12.03.202512.03.2025 Юлия МальцеваЮлия Мальцева 0 Comment

Чем больше компания развивает свою ИТ-инфраструктуру, тем больше она становится от нее зависимой. Поэтому по мере цифровизации компаниям приходится больше внимания уделять обеспечению защиты своей инфраструктуры. Однако, чем больше становится сама ИТ-инфраструктура, тем сложнее ее защитить, особенно с помощью слабо интегрированных средств защиты. Именно поэтому для крупных компаний возникает потребность во внедрении общекорпоративных инструментов обеспечения безопасности всей инфраструктуры, которые позволили бы не только оценить состояние ее защищенности, но и автоматизировали реагирование на инциденты, обеспечивали бы их расследование и помогали совершенствовать всю корпоративную защиту.

  1. Security Vision SOAR
Номер в реестре Минцифры: №364 от 08.04.2016
ФСТЭК: Сертификат соответствия ФСТЭК России № 4574 от 02.09.2022 (УД4);
ФСБ: Заключение 8 Центра ФСБ России 149/3/6/908 от 01.10.2024;
ОАЦ: Сертификат соответствия ОАЦ при Президенте Республики Беларусь № BY/112 02.02. ТР027 036.01 01673 6 декабря 2024 года (по требованиям технического регламента ТР 2013/027/BY).


Security Vision SOAR – ИТ-платформа low-code/no code, позволяющая роботизировать до 95% программно-технических ИБ функций в круглосуточном режиме, обеспечивая непрерывное реагирование на угрозы и киберинциденты. Внедрена в крупнейших государственных организациях, компаниях, банках, коммерческих центрах мониторинга информационной безопасности.

Продукты платформы Security Vision, включая Security Vision SOAR, первыми в своих классах успешно прошли экспертную проверку и отмечены в реестре российского ПО как использующие технологии искусственного интеллекта (ИИ).

Security Vision SOAR позволяет:

  • снизить влияние человеческого фактора в ИБ;
  • многократно повысить скорость реакции на угрозы (за счёт автоматизации сценариев, подстраивающихся под окружение инцидента ИБ);
  • выстроить проактивную защиту в соответствии с международными стандартами информационной безопасности;
  • учесть ресурсно-сервисную модель компании (для реагирования на актуальные угрозы в зависимости от обнаруженных в них активах и других типов объектов).

Security Vision SOAR агрегирует события и инциденты, осуществляет автоматическое выполнение команд на различных внешних системах для оперативного сдерживания и устранения негативных последствий согласно методологии NIST.

Использует в реагировании уникальную технологию динамических плейбуков с адаптивным реагированием, выстраиванием цепочки атаки и объектно-ориентированным подходом.

В продукт включены экспертные рекомендации аналитиков Security Vision на различных этапах управления инцидентами и ИИ-помощники, с помощью которых формируется и пополняется база знаний, и снижается количество ЛПС (ложно положительных срабатываний) за счёт встроенной модели ML.

  • R-Vision SOAR
Номер в реестре Минцифры: №1954 от 23.09.2016
ФСТЭК: Сертификат соответствия ФСТЭК России до 05.03.2029

R-Vision SOAR — это система для оркестрации, автоматизации и быстрого реагирования на инциденты ИБ. Она служит единым окном для команды SOC, позволяя эффективно управлять инцидентами и автоматизировать до 90% рутинных операций. Благодаря этому, время реагирования на инциденты сокращается в 2–5 раз, в зависимости от их типа, что значительно снижает нагрузку на сотрудников. 

Функциональность R-Vision SOAR закрывает все ключевые потребности заказчиков: обработку в едином окне инцидентов ИБ из различных источников, no-code/low-code автоматизацию и оркестрацию, организацию командной работы специалистов разных линий SOC, визуализацию, отчетность, контроль SLA и др. 

В R-Vision SOAR предусмотрены функции для быстрого старта работы с системой «из коробки»: преднастроенные конфигурации, быстро настраиваемые интеграции с популярными СЗИ и инструменты no-code для настройки сценариев реагирования. 

Развитие SOC — это непрерывный цикл совершенствования подходов и инструментов, адаптации к новым угрозам. Поэтому команда R-Vision SOAR отдает приоритет гибкости и удобству в работе с системой, чтобы заказчики могли самостоятельно развивать автоматизацию в своем SOC, управлять настройками системы, создавать и поддерживать плэйбуки и другие элементы автоматизации. 

Продукт R-Vision SOAR развивается с 2015 года (ранее был известен как R-Vision IRP, в связи с расширением возможностей система была переименована). За это время реализовано более 100 проектов разного масштаба в нефтегазовой, энергетической и металлургической отраслях промышленности, а также в государственных учреждениях, финансовой сфере, телекоммуникациях и ритейле. 

R-Vision SOAR предлагает различные сценарии использования, начиная с построения процесса обработки инцидентов «с нуля» и заканчивая автоматизацией SOC для предоставления ИБ-сервисов и контроля дочерних организаций и филиалов в соответствии с выстроенным процессом в больших территориально-распределенных организациях. Многие заказчики, получающие услуги по мониторингу инцидентов от российских провайдеров, используют R-Vision SOAR для эффективного взаимодействия по выявленным инцидентам и своевременного реагирования на них.

Особенности R-Vision SOAR: 

  • агрегация данных об инциденте в одной системе из любых источников;
  • базовые интеграции из коробки с системами класса SIEM (включая двусторонние), NGFW, DLP, IDP/IPS, AV, UEBA, WAF, сканерами уязвимостей и другими ИБ, и ИТ- решениями.
  • универсальный low-code конструктор коннекторов к сторонним системам — заказчик самостоятельно может осуществить необходимую интеграцию без привлечения вендора;
  • встроенные механизмы инвентаризации активов и построение ресурсно-сервисной модели позволяют получить полное представление об ИТ-инфраструктуре и влиянии инцидента на бизнес-процессы;
  • интерактивные сценарии реагирования (плейбуки) с возможностью запуска нескольких сценариев для одного инцидента, запуска сценариев из сценария и гибко настраиваемой логикой позволяют обрабатывать инциденты как полностью в автоматическом режиме, так и с подтверждением оператора системы.
  • удобный no-code редактор сценариев реагирования (плейбуков) для их быстрого создания и адаптации к изменениям в ландшафте угроз и процессах SOC.
  • динамическое управление отображением карточки инцидента и наглядное отображение метрик SLA прямо в карточке инцидента и на дашбордах;
  • инструменты командной работы: организация работы нескольких линий SOC, распределение нагрузки, настраиваемые механизмы уведомлений и эскалации, встроенный чат и e-mail переписка по инциденту непосредственно в интерфейсе системы.
  • обогащение инцидента данными threat intelligence, отображение индикаторов компрометации (ioc) в карточке инцидента, вывод данных по индикаторам на дашборды
  • поддержка мульти-арендной архитектуры позволяет использовать систему в территориально-распределенных инфраструктурах с разделением доступа к данным;
  • встроенный сервис для расширенного взаимодействия с ГосСОПКА и ФинЦЕРТ (отправка инцидентов, получение бюллетеней и др.).
  • открытый документированный API для встраивания продукта в любые инфраструктуры.
  • ePlat4m SOAR DS
Номер в реестре Минцифры: №8630
ФСТЭК: Сертификат соответствия ФСТЭК России №3796

Компания «КИТ» — российский разработчик универсальной low-code платформы автоматизации бизнес-процессов ePlat4m, SOAR-платформы ePlat4m Orchestra и прикладных систем в сфере информационной безопасности, управления пропускным режимом. Разработки программных решений ведутся компаний с 2014 года. На сегодняшний день реализовано более 30 крупных проектов по автоматизации управления информационной безопасностью и управлению допуском на режимные объекты.

Система ePlat4m SOAR DS сводит данные об угрозах безопасности из разных источников для последующего анализа. Она автоматизирует работу специалистов по ИБ и организует процесс реагирования на типовые события и инциденты. При помощи графического редактора платформы типовые ИБ-процессы (плейбуки) описываются как серия управляемых событиями шагов в соответствии со спецификацией Amazon States Language.

