R-Vision Incident Response Platform (IRP) представляет собой автоматизированный центр мониторинга, обработки и реагирования на инциденты информационной безопасности (SOC).
Платформа R-Vision IRP позволяет выявлять киберугрозы и инциденты в режиме реального времени, собирая информацию из множества источников в едином окне оперативного реагирования. При обнаружении инцидента запускаются преднастроенные алгоритмы и автоматизированные сценарии, которые обеспечивают быстроту реакции и слаженность действий команды реагирования, помогая свести к минимуму возможные негативные последствия от инцидента.
Наличие компонентов управления активами и управления уязвимостями минимизирует риски, связанные с контролем защищенности информационных ресурсов.
Для отслеживания эффективности обеспечения информационной безопасности и отдельных процессов предусмотрен широкий набор метрик и средств визуализации. Готовые шаблоны сводок позволяют быстро формировать отчетность для руководства, регуляторов и внутренних пользователей и отправлять ее адресатам в автоматическом режиме.
В условиях постоянно возрастающего потока сообщений о возможных инцидентах и стремительную скорость совершения современных кибератак, эффективное реагирование становится невозможным без автоматизации выполняемых действий и применения готовых алгоритмов.
R-Vision IRP предлагает набор возможностей по автоматизации реагирования, которые могут быть легко настроены пользователем системы под собственные нужды:
Использование перечисленных инструментов позволяет в разы повысить скорость обработки инцидентов, сбора необходимых данных и развёртывания защитных мер по сравнению с действиями вручную.
Сценарии реагирования (так называемые playbooks) позволяют в автоматическом режиме реализовать алгоритм действий, заданный для конкретного типа инцидента при срабатывании определенного правила.
В сценарий реагирования могут быть включены такие действия как:
Для быстрого старта в системе предусмотрен набор типовых сценариев реагирования, а встроенный графический редактор позволяет их легко адаптировать под специфику организации и конкретную структуру команды реагирования.
Скрипты автоматизации позволяют удаленно осуществлять сбор данных и выполнять определенные действия на оборудовании. В системе представлено более 50 готовых скриптов и их список постоянно пополняется. Можно создавать собственные скрипты на любом скриптовом языке.
Карта рабочего процесса по инциденту позволяет быстро оценить статус обработки инцидента, увидеть, сколько шагов выполнено, какие действия выполняются в данный момент и внести изменения на лету.
Программный комплекс позволяет провести инвентаризацию инфраструктуры, выделить наиболее критичные активы, определить специалистов, ответственных за обеспечение безопасности активов. За счет интеграции с имеющимися решениями по безопасности (антивирусы, сканеры защищенности и др.), а также использования собственных механизмов контроля, обеспечиваются:
Топология инфраструктуры может быть представлена в виде карт сетей, планов помещений и схем географического расположения.
Сбор и консолидация необходимой информации по состоянию ИТ-инфраструктуры и зафиксированным инцидентам информационной безопасности могут быть обеспечены за счет использования нескольких механизмов:
Разбор поступающих в систему сообщений может быть адаптирован под специфику защищаемой инфраструктуры путем использования правил на базе регулярных выражений или тегов.
Отсутствие единого центра, содержащего сведения обо всех зафиксированных инцидентах информационной безопасности, является одной их ключевых проблем, снижающих оперативность реагирования на инциденты уполномоченных сотрудников.
Использование платформы IRP в качестве основы для реализации центра реагирования на инциденты ИБ (SOC) позволяет обеспечить фиксацию фактов обнаружения инцидентов информационной безопасности, а также релевантной информации в единой, централизованной базе. Это, в свою очередь, позволяет повысить управляемость деятельности по реагированию на инциденты и оперативность обработки возникающих инцидентов, а также соблюсти соответствующие требования методических документов и стандартов, установленных регуляторами (ФСТЭК, ЦБ и др.).
Платформа IRP содержит широкий спектр механизмов, позволяющих адаптировать логику работы системы под специфику и особенности процесса реагирования на инциденты в определенной компании. К таким механизмам относятся:
Для эффективного отражения современных кибератак крайне важно иметь возможность обмениваться информацией с другими участниками отрасли, внешними экспертами и организациями, публичными центрами реагирования (CERT/SOC). Это позволяет оперативно получать сведения, которые могут быть использованы для обнаружения и блокирования кибератаки. Кроме того, это позволяет предоставить сведения, выявленные в ходе расследования инцидента, другим доверенным участникам обмена, в качестве которых могут выступать службы информационной безопасности дочерних и/или головных организаций (в случае крупных холдинговых структур), партнерских организаций/контрагентов, соответствующих государственных служб (ФинЦЕРТ, ГОССОПКА и др.).
Платформа IRP содержит встроенные механизмы обмена сведениями по инцидентам, которые позволяют обмениваться данными с другими участниками, при этом обладая полным контролем над объемом передаваемой информации и списками получателей.
Слаженная работа команды реагирования является крайне важным фактором, обеспечивающим результативность деятельности по реагированию на инциденты информационной безопасности.
Каждый инцидент в платформе R-Vision IRP обладает собственной рабочей областью, в рамках которой осуществляется взаимодействие сотрудников, ответственных за реагирование на соответствующий инцидент. Лицо, ответственное за обработку инцидента, обладает возможностью определять состав рабочей группы, устанавливать объем доступной для просмотра информации, распределять задачи между участниками рабочей группы. Все собранные в ходе обработки инцидента свидетельства и материалы сохраняются в общем хранилище и становятся доступны всем участникам рабочей группы. Оперативная коммуникация внутри команды обеспечивается за счет командного чата по инциденту.
Платформа IRP предлагает широкий набор средств визуализации информации.
R-Vision IRP содержит широкий список готовых отчетов, а также механизмы настройки собственных шаблонов. Правила создания и рассылки отчетов позволяют настроить расписание автоматической генерации документов и их отправки соответствующим адресатам.