квалифицированного персонала, вовлеченного в реагирование на инциденты кибербезопасности, от рутинных операций для более экспертных задач
до 50%
повышение эффекта коллаборации за счет обогащения смежных систем кибербезопасности
до 90%
обработка риска кибербезопасности в автоматическом режиме (при использовании совместно с Security Vision [CRS])
1 место
оценка качества среди российских и иностранных IRP-систем по результатам открытых конкурсов в Сбербанке России, банке «Открытие», Почте России и др.
Системы класса Incident Response Platform: применение и основные функции

Системы IRP оказывают неоценимую помощь в обнаружении и предупреждении компьютерных атак, направленных на защищаемые информационные ресурсы, снимая со специалистов SOC массу рутинных задач и, что особенно важно, обеспечивая реагирование на киберинциденты в режиме онлайн. С учетом того, что при атаках на информационные ресурсы счет зачастую идет на секунды, роль скорости при реагировании сложно переоценить.
Системы Incident Response Platform весьма эффективны в комбинации с SIEM. Рассмотрим типовой пример: SIEM сигнализирует о вероятной атаке на информационные ресурсы организации. И тогда в действие приходит IRP – она выполняет множество рутинных операций по сбору дополнительной информации, осуществляет комплекс неотложных действий по сдерживанию и устранению угрозы, в случае необходимости восстанавливает подвергшуюся атаке систему, оповещает о случившемся инциденте профильных сотрудников. Кроме того, IRP собирает и структурирует все данные о расследованных инцидентах информационной безопасности. В случае отсутствия в организации системы IRP весь указанный комплекс действий вынуждены выполнять сотрудники Департамента Информационной безопасности – в ручном режиме. Чтобы понять, насколько различается эффективность процессов обеспечения информационной безопасности до и после автоматизации - естественно, мы говорим о внедрении не абстрактной системы, а конкретно системы Security Vision IRP, - вспомним проект ее внедрения в банке «Открытие», ставший победителем Национальной банковской премии. До реализации проекта сотрудники Департамента ИБ Банка тратили минимум по два часа, чтобы проверить всего лишь один-два параметра киберинцидента. Теперь эта работа выполняется в автоматическом режиме системой Security Vision IRP, которая за несколько секунд осуществляется более двухсот проверок! Отметим, что глубина проверок киберинцидентов в результате автоматизации также увеличилась .
Теперь рассмотрим подробнее основные этапы реагирования на киберинциденты и то, как системы класса IRP помогают автоматизировать действия специалиста ИБ на каждом их этих этапов.
Системы класса SOAR: применение и основные функции

Термин SOAR был введен в обиход в 2017 году исследовательской компанией Gartner для описания продукта, появившегося в результате эволюции и конвергенции трех технологий: платформ автоматизации процессов обеспечения информационной безопасности, платформ реагирования на инциденты кибербезопасности (IRP) и платформ управления средствами защиты и данными о киберугрозах (Threat Intelligence Platform, TIP). К основным свойствам SOAR-систем Gartner относит агрегацию данных об инцидентах информационной безопасности, обогащение сведений, управление СЗИ и автоматизацию реагирования на киберинциденты.
Gartner ожидает интенсивной рост применения технологий SOAR: согласно прогнозу, содержащемуся в отчете компании за 2019 год, «к концу 2022 года 30% организаций, в ИБ-службы которых входит более пяти человек, будут использовать инструменты в своих операциях по обеспечению безопасности, по сравнению с менее чем 5% сегодня». Действительно, в настоящее время многие вендоры расширяют функционал своих IRP-платформ, превращая их в SOAR-платформы (так, например, произошло с IRP-системами IBM Resilient и LogRhythm SmartResponse, а также с созданной ГК «Интеллектуальная безопасность» системой Security Vision IRP), а термины IRP и SOAR часто используются как синонимы.
Примеры реализации
Никита Виноградов
Руководитель службы мониторинга и реагирования на инциденты
Банк «Открытие»
Олег Галкин
Директор Департамента кибербезопасности
Сбер Банк Беларусь
Дмитрий Первухин
вице-президент, заместитель директора департамента ИТ-развития
Банк «Открытие»
Сергей Каракулов
Директор Департамента безопасности
БПС-Сбербанк
Илья Короткин
руководитель службы мониторинга и реагирования на инциденты информационной безопасности
Банк «Открытие»
Функциональные модули комплектации
Коробочное решение: 11 модулей
Проектное решение: опциональное количество модулей
Функциональные модули комплектации
Коробочное решение: 11 модулей
Проектное решение: опциональное количество модулей
Схема применения продукта

Особенности применения
Единая платформа
Продукты Security Vision дополняют друг друга, обеспечивая комплексную безопасность и финансовые преимущества использования систем класса SOC, IRP, SGRC, CRS на одной платформе.
Конструктор процессов реагирования
Покрывает полный жизненный цикл реагирования на инциденты:
• Идентификация;
• Локализация;
• Уничтожение;
• Восстановление.
Конструктор позволяет выстроить автоматизацию реагирования на инциденты кибербезопасности в соответствии с ... Читать далее
Конструктор процессов реагирования
• Идентификация;
• Локализация;
• Уничтожение;
• Восстановление.
Конструктор позволяет выстроить автоматизацию реагирования на инциденты кибербезопасности в соответствии с рабочими процессами - автоматизация выполнения частей дежурной процедуры, связанных с:
• внесением изменений во внешние ИТ системы или устройства;
• выполнением запросов к этим устройствам для получения данных (обогащение информации об инциденте).
Платформа-конструктор
Позволяет Заказчику формировать структуру, логику и наполнение решения под собственные бизнес-задачи без привлечения разработчика.
Универсальные коннекторы
Универсальные коннекторы имеют самый широкий спектр механизмов взаимодействия с источниками данных, апробированы на более чем 2000 источников.
Механизм коннекторов обеспечивает возможность создания соединения с удаленными системами с помощью следующих ... Читать далее
Универсальные коннекторы
Механизм коннекторов обеспечивает возможность создания соединения с удаленными системами с помощью следующих протоколов и механизмов: DNS, HTTP, HTTPS, PowerShell, RPC, SNMP, SSH, SSL, TLS, WMI, механизм подключения к Microsoft SQL, механизм подключения к MySQL, механизм подключения к Oracle, механизм подключения к PostgreSQL, механизм подключения к ActiveDirectory и другие.
Встроенные механизмы корреляции
Встроенные механизмы корреляции. Встроенные механизмы обработки получаемой информации от внешних систем для автоматического обнаружения инцидентов кибербезопасности.
Применяется в направлениях
Применяется в таких направлениях, как:
• Автоматизация рисков кибербезопасности в финансовой отрасли, в том числе в соответствии с Проектом Положения Банка России «О требованиях к системе управления операционным риском в кредитной ... Читать далее
Применяется в направлениях
• Автоматизация рисков кибербезопасности в финансовой отрасли, в том числе в соответствии с Проектом Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» в части управления киберрисками;
• Построение ситуационных центров мониторинга информационной безопасности (SOC);
• Построение центров реагирования на инциденты кибербезопасности (IRP);
• Выстраивание системы управления информационной безопасностью в соответствии со стандартом ISO серии 27ххх;
• Выстраивание системы управления информационной безопасностью в соответствии с лучшими международными стандартами и практиками;
• Соответствие нормативным и отраслевым требованиям, в том числе Общеевропейскому регламенту о персональных данных (General Data Protection Regulation, GDPR);
• Подключение к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), защита объектов критической информационной инфраструктуры;
• Взаимодействие с FinCERT;
• Мониторинг ИБ при работе с Единой биометрической системой.
Документация по продукту
Более полная техническая документация, содержащая описание функциональных характеристик программного обеспечения и информацию, необходимую для установки и эксплуатации программного обеспечения предоставляется по запросу на адрес: sales@securityvision.ru