企業的挑戰
現今企業都很重視資安,也運用很多資安工具強化其防護能力,近期國內仍頻頻傳出駭客入侵事件,其中不乏國際級企業、製造業、基礎建設、政府組織等,導致被勒索軟體攻擊或大量資料外洩之事件。
而事件發生原因並非資安設備建置不足,其中很大一個原因為資安設備所觸發之相關事件太多,導致無法即時分析及反應,現今大部分企業仍依賴SIEM做安全事件的關聯分析,但由於資安設備越建置越多,相對在 SIEM上之所產生之關聯事件告警仍然很多,由於關連事件之告警很多仍需分析師介入進行進階調查,事件太多導致所謂的告警疲乏,或無法有足夠的資安人力進行相關事件之進階分析,且每個新進或資深分析師也都有自己習慣之事件分析調查流程,企業無法依照各種資安事件類型根據標準作業程序進行分析,讓攻擊者有機可趁,持續推進其攻擊鏈之階段而沒被發現,最後導致企業損害發生。
WHY SOAR
SOC 過往一直是扮演關聯分析及持續監控通報的角色,其主要由人員、程序、技術等三大面向組成,事件關聯技術大量仰賴 SIEM 平台之關聯分析能力,而人員及程序面仍需要倚賴大量分析師人力及時間,導致無法即時分析及反應,因此 SOC 在企業整體防護體系中往往被定位為事後分析的被動角色。
世界級疫情加速數位轉型之腳步,企業資安架構從資料中心延伸到雲端,端點從PC、 Notebook 延伸到行動裝置及 IoT 設備,連線方式從企業內部延伸至Internet各個角落 ; 網路攻擊態勢因此也跟著轉型,利用企業數位轉型後所衍伸的資安防護落差進行攻擊,企業 SOC 分析師配置已經越來越難以跟上威脅進化發展的腳步以及應付大量的攻擊事件,因此資安市場上出現了SOAR ( Security Orchestration, Automation and Response ) 來幫助企業優化其快速檢測與響應威脅,具備量化MTTD和MTTR等關鍵指標,利用SOAR改善情資搜集、整合自動化響應動作的流程與操作,以減輕大量日常事務性的分析工作。SOAR提供強大的整合能力,以劇本方式訂定資安事件分析 SOP,可接收不同資安事件之告警,根據告警內容自動查詢不同的資安情資來源,並根據情資查詢結果進行事件分類及優先級排序,即時提供分析師完整情資查詢結果及關聯,分析師可進行確認後可自動連動管控設備進行回應,降低人為錯誤及分析疲乏,將分析師人力精準的使用在高價值的分析作業上,並縮短每一事件響應的時間,達到企業要求之安控水平。
WHY D3
企業選擇次世代資安指揮中心 ( SOAR ) 平台 – D3 Security 的九個最大理由
D3 Security 是次世代資安協作自動化回應( SOAR )的最大獨立供應商。憑藉超過15年的屢獲殊榮的安全軟體開發經驗,解決方案已幫助世界上許多最大型及最著名的公司強化了安全維運和事件回應的速度、品質和效率,串連了整個資安基礎架構,用以實現自動化的資安事件調查及處理流程,從而加速事件回應並阻止危險的資安威脅。簡而言之,D3 從SIEM和其他工具中取得事件,通過威脅情資和其他與該事件來龍去脈相關之資料,並編排最適當的回應劇本。
整個SOAR市場正在快速增長 – Gartner 預測,從2019年到2022年將增長600%。在本文中,我們將重點說明客戶選擇D3而不是其競爭對手的一些原因,並且您將會了解為什麼D3 SOAR 成為真正 “次世代” 的原因。
1. 不需程式碼的劇本
在大多數SOAR平台上,建置、編輯和維護劇本都要求使用者具備進階的Python程式撰寫技能(以及大量的額外時間)。D3 則沒有這個問題,無需程式碼整合或無程式碼劇本使自動程序的排列管理變得簡單而且直觀。即使增加新的整合,也不需要使用者進行任何程式碼撰寫,透過視覺化之介面拖拉及設定,讓SOAR能快速且方便讓使用者應用,並減少了建置和維護劇本有關的隱性成本。
2. MITRE ATT & CK 關聯與儀表板
