Как внедрение SOAR-системы в СберАналитике снизило трудозатраты ИБ-специалистов и повысило эффективность защиты компании от киберугроз
3 апреля 2025
Системы автоматизации процессов управления информационной безопасностью становятся неотъемлемой частью обеспечения киберустойчивости современных организаций. Они позволяют компаниям улучшить скорость обработки данных, автоматизировать рутинные задачи, снизить киберриски и повысить качество обнаружения и расследования инцидентов ИБ, а также ускорить устранение их последствий.
В целях повышения эффективности процессов реагирования на инциденты ИБ и улучшения взаимодействия между заинтересованными в этих операциях подразделениями, команда Центра кибербезопасности УЦСБ внедрила в компании «СберАналитика» систему оркестрации, автоматизации и реагирования на инциденты ИБ российского разработчика R-Vision (R-Vision SOAR).
Системы автоматизации процессов управления информационной безопасностью становятся неотъемлемой частью обеспечения киберустойчивости современных организаций. Они позволяют компаниям улучшить скорость обработки данных, автоматизировать рутинные задачи, снизить киберриски и повысить качество обнаружения и расследования инцидентов ИБ, а также ускорить устранение их последствий.
В целях повышения эффективности процессов реагирования на инциденты ИБ и улучшения взаимодействия между заинтересованными в этих операциях подразделениями, команда Центра кибербезопасности УЦСБ внедрила в компании «СберАналитика» систему оркестрации, автоматизации и реагирования на инциденты ИБ российского разработчика R-Vision (R-Vision SOAR).
Платформа R-Vision SOAR агрегирует данные о возможных инцидентах ИБ из множества источников, автоматизирует обогащение признаков инцидентов ИБ контекстом, осуществляет реагирование на них и активизирует защитные меры, обеспечивая единое пространство для совместной работы специалистов, задействованных в управлении инцидентами ИБ.
Гибко настраиваемые визуализация и отчетность помогают контролировать работу как на операционном уровне, так и в части информирования менеджмента компании. Кроме того, платформа
R-Vision SOAR дает более полное понимание оценки уровня защищенности, благодаря продвинутой инвентаризации активов и функционалу управления уязвимостями.
R-Vision SOAR дает более полное понимание оценки уровня защищенности, благодаря продвинутой инвентаризации активов и функционалу управления уязвимостями.
Рассказываем, как проект по внедрению SOAR-системы помог повысить скорость обработки информации о возможных инцидентах ИБ, выстроить быстрое и точное реагирование на инциденты ИБ, а также оптимизировать нагрузку на отдел ИБ «СберАналитики», обеспечив работу специалистов в режиме «одного окна».
Что было сделано
Перед командой направления автоматизации ИБ УЦСБ стояла следующая задача — развернуть платформу R-Vision SOAR и настроить ее таким образом, чтобы имеющиеся в «СберАналитике» процессы по реагированию на инциденты ИБ и координация действий пользователей в ходе отработки установленных мероприятий по выявлению, анализу и реагированию на инцидент ИБ реализовывались уже с помощью данного ПО.
Для достижения данной цели была запланирована интеграция платформы R-Vision SOAR с существующим в компании Центром мониторинга событий кибербезопасности (SOC) и другими смежными системами, которые участвуют в процессе управления инцидентами ИБ и выполняют функции восстановления объектов защиты.
Для достижения данной цели была запланирована интеграция платформы R-Vision SOAR с существующим в компании Центром мониторинга событий кибербезопасности (SOC) и другими смежными системами, которые участвуют в процессе управления инцидентами ИБ и выполняют функции восстановления объектов защиты.
“
«Важно подчеркнуть, что четкое понимание бизнес-процессов и задач со стороны «СберАналитики» значительно ускорило процесс интеграции и автоматизации действий персонала, позволив качественно внедрить технические решения в запланированные сроки. Наша команда представила варианты реализации требований Заказчика с учетом специфики рассматриваемых систем и поставляемого ПО. Благодаря слаженной совместной работе нам удалось создать эффективную автоматизированную систему реагирования на инциденты ИБ»
Проект можно разделить на три ключевых этапа:
1.Анализ текущей информационной инфраструктуры. Инженеры направления автоматизации ИБ УЦСБ детально изучили работу SOC и DLP-систем, которые предстояло интегрировать с новой платформой R-Vision SOAR, а также процессы реагирования на инциденты ИБ, выполнявшиеся в ручном режиме. Это позволило выявить области, требующие автоматизацию и разработать план интеграции элементов информационной инфраструктуры.
2.Разработка проектной документации, соответствующей положениям ГОСТ. Специалисты направления автоматизации ИБ УЦСБ подготовили полный пакет проектной документации с детальным описанием архитектуры системы, процессов интеграции со смежными системами и комплектом эксплуатационной документации, взяв за основу ГОСТ 34.201 и ГОСТ Р 59793, а также собственные шаблоны и наработки экспертов Центра кибербезопасности УЦСБ. Такой подход позволяет обеспечить учет всех требований и пожеланий Заказчика системы еще до ее фактического внедрения и избежать ситуации, когда результат проекта не соответствует ожиданиям Заказчика. Также полный комплект рабочей и эксплуатационной документации обеспечивает безболезненный процесс передачи в эксплуатацию даже очень сложных автоматизированных систем, к которым, безусловно, относится и R-Vision SOAR.
3.Внедрение SOAR. Инженеры УЦСБ произвели развертывание ПО R-Vision SOAR, выполнили инвентаризацию активов компании, настроили интеграции со смежными системами и автоматизацию процессов работы с инцидентами ИБ. Выстроили взаимодействие команды отдела ИБ в ПО в соответствии со сценариями, применяемыми в компании «СберАналитика». Ключевым моментом стала разработка кастомизированного коннектора для интеграции R-Vision SOAR с существующим SOC, что позволило автоматизировать управление жизненным циклом инцидента ИБ в системе SOC.
На протяжении всего проекта команда УЦСБ глубоко погружалась в ИБ-процессы «СберАналитики», чтобы лучше понять потребности и задачи Заказчика. Регулярные рабочие встречи и обсуждение деталей позволили оперативно решать возникающие вопросы, учитывать все нюансы и завершить проект в течение пяти месяцев.
1.Анализ текущей информационной инфраструктуры. Инженеры направления автоматизации ИБ УЦСБ детально изучили работу SOC и DLP-систем, которые предстояло интегрировать с новой платформой R-Vision SOAR, а также процессы реагирования на инциденты ИБ, выполнявшиеся в ручном режиме. Это позволило выявить области, требующие автоматизацию и разработать план интеграции элементов информационной инфраструктуры.
2.Разработка проектной документации, соответствующей положениям ГОСТ. Специалисты направления автоматизации ИБ УЦСБ подготовили полный пакет проектной документации с детальным описанием архитектуры системы, процессов интеграции со смежными системами и комплектом эксплуатационной документации, взяв за основу ГОСТ 34.201 и ГОСТ Р 59793, а также собственные шаблоны и наработки экспертов Центра кибербезопасности УЦСБ. Такой подход позволяет обеспечить учет всех требований и пожеланий Заказчика системы еще до ее фактического внедрения и избежать ситуации, когда результат проекта не соответствует ожиданиям Заказчика. Также полный комплект рабочей и эксплуатационной документации обеспечивает безболезненный процесс передачи в эксплуатацию даже очень сложных автоматизированных систем, к которым, безусловно, относится и R-Vision SOAR.
3.Внедрение SOAR. Инженеры УЦСБ произвели развертывание ПО R-Vision SOAR, выполнили инвентаризацию активов компании, настроили интеграции со смежными системами и автоматизацию процессов работы с инцидентами ИБ. Выстроили взаимодействие команды отдела ИБ в ПО в соответствии со сценариями, применяемыми в компании «СберАналитика». Ключевым моментом стала разработка кастомизированного коннектора для интеграции R-Vision SOAR с существующим SOC, что позволило автоматизировать управление жизненным циклом инцидента ИБ в системе SOC.
На протяжении всего проекта команда УЦСБ глубоко погружалась в ИБ-процессы «СберАналитики», чтобы лучше понять потребности и задачи Заказчика. Регулярные рабочие встречи и обсуждение деталей позволили оперативно решать возникающие вопросы, учитывать все нюансы и завершить проект в течение пяти месяцев.
Результаты проекта
Внедрение SOAR-системы в компании «СберАналитика» дало следующие результаты:
1.Повышение эффективности защиты компании от киберугроз
Благодаря инвентаризации активов и оркестрации средств защиты информации специалисты ИБ «СберАналитики» видят в едином окне весь ландшафт информационной инфраструктуры компании, что упрощает анализ имеющихся угроз безопасности. Установленная платформа R-Vision SOAR автоматизирует обработку инцидентов ИБ, ранжирует их по степени опасности, сразу направляя внимание аналитиков на те инциденты ИБ, которые требуют оперативных действий. Автоматизированное выявление и реагирование на инцидент ИБ позволяет вовремя предотвратить серьезные потери, связанные с ИБ, быстро и четко выполнить действия в соответствии с заложенным сценарием, минимизируя влияние человеческого фактора и ошибок, тем самым повышая общую надежность системы обеспечения безопасности «СберАналитики».
2.Повышение скорости реагирования на инциденты
Моментальные уведомления о статусе инцидентов ИБ и автоматическая отправка комментариев сократили время реагирования на часто повторяющиеся типы инцидентов ИБ на 90% — с 10 до 1 минуты. Увеличение скорости реакции позволило минимизировать потенциальный ущерб от атак и дало дополнительное время на принятие решения об устранении последствий инцидента ИБ. Кроме того, внедрение SOAR-системы обеспечило предварительное реагирование, сбор дополнительной информации и обогащение карточки инцидента ИБ до того, как он попадет в работу к аналитикам.
3.Снижение нагрузки на специалистов ИБ
Благодаря автоматизации удалось выстроить слаженное взаимодействие между заинтересованными подразделениями: отделами ОТ, ИТ и внешним SOC. Снизились трудозатраты на рутинные операции: в среднем время обработки инцидентов ИБ сотрудниками уменьшилось на 30%.
1.Повышение эффективности защиты компании от киберугроз
Благодаря инвентаризации активов и оркестрации средств защиты информации специалисты ИБ «СберАналитики» видят в едином окне весь ландшафт информационной инфраструктуры компании, что упрощает анализ имеющихся угроз безопасности. Установленная платформа R-Vision SOAR автоматизирует обработку инцидентов ИБ, ранжирует их по степени опасности, сразу направляя внимание аналитиков на те инциденты ИБ, которые требуют оперативных действий. Автоматизированное выявление и реагирование на инцидент ИБ позволяет вовремя предотвратить серьезные потери, связанные с ИБ, быстро и четко выполнить действия в соответствии с заложенным сценарием, минимизируя влияние человеческого фактора и ошибок, тем самым повышая общую надежность системы обеспечения безопасности «СберАналитики».
2.Повышение скорости реагирования на инциденты
Моментальные уведомления о статусе инцидентов ИБ и автоматическая отправка комментариев сократили время реагирования на часто повторяющиеся типы инцидентов ИБ на 90% — с 10 до 1 минуты. Увеличение скорости реакции позволило минимизировать потенциальный ущерб от атак и дало дополнительное время на принятие решения об устранении последствий инцидента ИБ. Кроме того, внедрение SOAR-системы обеспечило предварительное реагирование, сбор дополнительной информации и обогащение карточки инцидента ИБ до того, как он попадет в работу к аналитикам.
3.Снижение нагрузки на специалистов ИБ
Благодаря автоматизации удалось выстроить слаженное взаимодействие между заинтересованными подразделениями: отделами ОТ, ИТ и внешним SOC. Снизились трудозатраты на рутинные операции: в среднем время обработки инцидентов ИБ сотрудниками уменьшилось на 30%.
“
«С компанией УЦСБ работаем не впервые. Коллеги зарекомендовали себя как компетентный интегратор, который качественно выполняет проекты. Все вопросы, возникающие в ходе реализации проекта и внедрения SOAR-системы, решались в рабочем порядке. Цели достигнуты: в компании повысилась эффективность мер защиты, значительно упростились процессы управления инцидентами ИБ, и выстроен более качественный обмен данными между системами и сотрудниками отдела ИБ»
Таким образом, внедрение SOAR-системы позволило существенно сэкономить время и усилия ИБ-специалистов «СберАналитики» при расследовании инцидентов ИБ, повысить операционную эффективность вовлеченных подразделений и повысить эффективность уже внедренных мер обеспечения информационной безопасности в компании.
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных