Security Vision Incident Response Platform (IRP / SOAR)

Программный продукт для автоматизации действий по реагированию на инциденты кибербезопасности. Система обеспечивает:
  • автоматическое выполнение дежурных процедур в режиме реального времени;
  • снижение воздействия инцидентов кибербезопасности за счет снижения времени реагирования на инциденты в вопросах:
    • идентификации
    • локализации
    • уничтожения
    • и восстановления
  • снижение риска человеческого фактора и ошибок персонала, привлекаемого на реагирование инцидентов кибербезопасности;
  • сокращение времени реагирования за счет автоматизации набора заранее разработанных процедур и сценариев реагирования, реализованных в компонентах Системы.

Результаты использования

до 90%

снижение вероятности распространения зловредов по сети при настроенном автоматическом реагировании

до 90%

снижение риска человеческого фактора и ошибок персонала, вовлеченного в реагирование на инциденты кибербезопасности

до 70%

высвобождение времени квалифицированного персонала, вовлеченного в реагирование на инциденты кибербезопасности, от рутинных операций для более экспертных задач

до 50%

повышение эффекта коллаборации за счет обогащения смежных систем кибербезопасности

до 90%

обработка риска кибербезопасности в автоматическом режиме (при использовании совместно с Security Vision [CRS])

1 место

оценка качества среди российских и иностранных IRP-систем по результатам открытых конкурсов в Сбербанке России, банке «Открытие», Почте России и др.


Системы класса Incident Response Platform: применение и основные функции

На текущий момент количество инцидентов ИБ, особенно в крупных компаниях, достаточно велико, и при реагировании на них счет идет буквально на минуты. При этом далеко не все могут позволить себе нанять большое количество высококлассных специалистов. Возникает вопрос: как помочь аналитикам ИБ (прежде всего на L1 и L2) при реагировании на инциденты и снять с них рутинную нагрузку по выполнению однотипных операций?

Представим себе ситуацию, когда SIEM-система показывает, что происходит возможная атака на финансовую систему дистанционного банковского обслуживания. Злоумышленники могут похитить деньги со счетов фирмы с минуты на минуту, и после этого вернуть их будет затруднительно. Аналитик SOC, увидев такой инцидент, должен по сценарию реагирования собрать большой объем вспомогательной информации, такой как имя атакованного сервера, название финансовой системы, уточнить фамилию и контактные данные ответственного, получить у него дополнительную информацию. Если не осталось сомнений в том, что этот инцидент - «боевой», а не ложноположительный, то аналитику нужно как можно быстрее изолировать атакованный сервер от сети компании, заблокировать скомпрометированную учетную запись, сообщить об инциденте руководителю и прочим лицам в соответствии с матрицей коммуникации. Как видим, задач - масса, и все их следует выполнить за строго отведенное нормативами и KPI время, например, за 10 минут. И как раз тут на помощь аналитику может прийти платформа Incident Response Platform (IRP) - система автоматизации реагирования на инциденты информационной безопасности. Система IRP помогает выполнить ряд рутинных операций по сбору дополнительной информации, осуществить неотложные действия по сдерживанию (англ. contain) и устранению (англ. eradicate) угрозы, восстановить (англ. recover) атакованную систему, оповестить заинтересованных лиц, а также собрать и структурировать данные о расследованных инцидентах информационной безопасности. Кроме того, IRP позволяет роботизировать и автоматизировать однотипные действия оператора-специалиста ИБ, которые он производит при реагировании на инциденты информационной безопасности, что помогает снизить нагрузку сотрудника в части выполнения рутинных операций.

Давайте подробнее остановимся на задачах реагирования на инциденты информационной безопасности, решаемых IRP-системами.
Читать далее...

Отзывы

art-image

Владимир Журавлев

Директор департамента информационной безопасности

Банк «Открытие»

«Подавляющее большинство кибератак в мире и в России приходится именно на финансовые учреждения, в первую очередь на банки. Это обусловливает необходимость использования гибких и надежных средств защиты информации, предоставляющих оптимальные возможности в области противодействия киберугрозам. Security Vision IRP позволил роботизировать исполнение программно-технических функций оператора безопасности с долей автоматизации до 90%. Система обеспечивает автоматическое выполнение полного спектра дежурных процедур, что позволяет не только реагировать на киберугрозы в режиме 24/7, но и избежать влияния человеческого фактора».

art-image

Андрей Янкин

Директор ЦИБ

Инфосистемы Джет

«Сейчас наблюдаются два очевидных тренда в развитии систем обеспечения информационной безопасности предприятий. С одной стороны, системы защиты становятся все сложнее и разнообразнее, а значит, требуют отдельных централизованных средств управления и мониторинга. С другой, идет смещение фокуса от превентивных контролей ИБ к оперативному детектированию и реагированию. Коллеги из Security Vision предвосхитили эти изменения и уже более 10 лет создают и развивают продукт, который позволяет компаниям создавать эффективный центр управления ИБ. Думаю, сейчас он актуален, как никогда».

art-image

Сергей Фомиченко

Начальник отдела информационной безопасности

АО «Корпорация «МСП»

«Корпорация «МСП» осуществляет свою деятельность в качестве института развития в сфере малого и среднего предпринимательства, поэтому защита информационных ресурсов играет важную роль не только для самой Корпорации, но и для множества субъектов малого и среднего предпринимательства, которые пользуются ресурсами Корпорации. Мы признательны коллегам из Security Vision за высокий профессионализм и содействие в решении столь важной и актуальной задачи».

art-image

Кузнецов С.К.

