В качестве основы для создания SOC «Спикатела» была использована SOAR-платформа R-Vision, которая агрегирует данные по инцидентам из множества источников и автоматизирует процессы реагирования на киберинцеденты и реализацию ответных мер. SOAR сокращает среднее время обнаружения и реагирования на инциденты в 2-7 раз, в зависимости от типа инцидента, поскольку большая их часть может обрабатываться без участия человека. R-Vision SOAR зарегистрирован в Реестре отечественного ПО и сертифицирован ФСТЭК России по 4 уровню доверия.
Также при создании SOC «Спикател» использовал TIP-платформу от R‑Vision, где собраны различные индикаторы компрометации, такие как IP-адреса, домены, хэш-суммы вредоносных файлов, адреса командных серверов ботнетов и пр., которые также позволяют быстрее реагировать на возможный инцидент. Например, аналитики могут выявить в корпоративной сети IP-адрес, который ранее фигурировал в хакерской атаке. Обработанные данные автоматически передаются на имеющиеся внутренние средства защиты из единой базы для немедленной блокировки.
Благодаря решениям партнёра у нас есть расширенное представление о том, что происходит в инфраструктуре организации, мы можем выявлять как инсайдеров, которые пытаются выкрасть и передать злоумышленникам чувствительную информацию, так и атаки APT-группировок и хактивистов. SOC помогает оперативнее реагировать на атаки и на ранних стадиях принимать действия для минимазации их последствий.
Грамотно выстроенные процессы управления инцидентами — основа устойчивой системы кибербезопасности. С помощью решений R‑Vision наш партнёр смог автоматизировать те рутинные операции, на которые без SOAR и TIP систем обычно тратится огромное количество времени аналитиков. Кроме того, дашборды и отчеты этих продуктов помогают развивать SOC и соответствовать заявленным SLA. Интеграция решений R‑Vision и Спикател расширяет возможности для мониторинга и реагирования на инциденты, тем самым способствуя повышению устойчивости к киберугрозам компаний различных секторов экономики.