Основные возможности продукта следующие:

  • Развертывание в масштабируемом Kubernetes-кластере с мониторингом работоспособности компонент и отказоустойчивостью;
  • Оптимизация процессов SOC за счёт получения данных о событиях безопасности из различных источников (SIEM, DLP, EDR, и др.), агрегация событий в инциденты;
  • Наличие API для интеграции;
  • Защищённое хранение и использование секретов (токенов, ключей доступа);
  • Визуальное редактирование и отладка плейбуков: экспорт, импорт, валидация сценариев;
  • Хранение кода плейбуков, коннекторов и скриптов в централизованном хранилище с учётом их версий;
  • Мониторинг и логирование исполнения плейбуков;
  • Запуск плейбуков по событию и по расписанию;
  • Автоматизация обработки событий и инцидентов и сокращение времени реагирования на инциденты;
  • Агрегация обрабатываемых «вручную» событий с 10000 до 500;
  • Контроль SLA, ключевых метрик эффективности работы аналитиков SOC;
  • Возможность работы по мульти-арендной модели;
  • Интеграция с личным кабинетом заказчика;
  • Ведение документации, отчетности и аудиторского следа по инцидентам ИБ;
  • Снижение среднего времени реагирования на инцидент с 3 дней до 25 минут
  • Экспорт выбранных инцидентов в ГосСОПКА, ФинЦЕРТ;
  • Взаимодействие с ГосСОПКА для учета инцидентов субъектов КИИ.
  • Innostage IRP
Номер в реестре Минцифры: нет (в реестр включен «Цифровой штаб» – 22105)
ФСТЭК: нет

Компания Innostage является интегратором решений по информационной безопасности, однако ее специалисты накопили экспертизу для разработки собственных решений. Innostage IRP — продукт собственной разработки группы компаний Innostage. Он позволяет автоматизировать ключевые процессы управления инцидентами в информационной безопасности, в том числе процессы мониторинга и реагирования.

Innostage IRP может быть применён как в информационной инфраструктуре компании, так и в технологической, включая АСУ ТП. Среди заметных особенностей — наличие подсистемы управления ИТ-активами и возможность интеграции с системой оркестровки Innostage Orchestrator, а также поддержка информационных каналов связи со внешними сервисами TI-сервисами и системой ГосСОПКА. Подобная связана — IRP, оркестратор и TI-сервисы — как раз и образуют продукт класса SOAR.

Функциональные возможности продукта следующие:

  • Инвентаризация ИТ-активов вручную и автоматически, а также автоматическая актуализация данных за счёт интеграции со средствами, содержащими инвентаризационную информацию;
  • Создание и ведение единой базы данных, обеспечивающей хранение информации о компонентах ИТ-инфраструктуры и взаимосвязях между ними;
  • Возможность создания изолированных баз данных с ИТ-активами обособленных подразделений организации;
  • Формирование и поддержание в актуальном состоянии электронных технических паспортов ИТ-активов;
  • Обогащение инвентаризационной информации по ИТ-активу, полученной из разных систем инвентаризации;
  • Автоматизация получения сведений о любом сотруднике компании благодаря интеграции с информационными системами кадровых подразделений;
  • Графическое отображение основных показателей управления ИТ-активами;
  • Возможность категорирования объектов КИИ и взаимодействия с ГосСОПКА.
  • Jet Signal
Номер в реестре Минцифры: Сертификат соответствия ФСТЭК России № 4039
ФСТЭК: нет

Компания «Инфосистемы Джет» является системным интегратором с большим количеством проектов, связанных с обеспечением информационной безопасности. Компания достаточно давно занимается разработкой собственных продуктов, в том числе и для защиты корпоративных клиентов. Система управления инцидентами информационной безопасности Jet Signal – собственное программное решение компании «Инфосистемы Джет», предназначенное для повышения эффективности обработки инцидентов ИБ.

Jet Signal дает возможность службам ИБ работать в едином информационном пространстве: расследовать инциденты, назначать поручения и контролировать их исполнение, использовать накопленный опыт в базе знаний, общаться во встроенном чате и многое другое.

