Автоматизация и повышение эффективности процесса управления инцидентами ИБ в Полюс с помощью продукта R-Vision SOAR
Первый подобный проект в золотодобывающей отрасли. В результате Полюс в 2 раза сократил время реагирования на инциденты и высвободил ресурсы сотрудников ИБ за счет автоматизации рутинных задач. У распределенной команды появилось единое пространство для совместной работы и удобный инструмент для автоматического представления аналитики и отчетности. Это обеспечило прозрачность работы департамента ИБ и повысило общий уровень кибербезопасности.
Проект был реализован в период с октября 2021 г. по январь 2022 г.
Масштаб проекта - 8000 автоматизированных рабочих мест, партнер проекта - R-Vision (ООО «Р-Вижн»)
Каковы цели проекта?
1. Автоматизация и повышение эффективности процесса управления инцидентами ИБ.
2. Сокращение времени реагирования на инциденты и оптимизация трудозатрат сотрудников Департамента ИБ.
3. Обеспечение организации и координации работы команд реагирования на инциденты ИБ.
4. Формирование целостной картины по выявленным и устраненным инцидентам за счет предоставления детализированной отчетности и визуализации информации.
В чем уникальность проекта для рынка?
Гибкость внедряемого продукта позволила, не нарушая существующий процесс управления инцидентами ИБ Заказчика, перенести его в инструмент автоматизации и реализовать 26 уникальных сценариев реагирования (плейбуков). Реализация проекта позволила в кратчайшие сроки достичь значимых результатов:
- Сократить в 2 раза время реагирования на инциденты ИБ.
- Высвободить ресурсы сотрудников департамента ИБ за счет автоматизации рутинных процессов и задач.
- Предоставлено единое пространство для совместной работы по реагированию на инциденты ИБ для сотрудников департамента ИБ, находящихся в 5 регионах РФ.
- Предоставлен удобный инструмент для автоматического представления статистики, аналитики и управленческой отчетности.
Все это повысило общий уровень кибербезопасности Заказчика, а также обеспечило прозрачность работы департамента ИБ. Кроме того, это первый подобный проект в золотодобывающей отрасли, который к тому же сопровождался крайне сжатыми сроками реализации.
Как проходило внедрение решения?
Проект затронул всю инфраструктуру организации, а это более 20 000 единиц следующих типов: пользовательские АРМ, серверы, использующие различное программное обеспечение и операционные системы, а также активное сетевое оборудование.
Перед тем, как перейти к описанию проекта отметим, что выбранное решение для реализации проекта полностью соответствует политике импортозамещения, которую Заказчик реализует на протяжении уже нескольких лет.
На первом этапе было проведено предпроектное обследование с детализированным сбором информации обо всех объектах автоматизации, в которых предполагается устанавливать компоненты R-Vision SOAR, осуществлен сбор информации о смежных системах и используемых средствах защиты. В результате была сформирована полная картина о текущем состоянии, описаны все текущие процессы реагирования на инциденты ИБ в организации и сформирована целевая картина.
На следующем этапе были произведены работы по установке, настройке и подключению R-Vision SOAR к системам Заказчика. В рамках этого этапа вендор осуществил интеграцию с почтовым сервером, контроллером домена, системой сбора и корреляции инцидентов ИБ и другими источниками данных. Кроме того, для обогащения инцидентов ИБ дополнительным контекстом осуществили подключение R-Vision SOAR к службе анализа подозрительных файлов и веб-ссылок на наличие вредоносного ПО VirusTotal, службе контроля и анализа доменных имен WhoIS и к системе управления IP-адресами заказчика. В результате интеграций продукта со всеми этими системами удалось организовать единый унифицированный процесс, который контролируется из интерфейса одного решения – R-Vision SOAR. Таким образом, у пользователей пропала необходимость мониторинга консолей управления других продуктов.
Далее, благодаря гибкости внедряемого решения, на базе существующих у Заказчика регламентов и процессов управления инцидентами ИБ были разработаны и внедрены 26 уникальных плейбуков (сценариев реагирования), отвечающих всем потребностям Заказчика и соответствующих лучшим мировым практикам. Также были сформированы четкие SLA для процессов реагирования и расследования инцидентов.
Заключительным этапом реализации проекта стало проведение комплексного обучения 16-специалистов заказчика работе с R-Vision SOAR. Программа обучения состояла из 1 теоретического и 6 практических блоков, раскрывающих весь функционал и возможности внедренного продукта, а также предоставляющих исчерпывающие знания пользователя о том, как работать с продуктом с учетом специфики заказчика и реализованных бизнес-процессов.
Отметим также, что в связи с расположением сотрудников департамента ИБ в удаленных часовых поясах от Москвы, где находилась проектная команда вендора, сотрудники вендора осуществляли взаимодействие по рабочему времени представителей заказчика и отвечали на запросы 24/7, а обучающий курс и вовсе начинался в 4 утра по Москве.
С какими сложностями столкнулись при внедрении проекта?
Основная сложность проекта – это осуществление плавного перевода выстроенных годами и реализуемых сотрудниками заказчика ИБ-процессов на новый инструмент автоматизации. В результате, благодаря собственной экспертизе вендор не только не нарушил существующие механизмы, но и усовершенствовал их, применив наилучшие мировые практики.
Дополнительной трудностью стала необходимость реализовать проект в крайне сжатые сроки, а также разработать кастомизированные коннекторы для подключения существующих средств защиты заказчика ввиду особенностей использования последних.
Реклама ООО «Р-Вижн»
