Журнал "Information Security/ Информационная безопасность" #5, 2022

В качестве решения данной проблемы на рынке существуют решения класса IRP/SOAR. Они позволяют оптимизиро- вать существующие в компании процес- сы реагирования на инциденты ИБ, а также автоматизировать часть рутинных процессов в работе со средствами защи- ты информации с помощью скриптов/интеграции и пр., получать опе- ративно на одном экране необходимую информацию и, что самое важное, обес- печить прозрачность и контролируемость процесса расследования инцидентов ИБ и реализации планов устранения выявленных уязвимостей. Зачем нужны IRP и SOAR? IRP (Incident Response Platform) – это класс программных продуктов, предна- значенный для автоматизации реагиро- вания на киберинциденты. IRP позволяет записать в сценарии (их принято называть плейбуками, от англ. playbook – сборник готовых сценариев) последовательность стандартных действий при возникновении инцидента, чтобы в дальнейшем автоматически выполнять их на разных этапах реагирования на угрозы. Для разных типов инцидентов можно про- писать разные сценарии. SOAR (Security Orchestration, Automa- tion and Response) – класс программных продуктов, предназначенный для оркест- ровки систем безопасности, то есть их координации и управления ими. Решения класса SOAR в первую очередь позво- ляют автоматизировать типовые сцена- рии реагирования на события информа- ционной безопасности. Сегодня эти термины стали почти сино- нимами и зачастую применяются в отно- шении одних и тех же решений. Совре- менные платформы покрывают функцио- нал обоих классов продуктов и неотдели- мы друг от друга. К основному функцио- налу данных систем можно отнести: l автоматизацию процесса управления инцидентами ИБ; l снижение нагрузки на персонал ком- пании, обеспечивающий информацион- ную безопасность; l создание и ведение единой базы инцидентов ИБ в компании; l интеграцию с уже существующими в компании средствами защиты; l автоматизацию реагирования на инци- денты; l обеспечение взаимодействия разных структурных подразделений компании при расследовании и реагировании на инциденты. Основные российские решения, представленные на рынке На российском рынке ИБ было пред- ставлено достаточно много продуктов класса IRP/SOAR, как зарубежных, так и отечественных. К счастью, российские решения оказались достаточно зрелыми для успешной работы над поставленны- ми задачами, и значимого отставания от технологий международных произво- дителей на текущий момент не наблю- дается. Ознакомимся с основными игро- ками на рынке, с которыми нам прихо- дилось иметь дело, а также с новыми продуктами, вышедшими на наш рынок. R-Vision Security Orchestration, Automation and Response (SOAR) Платформа R-Vision SOAR предна- значена для автоматизации процессов реагирования на инциденты в центрах мониторинга. Система позволяет агре- гировать события из источников, выявлять инциденты, автоматически обо- гащает их и дает возможность автомати- зировать процессы обработки, коорди- нирует работу специалистов команды ИБ. С помощью R-Vision можно настраи- вать сценарии реагирования (плейбуки) в визуальном редакторе. В системе также реализована возможность передачи информации об инцидентах в государст- венные центры ФинЦЕРТ и ГосСОПКА. Платформа "из коробки" поддержива- ет интеграцию с большим количеством систем, сервисов и продуктов. Для слу- чая нетипичных систем есть конструктор коннекторов для управления и обмена сведениями с любыми системами при реагировании. Кроме того, платформа содержит ред- кий для этого класса функционал инвен- таризации активов и управления уязви- мостями. Перечислим основные возможности R-Vision SOAR, которые важны в нашей работе. 1. Агрегация информации об инци- дентах из множества источников, приведение данных к принятому 24 • СПЕЦПРОЕКТ Формализация и автоматизация процессов расследования инцидентов ИБ и эксплуатации средств защиты информации начала 2022 г. для большинства компаний в России повысились риски кибератак и значительного урона от них. К сожалению, многие оказались не готовы к такой ситуации: с одной стороны, налицо недостаток квалифицированных специалистов, с другой стороны, не хватает методологий и достаточного числа средств защиты для оперативного реагирования на инциденты ИБ. В то же время бизнес требует от служб информационной безопасности максимально оперативную реакцию на происходящие атаки, а также своевременное устранение выявленных уязвимостей. Практика свидетельствует, что достичь этого в ручном режиме практически невозможно. С Анна Андреева, генеральный директор “Лаборатории информационной безопасности” Денис Мальгин, главный специалист отдела информационной безопасности “Лаборатории информационной безопасности”

RkJQdWJsaXNoZXIy Mzk4NzYw