Security Vision Incident Response Platform (SOAR)
- автоматическое выполнение дежурных процедур в режиме реального времени;
- снижение воздействия инцидентов кибербезопасности за счет снижения времени реагирования на инциденты в вопросах:
- идентификации
- локализации
- уничтожения
- и восстановления
- снижение риска человеческого фактора и ошибок персонала, привлекаемого на реагирование инцидентов кибербезопасности;
- сокращение времени реагирования за счет автоматизации набора заранее разработанных процедур и сценариев реагирования, реализованных в компонентах Системы.
Результаты использования
до 90%
снижение вероятности распространения зловредов по сети при настроенном автоматическом реагировании
до 90%
снижение риска человеческого фактора и ошибок персонала, вовлеченного в реагирование на инциденты кибербезопасности
до 70%
высвобождение времени квалифицированного персонала, вовлеченного в реагирование на инциденты кибербезопасности, от рутинных операций для более экспертных задач
до 50%
повышение эффекта коллаборации за счет обогащения смежных систем кибербезопасности
до 90%
обработка риска кибербезопасности в автоматическом режиме (при использовании совместно с Security Vision [CRS])
1 место
оценка качества среди российских и иностранных IRP-систем по результатам многоэтапного конкурса в Сбербанке России в 2018 году
Функциональные модули комплектации
коробочное решение: 11 модулей
Проектное решение
опциональное количество модулей
Вполне очевидно, что автоматизация такого процесса, как реагирование на инциденты кибербезопасности, в разы повышает его эффективность и, как следствие, информационную безопасность всей организации.
Продукт Security Vision IRP (SOAR) позволяет:
- создать единый центр анализа событий от различных средств защиты информации (СЗИ), используемых в инфраструктуре Заказчика;
- выявлять атаки и инциденты информационной безопасности (ИБ) на ранних стадиях за счет анализа событий;
- консолидировать оперативную информацию и оперативно предоставлять информацию для расследования инцидентов ИБ;
- автоматизировать реагирование на инциденты информационной безопасности в едином интерфейсе Платформы;
- сократить время реагирования на инциденты информационной безопасности;
- высвободить человеческие ресурсы за счет автоматизации типовых операций.
Примеры реализации
Отзывы
Владимир Журавлев
Директор департамента информационной безопасности
Банк «Открытие»
«Подавляющее большинство кибератак в мире и в России приходится именно на финансовые учреждения, в первую очередь на банки. Это обусловливает необходимость использования гибких и надежных средств защиты информации, предоставляющих оптимальные возможности в области противодействия киберугрозам. Security Vision IRP позволил роботизировать исполнение программно-технических функций оператора безопасности с долей автоматизации до 90%. Система обеспечивает автоматическое выполнение полного спектра дежурных процедур, что позволяет не только реагировать на киберугрозы в режиме 24/7, но и избежать влияния человеческого фактора».
Сергей Ходаков
Операционный директор Кластера информационных технологий
Фонд «Сколково»
«Скорость реагирования на кибератаки является критически важным фактором. С помощью Security Vision IRP обработка полного жизненного цикла инцидента автоматизирована - повышается скорость реагирования на угрозы и исключается влияние человеческого фактора. Применение «Интеллектуальной безопасностью» новых методов анализа больших данных в вопросах защиты от киберугроз позволяет решению Security Vision IRP успешно конкурировать с лучшими мировыми аналогами. Уверен, победа в конкурсе и внедрение платформы в банке «Открытие» поможет резиденту «Сколково» еще более укрепить рыночные позиции в России, а в перспективе занять лидирующее положение на зарубежном рынке».
Схема применения продукта
Особенности применения
Единая платформа
Продукты Security Vision дополняют друг друга, обеспечивая комплексную безопасность и финансовые преимущества использования систем класса SOC, IRP, SGRC, CRS на одной платформе.
Конструктор процессов реагирования
Покрывает полный жизненный цикл реагирования на инциденты:
• Идентификация;
• Локализация;
• Уничтожение;
• Восстановление.
Конструктор позволяет выстроить автоматизацию реагирования на инциденты кибербезопасности в соответствии с рабочими процессами - автоматизация выполнения частей дежурной процедуры, связанных с:
• внесением изменений во внешние ИТ системы или устройства;
• выполнением запросов к этим устройствам для получения данных (обогащение информации об инциденте).
Платформа конструктор
Позволяет Заказчику формировать структуру, логику и наполнение решения под собственные бизнес-задачи без привлечения разработчика.
Универсальные коннекторы
Универсальные коннекторы имеют самый широкий спектр механизмов взаимодействия с источниками данных, апробированы на более чем 2000 источников.
Механизм коннекторов обеспечивает возможность создания соединения с удаленными системами с помощью следующих протоколов и механизмов: DNS, HTTP, HTTPS, PowerShell, RPC, SNMP, SSH, SSL, TLS, WMI, механизм подключения к Microsoft SQL, механизм подключения к MySQL, механизм подключения к Oracle, механизм подключения к PostgreSQL, механизм подключения к ActiveDirectory и другие.
Встроенные механизмы корреляции
Встроенные механизмы корреляции. Встроенные механизмы обработки получаемой информации от внешних систем для автоматического обнаружения инцидентов кибербезопасности.
Применяется в направлениях
Применяется в таких направлениях, как:
• Автоматизация рисков кибербезопасности в финансовой отрасли, в том числе в соответствии с Проектом Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» в части управления киберрисками;
• Построение ситуационных центров мониторинга информационной безопасности (SOC);
• Построение центров реагирования на инциденты кибербезопасности (IRP);
• Выстраивание системы управления информационной безопасностью в соответствии со стандартом ISO серии 27ххх;
• Выстраивание системы управления информационной безопасностью в соответствии с лучшими международными стандартами и практиками;
• Соответствие нормативным и отраслевым требованиям, в том числе Общеевропейскому регламенту о персональных данных (General Data Protection Regulation, GDPR);
• Подключение к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), защита объектов критической информационной инфраструктуры;
• Взаимодействие с FinCERT;
• Мониторинг ИБ при работе с Единой биометрической системой.
Документация по продукту
