D3 Security Next-Generation SOAR with MITRE ATT&CK

次世代資安指揮中心 SOAR

S ‒ 資安, O ‒ 協作, A ‒ 自動,R ‒ 回應

隨著網路安全攻防日趨激烈,僅僅指望保護和阻擋的策略已無法達到預期的成效,必須更加注重偵測與回應;

企業得在網路已經遭受攻擊的假定前提下建置阻擋、偵測、回應和預防於一身的全新安全防護體系。

GARTNER

將SOAR 定義成為一個包括了三種技術的組合

資安事件回應

包括事件檔案的紀錄、

任務安排和案件綜合調查。

協作&自動化

提供各種產品之間的作業流程自動化,

資源優化和適當分配。

威脅情報整合

整合各種威脅情報的來源

和提供事件關聯。

GARTNER

針對 SOAR 工具的選擇提供以下建議考量

直觀UI&簡易劇本

通過直觀UI和簡易劇本,能輕鬆為組織現有的劇本編寫程式使其自動化。

分析效率協作

通過即時通訊平台來提高分析師在協作過程的溝通效率,同時俱備處理複雜案件的能力。

訂價與需求相符

提供與企業需求相符並可預測的成本,避免根據每個月資料量或執行的劇本數量作為價格結構的基礎,這些指標會導致使用者減少使用頻率。

彈性解決方案

提供解決方案之彈性部屬及託管(在雲上、本地或混合形式),可與企業安全策略、隱私政策或部分企業以雲端為優先考量。

D3 比較其他SOAR 產品, 有什麼獨特優勢?

1. 簡單易用的第三方整合

D3 SOAR 提供內建已整合260+ 的資安和IT系統以及1500+ 的調查和回應行為,大部分所使用的系統可在D3 SOAR 隨時做到資訊收集、情資整合、安全回應的協作和自動化,例如自動向VirusTotal 發起IP Address 的情資查詢或將惡意IP Address 加入防火牆黑名單。

2. 協作能力

協作 (Orchestration) 指將客戶不同的系統或一個系統內部不同產品的功能,通過API 和分析師確認,按照一定的邏輯關係組合在一起,用以完成某個特定的作業流程,例如用戶針對一封收到的可疑郵件進行深入偵測與回應(操作)的過程可以分解為根據拆解出來的寄件者、URL 連結和 IP 等資訊查詢威脅情資系統,將附件送入沙箱系統進行分析,並根據情資系統和沙箱系統返回的資訊進一步決定是否要通知郵件系統刪除該郵件或者附件,是否透過 EDR 取得收件人電腦上的資訊做進一步分析等等,上述可疑郵件分析的過程即為一個將郵件系統、威脅情資系統、沙箱系統、EDR 等等系統根據一定的邏輯協作的案例。

3. 自動化

自動化 (Automation) 為自動化的執行過程,該過程完全依賴各個相關系統的 API 自動化執行,與自動化協作對應的還有人工執行和部分自動化(混合)執行。

4. 無須程式碼的劇本

在大多數SOAR平台上,建置、編輯和維護劇本都要求使用者具備進階的Python程式撰寫技能(以及大量的額外時間)。D3 沒有這個問題,無需程式碼整合或程式碼劇本使自動程序的排列管理變得簡單而且直觀。即使增加新的整合,也不需要使用者進行任何程式碼撰寫,透過視覺化之介面拖拉及設定,讓SOAR能快速且方便讓使用者應用,並減少了建置和維護劇本有關的隱性成本。

5. MITRE ATT&CK 關聯與儀表板

資安告警都不是獨立發生的,它們通常代表背後存在更大資安事件之攻擊鏈中的一環。沒有正確的事件來龍去脈資訊,可能很難看到這些關聯性。D3 是第一個完全整合針對企業的MITRE ATT&CK Matrix 的SOAR 供應商,而MITRE ATT&CK Matrix 是全球最大的網路攻擊者戰術和技術知識庫。D3將告警與ATT&CK 技術相關聯,這有助於了解攻擊者的意圖及可能相關的其他資安告警,還有接下來可能發生的情況。

6. 完整之事件生命週期管理

處理重大資安事件通常需要與眾多團隊跨部門合作,包括人力資源部門、公關部門、管理者、合規和法律團隊等。D3提供完整的案例生命週期管理系統、協同作業和報表產出功能,可以在跨部門團隊之間共享。最重要的是,處理過程中之相關資訊和功能可透過細微之權限管控功能保護,確保沒有人對敏感資訊進行不適當或不必要的存取。

7. 資料分析與報告

內建資料分析和報告功能,可即時分析資安事件和調查工作的效率,報告包含多種關鍵績效指標例如:MTTR ( 平均響應時間)、MTTC (平均調查結束時間),方便管理者監控和掌握SOC 的情況與效率。

8. 成功案例

D3 的客戶群中包括許多世界上最頂尖的企業,其中包括財富500強中的100多個更獲得了Gartner 和Frost&Sullivan 的產業報告認可,他們將2020年全球SOAR 客戶價值領導獎授予了 D3,以及獲得SINET《網路防禦雜誌》、ISPG等殊榮。

D3 Security -- SOAR

D3 Security 的次世代SOAR 平台結合 MITRE ATT&CK ‒ 威脅模型的綜合分析和調查全面自動化、協作與回應,提高SOC 調查效率與擴大服務範圍,並加強對可疑行為的辨識能力與阻擋資安威脅。