CMC Cyber Security ra mắt phần mềm Hệ thống điều phối phản ứng bảo đảm An toàn thông tin tự động CMC (CSOAR)

Mới đây, Công ty CMC Cyber Security vừa ra mắt “Hệ thống điều phối phản dứng đảm bảo ATTT tự động CMC Security Orchestration Automation & Response (CSOAR)”. Đây là giải pháp thu thập thông tin về các môi đe dọa an ninh từ nhiều nguồn khác nhau và thực hiện xử lý các sự cố cấp thấp mà không cần con người. Giải pháp này giúp tăng tính hiệu quả trong việc vận hành an ninh của tổ chức với việc:

• Hỗ trợ tích hợp với các sản phẩm an toàn thông tin và nguồn Threat Intelligence.
• Hỗ trợ dạng ảo hóa virtual appliance để triển khai on premise
• Tự động đưa ra cảnh báo sự kiện an ninh an toàn thông tin của hệ thống đồng thời đưa ra phương án xử lý đối với các sự kiện.
• Xây dựng quy trình xử lý phù hợp với hệ thống của khách hàng, giúp khách hàng quản lý sự cố của hệ thống một cách hiệu quả, dễ dàng mở rộng quy mô.
• Tăng tốc độ Triage và giảm thời gian cũng như nguồn lực để thực hiện điều tra các mối đe dọa

Tính năng chung

Quản trị cấu hình:

• Hỗ trợ xác thực tối thiểu qua: LDAP, SAML.
• Hỗ trợ tạo người dùng và nhóm người dùng
• Cung cấp hệ quản trị tập trung thông qua giao diện Web UI với hệ thống Dashboard Portal
• Có khả năng định nghĩa quyền truy cập theo vai trò xử lý sự cố
• Có khả năng chia nhỏ license sử dụng theo tính năng, module hóa bao gồm module xử lý thất thoát dữ liệu (data privacy breach) và các module Privacy để hướng dẫn xử lý thất thoát dữ liệu (ví dụ: GDPR…)
• Hỗ trợ quản trị viên trong việc định nghĩa vai trò truy cập theo tính năng và phân vùng quản lý một cách dễ dàng bao gồm việc giới hạn quyền truy cập tới các chức năng cụ thể, phạm vi xử lý sự cố
• Hỗ trợ tự động cập nhật và cập nhật thông qua gói cài đặt trực tiếp
• Hỗ trợ giao diện quản trị Web UI với hệ thóng Dashboard Portal bảo đảm các chức năng quản lý, phân tích, xuất báo cáo…Portal này đồng thời mang nhiệm vụ cung cấp nguồn tin tức (news feed) phục vụ việc quản lý và theo dõi tiến trình xử lý sự cố, chi tiết tiến độ xử lý theo từng hành động của người quản trị
• Tích hợp với CMC Dashboard Portal hiển thị đa dạng các thành phần phục vụ việc quản trị, theo dõi thông tin và có thể được tùy biến theo mục đích sử dụng
• Cung cấp kho ứng dụng tập trung cho phép tải về các ứng dụng bên thứ 3 cài đặt trực tiếp trên SOAR; hỗ trợ các ứng dụng phổ biến như: McAfee, Cisco, Code42, Carbon black, Redhat Ansible, Crowdstrike…
• Có khả năng duy trì cơ sở dữ liệu và lịch sử xử lý các sự cố, cho phép người quản trị tìm kiếm thông tin đã xử lý theo từng sự cố
• Có khả năng import và export cấu hình

Xử lý phản ứng sự cố

• Có khả năng hướng dẫn xử lý thất thoát dữ liệu theo luật bảo vệ dữ liệu của từng vùng địa lý, quốc gia
• Có khả năng tích hợp 2 chiều với SIEM giúp linh hoạt và hiệu quả trong xử lý SOC
• Cho phép tạo lập sự cố bằng cách nhận email, tự động lọc thông tin trong email
• Có khả năng tự động trích xuất thông tin trong tệp tin đính kèm của email và gắn vào sự cố đang xử lý
• Cung cấp giao diện tạo sự cố thủ công cũng như tạo sự cố thông qua API, Web URL, SIEM, hệ thống ticket và giao diện tạo, tùy chỉnh workflow đồ họa, kéo thả dễ dàng, dựa trên BPMN – Business Process Model Notation với việc tích hợp hệ thống Dashboard Portal
• Cho phép tổ chức giả lập sự cố, kiểm thử kế hoạch phản ứng, ứng phó, cho phép tổ chức phát hiện ra sai sót để điều chỉnh trước khi sự cố thực sự xảy ra
• Cho phép viết scripts trên giao diện để hỗ trợ viết các module tự động hóa và các module
• Có khả năng kiểm thử các scripts và debug phát hiện lỗi trước khi thực thi thực tế
• Có khả năng kết hợp các playbooks bao gồm các bước xử lý, giai đoạn xử lý để hướng dẫn người dùng ứng phó với các tình huống tấn công

Tương quan thông tin phân tích

• Hỗ trợ sẵn tính năng tạo chứng cứ cho sự cố
• Hỗ trợ phân quyền, giao quyền trên từng bước xử lý sự cố
• Hỗ trợ tạo trang Wiki, cho phép tổ chức thêm thông tin quan trọng, hướng dẫn sử dụng, thông tin tham chiếu.
• Hỗ trợ sẵn engine phân tích tương quan để hiển thị mối liên hệ giữa các sự cố có cùng chứng cứ
• Hỗ trợ hiển thị xu hướng sự cố, mối đe dọa
• Hỗ trợ cập nhật định kỳ các thông tin tình báo từ nhiều nguồn cho các chứng cứ sự cố
• Hỗ trợ khả năng kích hoạt hành động cho các hệ thống bên thứ ba, liên quan đến sự cố đang xử lý
• Hỗ trợ khả năng tương quan thông tin tình báo từ nhiều nguồn bao gồm các hãng thứ 3. Các thông tin tình báo này được tự động cập nhật định kỳ
• Hỗ trợ tự động điều hướng việc xử lý sự cố theo các thông tin được đưa vào, các playbooks tự động áp dụng cho các loại hình tấn công khác nhau
• Cung cấp khả năng liên kết các sự cố có dùng bằng chứng, chứng cứ tấn công
• Hỗ trợ sẵn ít nhất 5 nguồn thông tin tình báo để hỗ trợ làm giàu thông tin
• Hỗ trợ sẵn giao diện tương quan các sự cố thông qua IOC
• Cho phép người dùng thực hiện các bước khắc phục sự cố ngay lập tức trên giao diện quản trị

Xuất báo cáo

• Cung cấp mẫu báo cáo sẵn có, cho phép báo cáo thông tin sự cố, cho nhiều đối tượng nhận với mức độ thông tin chi tiết khác nhau