資安告警都不是獨立發生的,它們通常代表背後存在更大資安事件之攻擊鏈中的一環。沒有正確的事件來龍去脈資訊,可能很難看到這些關聯性。D3 是第一個完全整合針對企業的MITRE ATT & CK Matrix 的SOAR供應商,而MITRE ATT & CK Matrix 是全球最大的網路攻擊者戰術和技術知識庫。D3 將資安告警與ATT&CK 技術相關聯,這有助於了解攻擊者的意圖及可能相關的其他告警,還有接下來可能發生的情況。
ATT&CK 技術(或其他TTP 架構)可以透過儀表板之展現,提供SOC分析師和管理者使用,以快速了解其環境中每種技術的發生情況。這些功能可幫助企業了解他們所面臨的威脅,並領先於其他的產品。
3. 開放平台
由於SOAR平台的有效性,取決於整合橫跨企業整體多層次資安防護產品的能力,因此它們需要能夠與各種企業可能擁有的任何品牌之資安工具良好的合作。而現實面的挑戰在於,許多SOAR供應商已被大型資訊公司收購,從而產生了與客戶最大利益背道而馳的矛盾和動機。作為獨立的供應商,D3能夠維護一個完全開放的平台,而與任何其他供應商一起協同作業都沒有相關利益衝突考量的情況。
4. 跨界融合的安全
網路安全事件通常對整個企業都有影響,但是大多數SOAR平台不支持SOC以外的自動化程序流程。D3 是唯一涵蓋整個網路安全,實體安全和維運技術安全範圍的SOAR平台。例如,在事件調查期間,取得從門禁管控系統中的資訊,用以確認在連接惡意USB磁碟時該使用者是否在該實體主機位置,這使我們的企業客戶可以從單一管控平台達到全面管理橫跨實體及網路的複雜情境。
5. 整合清單越來越多
D3 目前已經與市面上最多人使用的其中300多種資安產品整合在一起,且該列表也一直在增長。這些與SIEM,防火牆,電子郵件保護系統和其他產品的全面整合,使成為企業資安維運中心的真正核心系統,能在企業整體資安基礎架構中進行自動化協調作業。
6. 完整之事件生命週期管理
處理重大資安事件通常需要與眾多團隊跨部門合作,包括人力資源部門、公關部門、管理者、合規和法律團隊等。D3 提供完整的案例生命週期管理系統、協同作業和報表產出功能,可以在跨部門團隊之間共享。最重要的是,處理過程中的相關資訊和功能可透過細微之權限管控功能保護,以確保沒有人對敏感資訊進行不適當或不必要的存取。
7. 數位鑑識之案例管理
D3 是唯一具有企業級數位舉證功能的SOAR平台。系統的事件處理工作流程是完全可客製化的,從輸入表格到證據追蹤及報表產出。可以在端對端進行複雜的調查,並與EnCase之類的數位鑑識平台整合。該系統會記錄相關數位和實體證據的保管人和證據監管鏈 (chain-of-custody),以確保資安和合規的調查。
8. 雲端安全和效能管理之整合
隨著越來越多的資料和系統轉移到雲上,企業需要一個可以確保所有層面安全的系統,無論企業資料或系統託管在何處,D3 與Datadog、AWS、Microsoft Azure 等產品以及更多其他雲端應用產品已經整合,能夠應對那些針對雲應用的威脅、企業內部威脅或混合型威脅游刃有餘。
9. 產業評比之認可
D3 的客戶群中包括許多世界上最頂尖的企業,其中包括財富500強中的100多個更獲得了Gartner和Frost&Sullivan的產業報告認可,他們將2020年全球SOAR客戶價值領導獎授予了 D3,以及獲得SINET《網路防禦雜誌》、ISPG等殊榮。
D3 Security SOAR 透過視覺化之劇本編排,搭配 MITRE ATT & CK Matrix 進行事件關聯及分析,讓企業了解目前整體資安防護態勢,協助企業提升資安聯防協作及自動化應變之能力,標準化資安事件分析流程,節省分析師人力及時間,將分析能量集中於所需之事件上,提高分析之有效性,並可於第一時間自動化回應該事件,以達到化繁為簡之安全監控,協助企業達到次世代資安維運中心之數位轉型目標。
如有相關更進一步的資安需求,歡迎洽詢數位資安,將有專人為您服務。
www.iSecurity.com.tw | (02) 7702-1088 | 數位資安系統股份有限公司