Внедрение Security Vision IRP/SOAR

В 2021 году представители службы информационной безопасности ЕВРАЗа рассмотрели имеющиеся на рынке системы этого класса. По результатам анализа они остановили выбор на системе Security Vision SOAR, осуществили необходимую подготовку и внедрение продукта.

В текущей ситуации требования к срокам реагирования на киберинциденты ужесточились, поскольку кибератака может войти в разрушительную фазу буквально через несколько минут после первичного проникновения в сеть. Система Security Vision SOAR, предназначенная для комплексной автоматизации процессов реагирования на инциденты ИБ, эффективно помогает сокращать время реагирования на киберинциденты, обогащать данные о них и выполненять активные действия по сдерживанию и устранению киберугроз.

Начиная выстраивать процессы реагирования на инциденты ИБ в Security Vision SOAR, ИБ-специалисты ЕВРАЗа определили для себя, что киберинциденты в большинстве случаев схожи с инцидентами ИТ, но, разумеется, имеют определенные особенности. Поэтому было решено решили опираться на существующие процессы обработки и реагирования на ИТ-инциденты, которые были уже хорошо отлажены и достигли определенной степени зрелости. Специалисты решили встроиться в существующий процесс: определили, что при обнаружении инцидента ИБ формируется заявка в систему HelpDesk, далее включаются отлаженные механизмы реагирования, и заявка начинает свой путь.

Службы ИТ занимаются восстановлением сервисов, служба ИБ ведет расследование киберинцидента, при этом обе службы и все специалисты работают в одной системе и в одном контексте. Таким образом, не пришлось повторно изобретать и внедрять отдельные процессы и системы, а работа в привычном интерфейсе упростила взаимодействие команд.

Подробнее о проекте: