Автоматизация реагирования на инциденты ИБ: опыт внедрения R‑Vision SOAR в «СберАналитике» компанией УЦСБ

Перед командой направления автоматизации ИБ УЦСБ стояла следующая задача — развернуть платформу R‑Vision SOAR и настроить ее таким образом, чтобы имеющиеся в «СберАналитике» процессы по реагированию на инциденты ИБ и координация действий пользователей в ходе отработки установленных мероприятий по выявлению, анализу и реагированию на инцидент ИБ реализовывались уже с помощью данной системы.

Для этого была запланирована интеграция платформы R‑Vision SOAR с существующим в компании Центром мониторинга событий кибербезопасности (SOC) и другими смежными системами, которые участвуют в процессе управления инцидентами ИБ и выполняют функции восстановления объектов защиты.

Проект можно разделить на три ключевых этапа:

• Анализ текущей информационной инфраструктуры.Инженеры направления автоматизации ИБ УЦСБ детально изучили работу SOC и DLP-систем, которые предстояло интегрировать с новой платформой R-Vision SOAR, а также процессы реагирования на инциденты ИБ, выполнявшиеся в ручном режиме. Это позволило выявить области, требующие автоматизации, и разработать план интеграции элементов информационной инфраструктуры.
• Разработка проектной документации, соответствующей положениям ГОСТ.Специалисты направления автоматизации ИБ УЦСБ подготовили полный пакет проектной документации с детальным описанием архитектуры системы, процессов интеграции со смежными системами и комплектом эксплуатационной документации, взяв за основу ГОСТ 34.201 и ГОСТ Р 59793, а также собственные шаблоны и наработки экспертов Центра кибербезопасности УЦСБ. Такой подход позволяет обеспечить учет всех требований и пожеланий Заказчика системы еще до ее фактического внедрения и избежать ситуации, когда результат проекта не соответствует ожиданиям.
• Внедрение R-Vision SOAR.Инженеры УЦСБ произвели развертывание системы R-Vision SOAR, выполнили инвентаризацию активов компании, настроили интеграции со смежными системами и автоматизацию процессов работы с инцидентами ИБ. Выстроили взаимодействие команды отдела ИБ в системе в соответствии со сценариями, применяемыми в компании «СберАналитика». Ключевым моментом стала разработка кастомизированного коннектора для интеграции R-Vision SOAR с существующим SOC, что позволило автоматизировать управление жизненным циклом инцидента в системе SOC.

Внедрение SOAR-системы в компании «СберАналитика» дало следующие результаты:

Повышение эффективности защиты компании от киберугроз

Благодаря инвентаризации активов и оркестрации средств защиты информации специалисты ИБ «СберАналитики» видят в едином окне весь ландшафт информационной инфраструктуры компании, что упрощает анализ имеющихся угроз безопасности. Установленная платформа R-Vision SOAR автоматизирует обработку инцидентов ИБ, ранжирует их по степени опасности, сразу направляя внимание аналитиков на те инциденты ИБ, которые требуют оперативных действий. Автоматизированное выявление и реагирование на инцидент позволяет вовремя предотвратить серьезные потери, быстро и четко выполнить действия в соответствии с заложенным сценарием, минимизируя влияние человеческого фактора и ошибок, тем самым повышая общую надежность системы обеспечения безопасности «СберАналитики».

Повышение скорости реагирования на инциденты

Моментальные уведомления о статусе инцидентов ИБ и автоматическая отправка комментариев сократили время реагирования на часто повторяющиеся типы инцидентов ИБ на 90% — с 10 до 1 минуты. Увеличение скорости реакции позволило минимизировать потенциальный ущерб от атак и дало дополнительное время на принятие решения об устранении последствий инцидента ИБ. Кроме того, внедрение SOAR-системы обеспечило предварительное реагирование, сбор дополнительной информации и обогащение карточки инцидента до того, как он попадет в работу к аналитикам.

Снижение нагрузки на специалистов ИБ

Благодаря автоматизации удалось выстроить слаженное взаимодействие между заинтересованными подразделениями: отделами ОТ, ИТ и внешним SOC. Снизились трудозатраты на рутинные операции: в среднем время обработки инцидентов ИБ сотрудниками уменьшилось на 30%.