Tổng quan các giải pháp, thiết bị chống tấn công chủ đích
1. Mở đầu
Cùng với sự phát triển của tin học, các cuộc tấn công cũng thay đổi với các mục tiêu mới là trục lợi tài chính, cạnh tranh, do thám và nhiều mục tiêu khác. Mục tiêu tấn công cũng có những thay đổi: Nếu trước kia kẻ tấn công cố gắng phá hoại hạ tầng và tấn công mang tính chất đại trà, thì ngày nay chúng chủ yếu thực hiện các cuộc tấn công chủ đích. APT là tấn công có định hướng mục tiêu vào mạng hoặc các máy tính riêng lẻ. Khác với tấn công đại trà tập trung vào các máy tính cá nhân được bảo vệ kém nhất, tấn công chủ đích tìm kiếm cơ hội xâm nhập hệ thống bất kể mức độ bảo vệ.
Tấn công chủ đích nhằm vào một tổ chức, nhóm công ty, các ngành kinh tế hoặc các tổ chức nhà nước nhất định. Tấn công chủ đích có thể do một nhóm tội phạm máy tính hành động theo đặt hàng, các tổ chức khủng bố và các cơ quan đặc vụ quốc gia thực hiện. Tấn công chủ đích vào doanh nghiệp hầu hết thường được thực hiện theo đặt hàng của đối thủ cạnh tranh hoặc cá nhân có khả năng kiếm tiền từ thông tin lấy được. Tấn công vào các tổ chức lớn (đặc biệt là các hệ thống điều khiển quy trình công nghệ, các ngành công nghiệp và các tổ chức nhà nước thường do các cơ quan đặc vụ nước ngoài thực hiện.
Khi thực hiện tấn công chủ đích, những kẻ tấn công sử dụng mọi phương tiện như mã độc được thiết kế cho mục đích cụ thể, tấn công vào các máy chủ web và cơ sở hạ tầng mạng, kỹ nghệ xã hội, nội gián…. APT là loại tấn công phức tạp, trình độ cao và dai dẳng với mục đích chiếm quyền kiểm soát hệ thống trong thời gian lâu nhất có thể. APT thường được thực hiện trên các đối tượng được bảo vệ tốt, khi những phương pháp đơn giản không có hiệu quả hoặc dễ làm lộ kẻ tấn công.
Chống lại các cuộc tấn công chủ đích không có công thức chung, mà phải tiến hành bảo vệ trên tất cả các mức, kể cả đào tạo nhân viên và kiểm tra nhân sự. Về phương tiện, thường sử dụng các phương tiện phần mềm và phần cứng chuyên dùng cho phép giải quyết các vấn đề một cách đồng bộ và kết hợp nhiều lớp bảo vệ. Mục đích chính của các giải pháp này là phát hiện các cuộc tấn công theo các dấu hiệu gián tiếp và bằng cách xác định những sai lệch trong công việc của người sử dụng và cơ sở hạ tầng mạng.
Thị trường về bảo vệ chống lại cuộc tấn công chủ đích trên thế giới
Theo hãng nghiên cứu và tư vấn công nghệ thông tin Gartner (Mỹ), để phát hiện, chống lại các cuộc tấn công chủ đích và các mối đe dọa APT, cần sử dụng đồng thời ít nhất 5 phương pháp và công nghệ bảo vệ chính:
- Ứng dụng công nghệ phân tích lưu lượng mạng để xây dựng mô hình tương tác mạng chuẩn và tìm kiếm những tình huống bất thường. Việc phân tích phải tiến hành trong thời gian thực với việc chặn lưu lượng mạng có dấu hiệu nghi ngờ.
- Thu thập dữ liệu về lưu lượng mạng, nhưng không đối phó ngay mà nhằm tìm kiếm các biểu hiện bất thường và phân tích khối lượng dữ liệu lớn. Phương pháp này chỉ áp dụng để phát hiện tấn công và điều tra các biến cố xảy ra.
- Ứng dụng công nghệ sandboxing (hộp cát) để phân tích hành vi theo thang mục giám sát và ứng dụng được tải xuống bởi người dùng trên trạm làm việc hoặc trong lưu lượng mạng.
- Phân tích hành vi các máy trạm người dùng bằng các phương pháp như thu chặn các chức năng hệ thống khác nhau, tiếp cận các tài nguyên máy tính và tìm kiếm những bất thường trong hoạt động của các ứng dụng người dùng và hệ điều hành. Việc phân tích gồm các cơ chế bảo vệ, phong tỏa các giao dịch đáng ngờ và cô lập các ứng dụng độc hại.
- Thu thập dữ liệu về hoạt động của các ứng dụng và hệ điều hành trên máy trạm làm việc mà không thực hiện hành vi chống đỡ ngay để sau đó làm việc với số lượng dữ liệu lớn.
Theo các cách tiếp cận của Gartner thì có 3 công nghệ chính để phát hiện các vụ tấn công chủ đích. Đó là: phân tích lưu lượng mạng, phân tích hành vi tại các điểm cuối và sử dụng sandbox. Ngoài ra, các tổ chức không được quên các cơ chế bảo vệ bổ sung riêng rẽ. Các tấn công chủ đích phân bố theo thời gian, chúng sử dụng các hướng tấn công và các điểm xâm nhập khác nhau. Do vậy, càng sử dụng nhiều phương tiện bảo vệ khác nhau thì cơ hội phát hiện và ngăn chặn tấn công càng cao.
Các phương pháp thực hiện các cơ chế bảo vệ trong các phương tiện chống tấn công chủ đích là khác nhau, nhưng những nguyên tắc chung do Gartner đề xuất được tuân thủ trong tất cả các sản phẩm. Một số các nhà cung cấp tập trung nghiên cứu sâu một trong các phương pháp, một số lại cố gắng bao quát tất cả các lĩnh vực và cung cấp cho khách hàng các giải pháp toàn diện và đầy đủ, số khác nữa thì thu thập các giải pháp bảo vệ chống các cuộc tấn công chủ đích trên cơ sở các dòng sản phẩm hiện có.
Trên thế giới, có rất nhiều nhà cung cấp tạo ra các sản phẩm bảo vệ thông tin, khuyến cáo các giải pháp bảo vệ chống tấn công chủ đích. Tuy nhiên, một số lượng đáng kể các sản phẩm không đáp ứng yêu cầu mà một sản phẩm tấn công chủ đích phải đáp ứng. Các nhà sản xuất thường sử dụng thủ thuật tiếp thị tạo vị thế cho sản phẩm hiện có theo xu hướng mới. Khi lựa chọn giải pháp trên thị trường thế giới, nên dựa vào các phân tích đáng tin cậy như các báo cáo Các hệ thống phát hiện vi phạm (Breach detection systems) của công ty tư vấn an toàn toàn mạng NSS Labs (Mỹ), The Forrester Wave: Phân tích tự động phần mềm độc hại vào Q2 2016 của Forrester và báo cáo Advanced Persistent Threat (APT) Protection - Market Quadrant 2016 của nhóm The Radicati Group.
2. Các giải pháp chuyên dụng
Nhóm thứ nhất, các nhà cung cấp giới thiệu các sản phẩm với chức năng tập trung vào một hoặc nhiều phương pháp kiểm soát hoặc vào kênh. Thông thường, các nhà cung cấp giải pháp chuyên dụng tập trung sâu vào một vấn đề và cung cấp các sản phẩm chất lượng cao. Vì vậy, khi thiết kế hệ thống bảo vệ chống tấn công chủ đích, sản phẩm của các nhà cung cấp được liệt dưới đây có thể được sử dụng như một bổ sung cho các sản phẩm khác (bao gồm cả các kênh khác xâm nhập khác).
Arbor Spectrum Arbor Spectrum
Arbor Spectrum Arbor Spectrum là giải pháp mới được giới thiệu gần đây. Sự chuyên môn hóa của công ty an ninh mạng Arbor trong bảo vệ thông tin chống tấn công DDoS thể hiện ở cách tiếp cận ngăn chặn các tấn công chủ đích. Giải pháp Spectrum gồm một thiết bị mạng hoạt động trên vành đai và bên trong mạng cục bộ khách hàng. Chức năng chính của Arbor Spectrum là thu thập và phân tích lưu lượng mạng nhằm xác định những điều bất thường và điều tra sự cố trên mạng.
Công việc phân tích được tiến hành ở cấp độ tổng thể nhờ các dịch vụ đám mây Arbor. Do sản phẩm được ứng dụng phổ biến, công ty Arbor đã phân tích được trên 1/3 lưu lượng truy cập Internet, cho phép theo dõi các mối đe dọa mới và các hành vi điển hình của phần mềm độc hại và bằng cách áp dụng những quy tắc trong các mạng được bảo vệ bởi Spectrum, sản phẩm có thể ngăn chặn xâm nhập ở giai đoạn sớm nhất.
Ưu điểm của sản phẩm là tích hợp với chương trình ATLAS Intelligence và sử dụng đám mây toàn cục Arbor - giải pháp này phân tích và phản ứng kịp thời với các mối đe dọa toàn cầu trong thời gian thực. Các thiết bị khác nhau thuộc dòng Arbor Spectrum cho phép giải quyết các bài toán về bảo vệ chống lại tấn công chủ đích vào cơ sở hạ tầng có quy mô bất kỳ. Hệ thống ghi chép chi tiết và báo cáo, cho phép tiến hành phân tích quá khứ một cách sâu sắc.
Check Point SandBlast
Check Point SandBlast là cơ chế sandbox (hộp cát) nhằm kiểm tra các ứng dụng và kịch bản để tìm kiếm các mối đe dọa chưa được biết. Các cơ chế SandBlast được nhúng vào trong cổng mạng và các phương tiện bảo vệ các vị trí làm việc. Trong dòng sản phẩm này có các giải pháp sau đây cho các sản phẩm khác nhau của Checkpoint.
SandBlast Network Security là môđun SandBlast dưới dạng phần mềm lưỡi, có thể được triển khai trên các thiết bị thuộc dòng NGFW. Như một môđun bảo vệ bổ sung, SandBlast nhận thông tin để phân tích từ các phần mềm khác và trên cơ sở các kết quả phân tích có thể đưa ra lệnh ngăn chặn lưu lượng truy cập độc hại.
SandBlast Agent là sản phẩm bảo vệ chống tấn công chủ đích, cung cấp một tập hợp các chức năng: bảo vệ chống tấn công virus và mã độc, đảm bảo an toàn trình duyệt web, ngăn chặn các trang web lừa đảo trực tuyến, bảo vệ dữ liệu nhạy cảm (ví dụ: số thẻ tín dụng), mã hóa và các chức năng khác. SandBlast Agent hỗ trợ các phiên bản cài đặt khác nhau.
SandBlast Cloud là giải pháp bảo vệ đám mây Office 365, cho phép lọc và phân tích các thông báo vào/ra trong sandbox ở cấp độ toàn bộ công ty.
Ưu điểm của Check Point SandBlast là: áp dụng công nghệ phổ biến để bảo vệ các kênh xâm nhập khác nhau; khả năng phân tích lưu lượng mạng, bảo vệ máy chủ mail, bảo vệ an toàn thiết bị cuối; nhúng sản phẩm vào hạ tầng Check Point; khả năng triển khai các giải pháp trên phần cứng hiện tại, tích hợp chức năng quản lý và giám sát vào trong một sản phẩm duy nhất Check Point SmartConsole, giảm chi phí triển khai và quản trị; hỗ trợ phân tích trong sandbox một số lượng lớn các tập tin thực thi thông thường, các kịch bản khác nhau, các tài liệu văn phòng….
Fortinet Advanced Threat Protection
Công ty Fortinet có cách tiếp cận đồng bộ bảo vệ chống các tấn công chủ đích. Giải pháp Fortinet Advanced Threat Protection bao gồm 5 sản phẩm, trong đó có 4 phần cứng và 1 phần mềm. Các thiết bị Fortinet Advanced Threat Protection bao gồm tường lửa thế hệ mới (NGFW), môđun phát hiện tấn công, cổng bảo vệ thư điện tử và các trình duyệt web và phần mềm FortiClient - giải pháp bảo vệ các điểm cuối.
Fortinet Advanced Threat Protection có một giải pháp chuyên dụng bảo vệ tấn công chủ đích, đó là một sandbox riêng có tên FortiSandbox, thực hiện chức năng phân tích các ứng dụng đáng ngờ, các kịch bản, tài liệu văn phòng và các tập tin khác. FortiSandbox theo dõi và thu chặn các tập tin trên mạng được tải về từ các trang Web và được gửi qua thư điện tử, và được chạy tại các vị trí làm việc. Mỗi tập tin chưa biết được chuyển vào FortiSandbox để phân tích và kết quả được xử lý trong dịch vụ đám mây dựa trên đám mây FortiGuard. Dịch vụ này tích lũy dữ liệu từ tất cả các thành phần được bảo vệ, tiến hành phân tích và đưa ra quyết định chặn các hoạt động đáng ngờ.
Ưu điểm của Fortinet Advanced Threat Protection: là một bộ các sản phẩm trong một giải pháp tổng thể cho phép đóng phần lớn các kênh có thể xâm nhập vào mạng; tích hợp các trình duyệt ứng dụng web vào hệ thống bảo vệ chống tấn công chủ đích, cho phép tăng cường mức bảo vệ các cơ sở hạ tầng lớn, trong đó có các máy web công cộng; và mức độ bảo vệ cao dựa trên kết quả kiểm tra độc lập.
Palo Alto Networks WildFire
Công ty Palo Alto Networks WildFire được biết đến với các sản phẩm chuyên nghiệp trong lĩnh vực quản lý và bảo vệ lưu lượng truy cập mạng thế hệ mới như sản phẩm TRAPS. Giải pháp bảo vệ chống tấn công chủ đích của Palo Alto còn có chức năng phân tích và lọc các tập tin chuyển qua mạng theo các ứng dụng khác nhau, chẳng hạn như HTTP(S), SMTP(S), POP3, IMAP, FTP, SMB.
Palo Alto Networks WildFire là một thành phần của Palo Alto Networks. Sản phẩm này phân tích lưu lượng truy cập mạng được chặn thu; phân tích một loạt giao thức mạng, phát hiện các mối đe dọa APT, các tấn công vào cơ sở hạ tầng mạng và các máy tính được bảo vệ; kịp thời ngăn chặn các mối đe dọa bằng cách sử dụng các phương tiện chữ ký đường ngầm ẩn; chống virus, IP, DNS Sinkholing và Threat Intelligence.
Ưu điểm của Palo Alto Networks WildFire: là thiết bị kết hợp phân tích và chặn các mã độc hại được nạp và kiểm soát kênh với các mã độc hại; sở hữu một danh sách lớn các giao thức được hỗ trợ để phân tích và một danh sách các loại tập tin được hỗ trợ xử lý trong sandbox, bao gồm cả giải mã SSL/TLS; tạo chữ ký cho các mã độc hại trong vòng 5 phút; tích hợp các sandbox Wildfire với bảo vệ chống lại các khai thác TRAPS. Việc bảo vệ được tiến hành tại bất kỳ giai đoạn nào của APT: xâm nhập, lan truyền trên mạng, điều khiển từ xa và trích xuất đầu ra.
Proofpoint Targeted Attack Protection
Công ty Proofpoint chuyên sâu về bảo vệ thư điện tử và các máy chủ thư điện tử, do đó giải pháp bảo vệ chống các tấn công chủ đích Proofpoint Targeted Attack coi lỗ hổng xâm nhập vào mạng qua các thông báo bị lây nhiễm là mối đe dọa của tấn công chủ đích. Khác với tất cả các đối thủ cạnh tranh, Proofpoint không đặt mục đích đóng tất cả các điểm xâm nhập mà thay vào đó đề xuất sử dụng sản phẩm Proofpoint Targeted Attack Protection như một phương tiện bảo vệ bổ sung thư điện tử tin cậy. Proofpoint Targeted Attack Protection phân tích tất cả lưu lượng thư tại bất kỳ thiết bị nào, bao gồm cả điện thoại di động, kiểm tra tất cả các tập tin đính kèm trong các đám mây của công ty và cung cấp bảo vệ chống lừa đảo trực tuyến và các liên kết trong email.
Proofpoint Targeted Attack Protection chứa công nghệ sandbox cho các tập tin đính kèm chưa được xác định. Công nghệ này phân tích các tập tin trong đám mây Proofpoint bằng phân tích tĩnh và phân tích động.
Ưu điểm của Proofpoint Targeted Attack Protection: chuyên sâu vào bảo vệ thư điện tử; đảm bảo an toàn khi làm việc với thư điện tử trên bất kỳ thiết bị nào, bao gồm cả điện thoại di động; sử dụng đám mây để phân tích các tập tin thư đính kèm nguy hiểm trong sandbox, cho phép tránh lãng phí tài nguyên phần cứng của khách hàng dành cho giải pháp
3. Các giải pháp đồng bộ
Nhóm thứ hai gồm các nhà cung cấp các giải pháp đồng bộ, bao quát một số lượng kênh xâm nhập tối đa. Trên thị trường các sản phẩm đồng bộ phổ biến 2 cách tiếp cận chính để tạo ra các giải pháp bảo vệ chống tấn công chủ đích: thứ nhất, nhà cung cấp chỉ đơn giản thay đổi vị thế của dòng sản phẩm hiện tại như một giải pháp đồng bộ; thứ hai, nhà cung cấp đưa ra sản phẩm mới, sử dụng công nghệ hiện có hoặc kết hợp các giải pháp hiện tại bằng cách sử dụng các môđun phổ biến để tích hợp các sản phẩm khác nhau và tương quan dữ liệu giữa chúng.
FireEye Threat Intelligence
Tất cả các giải pháp của công ty có thể được thực hiện một cách độc lập hoặc phối hợp để cải thiện mức độ an toàn tổng thể. Sản phẩm của FireEye nhằm mục đích chống phần mềm độc hại, phân tích sâu sắc tương quan giữa các yếu tố khác nhau và các sự kiện để phát hiện các tấn công phức tạp. Hầu như tất cả các thành phần được cung cấp công nghệ sandbox để phân tích sâu hành vi của các ứng dụng chưa biết.
FireEye Threat Intelligence bao gồm các phương tiện bảo vệ chống tấn công chủ đích sau đây:
FireEye Network Threat Prevention Platform: để phân tích lưu lượng mạng, thu thập thông tin về mạng lưới hoạt động và phân tích lưu lượng mạng trong thời gian thực. Ngoài ra nền này tích hợp môđun Intrusion Prevention System, bảo vệ chống các hình thức tấn công mạng cổ điển khác nhau và môđun Network Forensics Platform thu thập dữ liệu cho môđun FireEye FireEye Investigation Analysis.
Các sản phẩm bảo mật thư FireEyel: là môđun kiểm tra các thông báo thư khi có các tập tin độc hại đính kèm, các liên kết đáng ngờ. Ngoài ra, môđun có thể thực hiện các chức năng lọc thư quảng cáo.
FireEye Investigation Analysis: sử dụng thông tin thu thập bởi các thành phần chức năng khác, tiến hành phân tích thông tin trong một khoảng thời gian dài để tìm kiếm các tấn công chủ đích được che giấu và tiến hành các khảo sát khác nhau.
FireEye Endpoint Threat Prevention: môđun bảo vệ các địa điểm làm việc chống mã độc và các mối đe dọa an toàn khác.
FireEye-Mobile Security: môđun bảo vệ các thiết bị cầm tay có thể được tích hợp với các giải pháp thuộc lớp MDM - kiểm soát truy cập và sử dụng các thiết bị di động.
File Content Security: thành phần hạ tầng đảm bảo quét liên tục và phân tích các nguồn tài nguyên dùng chung các mạng nội bộ là đối tượng triển khai các chương trình độc hại, các kịch bản đáng ngờ và các loại tập tin khác.
Threat Analytics Platform: thành phần liên kết sử dụng các quy tắc khác nhau tìm kiếm các mối đe dọa và thực hiện chức năng phân tích sâu các dữ liệu thu thập bởi các môđun FireEye khác và các sản phẩm bên thứ ba, bao gồm tường lửa, chống virus, thông tin hệ điều hành.
Ưu điểm của FireEye Threat Intelligence: là một tập hợp rộng các tính năng bao gồm một phần lớn của các phương pháp phổ biến chống tấn công chủ đích; khả năng sử dụng công nghệ FireEye như một dịch vụ mà không cần mua và triển khai các đảm bảo kỹ thuật phức tạp.
McAfee Advanced Threat Defense/Threat Intelligence
Công ty McAfee không giới thiệu ra thị trường các sản phẩm riêng lẻ bảo vệ chống tấn công chủ đích, nhưng nhà cung cấp khẳng định khả năng sử dụng sản phẩm của mình cho nhiệm vụ này. Trước hết, đó là McAfee Advanced Threat Defense - công cụ chống phần mềm độc hại và các dạng tấn công chủ đích khác.
Phương pháp bảo vệ chống tấn công chủ đích của McAfee được xây dựng bằng cách sử dụng ba mức:
Ở mức thứ nhất, sử dụng các sản phẩm sau bảo vệ các điểm cuối, máy chủ, mạng và các ứng dụng Web: McAfee Server Protection, McAfee Endpoint Protection, McAfree Network Security Platform, McAfee Web Gateway. Các sản phẩm này thu thập thông tin cần thiết cho phân tích và đảm bảo chống tấn công.
Ở mức thứ hai, sử dụng giải pháp McAfee Advanced Threat Defense. Giải pháp này phân tích dữ liệu nhận được từ mức thứ nhất, bao gồm các tập tin độc hại thu chặn được trên mạng, tại các trạm làm việc và trên các máy chủ và trong trường hợp phát hiện ra các mối đe dọa, sẽ chuyển thông tin lên mức ba.
Ở mức thứ ba, sử dụng sản phẩm McAfree Threat Intelligence Exchange Server cung cấp thông tin phản hồi cho mức thứ nhất về các mối đe dọa được phát hiện, giúp cập nhật cơ sở dữ liệu và chính sách bảo mật cho các sản phẩm mức các điểm cuối và mạng.
Ưu điểm của McAfee Advanced Threat Defense/Threat Intelligence: là một tập lớn các phương tiện bảo vệ khác nhau, bao quát hầu hết các kênh tấn công tiềm năng; mạng toàn cục trao đổi thông tin về mối đe dọa và tấn công McAfee Global Threat Intelligence cho phép chống các tấn công chủ đich một cách hiệu quả; là sản phẩm nhiều môđun, cung cấp bảo vệ và phân tích thông tin ở các cấp độ khác nhau. Thông tin được tích lũy bởi môđun Deep Discovery dự kiến sẽ được xử lý bằng giải pháp tích hợp phân tích tổng thể các sự kiện, hoặc với hỗ trợ của hệ thống SIEM.
Trend Micro Deep Discovery
Trend Micro Deep Discovery là sản phẩm nhiều môđun đảm bảo bảo vệ và phân tích thông tin tại các mức khác nhau. Thông tin được tích lũy bởi các môđun Deep Discovery được xử lý nhờ một giải pháp phân tích đồng bộ các biến cố hoặc với sự hỗ trợ của hệ thống SIEM.
Trend Micro Deep Discovery bao gồm các sản phẩm sau:
Deep Discovery Inspector: bộ phân tích mạng, chặn thu lưu lượng mạng và khảo sát hoạt động mạng của mạng doanh nghiệp. Sản phẩm này có khả năng phát hiện tấn công mạng bằng các phương pháp ký và heuristic, truyền các tập tin độc hại qua mạng, cũng như phát hiện trong lưu lượng mạng các lệnh điều khiển được sử dụng để truyền tải các chỉ dẫn cho sâu mạng.
Deep Discovery Email Inspector: môđun cho phép kiểm tra lưu lượng truy cập thư cho phép phát hiện các tập tin đính kèm bị nhiễm độc, email lừa đảo trực tuyến và các đe dọa khác sử dụng thư điện tử. Sản phẩm chứa các sandbox bên trong, đồng thời có thể sử dụng bộ phân tích ngoài Deep Discovery Analyzer.
Deep Discovery Analyzer: Dịch vụ sandbox phân tích các tập tin chưa biết, các tập tin độc hại. Sản phẩm này có thể nhận các tập tin bị nghi ngờ từ sản phẩm Trend Micro, các thành phần khác của Deep Discovery và từ sản phẩm của các nhà sản xuất khác, tiến hành phân tích chúng và làm rõ mức độ nguy hiểm.
Bộ cảm biến Trend Micro Endpoint Sensor: là công cụ điều tra sự cố tại các điểm cuối.
Bộ quản lí Trend Micro Manager: là công cụ làm việc tập trung với các sản phẩm Deep Discovery, thu thập và phân tích nhật ký kiểm toán và báo cáo thông tin bảng và các báo cáo chi tiết.
Ưu điểm của Trend Micro Deep Discovery: tập các môđun chuyên dụng, được thiết kế đặc biệt để bảo vệ chống tấn công chủ đích; dễ dàng tích hợp các môđun với hệ thống SIEM để xây dựng hệ thống đồng bộ đa nhà cung cấp; khả năng chuyển các tập tin từ mọi nguồn và các sản phẩm sang bộ phận phân tích thông tin qua các bộ phát triển phần mềm chuyên dụng SDK, cũng như khả năng tạo ra sandbox ở người dùng bằng cách cài đặt phần mềm ứng dụng; ưng dụng các công nghệ Trend Micro đã được kiểm tra về bảo vệ chống các xâm nhập mạng đã biết và các xâm nhập mới được tiến hành tại các điểm cuối (máy trạm và máy chủ).
Cisco Advanced Malware Protection
Cisco Advanced Malware Protection là sản phẩm chất lượng cao bảo vệ chống phần mềm độc hại và tấn công chủ đích. Cisco chủ trương theo quan điểm bảo vệ đồng bộ, nhiều mức và không khuyến cáo sử dụng một sản phẩm chuyên dụng nào. Tuy nhiên, giải pháp này được đề xuất như là một yếu tố quan trọng của hệ thống bảo vệ chống tấn công chủ đích sử dụng các phần mềm độc hại phức tạp. Giải pháp này có thể được bổ sung bằng các sản phẩm khác, chẳng hạn như Cisco Stealthwatch hoặc Cognitive Threat Analytics để phân tích lưu lượng mạng như thiết bị của Cisco FirePOWER, Cisco ASA,….
Cisco Advanced Malware Protection gồm một tập hợp các thành phần để bảo vệ cơ sở hạ tầng khác nhau: Cisco Advanced Malware Protection for Endpoints để bảo vệ các điểm cuối; Cisco Advanced Malware Protection for Networks để bảo vệ mạng; Cisco Advanced Malware Protection for content để bảo vệ thư điện tử và truy cập web.
Cisco Advanced Malware Protection for Endpoints sở hữu sandbox riêng để thực hiện các chương trình đáng ngờ và phân tích hành vi của chúng. Công việc phát hiện được thực hiện bằng nhiều phương pháp khác nhau như kiểm tra chữ ký, phân tích hành vi các ứng dụng, nhiều loại hình chẩn đoán và máy tự học (machine teaching). Ngoài ra, sản phẩm còn chứa khả năng ghi dữ liệu về hình ảnh, hành vi của người dùng và ứng dụng, điều này cho phép tiến hành phân tích một tập dữ liệu lớn trong thời gian dài.
Cisco Advanced Malware Protection for Endpoints chạy được trên một số lượng lớn các hệ điều hành Windows, macOS, Linux và Android, điều này cho phép xây dựng hệ thống bảo vệ đa nền.
Cisco Advanced Malware Protection for Networks được tích hợp như một môđun bổ sung vào dòng sản phẩm bảo vệ phần cứng Cisco Next – Generation Intrusion Prevention System, cho phép giám sát tất cả lưu lượng truy cập mạng và chặn thu các tập tin được truyền qua mạng và được tải xuống để phân tích. Cisco Advanced Malware Protection cũng có thể được triển khai dựa trên thiết bị Cisco Next - Generation Firewalls, Meraki MX UTM Platform và các bộ định tuyến ISR để bảo vệ các hệ thống tự động điều khiển công nghiệp.
Ưu điểm của Cisco Advanced Malware Protection: là một tập hợp lớn các giải pháp bao quát phần lớn các kênh tấn công, hỗ trợ tất cả các hệ điều hành cơ bản để bảo vệ các điểm cuối và các thiết bị di động; đảm bảo một mức độ bảo vệ cao chống các chương trình độc hại phổ biến cũng như các chương trình độc hại mà việc theo dõi chúng chỉ có thể trên cơ sở phân tích hành vi trong một khoảng thời gian dài trên các vị trí làm việc; các chức năng theo dõi các mối đe dọa, thể hiện dữ liệu theo mức độ hoạt động trên các máy tính được bảo vệ và khả năng tự kiểm soát hệ thống; tích hợp với các sản phẩm an toàn khác của Cisco, các giải pháp chuyên ngành đối với cơ sở hạ tầng phức tạp và các hệ thống điều khiển công nghiệp.
Symantec Advanced Threat Protection
Như hầu hết các doanh nghiệp hàng đầu trong lĩnh vực chống tấn công chủ đích, trong một giải pháp được gọi là Symantec Advanced Threat Protection, công ty Symantec đã giới thiệu một số sản phẩm được thống nhất theo cùng một nền phân tích và quản lý. Hạt nhân chính của nền Symantec Advanced Threat Protection là công nghệ đám mây phân tích các tập tin độc hại sử dụng sandbox.
Giải pháp Symantec Advanced Threat Protection chứa các thành phần của Endpoint, Email và Network. Thành phần bảo vệ các điểm cuối là một đại lý nhỏ có chức năng thu thập dữ liệu về hoạt động trên các máy tính được bảo vệ và chuyển chúng vào các đám mây riêng để phân tích. Môđun này có thể được sử dụng độc lập, hoặc như một phần của Symantec Endpoint Protection - sản phẩm với một loạt các tính năng bảo vệ các điểm cuối. Thành phần bảo vệ thư điện tử là một môđun chuyên dụng, một tiện ích bổ sung cho một sản phẩm khác của công ty là Symantec Email Security - giải pháp dựa trên đám mây để bảo vệ máy chủ thư điện tử. Môđun mạng Symantec Advanced Threat Protection Network là một giải pháp mạng để chặn bắt và phân tích tích lưu lượng mạng ở chế độ thời gian thực và gồm các tính năng phát hiện, ngăn chặn các xâm nhập mạng.
Ưu điểm của Symantec Advanced Threat Protection: là một hệ thống giám sát và hiển thị hình ảnh thông tin về các cuộc tấn công trong thời gian thực với mô tả chi tiết các quá trình xảy ra; sự kết hợp tốt của sản phẩm Symantec Advanced Threat Protection với các sản phẩm khác của công ty Symantec.
Kaspersky Anti Targeted Attack Platform
Đây là sản phẩm của Kaspersky Lab. Nền của sản phẩm là một chương trình chứa một tập các bộ cảm ứng thu thập thông tin về các quá trình xảy ra trong hạ tầng mạng. Phân tích các thông tin thu thập được, mối tương quan giữa các biến cố khác nhau và xác định những tình huống bất thường là cơ sở để phát hiện tấn công chủ đích.
Kaspersky Anti Targeted Attack Platform bao gồm các thành phần sau:
Các bộ cảm biến mạng: là những môđun để thu chặn lưu lượng mạng, phân tích các trang Web, máy chủ thư và máy chủ proxy. Chứa khả năng truy lục thư tập tin đính kèm, các tập tin đã tải xuống, chuyển vào môđun sandbox để phân tích.
Các bộ cảm biến nơi làm việc: là các chương trình nhỏ được cài đặt tại các điểm cuối - các trạm làm việc và các máy chủ, thực hiện thu chặn lưu lượng mạng ở mức các trạm riêng lẻ, đồng thời gửi dữ liệu vào các môđun khác để phân tích.
“Sandbox”: là một môđun riêng biệt để phân tích các chương trình chưa biết - các tập tin thư đính kèm, các tập tin được tải xuống và được chuyển đi; hỗ trợ tích hợp với mạng đám mây của Kaspersky Security Network để xác định danh tiếng của các tập tin hoặc với giải pháp đám mây riêng Kaspersky Security Network.
“Trung tâm phân tích”: là hạt nhân chính của hệ thống, trong đó thiết lập tương quan và tiến hành phân tích thông tin thu thập được, đánh giá và phân loại mối đe dọa theo mức độ nghiêm trọng. Ngoài ra, “trung tâm kiểm soát” đảm bảo kiểm soát toàn bộ hệ thống bảo vệ và cung cấp quyền truy cập của những người quản trị vào giao diện cài đặt và các báo cáo.
Ưu điểm của Kaspersky Anti Targeted Attack Platform: có số lượng môđun lớn, bao quát toàn bộ lưu lượng mạng trong hạ tầng; tốc độ khai thác các bộ cảm ứng nhanh mà không cần thay đổi các cài đặt mạng và tạo các tải bổ sung cho trang bị mạng, các vị trí làm việc; phân loại các biến cố tự động theo mức độ nguy hiểm; phát hiện các tấn công chủ đích trong số các mối đe dọa chung.
Kết luận
Các tấn công chủ đích là một mối đe dọa nghiêm trọng đối với hạ tầng của các tổ chức, doanh nghiệp, các cơ quan nhà nước, ngân hàng, các cơ sở công nghiệp. Số lượng các tấn công chủ đích ngày càng tăng, đòi hỏi phải có các phương tiện bảo vệ mới để duy trì mức an ninh cao cho hệ thống thông tin.
Các phương tiện bảo vệ truyền thống có thể chống các tấn công đại trà hiệu quả, nhưng không có khả năng chống lại tấn công nhằm vào cơ sở hạ tầng cụ thể. Các nhà cung cấp sản phẩm an toàn đã và đang giới thiệu một loạt giải pháp thực hiện chức năng phát hiện và chống tấn công chủ đích. Thị trường thế giới theo truyền thống được đại diện bởi một số lượng lớn các nhà cung cấp với các sản phẩm ở các cấp độ khác nhau (về chi phí và chất lượng).
Bảo vệ chống lại các cuộc tấn công chủ đích có thể được thực hiện bằng các phương pháp khác nhau, dựa trên bảo vệ các kênh tấn công khác nhau với sự hỗ trợ của các công nghệ phát hiện hiện đại. Từ quan điểm này, các nhà sản xuất đã được chia thành 2 nhóm: một nhóm tập trung vào chuyên ngành của riêng mình và đề xuất các sản phẩm mới, chỉ bao gồm một kiểu tấn công. VD: Arbor Networks cung cấp giải pháp bảo vệ lưu lượng mạng, Palo Alto Networks bảo vệ lưu lượng mạng và chống khai thác tại các điểm cuối, Proofpoint bảo vệ thư điện tử. Nhóm khác cung cấp các giải pháp tổng hợp và bao quát một số lượng lớn kênh xâm nhập.
Một số nhà sản xuất như Intel Security (McAfee) và Cisco không phát triển một giải pháp duy nhất để bảo vệ chống tấn công chủ đích mà công bố một tập các khuyến nghị về cách thức kết hợp các sản phẩm hiện có để đạt được mục tiêu mong muốn. Một số nhà phát triển khác đã phát hành các sản phẩm chuyên dụng với các môđun, linh kiện và hệ thống kiểm soát, nhóm này bao gồm Trend Micro, FireEye, Kaspersky Lab và một số công ty khác. Nhưng phần lớn các nhà cung cấp đang đi theo con đường đường hướng tới việc phát hành các sản phẩm chuyên dùng để tăng cường hệ thống bảo vệ, như Symatec, Fortinet, Check Point và Palo Alto Networks.
Trần Đức Lịch
Lược dịch từ AntiMalWare.Ru
