УЦСБ помог СберАналитике сократить время реагирования на инциденты ИБ

Проект по внедрению SOAR-системы помог повысить скорость обработки информации о возможных инцидентах ИБ, выстроить быстрое и точное реагирование на инциденты ИБ, а также оптимизировать нагрузку на отдел ИБ «СберАналитики», обеспечив работу специалистов в режиме «одного окна».

Что было сделано

Перед командой направления автоматизации ИБ УЦСБ стояла следующая задача — развернуть платформу R-Vision SOAR и настроить ее таким образом, чтобы имеющиеся в «СберАналитике» процессы по реагированию на инциденты ИБ и координация действий пользователей в ходе отработки установленных мероприятий по выявлению, анализу и реагированию на инцидент ИБ реализовывались уже с помощью данного ПО.

Для достижения данной цели была запланирована интеграция платформы R-Vision SOAR с существующим в компании Центром мониторинга событий кибербезопасности (SOC) и другими смежными системами, которые участвуют в процессе управления инцидентами ИБ и выполняют функции восстановления объектов защиты.

Анастасия Федоренко, руководитель направления автоматизации ИБ, УЦСБ:

«Важно подчеркнуть, что понимание бизнес-процессов и задач со стороны «СберАналитики» ускорило процесс интеграции и автоматизации действий персонала, позволив  внедрить технические решения в запланированные сроки. Наша команда представила варианты реализации требований Заказчика с учетом специфики рассматриваемых систем и поставляемого ПО. Благодаря совместной работе нам удалось создать автоматизированную систему реагирования на инциденты ИБ».

Проект можно разделить на три ключевых этапа:

1. Анализ текущей информационной инфраструктуры. Инженеры направления автоматизации ИБ УЦСБ детально изучили работу SOC и DLP-систем, которые предстояло интегрировать с новой платформой R-Vision SOAR, а также процессы реагирования на инциденты ИБ, выполнявшиеся в ручном режиме. Это позволило выявить области, требующие автоматизацию и разработать план интеграции элементов информационной инфраструктуры.
2. Разработка проектной документации, соответствующей положениям ГОСТ. Специалисты направления автоматизации ИБ УЦСБ подготовили полный пакет проектной документации с детальным описанием архитектуры системы, процессов интеграции со смежными системами и комплектом эксплуатационной документации, взяв за основу ГОСТ 34.201 и ГОСТ Р 59793, а также собственные шаблоны и наработки экспертов Центра кибербезопасности УЦСБ. Такой подход позволяет обеспечить учет всех требований и пожеланий Заказчика системы еще до ее фактического внедрения и избежать ситуации, когда результат проекта не соответствует ожиданиям Заказчика. Также полный комплект рабочей и эксплуатационной документации обеспечивает безболезненный процесс передачи в эксплуатацию даже очень сложных автоматизированных систем, к которым, безусловно, относится и R-Vision SOAR. 
3. Внедрение SOAR. Инженеры УЦСБ произвели развертывание ПО R-Vision SOAR, выполнили инвентаризацию активов компании, настроили интеграции со смежными системами и автоматизацию процессов работы с инцидентами ИБ.  Выстроили взаимодействие команды отдела ИБ в ПО в соответствии со сценариями, применяемыми в компании «СберАналитика». Ключевым моментом стала разработка кастомизированного коннектора для интеграции R-Vision SOAR с существующим SOC, что позволило автоматизировать управление жизненным циклом инцидента ИБ в системе SOC.

На протяжении всего проекта команда УЦСБ  погружалась в ИБ-процессы «СберАналитики», чтобы лучше понять потребности и задачи Заказчика. Регулярные рабочие встречи и обсуждение деталей позволили оперативно решать возникающие вопросы, учитывать все нюансы и завершить проект в течение пяти месяцев.