Автоматизация и повышение эффективности процесса управления инцидентами ИБ в Полюс с помощью продукта R-Vision SOAR

Заказчик:

ООО «УК Полюс» (бренд Полюс)

Руководитель проекта со стороны заказчика

Андрей Тихонин

Начальник управления информационной безопасности Департамент информационной безопасности

Поставщик

R-Vision (ООО «Р-Вижн»)

Год завершения проекта

2022

Сроки выполнения проекта

Октябрь, 2021 - Январь, 2022

Масштаб проекта

8000 автоматизированных рабочих мест

Цели

1. Автоматизация и повышение эффективности процесса управления инцидентами ИБ.

2. Сокращение времени реагирования на инциденты и оптимизация трудозатрат сотрудников Департамента ИБ.

3. Обеспечение организации и координации работы команд реагирования на инциденты ИБ.

4. Формирование целостной картины по выявленным и устраненным инцидентам за счет предоставления детализированной отчетности и визуализации информации.

Уникальность проекта

Гибкость внедряемого продукта позволила, не нарушая существующий процесс управления инцидентами ИБ Заказчика, перенести его в инструмент автоматизации и реализовать 26 уникальных сценариев реагирования (плейбуков). Реализация проекта позволила в кратчайшие сроки достичь значимых результатов:

Сократить в 2 раза время реагирования на инциденты ИБ.
Высвободить ресурсы сотрудников департамента ИБ за счет автоматизации рутинных процессов и задач.
Предоставлено единое пространство для совместной работы по реагированию на инциденты ИБ для сотрудников департамента ИБ, находящихся в 5 регионах РФ.
Предоставлен удобный инструмент для автоматического представления статистики, аналитики и управленческой отчетности.

Все это повысило общий уровень кибербезопасности Заказчика, а также обеспечило прозрачность работы департамента ИБ. Кроме того, это первый подобный проект в золотодобывающей отрасли, который к тому же сопровождался крайне сжатыми сроками реализации.

Проект решает задачи импортозамещения

Да

Использованное ПО

R-Vision Security Orchestration, Automation and Response (SOAR) — система оркестрации, автоматизации ИБ и реагирования на инциденты, которая агрегирует данные по инцидентам из множества источников, автоматизирует обогащение, реагирование и внедрение защитных мер, а также обеспечивает единое пространство для совместной работы ИБ-специалистов. R-Vision SOAR является ключевым инструментом для повышения эффективности центров мониторинга и реагирования на инциденты ИБ.

Сложность реализации

Основная сложность проекта – это осуществление плавного перевода выстроенных годами и реализуемых сотрудниками заказчика ИБ-процессов на новый инструмент автоматизации. В результате, благодаря собственной экспертизе вендор не только не нарушил существующие механизмы, но и усовершенствовал их, применив наилучшие мировые практики.

Дополнительной трудностью стала необходимость реализовать проект в крайне сжатые сроки, а также разработать кастомизированные коннекторы для подключения существующих средств защиты заказчика ввиду особенностей использования последних.

Описание проекта

Проект затронул всю инфраструктуру организации, а это более 20 000 единиц следующих типов: пользовательские АРМ, серверы, использующие различное программное обеспечение и операционные системы, а также активное сетевое оборудование.

Перед тем, как перейти к описанию проекта отметим, что выбранное решение для реализации проекта полностью соответствует политике импортозамещения, которую Заказчик реализует на протяжении уже нескольких лет.

На первом этапе было проведено предпроектное обследование с детализированным сбором информации обо всех объектах автоматизации, в которых предполагается устанавливать компоненты R-Vision SOAR, осуществлен сбор информации о смежных системах и используемых средствах защиты. В результате была сформирована полная картина о текущем состоянии, описаны все текущие процессы реагирования на инциденты ИБ в организации и сформирована целевая картина.

На следующем этапе были произведены работы по установке, настройке и подключению R-Vision SOAR к системам Заказчика. В рамках этого этапа вендор осуществил интеграцию с почтовым сервером, контроллером домена, системой сбора и корреляции инцидентов ИБ и другими источниками данных. Кроме того, для обогащения инцидентов ИБ дополнительным контекстом осуществили подключение R-Vision SOAR к службе анализа подозрительных файлов и веб-ссылок на наличие вредоносного ПО VirusTotal, службе контроля и анализа доменных имен WhoIS и к системе управления IP-адресами заказчика. В результате интеграций продукта со всеми этими системами удалось организовать единый унифицированный процесс, который контролируется из интерфейса одного решения – R-Vision SOAR. Таким образом, у пользователей пропала необходимость мониторинга консолей управления других продуктов.

Далее, благодаря гибкости внедряемого решения, на базе существующих у Заказчика регламентов и процессов управления инцидентами ИБ были разработаны и внедрены 26 уникальных плейбуков (сценариев реагирования), отвечающих всем потребностям Заказчика и соответствующих лучшим мировым практикам. Также были сформированы четкие SLA для процессов реагирования и расследования инцидентов.

Заключительным этапом реализации проекта стало проведение комплексного обучения 16-специалистов заказчика работе с R-Vision SOAR. Программа обучения состояла из 1 теоретического и 6 практических блоков, раскрывающих весь функционал и возможности внедренного продукта, а также предоставляющих исчерпывающие знания пользователя о том, как работать с продуктом с учетом специфики заказчика и реализованных бизнес-процессов.

Отметим также, что в связи с расположением сотрудников департамента ИБ в удаленных часовых поясах от Москвы, где находилась проектная команда вендора, сотрудники вендора осуществляли взаимодействие по рабочему времени представителей заказчика и отвечали на запросы 24/7, а обучающий курс и вовсе начинался в 4 утра по Москве.

География проекта

г. Москва, Красноярский край, Иркутская и Магаданская области, Республика Саха (Якутия)