Поделиться
Как УЦСБ помог «СберАналитике» ускорить реагирование на инциденты ИБ на 90% благодаря R-Vision SOAR
Системы автоматизации процессов управления информационной безопасностью становятся неотъемлемой частью обеспечения киберустойчивости современных организаций. Они позволяют компаниям улучшить скорость обработки данных, автоматизировать рутинные задачи, снизить киберриски и повысить качество обнаружения и расследования инцидентов ИБ, а также ускорить устранение их последствий.
Для повышения эффективности процессов реагирования на инциденты ИБ и улучшения взаимодействия между заинтересованными в этих операциях подразделениями, команда Центра кибербезопасности УЦСБ внедрила в компании «СберАналитика» систему оркестрации, автоматизации и реагирования на инциденты ИБ российского разработчика R-Vision (R-Vision SOAR).
О том, как проект по внедрению SOAR-системы помог повысить скорость обработки информации о возможных инцидентах ИБ, выстроить быстрое и точное реагирование, а также оптимизировать нагрузку на отдел ИБ «СберАналитики», обеспечив работу специалистов в режиме «одного окна», — читайте в материале.
Что было сделано
Перед командой направления автоматизации ИБ УЦСБ стояла задача — развернуть платформу R-Vision SOAR и настроить ее так, чтобы имеющиеся в «СберАналитике» процессы по реагированию на инциденты ИБ и координация действий пользователей в ходе отработки установленных мероприятий по выявлению, анализу и реагированию на инцидент ИБ реализовывались уже с помощью данного ПО.
Для достижения цели была запланирована интеграция платформы R-Vision SOAR с существующим в компании Центром мониторинга событий кибербезопасности (SOC) и другими смежными системами, которые участвуют в управлении инцидентами ИБ и выполняют функции восстановления объектов защиты.
Проект можно разделить на три ключевых этапа:
- Анализ текущей информационной инфраструктуры. Инженеры УЦСБ детально изучили работу SOC и DLP-систем, которые предстояло интегрировать с платформой R-Vision SOAR, а также процессы реагирования на инциденты ИБ, выполнявшиеся в ручном режиме. Это позволило выявить области, требующие автоматизации, и разработать план интеграции элементов информационной инфраструктуры.
- Разработка проектной документации, соответствующей положениям ГОСТ. Специалисты направления автоматизации ИБ УЦСБ подготовили полный пакет проектной документации с описанием архитектуры системы, процессов интеграции со смежными системами и комплектом эксплуатационной документации, взяв за основу ГОСТ 34.201 и ГОСТ Р 59793, а также собственные шаблоны и наработки экспертов Центра кибербезопасности УЦСБ. Такой подход позволяет обеспечить учет всех требований и пожеланий Заказчика системы еще до ее фактического внедрения и избежать ситуации, когда результат проекта не соответствует ожиданиям Заказчика. Также полный комплект рабочей и эксплуатационной документации обеспечивает безболезненный процесс передачи в эксплуатацию даже очень сложных автоматизированных систем, к которым относится R-Vision SOAR.
- Внедрение SOAR. Инженеры УЦСБ произвели развертывание ПО R-Vision SOAR, выполнили инвентаризацию активов компании, настроили интеграции со смежными системами и автоматизацию процессов работы с инцидентами ИБ. Выстроили взаимодействие команды отдела ИБ в ПО в соответствии со сценариями, применяемыми в компании «СберАналитика». Ключевым моментом стала разработка кастомизированного коннектора для интеграции R-Vision SOAR с существующим SOC, что позволило автоматизировать управление жизненным циклом инцидента ИБ в системе SOC.
На протяжении всего проекта команда УЦСБ глубоко погружалась в ИБ-процессы «СберАналитики», чтобы лучше понять потребности и задачи Заказчика. Регулярные встречи и обсуждение деталей позволили оперативно решать возникающие вопросы, учитывать все нюансы и завершить проект в течение пяти месяцев.
Результаты проекта
Внедрение SOAR-системы в компании «СберАналитика» дало следующие результаты:
1. Повышение эффективности защиты компании от киберугроз
Благодаря инвентаризации активов и оркестрации средств защиты информации специалисты ИБ «СберАналитики» видят в едином окне весь ландшафт информационной инфраструктуры компании, что упрощает анализ угроз безопасности. Установленная платформа R-Vision SOAR автоматизирует обработку инцидентов ИБ, ранжирует их по степени опасности, сразу направляя внимание аналитиков на те инциденты ИБ, которые требуют оперативных действий. Автоматизированное выявление и реагирование на инцидент позволяет вовремя предотвратить серьезные потери, связанные с ИБ, быстро и четко выполнить действия в соответствии с заложенным сценарием, минимизируя влияние человеческого фактора и ошибок, что повышает общую надежность системы обеспечения безопасности «СберАналитики».
2. Повышение скорости реагирования на инциденты
Моментальные уведомления о статусе инцидентов ИБ и автоматическая отправка комментариев сократили время реагирования на часто повторяющиеся типы инцидентов ИБ на 90% — с 10 до 1 минуты. Увеличение скорости реакции позволило минимизировать потенциальный ущерб от атак и дало дополнительное время на принятие решения об устранении последствий инцидента ИБ. Кроме того, внедрение SOAR-системы обеспечило предварительное реагирование, сбор дополнительной информации и обогащение карточки инцидента ИБ до того, как он попадет в работу к аналитикам.
3. Снижение нагрузки на специалистов ИБ
Благодаря автоматизации удалось выстроить слаженное взаимодействие между заинтересованными подразделениями: отделами ОТ, ИТ и внешним SOC. Снизились затраты на рутинные операции: в среднем время обработки инцидентов ИБ сотрудниками уменьшилось на 30%.
SOAR-система позволила существенно сэкономить время и усилия ИБ-специалистов «СберАналитики» при расследовании инцидентов ИБ, повысить операционную эффективность вовлеченных подразделений и уже внедренных мер обеспечения информационной безопасности в компании.
Поделиться
Короткая ссылка
