IRP

Incident Response Platform

scheme-image

Группа «Черкизово» 2021

Внедрение Security Vision IRP/SOAR

Группа «Черкизово» — крупнейший производитель мясной продукции в России. Сегодня «Черкизово» занимает лидирующие позиции на рынках куриного мяса, индейки и колбасных изделий. География предприятий компании простирается от Калининградской области до Алтая. 

В части организации процессов обнаружения и реагирования на инциденты кибербезопасности на таком большом количестве конечных точек важно осуществлять оперативную координацию всех участников на местах. Необходимо осуществлять учет инцидентов кибербезопасности, автоматическое обогащение информацией из различных корпоративных систем, постановку задач из единого удобного интерфейса и последующий контроль их исполнения. Кроме того, безусловно важными для Группы являются возможности предоставления отчетности по всем ключевым метрикам ИБ в масштабах всего холдинга, а также средства визуализации информации.

Эти задачи решаются в первую очередь путем централизации множества ИБ-процессов на единой автоматизированной платформе в рамках создания современного технологически развитого SOC. Важным этапом этой работы стало внедрение системы реагирования на инциденты кибербезопасности IRP/SOAR. ИБ-специалисты «Черкизово» тщательно изучили рынок IRP/SOAR систем и по результатам остановили свой выбор на Security Vision IRP/SOAR. Следующим шагом стала реализация пилотного проекта, который был завершен в декабре 2021 г.

В рамках проекта была реализована интеграция Security Vision IRP/SOAR с внешним коммерческим SOC в целях получения событий безопасности и инцидентов ИБ от SOC (через API-запросы), запроса комментариев в SOC (через API-запросы) и получения ответов, синхронизации процесса закрытия киберинцидентов. Помимо этого Security Vision IRP/SOAR была интегрирована с корпоративным электронным почтовым ящиком для автоматического заведения инцидентов на основе email-сообщений от всех сотрудников компаний, входящих в Группу, и был выстроен процесс обработки такого рода обращений. А интеграция системы с корпоративной электронной почтой и Telegram обеспечивает возможность оперативного оповещения команды реагирования о полученных событиях безопасности от различных источников.

Помимо этого в Security Vision IRP/SOAR были реализованы отчеты, созданы операционный и тактический дашборды и отражение метрик SLA, в том числе в части взаимодействия с SOC. Также были реализованы индикация и отображение информации по инцидентам на географической карте. Также была реализована возможность создания дашбордов и отчетов с прогнозом количества инцидентов на следующий месяц по тренду, образовавшемуся за два-три последних месяца, с учетом геолокации.

По результатам проекты было решено приобрести систему и начать ее активное внедрение в промышленную эксплуатацию.


answer-image

Антон Плетнев

Руководитель отдела киберзащиты

Черкизово

«Выбор был обусловлен развитым функционалом данной платформы, обширным перечнем уже успешно реализованных командой SecurityVision проектов (в том числе в промышленности и ритейл-сегменте), гибкостью платформы и широкими возможностями интеграции с использующимися у нас средствами защиты, а также уникальным сочетанием технологий для ускорения реагирования, выявления аномалий и помощи членам команды реагирования на инциденты ИБ путем снижения рутинной нагрузки».