Николай Агринский рассказал о Security Vision SOAR в SOC Infosecurity

SOC Infosecurity — один из крупнейших коммерческих SOC в России. Команда специалистов насчитывает более чем 170 человек. Количество заказчиков превышает 150, среди них — крупные банки, розничные сети, страховые компании.

В интервью CNews генеральный директор Infosecurity Николай Агринский рассмотрел ряд актуальных вопросов рынка коммерческих SOC и рынка ИБ в целом, рассказал о том, как работает SOC Infosecurity, и о планах по его развитию. Большое внимание он уделил продуктам, которые применяются в SOC Infosecurity при предоставлении услуг по мониторингу и реагированию на киберинциденты — Kaspersky KUMA и Security Vision SOAR.  

«Коммерческий центр SOC Infosecurity работает уже более 5 лет, но в прошлом году нами были намечены новые цели по развитию портфеля сервисов мониторинга и реагирования на киберинциденты. Для этого было принято решение внедрить отечественную SIEM-систему, которая бы дополнила имеющееся кастомизированное ELK-ядро нашего SOC. Наш выбор пал на продукт Kaspersky KUMA для решения задачи мониторинга киберинцидентов», — рассказал Николай Агринский.  

Для обеспечения реагирования на киберинциденты мы выбрали решение Security Vision SOAR, которое идеально «подружилось» с KUMA и позволило роботизировать рутинные, типовые действия операторов SOC и существенно уменьшить время реагирования на инциденты ИБ за счет автоматизации (обогащение и контекстуализация данных по инциденту, выполнение активных действий по сдерживанию угрозы). В ближайших планах стоит интеграция Security Vision SOAR со вторым SIEM-ядром SOC Infosecurity на базе Open Source-стека ELK для централизации управления всеми инцидентами ИБ от двух SIEM в единой консоли SOAR.

«Для нашего SOC-центра система Security Vision SOAR является универсальной “шиной данных” с точки зрения обработки инцидентов ИБ. Через нее можно проводить комплексные интеграции с ИТ- и ИБ-системами заказчиков. Security Vision SOAR позволяет автоматизировать большую часть трудоемкой ручной работы операторов SOC и пользоваться гибкой логикой инструментов при разработке плейбуков реагирования, а также взаимодействовать с большим набором программных продуктов», — отметил Николай Агринский.