Заместитель Председателя Правления

Сбербанк

«В день мы имеем 1-2 миллиона событий, которые, в той или иной степени, могут иметь отношение к нарушениям работы технологических систем. Такого рода информацию необходимо анализировать, выявлять критические события, чтобы ими управлять. Чтобы разбирать эти риски, критические события, и нивелировать, чтобы все системы работали надежно»*.
*Из интервью РБК ТВ РБК ТВ

art-image

Сергей Ходаков

Операционный директор Кластера информационных технологий

Фонд «Сколково»

 «Скорость реагирования на кибератаки является критически важным фактором. С помощью Security Vision IRP обработка полного жизненного цикла инцидента автоматизирована - повышается скорость реагирования на угрозы и исключается влияние человеческого фактора. Применение «Интеллектуальной безопасностью» новых методов анализа больших данных в вопросах защиты от киберугроз позволяет решению Security Vision IRP успешно конкурировать с лучшими мировыми аналогами. Уверен, победа в конкурсе и внедрение платформы в банке «Открытие» поможет резиденту «Сколково» еще более укрепить рыночные позиции в России, а в перспективе занять лидирующее положение на зарубежном рынке».

scheme

Функциональные модули комплектации

коробочное решение: 11 модулей

Продукт из коробки в разы увеличивает скорость и простоту внедрения в систему информационной безопасности Заказчика. Предустановленные шаблоны позволяют быстро развернуть решение и адаптировать его под Заказчика без привлечения разработчика. При этом сохраняется гибкость за счет платформы-конструктора, которая позволяет подстроиться под индивидуальные особенности конкретного внедрения.
scheme

Проектное решение

опциональное количество модулей

Программный продукт на платформе Security Vision, который мы адаптируем по индивидуальным требованиям Заказчика. Проектные внедрения могут быть дополнены опционными или индивидуальными модулями, такими как: Show all (0)

Схема применения продукта

Особенности применения

icon

Единая платформа

Продукты Security Vision дополняют друг друга, обеспечивая комплексную безопасность и финансовые преимущества использования систем класса SOC, IRP, SGRC, CRS на одной платформе.

icon

Конструктор процессов реагирования

Покрывает полный жизненный цикл реагирования на инциденты:

Идентификация;

Локализация;

Уничтожение;

Восстановление.

Конструктор позволяет выстроить автоматизацию реагирования на инциденты кибербезопасности в соответствии с рабочими процессами - автоматизация выполнения частей дежурной процедуры, связанных с:

внесением изменений во внешние ИТ системы или устройства;

выполнением запросов к этим устройствам для получения данных (обогащение информации об инциденте).

icon

Платформа конструктор

Позволяет Заказчику формировать структуру, логику и наполнение решения под собственные бизнес-задачи без привлечения разработчика.

icon

Универсальные коннекторы

Универсальные коннекторы имеют самый широкий спектр механизмов взаимодействия с источниками данных, апробированы на более чем 2000 источников.

Механизм коннекторов обеспечивает возможность создания соединения с удаленными системами с помощью следующих протоколов и механизмов: DNS, HTTP, HTTPS, PowerShell, RPC, SNMP, SSH, SSL, TLS, WMI, механизм подключения к Microsoft SQL, механизм подключения к MySQL, механизм подключения к Oracle, механизм подключения к PostgreSQL, механизм подключения к ActiveDirectory и другие.

icon

Встроенные механизмы корреляции

Встроенные механизмы корреляции. Встроенные механизмы обработки получаемой информации от внешних систем для автоматического обнаружения инцидентов кибербезопасности.

icon

Применяется в направлениях

Применяется в таких направлениях, как:

Автоматизация рисков кибербезопасности в финансовой отрасли, в том числе в соответствии с Проектом Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» в части управления киберрисками;

Построение ситуационных центров мониторинга информационной безопасности (SOC);

Построение центров реагирования на инциденты кибербезопасности (IRP);

Выстраивание системы управления информационной безопасностью в соответствии со стандартом ISO серии 27ххх;

Выстраивание системы управления информационной безопасностью в соответствии с лучшими международными стандартами и практиками;

Соответствие нормативным и отраслевым требованиям, в том числе Общеевропейскому регламенту о персональных данных (General Data Protection Regulation, GDPR);

Подключение к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), защита объектов критической информационной инфраструктуры;

Взаимодействие с FinCERT;

Мониторинг ИБ при работе с Единой биометрической системой.


Документация по продукту

Это поле обязательно для заполнения
Это поле обязательно для заполнения

Согласен с Политикой конфиденциальности и с обработкой персональных данных в соответствии с Политикой обработки персональных данных

Это поле обязательно для заполнения
Необходимо ваше согласие на обработку персональных данных