Security Vision Incident Response Platform (IRP / SOAR)

Программный продукт для автоматизации действий по реагированию на инциденты кибербезопасности. Система обеспечивает:
  • автоматическое выполнение дежурных процедур в режиме реального времени;
  • уменьшение воздействия инцидентов кибербезопасности за счет сокращения времени реагирования в части выполнения:
    • идентификации
    • локализации
    • уничтожения
    • и восстановления
  • снижение риска человеческого фактора и ошибок персонала, привлекаемого к реагированию на инциденты кибербезопасности;
  • сокращение времени реагирования за счет автоматизации набора заранее разработанных процедур и сценариев реагирования, реализованных в компонентах Системы.

Результаты использования

до 90%

снижение вероятности распространения зловредов по сети при настроенном автоматическом реагировании

до 90%

снижение риска человеческого фактора и ошибок персонала, вовлеченного в реагирование на инциденты кибербезопасности

до 70%

высвобождение времени квалифицированного персонала, вовлеченного в реагирование на инциденты кибербезопасности, от рутинных операций для более экспертных задач

до 50%

повышение эффекта коллаборации за счет обогащения смежных систем кибербезопасности

до 90%

обработка риска кибербезопасности в автоматическом режиме (при использовании совместно с Security Vision [CRS])

1 место

оценка качества среди российских и иностранных IRP-систем по результатам открытых конкурсов в Сбербанке России, банке «Открытие», Почте России и др.


Системы класса Incident Response Platform: применение и основные функции

На текущий момент количество инцидентов ИБ, особенно в крупных компаниях, достаточно велико, и при реагировании на них счет идет буквально на минуты. При этом далеко не все могут позволить себе нанять большое количество высококлассных специалистов. Возникает вопрос: как помочь аналитикам ИБ (прежде всего на L1 и L2) при реагировании на инциденты и снять с них рутинную нагрузку по выполнению однотипных операций?

Представим себе ситуацию, когда SIEM-система показывает, что происходит возможная атака на финансовую систему дистанционного банковского обслуживания. Злоумышленники могут похитить деньги со счетов фирмы с минуты на минуту, и после этого вернуть их будет затруднительно. Аналитик SOC, увидев такой инцидент, должен по сценарию реагирования собрать большой объем вспомогательной информации, такой как имя атакованного сервера, название финансовой системы, уточнить фамилию и контактные данные ответственного, получить у него дополнительную информацию. Если не осталось сомнений в том, что этот инцидент - «боевой», а не ложноположительный, то аналитику нужно как можно быстрее изолировать атакованный сервер от сети компании, заблокировать скомпрометированную учетную запись, сообщить об инциденте руководителю и прочим лицам в соответствии с матрицей коммуникации. Как видим, задач - масса, и все их следует выполнить за строго отведенное нормативами и KPI время, например, за 10 минут. И как раз тут на помощь аналитику может прийти платформа Incident Response Platform (IRP) - система автоматизации реагирования на инциденты информационной безопасности. Система IRP помогает выполнить ряд рутинных операций по сбору дополнительной информации, осуществить неотложные действия по сдерживанию (англ. contain) и устранению (англ. eradicate) угрозы, восстановить (англ. recover) атакованную систему, оповестить заинтересованных лиц, а также собрать и структурировать данные о расследованных инцидентах информационной безопасности. Кроме того, IRP позволяет роботизировать и автоматизировать однотипные действия оператора-специалиста ИБ, которые он производит при реагировании на инциденты информационной безопасности, что помогает снизить нагрузку сотрудника в части выполнения рутинных операций.

Давайте подробнее остановимся на задачах реагирования на инциденты информационной безопасности, решаемых IRP-системами.

Читать далее...

Системы класса SOAR: применение и основные функции

soar.png

Термин SOAR был введен в обиход в 2017 году исследовательской компанией Gartner для описания продукта, появившегося в результате эволюции и конвергенции трех технологий: платформ автоматизации процессов обеспечения информационной безопасности, платформ реагирования на инциденты кибербезопасности (IRP) и платформ управления средствами защиты и данными о киберугрозах (Threat Intelligence Platform, TIP). К основным свойствам SOAR-систем Gartner относит агрегацию данных об инцидентах информационной безопасности, обогащение сведений, управление СЗИ и автоматизацию реагирования на киберинциденты.


Gartner ожидает интенсивной рост применения технологий SOAR: согласно прогнозу, содержащемуся в отчете компании за 2019 год, «к концу 2022 года 30% организаций, в ИБ-службы которых входит более пяти человек, будут использовать инструменты SOAR в своих операциях по обеспечению безопасности, по сравнению с менее чем 5% сегодня». Действительно, в настоящее время многие вендоры расширяют функционал своих IRP-платформ, превращая их в SOAR-платформы (так, например, произошло с IRP-системами IBM Resilient и LogRhythm SmartResponse, а также с созданной ГК «Интеллектуальная безопасность» системой Security Vision IRP), а термины IRP и SOAR часто используются как синонимы.

Читать далее...

Отзывы

Функциональные модули комплектации

Коробочное решение: 11 модулей

Проектное решение: опциональное количество модулей

Продукт из коробки в разы увеличивает скорость и простоту внедрения в систему информационной безопасности Заказчика. Предустановленные шаблоны позволяют быстро развернуть решение и адаптировать его под Заказчика без привлечения разработчика. При этом сохраняется гибкость за счет платформы-конструктора, которая позволяет подстроиться под индивидуальные особенности конкретного внедрения.
Программный продукт на платформе Security Vision, который мы адаптируем по индивидуальным требованиям Заказчика. Проектные внедрения могут быть дополнены опционными или индивидуальными модулями, такими как:

Функциональные модули комплектации

Коробочное решение: 11 модулей

Продукт из коробки в разы увеличивает скорость и простоту внедрения в систему информационной безопасности Заказчика. Предустановленные шаблоны позволяют быстро развернуть решение и адаптировать его под Заказчика без привлечения разработчика. При этом сохраняется гибкость за счет платформы-конструктора, которая позволяет подстроиться под индивидуальные особенности конкретного внедрения.

Проектное решение: опциональное количество модулей

Программный продукт на платформе Security Vision, который мы адаптируем по индивидуальным требованиям Заказчика. Проектные внедрения могут быть дополнены опционными или индивидуальными модулями, такими как:

Схема применения продукта

Особенности применения

Единая платформа

Продукты Security Vision дополняют друг друга, обеспечивая комплексную безопасность и финансовые преимущества использования систем класса SOC, IRP, SGRC, CRS на одной платформе.

Конструктор процессов реагирования

Покрывает полный жизненный цикл реагирования на инциденты:
Идентификация;
Локализация;
Уничтожение;
Восстановление.
Конструктор позволяет выстроить автоматизацию реагирования на инциденты кибербезопасности в соответствии с ... Читать далее

Платформа-конструктор

Позволяет Заказчику формировать структуру, логику и наполнение решения под собственные бизнес-задачи без привлечения разработчика.

Универсальные коннекторы

Универсальные коннекторы имеют самый широкий спектр механизмов взаимодействия с источниками данных, апробированы на более чем 2000 источников.

Механизм коннекторов обеспечивает возможность создания соединения с удаленными системами с помощью следующих ... Читать далее

Встроенные механизмы корреляции

Встроенные механизмы корреляции. Встроенные механизмы обработки получаемой информации от внешних систем для автоматического обнаружения инцидентов кибербезопасности.

Применяется в направлениях

Применяется в таких направлениях, как:

Автоматизация рисков кибербезопасности в финансовой отрасли, в том числе в соответствии с Проектом Положения Банка России «О требованиях к системе управления операционным риском в кредитной ... Читать далее

Документация по продукту

Это поле обязательно для заполнения
Это поле обязательно для заполнения

Согласен с Политикой конфиденциальности и с обработкой персональных данных в соответствии с Политикой обработки персональных данных

Это поле обязательно для заполнения
Необходимо ваше согласие на обработку персональных данных