Как избежать RIP, используя IRP
В данном материале речь пойдет об IRP — платформе реагирования на инциденты. Мы рассмотрим области и особенности применения решения, его задачи и влияние на общую информационную безопасность компании.
IRP призвана автоматически реагировать на киберинциденты. Платформа позволяет подразделениям SOC и ИБ экономить время и ресурсы при кибератаках и повышает их эффективность. Использование IRP увеличивает действенность сдерживания, расследования и ликвидации последствий инцидентов.
IRP позволяют обнаружить и предупредить компьютерные атаки, направленные на защищаемые информационные ресурсы. Так со специалистов SOC-центров снимается множество шаблонных вопросов, а реагирование на киберинциденты происходит в онлайн-режиме.
- Автоматизации сценариев. В рамках playbooks работа с инцидентом детализирована до уровня понятных действий;
- Автоматизации стандартных операций специалистов SOC;
- Объединения инцидентов одного типа и их общего закрытия, использования в рамках этих групп единого сценария реагирования;
- Ведению базы знаний решенных инцидентов, чтобы можно было быстро найти необходимое решение и предоставить схожую аналитику.
После реагирования на инцидент IRP-платформа поможет создать отчет об инциденте и процедурах его устранения.
Следует отметить, что платформа должна обладать высоким юзабилити и удобным интерфейсом, чтобы минимизировать сроки обучения сотрудников.
Важная задача IRP — увеличение прозрачности и измеряемости работы SOC и управления инцидентами. Контроль эффективности работы SOC повышается за счет визуального представления важных показателей и отслеживания метрик эффективности.
Архитектуре IRP необходимо учитывать оргструктуру компании и уникальность различных бизнес-процессов. Очень часто большому распределенному бизнесу необходимо устанавливать полнофункциональную IRP на уровне дочерних компаний, которые находятся в подчинении у центральной, например, в случае слабых каналов связи между центром и дочерними структурами. Это позволяет произвести комплексную автоматизацию реагирования.
У каких вендоров можно выбрать решения?
Security Vision является единственной отечественной ИТ-платформой, которая способна роботизировать порядка 95% рутинного программно-технического функционала специалистов информационной безопасности. Security Vision включена в базу данных Минкомсвязи РФ и в Единый реестр российского ПО для ЭВМ.
Платформа Security Vision обеспечивает решение задач по:
- выявлению атак и киберинцидентов на начальных стадиях благодаря анализу событий, которые поступают от всевозможных средств защиты информации (аналитика);
- консолидации оперативной информации, а также ее анализу в режиме реального времени с целью расследования инцидентов в сфере кибербезопасности и принятия стратегических решений (аналитика);
- созданию единого ситуационного центра информационной безопасности (оркестрация);
- совершенствованию и перевод в разряд управляемых процессов ИТ/ИБ (автоматизация);
- уменьшению времени реагирования благодаря автоматизации рутинных операций и сценариев реагирования (реагирование);
- автоматизации реагирования на инциденты кибербезопасности с применением технологий искусственного интеллекта в кибербезопасности (реагирование);
- автоматическому контролю соответствия нормам регулятора, международным, национальным и отраслевым ИТ/ИБ-стандартам (реагирование).
Насколько выгодно внедрять решения?
Весьма выгодно, поскольку это уменьшает нагрузку на персонал и дает сотрудникам заниматься безопасностью, а не искать иголку в стоге сена.
Прогнозы окупаемости внедрений?
В зависимости от компании, но примерно 3 года. Тут сложно оценить в абсолютных цифрах, поскольку окупаемость в безопасности заключается в том, что либо ты платишь, чтобы быть в безопасности, либо ты платишь, потому что ее нет.
ИНН 7702745663 / КПП 772801001 / ОГРН 1107746907124 / ОКПО 68940594
