Журнал "Information Security/ Информационная безопасность" #5, 2021

Михаил Савин, КИТ.Р: В упрощенном виде IRP есть в любой организации, например в виде ITSM и Service Desk. А предпосылками внедре- ния специализированной платформы является необходимость автоматизации ручного труда (обогащения, быстрая реакция), появление команды аналити- ков и наличие SLA. Алексей Горелкин, Phishman: IRP/SOAR пора внедрять, как только появляются процессы обработки кибер- инцидентов. Но многое зависит от спе- цифики бизнеса. Одной организации с 50 сотрудниками может быть крайне необходима автоматизированная работа с инцидентами, а другой компании с 5 тыс. сотрудников вполне хватает и ручной обработки. Поэтому, хотя вопрос и кажется простым, ответ зависит от конкретной ситуации. Руслан Рахметов, Security Vision: Минимальным требованием начала внедрения IRP/SOAR является только уровень зрелости ИТ- и ИБ-подразделе- ний. При классическом подходе предпо- сылками для использования IRP/SOAR являются желание автоматизировать рутинные операции в сценарии, нехватка персонала, потребность в скорости реа- гирования на инциденты. В последнее время стал популярным подход Security by Design, когда IRP/SOAR включается уже на этапе проектирования. Дмитрий Поливанов, ДиалогНаука: Наступает момент, когда ИБ-специа- листы начинают захлебываться в ручном разборе потока событий и реагировании, возрастает вероятность ошибок. В этой ситуации на помощь и должны прийти решения IRP/SOAR. Для применения решений данного класса заказчик дол- жен иметь подразделение, отвечающее за развитие, реализацию и поддержание процессов и систем ИБ как на бумаге, так и в инфраструктуре, а также базовый набор средств защиты информации. Желательно также наличие SIEM, кото- рая возьмет на себя обработку и подго- товку событий, направляемых в IRP/SOAR. Александр Носарев, Angara: Основываясь только на экономической эффективности, можно выделить шесть критериев: 1. Определены перечень анализируе- мых источников, событий, механизмы и возможность сбора. 2. Инфраструктура приведена в соот- ветствие с действующими политиками и регламентами. 3. Определены критичные инциденты, и для них созданы ранбуки, исполняемые вручную. 4. Внедрена SIEM. 5. Создано подразделение, осуществ- ляющее мониторинг в режиме 24 х 7. 6. Есть необходимость автоматизации действий или журналирования рассле- дования. Илья Петров, Innostage: IRP-/SOAR-систему рекомендуется внед- рять в крупных компаниях с определенным уровнем зрелости. Для этого должен быть реализован базовый набор средств защи- ты информации, внедрена SIEM-система и укомплектован штат специалистов, кото- рые будут выстраивать процесс работы с инцидентами на базе IRP/SOAR. Всеслав Соленик, R-Vision: Считаю, что внедрение IRP зависит не от зрелости компании, а только от ее потребности в реагировании на инциденты ИБ. Для зрелого или крупного заказчика IRP даст автоматизацию ручного труда, качественный процесс реагирования, интег- рации, метрики и прозрачность. Для начи- нающего или небольшого IRP послужит базой для построения процесса с нуля с использованием преднастроенных лучших практик и инструментов. Для внедрения IRP нужны ресурсы, команда хотя бы из двух-трех специалистов и мотивация. Александр Ковалев, Zecurion: Известны кейсы, когда системы IRP внедрялись на энтузиазме для единствен- ного активного специалиста по ИБ, но больше для упорядочивания своих про- цессов. Действительно полезным инстру- ментом IRP становится уже для двух-трех занимающихся расследованиями специа- листов. С SOAR ситуация интереснее: требуется определенная зрелость компа- нии, заметное количество защищаемых систем и задач для замены их плейбуками с автоматическим реагированием. Обычно к этому приходят с уже большим штатом и ресурсами для поддержки плейбуков. Когда пора внедрять IRP/SOAR? Каковы минимальные требования для начала внедрения? 30 • СПЕЦПРОЕКТ Автоматическое реагирование на инциденты. Круглый стол ростом ИТ- и ИБ-инфраструктуры предприятия естественным образом возникает потребность в мониторинге ее защищенности, управлении инцидентами с помощью спе- циализированных систем класса IRP/SOAR, а также развертывании на их базе полно- ценного SOC. Как понять, что настал момент для системного управления инцидентами? Как сократить расходы на комплексный мониторинг ИБ? Как проактивно защитить всю организацию и снизить вероятности ошибок первого и второго рода? Об этом в рамках круглого стола рассказали эксперты журнала “Информационная безопасность". С Валерий Горбачев, руководитель направления внедрения средств защиты информации, “ДиалогНаука” Алексей Горелкин, генеральный директор Phishman Александр Ковалев, заместитель генерального директора Zecurion Александр Носарев, руководитель отдела систем мониторинга и реагирования ГК Angara Илья Петров, директор департамента продвижения собственных продуктов по безопасности ГК Innostage Дмитрий Поливанов, старший специалист отдела технических решений, “ДиалогНаука” Руслан Рахметов, CEO Security Vision Михаил Савин, директор по продукту Eplat4m Orchestra, ООО “КИТ.Р” Всеслав Соленик, директор Центра экспертизы R-Vision