R‑Vision IRP – один из ключевых элементов сервиса Jet CSIRT

Перед центром мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» стояла задача по выбору решения класса SOAR для автоматизации внутренних процессов по обработке инцидентов.

При отборе и сравнении решений учитывалось множество критериев, определяющими были следующие:

·        Наличие набора функций для реализации сервисной модели, позволяющих поставить процессы Incident Response на конвейер;

·        Качество и стабильная работа решений;

·        Минимизация собственных ресурсов на поддержку решения;

·        Зрелая команда разработки, оперативная техподдержка, возможность тесного сотрудничества в процессе адаптации решения под задачи Jet CSIRT и возможных доработо.

Команда Jet CSIRT отобрала 6 решений класса IRP/SOAR для первичного сравнения, 4 из них были протестированы в ходе пилотных проектов. По результатам сравнительного анализа и тестирования выбор был сделан в пользу платформы R-Vision IRP.

Первое время команда Jet CSIRT осуществляла планирование и проектирование своих внутренних процессов, формирование логики обработки инцидентов и сценариев реагирования в соответствии с принятыми регламентами центра. Параллельно осуществлялось тестирование и настройка IRP-системы, апробирование в ней этих процессов.

Основная техническая реализация, в ходе которой была проведена определенная доработка возможностей продукта под задачи MSSP, настроены необходимые отчеты и метрики, интеграции с другими решениями, заняла три месяца.

В этот период команды R-Vision и Jet CSIRT находились в очень тесном взаимодействии, что позволило в сжатые сроки решить все технические вопросы. В итоге Jet CSIRT автоматизировал и поставил на конвейер с помощью платформы R-Vision IRP процесс по обработке и реагированию на инциденты заказчиков. Весь цикл по внедрению решения с учетом перестройки внутренних процессов Jet CSIRT занял около 9 месяцев.

В Jet CSIRT мониторинг инцидентов осуществляют 3 линии аналитиков в режиме 24/7. Отдельно выделены группа реагирования и группа эксплуатации, а также эксперты по форензике, threat hunting и другие более узкие специалисты. Вся команда Jet CSIRT работает в рамках единого комплексного воркфлоу, который регламентирует процесс обработки инцидента и подключение специалистов на каждом этапе.

Этот воркфлоу автоматизирован с помощью платформы R-Vision IRP и преобразуется в 140 сценариев реагирования (или по-другому плейбуков). Каждый плейбук построен под определенный сценарий выявления угроз, которых в Jet CSIRT применяется более 100. При выявлении нового инцидента средствами мониторинга в R-Vision IRP включается предусмотренный сценарий реагирования, в котором четко прописан алгоритм действий на каждом этапе обработки. Операции по сбору первичных данных и обогащению инцидента, уведомлению и ряд технических мер реагирования осуществляются автоматически с помощью имеющихся в R-Vision IRP инструментов и интеграций с используемыми в Jet CSIRT средствами защиты информации, сервисами и решениями, позволяя экономить время специалистов на выполнении ручных операций.

В Jet CSIRT используется 2 модели подключения заказчиков. Первый вариант предполагает подключение заказчика к облачным средствам защиты и SIEM, предоставляемым «Инфосистемы Джет» по подписке. Модель on-premise предполагает осуществление мониторинга и реагирования на инциденты на базе SIEM и средств защиты, развернутых в инфраструктуре заказчика, а это может быть совершенно разный набор продуктов. R-Vision IRP интегрирована со всеми типами SIEM, с которыми работает Jet CSIRT, и выступает своего рода интеграционной платформой, обеспечивая обработку всех инцидентов заказчиков по обеим схемам взаимодействия.

В результате проекта команда Jet CSIRT реализовала эффективно выстроенный процесс потоковой обработки инцидентов, учитывающий индивидуальную процессную модель и экспертизу «Инфосистемы Джет» по детектированию, мониторингу и реагированию. Благодаря автоматизации внутренних процессов на базе платформы R-Vision IRP процесс обработки инцидентов существенно ускорился – по оценке Jet CSIRT, скорость увеличилась в 3 раза. Эффективность работы 1-й линии повысилась в 4 раза за счет применения автоматизированного подхода к сбору данных, приоритизации и маршрутизации инцидентов: на 1-й линии мониторинга осуществляется экспрессоценка критичности и сложности инцидента, базовая аналитика, сбор данных и обогащение, и далее инцидент передается на следующий этап обработки.

Обработка инцидентов из разных SIEM от разных заказчиков осуществляется в одном интерфейсе с единой системой отчётности. R-Vision IRP контролирует SLA на каждом этапе, позволяя Jet CSIRT четко соблюдать строгие обязательства перед заказчиками: для высоко-критичных инцидентов время реакции на инцидент составляет 25 минут, 45 минут предусмотрено на базовый анализ и информирование заказчика, 60 минут – на техническое реагирование.

Использование IRP\SOAR от R-Vision также позволяет Jet CSIRT оказывать заказчиками набор дополнительных экспертных сервисов по мониторингу и реагированию на инциденты ИБ. В отдельный сервис была выделена услуга по управлению киберинцидентами по модели MSSP, т.е. у заказчика появилась возможность использовать технологии R-Vision по подписке.