GIẢI PHÁP PHÂN TÍCH BẤT THƯỜNG CỦA MẠNG (NDR) – EXTRAHOP

GIẢI PHÁP PHÂN TÍCH BẤT THƯỜNG CỦA MẠNG – NDR

I. Giới thiệu giải pháp phân tích lưu lượng mạng (NTA) – Network Traffic Analytics

1.1 Tổng quan

1.1.1 Điểm chính

Ngày nay việc áp dụng phân tích hành vi cho lưu lượng mạng đang giúp doanh nghiệp phát hiện lưu lượng đáng ngờ mà các công cụ bảo mật khác bị thiếu như SIEM, Firewall…

1.1.2. Khuyến nghị

Giải pháp Phân tích lưu lượng mạng được các nhà cung cấp đưa ra các khuyến nghị như sau:

Để cải thiện việc phát hiện các lưu lượng mạng đáng ngờ các Hãng về quản lý rủi ro và an ninh bảo mật phải:

• Thực hiện các công cụ phân tích lưu lượng mạng dựa trên hành vi để bổ sung cho các giải pháp phát hiện dựa trên chữ ký (signature)
• Bao gồm các giải pháp NTA như một tính năng trong đánh giá của họ, nếu chúng có sẵn từ SIEM, tường lửa hoặc các sản phẩm an ninh bảo mật khác
• Tập trung vào sự mở rộng (giải pháp có thể phân tích lưu lượng trong mạng không?) hiệu quả việc phát hiện như thế nào (chứng minh bằng quá trình thử nghiệm POC trong môi trường)

1.2 Xác định thị trường

Phân tích lưu lượng mạng (NTA) sử dụng kết hợp học máy, phân tích nâng cao và phát hiện dựa trên quy tắc để phát hiện các hoạt động đáng ngờ trên mạng doanh nghiệp. Các công cụ NTA liên tục phân tích lưu lượng truy cập thô và / hoặc các bản ghi lưu lượng (ví dụ: NetFlow) để xây dựng các mô hình phản ánh hành vi mạng bình thường. Khi các công cụ NTA phát hiện các mẫu lưu lượng bất thường, chúng sẽ đưa ra cảnh báo. Ngoài việc giám sát lưu lượng bắc / nam vượt qua vành đai doanh nghiệp, các giải pháp NTA cũng có thể giám sát thông tin liên lạc đông / tây bằng cách phân tích lưu lượng mạng hoặc các bản ghi lưu lượng (flow) mà nó nhận được từ các cảm biến mạng được đặt ở vị trí chiến lược.

1.2.1 Các tiêu chí bao gồm

Giải pháp Network Traffic Analytics phải:

• Phân tích lưu lượng mạng theo gói thô hoặc luồng lưu lượng (ví dụ: bản ghi NetFlow) trong thời gian thực hoặc gần thời gian thực
• Có khả năng giám sát và phân tích lưu lượng bắc / nam (khi nó vượt qua vành đai mạng), cũng như giao thông đông / tây (khi nó di chuyển ngang qua mạng)
• Có thể mô hình lưu lượng truy cập mạng bình thường và làm nổi bật lưu lượng bất thường
• Cung cấp các kỹ thuật hành vi (phát hiện không dựa trên chữ ký), chẳng hạn như học máy hoặc phân tích nâng cao, phát hiện sự bất thường của mạng
• Có thể nhấn mạnh giai đoạn phát hiện mối đe dọa, thay vì phân tích pháp y – ví dụ: phân tích bắt gói (PCAP) – giai đoạn của một cuộc tấn công

1.2.2 Các tiêu chí loại trừ

Sẽ không được coi là giải pháp Network Traffic Analytics nếu chỉ dựa vào

• Yêu cầu một thành phần tiên quyết – ví dụ: những thành phần yêu cầu thông tin bảo mật và sự kiện (SIEM) hoặc nền tảng tường lửa
• Làm việc chủ yếu trên phân tích nhật ký
• Chủ yếu sử dụng các quy tắc, chữ ký hoặc danh tiếng cho khả năng phát hiện
• Được dựa chủ yếu vào phân tích hoạt động phiên của người dùng – ví dụ: công nghệ phân tích hành vi người dùng và thực thể (UEBA)
• Tập trung chủ yếu vào việc phân tích lưu lượng trong môi trường Internet of Things (IoT) hoặc công nghệ vận hành (OT)

1.3 Định hướng tương lai thị trường NTA

Ngày nay hoặc những năm tới giải pháp NTA cần phát triển và hoàn thiện theo 2 hướng chính:

• Phát hiện (Detection)
• Phản ứng (Response)

Trong danh mục phát hiện, các nhà cung cấp giải pháp NTA sẽ tiếp tục đầu tư và phát triển kỹ thuật học máy (được giám sát và không được giám sát) để có mức độ hiệu quả cao trong việc phát hiện lưu lượng truy cập mạng đáng ngờ.

Những cải tiến trong danh mục phản ứng sẽ được chú ý hơn. Mặc dù việc chính sử dụng các công cụ NTA là để phát hiện, nhưng các tổ chức mong đợi sự trợ giúp nhiều hơn từ các công cụ này khi điều tra và giảm thiểu sự cố. Có hai loại lớn đang được sử dụng để phản ứng:

• Phản ứng tự động
• Phản ứng bằng tay

Một số loại cảnh báo là ứng cử viên tốt cho phản ứng tự động. Ví dụ: nếu công cụ phát hiện có độ tin cậy cao rằng điểm cuối đã bị xâm phạm (chiếm quyền điều khiển), điểm cuối đó có thể được tự động cách ly khỏi mạng. Đối với các sự cố không thể tự động chặn hoặc xử lý, công cụ NTA và / hoặc kết hợp với công cụ của bên thứ ba có thể cung cấp khả năng ứng phó sự cố.

Đối phó với các cuộc tấn công phức tạp và nhắm mục tiêu chủ yếu là về điều tra tấn công và săn lùng mối đe dọa, và các giải pháp NTA nên phát triển khả năng sâu hơn trong các lĩnh vực này. Đã có nhiều giải pháp tạo ra siêu dữ liệu và cung cấp khả năng tìm kiếm nó, để những người ứng phó sự cố có thể phản ứng nhanh hơn với các cuộc tấn công và điều tra các mối đe dọa. Các giải pháp cũng nắm bắt (capture) và lưu trữ (store) một số gói, để người ứng phó sự cố có thể thực hiện các chức năng pháp y cơ bản, chẳng hạn như quay ngược thời gian để hiểu hoạt động của Host trong khoảng thời gian phát hiện. Tương lai nhiều nhà cung cấp giải pháp NTA sẽ cung cấp các tính năng săn lùng mối đe dọa được cải thiện, như nâng cấp giao diện người dùng (UI) và cung cấp nhiều thông tin theo ngữ cảnh hơn cho người ứng phó sự cố.

1.3 Giải pháp NTA của Hãng Extrahop

1.3.1 Giới thiệu

Có trụ sở tại Seattle, Washington, ExtraHop bắt đầu với tư cách là nhà cung cấp giải pháp Network Performance Monitoring and Diagnostics tập trung vào giám sát hoạt động CNTT. Công ty đã mở rộng trọng tâm của mình cho thị trường bảo mật, bằng cách điều chỉnh công nghệ phân tích gói cho thị trường NTA. Sản phẩm, Reveal (x), thực hiện xử lý luồng thời gian thực của các gói mạng thô và áp dụng các thuật toán học máy không giám sát của nó để phát hiện các hành vi bất thường.  Siêu dữ liệu được trích xuất từ ​​các gói được theo dõi, cho phép Reveal (x) xác định hành vi, biểu thị hành vi tấn công bằng cách so sánh với một số mô hình không giám sát độc quyền của mình. Reveal (x) được bán dưới dạng thiết bị phần cứng hoặc thiết bị ảo.

License cho Reveal (x) theo gói Subscription cơ bản, được định giá bằng số lượng tài sản quan trọng đang được theo dõi. Các thiết bị vật lý được bán dưới dạng chi phí một lần riêng biệt, trong khi các thiết bị ảo và đám mây là miễn phí. Các thiết bị phần cứng hỗ trợ chụp tốc độ đường truyền lên tới 100 Gbps và lưu trữ lên tới 2PB. Reveal (x) có thể là đầu vào của các nguồn cấp dữ liệu tình báo mối đe dọa của bên thứ ba, dựa trên định dạng eXpression thông tin đe dọa có cấu trúc tiêu chuẩn (STIX). Giải pháp hỗ trợ SSL / TLS và giải mã lưu lượng truy cập bí mật hoàn hảo (PFS) ở tốc độ đường truyền.

1.3.2 Tính năng giải pháp

Các đội an ninh phải đối mặt với những thách thức liên tục cần phải thu thập và phân tích lượng lớn các loại dữ liệu và phải đưa ra những hành động nhanh chóng dựa trên những gì họ nhìn thấy được. Họ cần tầm nhìn tổng thể và trong suốt trong hệ thống mạng, nhưng chính chúng bị giữ lại bởi dữ liệu im lặng, lưu lượng được mã hóa, công cụ mở rộng và những thách thức của kiến trúc mạng lai, các ứng dụng được đóng gói và đám mây.

Nhiều sản phẩm bảo mật cung cấp một loạt các cảnh báo, chủ yếu là cảnh báo nhầm, đòi hỏi việc điều tra thủ công và chú ý tới những phân tích có giá trị từ các mối đe dọa thực sự nghiêm trọng.

Giảt pháp NTA của Extrahop Reveal(x) có một cách tiếp cận hoàn toàn khác bằng việc tự động phát hiện và phân loại mọi thứ giao tiếp qua mạng và sử dụng phân tích hành vi nâng cao để phát hiện hành vi bất thường và các chống lại các mối đe dọa trên các tài sản quan trọng. Các nhà phân tích nhìn thấy một danh sách các bất thường thực sự, họ có thể khám phá ra nó chỉ bằng một cú nhấp chuột để dữ liệu pháp y tự động tương quan tự, từ những giao dịch xuống đến gói tin. Việc tích hợp có thể tự động khởi động xa hơn về điều tra và phản ứng, và tất cả mọi thứ có thể được tùy chỉnh để phù hợp với cách làm việc và bảo mật của doanh nghiệp theo hệ thống, quy trình và công cụ.

Được cung cấp bởi nguồn dữ liệu đầu vào có dây phong phú nhất hiện có, ExtraHop Reveal (x) tập trung phát hiện sự bất thường vào những tài sản quan trọng cung cấp những hiểu biết nhanh chóng, độ trung thực cao về những gì quan trọng trong môi trường của doanh nghiệp và có thể triển khai kết hợp theo mô hình lai giữa Cloud base và Onpremise

1.3.2.1 Giải pháp cung cấp tầm nhìn không giới hạn cho doanh nghiệp

Reveal (x) cung cấp dữ liệu và ngữ cảnh một cách phong phú hơn bất kỳ giải pháp nào khác bằng cách

• Tự động khám phá và phân loại mọi thiết bị: Đó là các giao tiếp trên mạng lưới (network) bao gồm cả BYOD và IoT hay các thiết bị không được đăng ký hay đăng nhập
• Tập trung dễ dàng vào các tài sản quan trọng: Ví dụ như Cơ sở dữ liệu, máy chủ AAA hoặc máy chủ DNS, hệ thống R&D hoặc các máy trạm thực thi
• Truy cập đến dữ liệu từ Lớp 2 đến Lớp 7 của một giao dịch: Bao gồm bối cảnh và phụ thuộc giữa các tầng trong 1 sự kiện
• Phân tích hơn 40 giao thức: Giải mã SSL, lưu lượng PFS (perfect forward secrecy)

1.3.2.2 Xác định nhiệm vụ

Sử dụng giữa kỹ thuật phân tích theo thời gian thực và học máy trên dữ liệu dây, nguồn thông tin chi tiết phong phú nhất có sẵn trên mạng, Reveal (x) phát hiện hành vi bất thường ảnh hưởng đến các tài sản quan trọng. Công cụ phát hiện ML dựa trên điện toán đám mây của Extrahop đưa ra cảnh báo cho người quản trị khi có hành vi đáng ngờ xảy ra và ánh xạ hoạt động tới các bước trong chuỗi tấn công, bao gồm: Command & Control, Reconnaissance, Lateral Movement, và Data Exfiltration

• Tập trung kiểm tra thêm vào các tài sản quan trọng để nhận cảnh báo và bối cảnh đầy đủ xung quanh bất kỳ hành vi bất thường nào ảnh hưởng đến dữ liệu quý giá nhất của doanh nghiệp.
• Chiến lược điều tra dựa trên bối cảnh hữu ích, bao gồm phát hiện tương quan, điểm rủi ro và chú thích tùy chọn từ nguồn cấp dữ liệu tình báo mối đe dọa
• Kết hợp và đơn giản hóa việc khắc phục và chủ động giải quyết các use case chính

1.3.2.3 Trả lời ngay tức thì

Reveal (x) phân tích luồng công việc đầu tiên đưa người quản trị từ vấn đề tới mối liên quan của gói tin chỉ bằng cú nhấp chuột. Sự đơn giản này thay thế hàng giờ dành cho việc thu thập và phân tích dữ liệu thủ công. Bây giờ bạn có thể truy cập vào thông tin chi tiết theo thời gian thực và xác định nguyên nhân gốc rễ nhanh chóng. Tìm kiếm và lập chỉ mục toàn cầu cung cấp quyền truy cập ngay vào mục bảo mật với những hiểu biết sâu sắc. Và ExtraHop tích hợp với những cơ sở hạ tầng bảo mật hiện có của doanh nghiệp bao gồm

• Ưu tiên phân tích dựa trên các số liệu trực tiếp, hồ sơ giao dịch và các gói để có thể xem lại trong quá trình pháp y (forensic)
• Trực quan hóa và khám phá tất cả các liên lạc với bản đồ hoạt động 3D tương tác trực tiếp
• Phản hồi tự động bằng việc sử dụng Splunk, Phantom, Palo Alto, ServiceNow, Cisco, Slack, Ansible, Moogsoft và những giải pháp khác

1.3.2.4 Hiệu quả năng suất ngay lập tức

Reveal (x) tổ chức các hoạt động tấn công giống như quy trình của mô hình chuỗi tấn công. Tích hợp vốn hiểu biết sẵn có Reveal(x) hỗ trợ hầu hết các tiêu chuẩn bảo mật thông thường và các trường hợp (use case) tuân thủ phổ biến

1.3.2.5 Chủ động trước các trường hợp (use case) về an ninh thông tin

Reveal (x) phân tích luồng công việc đầu tiên đưa người quản trị từ vấn đề tới mối liên quan của gói tin chỉ bằng cú nhấp chuột. Sự đơn giản này thay thế hàng giờ dành cho việc thu thập và phân tích

• Phát hiện và phản hồi trước các vi phạm – Phát hiện tất cả các giai đoạn của vòng đời chuỗi tấn công và xúc tiến pháp y (forensic)
• Phòng thủ trước mã độc tống tiền (ransomware) – Bao gồm và giảm thiểu chủ động các cuộc tấn công, khôi phục dữ liệu
• Kiểm toán – Tìm hoặc xác nhận mối quan tâm chính và các lỗ hổng bảo mật
• Hỗ trợ tăng năng suất cho SOC – Ưu tiên phát hiện, giảm thiểu cảnh báo nhầm
• Phát hiện các mối đe dọa bên trong (Insider Threat Detection) – Phát hiện, chứa, tài liệu hóa hành vi sai trái và những hành động độc hại
• Giảm thiểu bề mặt tấn công – Cải thiện dọn dẹp tối ưu hóa những tài sản và dịch vụ ngừng hoạt động

1.3.2.6 Tích hợp tự động

Reveal (x) tích hợp với mọi thành phần của quy trình bảo mật để doanh nghiệp có thể tối ưu hóa tài nguyên của mình và hành động với sự tự tin cao như:

1.3.3 Kiến trúc kỹ thuật giải pháp Reveal (x) – Extrahop

1.3.3.1 Kỹ thuật phân tích lưu lượng mạng tiên tiến

Giải pháp phân tích bảo mật mạng ExtraHop Reveal (x) quan sát lưu lượng mạng từ bắc sang nam (bên ngoài – bên trong) và từ đông – tây (chỉ trong nội bộ) để cung cấp khả năng hiển thị, phát hiện hành vi đáng ngờ và cải thiện cho việc điều tra. Một số thành phần của phương pháp của Extrahop là duy nhất và được cấp bằng sáng chế, góp phần xử lý tốc độ và dung lượng mà các mô hình phân tích lưu lượng mạng (NTA) khác chưa tiếp cận:

• Thông tin chi tiết có liên quan: Reveal(x) thu thập dữ liệu chi tiết trực tiếp từ doanh nghiệp về hệ thống, dịch vụ và người dùng hiện đang hoạt động trong môi trường của doanh nghiệp. Bằng cách tập trung phân tích và tài nguyên vào các tài sản quan trọng cho doanh nghiệp, Reveal(x) giúp doanh nghiệp tập trung vào các mối đe dọa và các vấn đề có liên quan nhất đến rủi ro, hạ tầng và uy tín của doanh nghiệp
• Tính kịp thời: Reveal (x) cung cấp khả năng hiển thị và phân tích lưu lượng truy cập trong thời gian thực, được lấy trực tiếp từ chính mạng lưới. Lưu lượng mạng được phân tích trong bộ nhớ thông qua xử lý luồng, không được ghi vào đĩa trước. Đây là mô hình “phân tích đầu tiên” cho phép phát hiện và trả lời ngay lập tức, thay vì yêu cầu tương quan dữ liệu hồi tố và truy vấn sau kiểu Hoc.
• Độ chính xác: Reveal (x) sử dụng phát hiện và phân loại tài sản theo cơ chế không Agent (Agentless) với trích xuất tính năng chính xác trực tiếp từ lưu lượng truy cập một cách trơn chu trong hơn 50 giao thức của trung tâm dữ liệu từ Layer 2 đến Layer 7. Cấu trúc nhất quán của các giao thức này cho phép trích xuất tính năng để thống nhất trên tất cả các tài sản sử dụng chúng, vì vậy phân tích và kết luận có độ trung thực tối đa.
• Độ tin cậy: Với việc triển khai thụ động, Out- of – band, Reveal (x) cung cấp việc quan sát một cách khách quan về các kết quả giao dịch trên mạng – bằng chứng về thực nghiệm và sự bất biến về hành vi của tài sản. Vì không có giả định tiên nghiệm nào được đưa ra về những đặc điểm của một tài sản nên có hoặc có mối quan hệ giữa các tài sản với nhau, kết quả của phân tích này là vốn dĩ đã hoàn thành.

1.3.3.2 Quy mô hóa việc trích xuất dữ liệu

Reveal (x) thực hiện việc phân tích thụ động, tránh bất kỳ sự gián đoạn của lưu lượng mạng hoặc gánh nặng của các Agent. Khi nhận được một bản sao của lưu lượng truy cập mạng từ Tap hoặc cổng Mirror, bộ xử lý luồng thực hiện giải mã line-rate (tùy chọn), giải mã đa giao thức, và tái cấu trúc toàn bộ luồng dữ liệu để xây dựng lại mọi cuộc hội thoại diễn ra trong trung tâm dữ liệu và trích xuất siêu dữ liệu có liên quan – được gọi là dữ liệu dây (wire) với tốc độ duy trì 100 Gbps. Cỗ máy xử lý này là công cụ hỗ trợ chính cho việc giải mã ở mọi quy mô, trích xuất tính năng, áp đặt cấu trúc lên trên dữ liệu gói không có cấu trúc theo cường độ cao và cam kết dữ liệu được cho vào để lưu trữ. Khi Reveal (x) hoạt động, nó truyền các bản ghi giao dịch có cấu trúc vào chỉ mục để tìm kiếm văn bản một cách tự do và nó tiếp tục bắt các gói song song với các hoạt động này.

Kiến trúc nền tảng của ExtraHop Reveal (x) được tối ưu hóa để xử lý song song. Điều đó có nghĩa là bộ xử lý luồng thời gian thực phân chia hiệu quả nhiệm vụ xử lý các luồng trên nhiều lõi máy tính (multitask) và nó sẽ mở rộng khi các lõi được thêm vào cho các thế hệ tiếp theo của bộ vi xử lý máy chủ. Kết quả: khách hàng nhận được cái nhìn sâu sắc và có ý nghĩa hơn với một phần chi phí trên mỗi Gbps phân tích so với các nền tảng phân tích thời gian thực khác.

1.3.3.3 Kỹ thuật học máy cho việc phân tích hành vi

ExtraHop Reveal (x) vượt ra xa mô hình thống kê và phát hiện dựa trên quy tắc để thực hiện phân tích hành vi bằng sử dụng kỹ thuật học máy. Kỹ thuật học máy tiên tiến của ExtraHop là một công nghệ có độ an toàn cao và có thể mở rộng, sử dụng các detector mạnh dựa trên việc giảm phạm vi (dimensionality) và phát hiện loại trừ (outlier) để xác định hành vi mới và nghi ngờ theo thời gian thực.

Về cơ bản, những kỹ thuật này giúp Extrahop xây dựng các mô hình học máy hiệu quả hơn. Các nhà phân tích nhìn vào các tính năng (còn được gọi là kích thước) sẵn có trong dữ liệu và đánh giá mức độ phù hợp cũng như tác động của từng tính năng đối với kết quả của mô hình. Các tính năng với tác động lớn nhất được sử dụng trong mô hình giúp cho các quy trình phân tích đạt được hiệu quả nhất.

Kỹ thuật học máy cho phép Reveal (x) phát hiện các hành vi bất thường có ảnh hưởng tới những tài sản quan trọng

Siêu dữ liệu phong phú mà Extrahop trích xuất từ mạng lưới cung cấp hơn 4.600 tính năng để đào tạo cho các mô hình học máy. Kể từ năm 2014, các nhà khoa học dữ liệu và chuyên gia an ninh mạng của Extrahop đã tinh chỉnh các hệ thống để có độ chính xác cao nhất. Ngoài ra, người dùng có thể cung cấp thông tin phản hồi về các phát hiện để liên tục cải thiện độ chính xác. Dữ liệu dây (wire) được tạo bởi nền tảng Reveal (x) cung cấp cấu trúc tuyệt vời cho phân tích nâng cao.

Các thiết bị ExtraHop Reveal (x) gửi dữ liệu phụ (wire sub) giả danh lên đám mây để phát hiện hành vi dị thường. Sự kết hợp giữa các thiết bị mạng với học máy dựa trên đám mây là một lựa chọn thiết kế có chủ ý và khắc phục vấn đề về lực hấp dẫn dữ liệu “data gravity” bằng cách trích xuất các tính năng học máy gần nơi dữ liệu được tạo ra (trên mạng) và sau đó gửi siêu dữ liệu nhẹ đó đến nơi tồn tại tài nguyên máy tính có thể mở rộng (trong đám mây).

Kỹ thuật đám mây của các sản phẩm phân tích bảo mật khác yêu cầu các tổ chức gửi dữ liệu thô lên đám mây để phát hiện sự bất thường, sẽ làm hạn chế quy mô. Ngược lại, kiến ​​trúc Reveal (x) có khả năng mở rộng cao và có thể áp dụng một bộ thuật toán học máy cho nhiều hơn một petabyte dữ liệu mỗi ngày, cho phép một thiết bị có thể phân tích lưu lượng truy cập duy trì 100 Gbps.

Trường hợp mỗi khách hàng sở hữu đám mây chuyên dụng của riêng họ, do đó không có dữ liệu nào được xử lý. Thêm nữa, dữ liệu được giả sử riêng tư tại chỗ trước khi gửi lên đám mây và sau đó được xác định lại ngay khi bất thường được gửi lại cho thiết bị để bảo vệ thông tin nhạy cảm và quyền riêng tư của khách hàng, một bước quan trọng trong việc đáp ứng các quy định về quyền riêng tư dữ liệu toàn cầu như GDPR.

1.3.3.4 Khám phá, phân loại và lập bản đồ một cách năng động

Với bản đồ hoạt động trực tiếp trong Reveal (x) bạn có thể dễ dàng so sánh các khoảng thời gian với việc phát hiện những liên lạc của thiết bị nào là mới

Khi số liệu được chỉ ra, Reveal (x) phân loại các thiết bị được phát hiện mới dựa trên phân tích heuristic thông tin của máy và hành vi. Ví dụ, nếu một máy đáp ứng các yêu cầu cơ sở dữ liệu, thì nó được phân loại đó là máy chủ cơ sở dữ liệu. Việc tự động này mô hình hóa liên tục để xác nhận tính đầy đủ về hiểu biết trong môi trường, việc sử dụng phân tích lưu lượng theo thời gian thực cung cấp báo cáo khách quan và nhất quán về hành vi của tài sản, bất kể khả năng tự báo cáo dữ liệu của tài sản quan trọng

Giữ một bản kiểm kê cập nhật dữ liệu thống kê tài sản có thể khó khăn bằng các phương pháp truyền thống. Reveal (x) có thể truyền dữ liệu về thiết bị được phát hiện mới đến các CMDB và các hệ thống kiểm kê tài sản khác để giữ việc cập nhật được liên tục và cho phép các nhóm SecOps xác định hoạt động trái phép, chẳng hạn như các ứng dụng SaaS của Shadow “Shadow IT”, các máy chủ DNS lừa đảo, khai thác tiền điện tử và các hoạt động của botnet.

Nền tảng (Platform) tự động xây dựng các ngưỡng (baseline) hoạt động cho tất cả các hệ thống, ứng dụng và mạng lưới. Nền tảng (Platform) cũng liên tục ánh xạ mối quan hệ giữa tất cả các máy khách, ứng dụng và cơ sở hạ tầng giao tiếp trên mạng. Bản đồ hoạt động live trực quan hóa thông tin này và cho phép bạn chi tiết vào các thiết bị, các giao dịch riêng lẻ và thậm chí nhắm đúng các gói tin chỉ bằng vài nhấp chuột.

Bạn có thể tạo các cảnh báo dựa trên các hành vi và sự kiện được lập chỉ mục và lưu trữ, ngay tại thời điểm đó hoặc trong quá khứ. Chúng có thể dựa trên các hành vi như hoạt động mạng bất thường, thông báo lỗi, kích thước tải trọng bất thường hoặc chứng chỉ SSL hết hạn

1.3.3.5 Cho phép thực hiện quy trình làm việc theo tự nhiên và nhanh chóng

Theo truyền thống, các nhóm bảo mật đã dựa vào các công nghệ bắt gói tin (packet capture) để có cái nhìn sâu sắc trong hệ thống mạng. Một cách tiếp cận tiêu chuẩn, các gói được ghi lại trực tiếp vào bộ lưu trữ và sau đó được phân tích bằng các công cụ phân tích gói như Wireshark. Khi mà chỉ các nhà phân tích an ninh thông tin dày dặn kinh nghiệm và các kỹ sư mạng được đào tạo để hiểu dữ liệu này thì phân tích gói tích đã trở thành một điểm thắt cổ chai cho việc hoạt động một cách hiệu quả. Tuy nhiên các gói tin vẫn được coi là bằng chứng thực nghiệm và chi tiết nhất cho thấy những gì đã xảy ra

Trong màn hình hiển thị ở trên, Reveal (x) hiển thị 30 gói bao gồm một giao dịch cụ thể. Bình thường, cô lập những gói tin này sẽ liên quan đến kỹ năng điều tra và tốn nhiều thời gian

ExtraHop biến cách tiếp cận gói đầu tiên lên trên đầu. Thay vì chỉ phân tích một đoạn nhỏ của lưu lượng mạng sau khi được ghi vào đĩa, nền tảng của ExtraHop phân tích tất cả lưu lượng khi nó đi qua Mạng và sau đó ghi lại thông tin chi tiết quan trọng như quét cổng (port scan) , lỗi đăng nhập từ xa, phương pháp cơ sở dữ liệu được sử dụng, các tập tin được chuyển và nhiều thông tin hơn nữa – trong một định dạng mọi người có thể hiểu được. Dạng phân tích của dữ liệu chuyển động trái ngược với dữ liệu ở phần còn lại là rất quan trọng, bởi vì nó cho phép quy trình làm việc được tự nhiên và nhanh chóng hơn nhiều cho các nhà phân tích. Trong vòng năm lần nhấp chuột, người dùng có thể xem chi tiết từ bảng điều khiển cấp cao để xem hồ sơ giao dịch và sau đó tải xuống các gói tin mà nó có chứa những giao dịch đó.

Reveal (x) tái tạo và lập chỉ mục tất cả các giao dịch trên mạng trong thời gian thực để làm cho chúng có thể tìm kiếm ngay lập tức và hữu ích cho việc phân tích. Hệ thống mang một gánh nặng cho việc thu thập dữ liệu, phân tích cú pháp, chuẩn hóa, tương quan và nỗ lực truy xuất cho mọi thiết bị giao tiếp trên mạng, tự động hóa hiệu quả vượt qua nhiều trở ngại để cho hoạt động của SOC được hiệu quả.

Việc triển khai Reveal (x) sẽ bao gồm một số các thiết bị vật lý, ảo hoặc dựa trên đám mây được kết nối với hệ thống học máy đám mây (cloud base). Mỗi thiết bị thực hiện một chức năng khác nhau để lập chỉ mục và lưu trữ dữ liệu dây theo ba định dạng bổ sung:

• Tương quan, siêu dữ liệu nhiều lớp được tạo bởi thiết bị ExtraHop Discover (EDA), có tính năng phát trực tuyến kho dữ liệu được tối ưu hóa cho đo từ xa theo trình tự thời gian. Hơn 4.600 số liệu siêu dữ liệu được sử dụng để thực hiện phân tích thống kê và cũng cung cấp các tính năng cho các mô hình học máy dựa trên đám mây. Ngoài những số liệu có sẵn này, bạn có thể xác định số liệu tùy chỉnh được thu thập bởi công cụ phân tích cú pháp. Số liệu được lập chỉ mục và có sẵn cho phân tích trong thời gian thực, cung cấp cho các nhà phân tích khả năng hiển thị ngay tức thì vào tất cả các thông tin liên lạc trên toàn bộ môi trường thông qua bảng điều khiển và cảnh báo. Thiết bị được định cấu hình lưu trữ tối thiểu 30 ngày để xem lại siêu dữ liệu, và lưu trữ mạng bên ngoài có thể được sử dụng để xem xét thêm thời gian.
• Các bản ghi giao dịch, tin nhắn và lưu lượng được tạo ra trong thiết bị ExtraHop Explore (EXA). Được xây dựng trên khả năng mở rộng Công nghệ tìm kiếm Elatics, Thiết bị Explore lập chỉ mục siêu dữ liệu trong kho dữ liệu noSQLcho phép bạn sử dụng miễn phí tìm kiếm văn bản cũng như một ngôn ngữ truy vấn trực quan để tiến hành phân tích đa chiều dữ liệu dây của bạn. Tìm kiếm bản ghi và khả năng truy vấn là tương tự như những gì được cung cấp bởi các công cụ lập chỉ mục và phân tích nhật ký (log), ngoại trừ nó được áp dụng cho các giao dịch được quan sát trên mạng thay vì các bản ghi được ghi lại bởi các hệ thống.
• Bằng chứng pháp y dưới dạng các gói được thu thập bởi thiết bị ExtraHop Trace (ETA). Thiết kế được xây dựng mục đích để thực hiện thu thập gói tin liên tục, tương quan số liệu dữ liệu dây với các gói tin nằm bên dưới theo thời gian thực. Khi bạn muốn bằng chứng pháp y kỹ thuật số để phân tích nguyên nhân gốc rễ hoặc thực hiện chuỗi yêu cầu về giám hộ hợp pháp, bạn có thể nhấp qua để chỉ chọn những gói tin đó. Bạn cũng có thể soạn một truy vấn gói mới, lọc xuống chỉ những kilobyte của gói tin thu thập mà bạn quan tâm.

