GIẢI PHÁP PHÒNG THỦ CHỦ ĐỘNG DECEPTION ACALVIO SHADOWPLEX
1.Tổng quan về giải pháp phòng thủ chủ động
Ngày nay các nguy cơ về mất an toàn bảo mật ngày càng gia tăng, các mối đe dọa phát triển tinh vi và được thiết kế để vượt qua các giải pháp bảo mật thông thường. Chúng hoạt động lén lút, dai dẳng và rất khó bị phát hiện.
Các công cụ bảo mật hiện tại đã có hiệu quả trong việc đánh dấu sự bất thường nhưng không đáng kể trong việc xác định tác động và khả năng rủi ro của chúng. Những công cụ này dẫn đến việc tạo ra nhiều cảnh báo, hầu hết trong số đó cần được các đội an ninh điều tra mặc dù nhiều cảnh báo trong số đó rất lãng phí thời gian. Các nguồn lực được sử dụng một cách lãng phí để đánh giá các mối đe dọa giả này, trong khi các mối đe dọa thực sự và hiện tại có thể bị bỏ sót. Bằng cách thay đổi tính bất đối xứng của một cuộc tấn công, công nghệ đánh lừa giúp các nhóm bảo mật tập trung vào các mối đe dọa thực sự đối với mạng. Để giảm thiểu rủi ro này một cách hiệu quả hơn, đội vận hành ATTT phải áp dụng cơ chế Phòng thủ Chủ động và vượt ra khỏi cách tiếp cận bị động truyền thống.
Công nghệ lừa đảo là một giải pháp bảo mật tiên tiến để phát hiện và ngăn chặn các cuộc tấn công có chủ đích. Nó dẫn đến một vị trí an ninh chủ động hơn để đánh lừa những kẻ tấn công, phát hiện chúng và đánh bại chúng, do đó, cho phép các doanh nghiệp trở lại hoạt động bình thường. Công nghệ này hoạt động bằng cách tạo ra các bẫy hoặc mồi nhử lừa đảo sao chép các tài sản công nghệ hợp pháp trên toàn bộ cơ sở hạ tầng. Sau khi kích hoạt bẫy, các thông báo đã được gửi đến một máy chủ lừa dối tập trung ghi lại mồi nhử bị ảnh hưởng và các vectơ tấn công đã được tội phạm mạng sử dụng.
Công nghệ lừa đảo cung cấp cho các tổ chức, doanh nghiệp nền tảng cho một biện pháp phòng thủ tích cực, cung cấp khả năng phát hiện sớm và chính xác các mối đe dọa trong mạng và khả năng phản ứng với chúng một cách nhanh chóng và dứt khoát.
Phòng thủ Chủ động kết hợp một số chiến thuật tự động tinh chỉnh các hệ thống phòng thủ dựa trên ngữ cảnh tình huống và phản ứng với hoạt động thực tế của tác nhân đe dọa. Những chiến thuật này đã được mô tả trong các tiêu chuẩn ngành như MITRE Shield và NIST CyberSecurity Framework (CSF).
2. Tổng quan về hãng Acalvio
Giới thiệu về hãng Acalvio
Acalvio được thành lập vào năm 2015 tại Santa Clara, California, Hoa Kỳ, đây được biết là thung lũng Silicon của ngành công nghệ. Acalvo là một trong những hãng công nghệ hàng đầu về các giải pháp phòng chống mối đe dọa nâng cao (Advanced Threat Defence – ATP).
Acalvio là một công ty vốn hóa tốt, được đầu tư bởi một số hãng hàng đầu trong ngành công nghệ như:
- Các nhà đầu tư hàng đầu ở thung lũng Silicon – Accel, Ignition
- Các hãng hàng đầu về công nghệ như Google, Splunk, Honeywell, Sumitomo
Ban cố vấn của Acalvio là những cố vấn nổi tiếng trong Không gian An ninh mạng từ ngành Công nghiệp tới học viện.
Cố vấn trong ngành | ||
Tiến sĩ Taher El Gamal | Dave Merkel | Tiến sĩ Gerhard Eschelbeck |
CTO bảo mật, Salesforce
Nhà phát minh, SSL Người sáng lập, Bảo mật Nhà khoa học trưởng, Netscape |
cựu CTO, Mandiant
Đồng sáng lập, Giám đốc điều hành, Expel.io |
VP – Bảo mật, Google
Công nghệ, Sophos Giám đốc công nghệ, Webroot |
Cố vấn học tập | ||
GS Dawn Song | Giáo sư Eugene Spafford | Giáo sư Thorsten Holz |
Giáo sư – UC Berkeley
Thành viên MacArthur Người sáng lập, Ensighta |
Giáo sư – Đại học Purdue
Đồng phát minh – TripWire |
Giáo sư, An ninh, Đại học Ruhr, Bochum
Cơ quan thế giới về an ninh, lừa dối |
Tổng quan về giải pháp Deception ShadowPlex
Giải pháp Deception ShadowPlex của Acalvio là một giải pháp sử dụng công nghệ “lừa dối”, cung cấp khả năng tự động phát hiện sớm các mối đe dọa nâng cao trong tổ chức, doanh nghiệp với độ chính xác và tốc độ cao. ShadowPlex được xây dựng trên công nghệ Deception 2.0 đã được cấp bằng sáng chế của Acalvio.
Công nghệ “Lừa dối tự chủ – Autonomous Deception” của ShadowPlex được xây dựng dựa trên hơn 30 bằng sáng chế trong các lĩnh vực về lừa dối chủ động, SDN (Software Defined Network) và Trí tuệ nhân tạo AI.
Acalvio có một danh mục sở hữu trí tuệ, bằng sáng chế lớn (35 bằng sáng chế, 25 bằng đã được cấp) về sự đổi mới làm cơ sở cho sản phẩm đã được từng đoạt giải thưởng, ShadowPlex. Các bằng sáng chế và đổi mới trong các lĩnh vực:
- Sử dụng công nghệ Trí tuệ nhân tạo AI trong việc xây dựng chiến lược “lừa dối”.
- Sử dụng công nghệ SDN (Software Define Network) để tạo một mạng riêng, cô lập trong giải pháp.
- Sử dụng đường hầm mạng và công nghệ phép chiếu mạng để tạo một hệ thống mồi nhử thực và có khả năng mở rộng.
- Sử dụng công nghệ Trí tuệ nhân tạo AI để khắc phục sự cố một cách hiệu quả.
Dưới đây là danh sách một số bằng chế của hãng Acalvio:
Acalvio cũng đã nhận được một số giải thưởng danh giá nhất trong ngành như:
Giải pháp ShadowPlex đã được triển khai trong nhiều khách hàng nổi tiếng trong các ngành công việc với nhiều quy mô và kiến trúc triển khai khác nhau. Điều này minh chứng cho kiến trúc linh hoạt và khả năng mở rộng của giải pháp ShadowPlex. Dưới đây là một số khách hàng tiêu biểu:
3. Chi tiết về giải pháp Deception ShadowPlex
Giải pháp ShadowPlex
Giải pháp “lừa dối” bản chất là một hệ thống cho phép người quản trị có thể nghiên cứu, phân tích các hoạt động của kẻ tấn công, giúp phát hiện sớm để ngăn chặn các tấn công mạng từ cả trong và ngoài hệ thống một cách hiệu quả.
Công nghệ “lừa dối” đã được hình thành và phát triển qua nhiều giai đoạn khác nhau:
ShadowPlex là một giải pháp về về công nghệ “lừa dối” có sự tiến bộ và đổi mới quan trọng so với các giải pháp tiền nhiệm. Giải pháp dựa trên những đổi mới kiến trúc được cấp bằng sáng chế trong các lĩnh vực Lừa dối chủ động, Mạng do phần mềm xác định (SDN) và Học máy – Machine Learning / Trí tuệ nhân tạo – AI. ShadowPlex cung cấp một công cụ hiệu quả cao để phát hiện và ngăn chặn mối đe dọa khả thi hơn nhiều về mặt hoạt động so với các giải pháp bảo mật truyền thống.
Các nguyên lý chính của một giải pháp lừa dối hiệu quả
Để đánh giá tính hiệu quả và khả thi thì một giải pháp “lừa dối” cần đáp ứng được tối thiểu 5 yêu cầu cốt lõi như sau:
[1] | Khả năng phát hiện | Một giải pháp “lừa dối” cần phải có khả năng phát hiện, phân biệt được các Tin tặc nghiệp dư và Đối thủ nâng cao. Điều này đòi hỏi rằng giải pháp Deception phải có khả năng mở rộng cực kỳ cao và có thể cung cấp mật độ mồi nhử rất tốt |
[2] | Không thể phát hiện | Các mồi nhử phải hòa trộn tốt vào môi trường mục tiêu mà kẻ tấn công không phát hiện được ra chúng |
[3] | Khả năng quản lý | Khả năng quản lý dễ dàng. Quá trình cung cấp mồi nhử, quản lý, giám sát, sửa đổi hệ thống một cách dễ dàng |
[4] | Khả năng tương tác | Một giải pháp lừa dối cần có khả năng tích hợp, hoạt động liên tục với các giải pháp bảo mật khác của hệ thống sinh thái an ninh:
§ Phòng thủ toàn diện (Tường lửa, EDR, NAC) § SIEM, UBA § SOAR (Điều phối và ứng phó bảo mật) § Giải pháp dò quét lỗ hổng bảo mật § Công nghệ CMDB § Nguồn cấp dữ liệu về mối đe dọa § V.v. Do đó, một giải pháp Lừa dối cần phải có các API cho các thành phần chính để giải pháp Lừa dối có thể tích hợp và được điều phối từ các hệ thống khác. Ngược lại, giải pháp sẽ có thể sử dụng thông tin từ các hệ thống khác thông qua API |
[5] | Hiệu quả | Giải pháp Lừa dối cần tiết kiệm được chi phí đầu tư và vận hành về Phần mềm, Phần cứng và Hoạt động và cần mang lại ROI tích cực. Do đó, giải pháp cần mang lại giá trị cạnh tranh về các chỉ số chính ví dụ: “chi đầu tư / Mồi nhử” |
ShadowPlex là một giải pháp “Lừa dối” được thiết kế từ đầu để đáp ứng được các yêu cầu, nguyên lý như trên.
Kiến trúc của giải pháp ShadowPlex
Kiến trúc ShadowPlex bao gồm 02 thành phần chính: máy chủ Deception Farm (ADC – Acalvio Deception Center) và cảm biến (Projection Sensor). Các Cảm biến được đặt trong mạng doanh nghiệp và được kết nối với các mạng con nơi “sự lừa dối” cần được triển khai. Các cảm biến có sẵn dưới dạng thiết bị ảo hoặc thiết bị vật lý nhỏ.
Mô hình kiến trúc của ShadowPlex
Máy chủ Deception Farm (ADC – Acalvio Deception Center):
- Đây là bộ não, thành phần quản trị tập trung của giải pháp
- Hỗ trợ triển khai dạng on-prem (phần cứng chuyên dụng) và dạng on-cloud
- Bao gồm các AI engine và Threat Analysis Engine
- Quản lý và triển khai các mồi nhử dựa trên môi trường và các khuyến cáo tốt nhất
- Các mồi nhử được triển khai và hoạt động trong các máy ảo vùng trung tâm ADC, được cách ly hoàn toàn với mạng thực
- Cho phép quản trị, cấu hình, triển khai, nâng cấp dễ dàng giải pháp
Cảm biến (Projection Sensor):
- Thành phần được triển khai tại phân vùng mạng (VLAN), cho phép chiếu mồi nhử lên tất cả các phân đoạn mạng (ví dụ: VLAN) mà chúng có quyền truy cập bao gồm cả việc khám phá các thiết bị / máy chủ trong các phân đoạn mạng đó cũng như triển khai nhiều loại mồi nhử đồng bộ với môi trường cụ thể và các thiết bị của nó
- Cảm biến có thể là thiết bị vật lý hoặc thiết bị ảo chạy trên các nền tảng ảo hóa (Vmware, KVM, Hyper-V và Virtualbox)
- Chỉ các dữ liệu liên quan tới deception mới được di chuyển từ cảm biến tới máy chủ ADC.
- Hỗ trợ các chế độ triển khai kết nối:
- Cổng access: cảm biến được kết nối vào một dải mạng mà chúng được kết nối
- Cổng trunk: cảm biến được kết nối vào tất cả các dải mạng thông qua cổng trunk
ShadowPlex hỗ trợ cả việc triển khai mồi nhử trên các nền tảng đa đám mây – cloud. Cảm biến sẽ được triển khai trên phân vùng mạng cloud, từ các máy chủ xử lý đến hệ thống lưu trữ, cơ sở dữ liệu cũng như môi trường Kubernetes và các môi trường container khác.
Giải pháp ShadowPlex được thiết kế, xây dựng với kiến trúc đa lớp theo tiêu chuẩn với sự phân tách rõ ràng giữa các lớp web, dữ liệu và ứng dụng. ShadowPlex hỗ trợ triển khai mồi nhử trên nhiều hệ điều hành khác nhau như Windows, Solaris, AIX, RHEL và Mac. Giải pháp cũng cho phép sử dụng các hệ điều hành đã được tùy biến theo môi trường của khách hàng để làm mồi nhử.
ShadowPlex là giải pháp có nền tảng triển khai, quản lý và giám sát mồi nhử tiên tiến nhất với các khả năng như bên dưới.
BẪY | MỒI NHỬ | BÁO ĐỘNG | |
• Servers
• Workstations • Applications • Database Servers • Printers • IoT/OT • Network Services • Mail Box • AD Forest |
• Registry entries
• Files and Folders • Memory Credentials • Browser History • Mapped Drive • Credential Store
|
• Files and Folders
• Beaconing Docs • Database Rows • DNS records • Processes • Directory browsing • Tainted Tools • Fake AV • Listeners |
|
MỒI GIẢ | |||
• Vulnerabilities
• Mis-configurations • Default/Weak credentials |
• Weak Permission
• Registration in Catalogs like AD • Entity names |
||
- Hỗ trợ hơn 40 loại mồi nhử được tạo sẵn:
- Máy trạm, máy chủ, máy chủ cơ sở dữ liệu, máy in, thiết bị lưu trữ, máy ảnh, máy chủ web…
- Hỗ trợ nhiều phiên bản hệ điều hành, bao gồm Windows, Linux và macOS.
- Hỗ trợ nhiều máy chủ Cơ sở dữ liệu và HTTP như SQL Server, Oracle, MySQL, PostgreSQL, MongoDB, v.v.
- Hỗ trợ khả năng tải lên, tùy chỉnh và triển khai VM Image:
- Hỗ trợ với bất kỳ loại hệ điều hành nào bao gồm Windows, Linux và/ hoặc bất kỳ ứng dụng nào.
- Hỗ trợ nhiều định dạng đĩa và lưu trữ, ví dụ như VMDK, QCOW2.
- Mồi nhử với độ trung thực cao:
- Các mồi nhử được chèn vào trong các hệ thống thực bao gồm ngăn xếp TCP/IP, Hệ điều hành, Máy chủ ứng dụng… bằng công nghệ độc quyền Reflection Technology của Acalvio.
- Mồi nhử có thể được đăng ký trong danh mục như AD.
- Công nghệ Deception Farm và Reflection đảm bảo hệ thống mồi nhử có tính tương tác cao hoàn toàn giống như hệ thống thực:
- Cùng một địa chỉ MAC, địa chỉ IP, tên máy chủ, các dịch vụ, biểu ngữ…
- Tất cả các ứng dụng trên hệ thống thực đều được phản chiếu trên hệ thống mồi nhử.
- Công nghệ Deception Farm đảm bảo mồi nhử với khả năng tương tác cao, xuất hiện độc đáo, được cá nhân hóa và không chia sẻ/ ghép kênh.
- Khả năng mở rộng trên toàn doanh nghiệp:
- Công nghệ Fluid Deception và Reflection đảm bảo bảo tồn tài nguyên.
- Kiến trúc Deception Farm cho phép chia sẻ tài nguyên giữa các máy ảo, cho phép tiết kiệm chi phí cho hệ điều hành OS và ứng dụng.
- Chi phí quản lý CNTT thấp.
- Hỗ trợ các mức độ tương tác khác nhau của mồi nhử:
- Nhiều lựa chọn bao gồm các mức độ tương tác thấp, trung bình và cao.
- Một máy chủ mồi nhử có thể hoạt động với kết hợp nhiều mức độ tương tác thấp, trung bình và cao.
- Quản trị viên có thể kiểm soát mức độ tương tác cao nhất cho một mồi nhử cố định thông qua Deception Playbook
- Tổng chi phí sở hữu (TCO) thấp:
- Kiến trúc Deception Farms và Fluid Deception cho phép giảm chi phí về giấy phép bản quyền, khả năng tích hợp và thiết bị.
- Công nghệ Reflection cho phép giảm chi phí về bản quyền hệ điều hành, chi phí phần cứng.
- Tiết kiệm chi phí quản lý CNTT trong việc triển khai giải pháp lừa dối chủ động thông qua tự động hóa dựa trên AI, Playbook, công nghệ SDN và công cụ Điều phối tích hợp được tích hợp sẵn.
- Triển khai mạng mồi nhử tự động:
- Hỗ trợ khả năng thêm, loại bỏ hoặc thay đổi các dịch vụ của mồi nhử một cách nhanh chóng.
- Khả năng tích hợp với hệ sinh thái bảo mật
- Khả năng tích hợp với SCCM, GPO, EDR, SIEM, SOAR và các hãng bảo mật khác.
- Công nghệ AI:
- Tự động quét vùng mạng thực và thiết kế các máy chủ ảo giả tương ứng, điều tiết số lượng, hệ điều hành, tình trang (mở, tắt định kỳ) tương tự như hệ thống thực.
- Tự động chọn số lượng, kiểu loại bẫy phù hợp nhanh chóng hoặc cho phép tùy chỉnh theo môi trường của tổ chức, doanh nghiệp (ví dụ: phần mềm đặc thù, IoT, phần mềm khác).
- