Как избежать RIP, используя IRP

В данном материале речь пойдет об IRP — платформе реагирования на инциденты. Мы рассмотрим области и особенности применения решения, его задачи и влияние на общую информационную безопасность компании.

Что такое IRP

IRP призвана автоматически реагировать на киберинциденты. Платформа позволяет подразделениям SOC и ИБ экономить время и ресурсы при кибератаках и повышает их эффективность. Использование IRP увеличивает действенность сдерживания, расследования и ликвидации последствий инцидентов.

Как работает IRP
При возникновении инцидента, сотрудник департамента по информационной безопасности используя IRP записывает в плейбуки порядок необходимых действий. Сценарии или playbooks — это совокупность автоматизированных задач по распознаванию угроз и аномалий в защищаемой инфраструктуре, а также по реагированию и сдерживанию угроз в режиме реального времени. Playbooks работают на основании настраиваемых правил и типов инцидентов. Опираясь на поступающие со средств защиты или информационных систем данные, сценарии реагирования выполняют требуемые действия.

IRP позволяют обнаружить и предупредить компьютерные атаки, направленные на защищаемые информационные ресурсы. Так со специалистов SOC-центров снимается множество шаблонных вопросов, а реагирование на киберинциденты происходит в онлайн-режиме.

Задачи IRP
При реагировании на инциденты одну из ключевых ролей играет скорость. Время обработки инцидента снижается благодаря:

  • Автоматизации сценариев. В рамках playbooks работа с инцидентом детализирована до уровня понятных действий;
  • Автоматизации стандартных операций специалистов SOC;
  • Объединения инцидентов одного типа и их общего закрытия, использования в рамках этих групп единого сценария реагирования;
  • Ведению базы знаний решенных инцидентов, чтобы можно было быстро найти необходимое решение и предоставить схожую аналитику.

После реагирования на инцидент IRP-платформа поможет создать отчет об инциденте и процедурах его устранения.

Следует отметить, что платформа должна обладать высоким юзабилити и удобным интерфейсом, чтобы минимизировать сроки обучения сотрудников.

Почему IRP важна для компании
Растущая популярность IRP вызвана постоянно увеличивающимся количеством кибератак и прогрессирующим развитием кадрового голода в сфере информационной безопасности. IRP дает возможность минимизировать требования к профессионализму сотрудников SOC.

Важная задача IRP — увеличение прозрачности и измеряемости работы SOC и управления инцидентами. Контроль эффективности работы SOC повышается за счет визуального представления важных показателей и отслеживания метрик эффективности.

Архитектуре IRP необходимо учитывать оргструктуру компании и уникальность различных бизнес-процессов. Очень часто большому распределенному бизнесу необходимо устанавливать полнофункциональную IRP на уровне дочерних компаний, которые находятся в подчинении у центральной, например, в случае слабых каналов связи между центром и дочерними структурами. Это позволяет произвести комплексную автоматизацию реагирования.

Тренды и прогнозы развития рынка XDR в мире

Важные вопросы:

У каких вендоров можно выбрать решения?

Security Vision является единственной отечественной ИТ-платформой, которая способна роботизировать порядка 95% рутинного программно-технического функционала специалистов информационной безопасности. Security Vision включена в базу данных Минкомсвязи РФ и в Единый реестр российского ПО для ЭВМ.

Платформа Security Vision обеспечивает решение задач по:

  • выявлению атак и киберинцидентов на начальных стадиях благодаря анализу событий, которые поступают от всевозможных средств защиты информации (аналитика);
  • консолидации оперативной информации, а также ее анализу в режиме реального времени с целью расследования инцидентов в сфере кибербезопасности и принятия стратегических решений (аналитика);
  • созданию единого ситуационного центра информационной безопасности (оркестрация);
  • совершенствованию и перевод в разряд управляемых процессов ИТ/ИБ (автоматизация);
  • уменьшению времени реагирования благодаря автоматизации рутинных операций и сценариев реагирования (реагирование);
  • автоматизации реагирования на инциденты кибербезопасности с применением технологий искусственного интеллекта в кибербезопасности (реагирование);
  • автоматическому контролю соответствия нормам регулятора, международным, национальным и отраслевым ИТ/ИБ-стандартам (реагирование).

Насколько выгодно внедрять решения?

Весьма выгодно, поскольку это уменьшает нагрузку на персонал и дает сотрудникам заниматься безопасностью, а не искать иголку в стоге сена.

Прогнозы окупаемости внедрений?

В зависимости от компании, но примерно 3 года. Тут сложно оценить в абсолютных цифрах, поскольку окупаемость в безопасности заключается в том, что либо ты платишь, чтобы быть в безопасности, либо ты платишь, потому что ее нет.

Материал подготовлен в сотрудничестве с партнером WIAT — Security Vision.