1.3.3.6 Các chế độ phân tích Discovery, Standard và Advanced

Reveal (x) khám phá và phân loại mọi thiết bị được quan sát trên mạng, cung cấp độ chính xác và khả năng hiển thị không ngừng bằng cách tự động xác định các thiết bị mới khi chúng bắt đầu sử dụng mạng. Phân tích dựa trên chế độ Discovery được áp dụng để quan sát thiết bị và capture các bản ghi, gói tin và thông tin về giao thức hoạt động.

Ngoài ra, hai lớp phân tích có thể được thực hiện dựa trên giá trị tài sản quan trọng của các thiết bị sử dụng trên mạng. Sự khác biệt giữa hai cấp độ phân tích bổ sung là sự chi tiết trong dữ liệu được phân tích, hoặc từ lớp 2 (Layer 2) đến lớp 7 (Leyer 7) hoặc từ lớp 2 (Layer 2) đến lớp 3 (Layer 3)

• Phân tích Nâng cao (Advanced Analysis) tính toán và trình bày các biểu đồ với các số liệu giao thức từ Lớp 2 đến Lớp 7, các bản ghi, các gói tin, các bản đồ hoạt động và thông tin về giao thức hoạt động. Phân tích nâng cao thường được áp dụng cho cơ sở dữ liệu, các máy tính xách tay nhạy cảm, các Máy chủ DNS, các Máy chủ Active Directory và các thiết bị khác có chứa hoặc có quyền truy cập vào dữ liệu có giá trị cao.
• Phân tích Tiêu chuẩn (Standard Analysis) tạo ra các biểu đồ với các số liệu từ Lớp 2 đến Lớp 3, các bản ghi, các gói tin, các bản đồ hoạt động và thông tin về giao thức hoạt động. Phân tích tiêu chuẩn hữu ích cho các thiết bị mà bạn muốn lập bản đồ liên lạc, chẳng hạn như các máy trạm người dùng.
• Chế độ Khám phá (Discovery Mode) thu thập các bản ghi, gói tin và thông tin về giao thức hoạt động cho tất cả các thiết bị được quan sát trên mạng. Chế độ Khám phá sẽ cho phép bạn xem tất cả các thiết bị trên mạng và đi sâu vào chi tiết liên lạc giữ các gói tin.

Giải pháp Reveal (x) sẽ được xây dựng dựa trên tổng năng lực Phân tích Nâng cao. Doanh nghiệp có thể nhắm mục tiêu theo chương trình cụ thể nhóm thiết bị hoặc nhóm hoạt động để Phân tích theo tiêu chuẩn khi cần, dựa trên tầm quan trọng của chúng đối với hệ thống mạng của doanh nghiệp. Ví dụ, bạn có thể xếp hạng các nhóm trong danh sách được sắp xếp để cho Reveal (x) biết thiết bị nào quan trọng nhất với Doanh nghiệp. Để duy trì độ chính xác của các phân tích, bạn có thể xác định danh sách theo dõi và hệ thống sẽ tự động và năng động ưu tiên cho những tài sản riêng biệt mới được được phát hiện ra mà nó được phân loại là loại tài sản để Phân tích nâng cao (Advanced Analysis).

Giá trị tài sản thay đổi tùy theo doanh nghiệp, theo rủi ro tấn công và tiện ích trong các kỹ thuật tấn công. Hầu hết các công ty sẽ có một loạt các nhóm thiết bị và các nhóm hoạt động được chỉ định cho việc Phân tích nâng cao (Advanced Analysis).

1.3.3.7 Nâng cấp vai trò của SOC với Reveal (x)

Từ việc xử lý theo thời gian thực và sắp xếp lại toàn bộ luồng dữ liệu cho đến quy trình điều tra được tối ưu hóa và tự động phản ứng sự cố, Reveal (x) cung cấp công nghệ mạnh mẽ cho hoạt động bảo mật đòi hỏi một cách khắt khe. Thiết kế của Extrahop phản ánh quy mô, khả năng quản lý, hiệu quả và mềm dẻo để giúp doanh nghiệp hiện đại hóa và nâng cao năng lực cho SOC

Chi tiết xin liên hệ:

Công ty cổ phần giải pháp công nghệ Sonic

Tầng 16, Tòa nhà Licogi 13, 164 Khuất Duy Tiến, P. Nhân Chính, Q. Thanh Xuân, TP. Hà Nội

Tel: 02466.564.587

Email: sales@sonic.com.vn