В целях повышения эффективности процессов реагирования на инциденты ИБ и улучшения взаимодействия между заинтересованными в этих операциях подразделениями, команда Центра кибербезопасности УЦСБ внедрила в компании «СберАналитика» систему оркестрации, автоматизации и реагирования на инциденты ИБ российского разработчика R-Vision (R-Vision SOAR).
Рассказываем, как проект по внедрению SOAR-системы помог повысить скорость обработки информации о возможных инцидентах ИБ, выстроить быстрое и точное реагирование на инциденты ИБ, а также оптимизировать нагрузку на отдел ИБ «СберАналитики», обеспечив работу специалистов в режиме «одного окна».
Что было сделано
Перед командой направления автоматизации ИБ УЦСБ стояла следующая задача — развернуть платформу R-Vision SOAR и настроить ее таким образом, чтобы имеющиеся в «СберАналитике» процессы по реагированию на инциденты ИБ и координация действий пользователей в ходе отработки установленных мероприятий по выявлению, анализу и реагированию на инцидент ИБ реализовывались уже с помощью данного ПО.
Для достижения данной цели была запланирована интеграция платформы R-Vision SOAR с существующим в компании Центром мониторинга событий кибербезопасности (SOC) и другими смежными системами, которые участвуют в процессе управления инцидентами ИБ и выполняют функции восстановления объектов защиты.
Анастасия Федоренко, руководитель направления автоматизации ИБ, УЦСБ:
«Важно подчеркнуть, что четкое понимание бизнес-процессов и задач со стороны «СберАналитики» значительно ускорило процесс интеграции и автоматизации действий персонала, позволив качественно внедрить технические решения в запланированные сроки. Наша команда представила варианты реализации требований Заказчика с учетом специфики рассматриваемых систем и поставляемого ПО. Благодаря слаженной совместной работе нам удалось создать эффективную автоматизированную систему реагирования на инциденты ИБ».
Проект можно разделить на три ключевых этапа:
- Анализ текущей информационной инфраструктуры. Инженеры направления автоматизации ИБ УЦСБ детально изучили работу SOC и DLP-систем, которые предстояло интегрировать с новой платформой R-Vision SOAR, а также процессы реагирования на инциденты ИБ, выполнявшиеся в ручном режиме. Это позволило выявить области, требующие автоматизацию и разработать план интеграции элементов информационной инфраструктуры.
- Разработка проектной документации, соответствующей положениям ГОСТ. Специалисты направления автоматизации ИБ УЦСБ подготовили полный пакет проектной документации с детальным описанием архитектуры системы, процессов интеграции со смежными системами и комплектом эксплуатационной документации, взяв за основу ГОСТ 34.201 и ГОСТ Р 59793, а также собственные шаблоны и наработки экспертов Центра кибербезопасности УЦСБ. Такой подход позволяет обеспечить учет всех требований и пожеланий Заказчика системы еще до ее фактического внедрения и избежать ситуации, когда результат проекта не соответствует ожиданиям Заказчика. Также полный комплект рабочей и эксплуатационной документации обеспечивает безболезненный процесс передачи в эксплуатацию даже очень сложных автоматизированных систем, к которым, безусловно, относится и R-Vision SOAR.
- Внедрение SOAR. Инженеры УЦСБ произвели развертывание ПО R-Vision SOAR, выполнили инвентаризацию активов компании, настроили интеграции со смежными системами и автоматизацию процессов работы с инцидентами ИБ. Выстроили взаимодействие команды отдела ИБ в ПО в соответствии со сценариями, применяемыми в компании «СберАналитика». Ключевым моментом стала разработка кастомизированного коннектора для интеграции R-Vision SOAR с существующим SOC, что позволило автоматизировать управление жизненным циклом инцидента ИБ в системе SOC.
На протяжении всего проекта команда УЦСБ глубоко погружалась в ИБ-процессы «СберАналитики», чтобы лучше понять потребности и задачи Заказчика. Регулярные рабочие встречи и обсуждение деталей позволили оперативно решать возникающие вопросы, учитывать все нюансы и завершить проект в течение пяти месяцев.
Результаты проекта
Внедрение SOAR-системы в компании «СберАналитика» дало следующие результаты:
- Повышение эффективности защиты компании от киберугроз
Благодаря инвентаризации активов и оркестрации средств защиты информации специалисты ИБ «СберАналитики» видят в едином окне весь ландшафт информационной инфраструктуры компании, что упрощает анализ имеющихся угроз безопасности. Установленная платформа R-Vision SOAR автоматизирует обработку инцидентов ИБ, ранжирует их по степени опасности, сразу направляя внимание аналитиков на те инциденты ИБ, которые требуют оперативных действий. Автоматизированное выявление и реагирование на инцидент ИБ позволяет вовремя предотвратить серьезные потери, связанные с ИБ, быстро и четко выполнить действия в соответствии с заложенным сценарием, минимизируя влияние человеческого фактора и ошибок, тем самым повышая общую надежность системы обеспечения безопасности «СберАналитики». - Повышение скорости реагирования на инциденты
Моментальные уведомления о статусе инцидентов ИБ и автоматическая отправка комментариев сократили время реагирования на часто повторяющиеся типы инцидентов ИБ на 90% — с 10 до 1 минуты. Увеличение скорости реакции позволило минимизировать потенциальный ущерб от атак и дало дополнительное время на принятие решения об устранении последствий инцидента ИБ. Кроме того, внедрение SOAR-системы обеспечило предварительное реагирование, сбор дополнительной информации и обогащение карточки инцидента ИБ до того, как он попадет в работу к аналитикам. - Снижение нагрузки на специалистов ИБ
Благодаря автоматизации удалось выстроить слаженное взаимодействие между заинтересованными подразделениями: отделами ОТ, ИТ и внешним SOC. Снизились трудозатраты на рутинные операции: в среднем время обработки инцидентов ИБ сотрудниками уменьшилось на 30%.
Марат Шамсутдинов, CISO, «СберАналитика»:
«С компанией УЦСБ работаем не впервые. Коллеги зарекомендовали себя как компетентный интегратор, который качественно выполняет проекты. Все вопросы, возникающие в ходе реализации проекта и внедрения SOAR-системы, решались в рабочем порядке. Цели достигнуты: в компании повысилась эффективность мер защиты, значительно упростились процессы управления инцидентами ИБ, и выстроен более качественный обмен данными между системами и сотрудниками отдела ИБ».
Таким образом, внедрение SOAR-системы позволило существенно сэкономить время и усилия ИБ-специалистов «СберАналитики» при расследовании инцидентов ИБ, повысить операционную эффективность вовлеченных подразделений и повысить эффективность уже внедренных мер обеспечения информационной безопасности в компании.