Решение автоматизирует следующие процессы:

  • Импорт информации об инцидентах ИБ из SIEM и других систем;
  • Ведение единой базы знаний угроз, тактик и техник нападающих, а также методов защиты от них;
  • Составление плана мероприятий по реагированию в зависимости от типа инцидента с помощью инструментов автоматизации;
  • Обмен формализованной информацией об инцидентах между подразделениями организации;
  • Планирование, учет и контроль работы дежурных смен операторов SOC/CERT в единой типовой форме;
  • Взаимодействие c помощью быстрых сообщениями между операторами системы;
  • Контроль исполнения поручений в рамках решения задач по устранению причин и последствий инцидентов ИБ, а также по обеспечению защиты объектов и активов ИБ;
  • Управление и контроль жизненного цикла инцидентов ИБ.

Заключение.

SOAR – Security Orchestration, Automation and Response, т.е. управление и автоматизация деятельности корпоративной системы защиты и активное реагирование на обнаруженные атаки. Из определения следует, что продукты класса SOAR занимаются автоматизацией и настройкой средств защиты, сбором информации с них, обнаружением в собранной информации признаков инцидентов и реагированием на них, причем также в автоматическом режиме. Фактически это означает, что продукт SOAR должен состоять из подсистем, каждая из которых решает одну из четырех задач:

  • Сбор и накопление информации от средств защиты в собственное хранилище информации о событиях ИБ, происходящих в инфраструктуре, а также о настройках и изменениях настроек самих средств защиты. Важно, чтобы накопленные сведения можно было использовать для ретроспективного расследования инцидентов при помощи индикаторов компрометации (Indicators of compromise – IoC). Впрочем, это же хранилище используется и для анализа инцидентов, и визуализации результатов. Для этого традиционно используются СУБД, в которые по определенным правилам собираются как системные журналы ИТ-систем, так и сообщения от средств защиты.
  • Автоматизация управления средствами защиты как в штатном режиме функционирования (оркестрация), так и при обнаружении нападения (реагирование). Например, при обнаружении вирусной активности на каком-нибудь устройстве система может с помощью изменения сетевых настроек межсетевых экранов локализовать соответствующий IP-адрес для блокирования распространения вредоносов по сети. Для автоматизации обычно используются сервера приложений, сценарии реагирования которых на обнаруженные угрозы прописаны в специальных документах – плейбуках. Впрочем, появляющиеся в последнее время системы искусственного интеллекта могут автоматизировать реакцию и на обнаруженную аномальную активность без необходимости создания отдельных плейбуков.
  • Обнаружение вредоносных действий как по плейбукам и TI-сервисам, так и по анализу подозрительных действий. В современных SOAR-платформах все чаще появляются различные технологии искусственного интеллекта, которые могут классифицировать атаки по их тактикам и техникам, с возможностью автоматического реагирования на подозрительные действия. Их использование позволяет ускорить обнаружение вредоносной активности и автоматизировать реагирование на нее. Это и позволяет перейти от мониторинга и реагирования на инциденты к их предотвращению в режиме реального времени. Этот компонент обыкновенно базируется на аналитической системе, нейросети или технологии больших данных.
  • Реагирование на инциденты, которое предполагает взаимодействие с системами TI, обнаружение по полученным IoC скомпрометированных компонент информационной системы, локализация дальнейшего проникновения хакеров и восстановление штатной работы информационных систем. Также этот компонент помогает выявить путь проникновения злоумышленника в информационную систему (цепочку атак или kill chain) и тем самым определить слабые места в защите инфраструктуры. Однако в большинстве случаев управление инцидентами находиться под пристальным контролем администраторов и специалистов по информационной безопасности.

В целом, по определению Gartner технология SOAR является продолжением и объединением трех базовых технологий: инструментов оркестрации и автоматизации работы средств информационной безопасности (Security Orchestration and Automation – SOA), продуктов для реагирования на инциденты (Incident Response Platforms – IRP) и сервисов киберразведки (Threat Intelligence – TI).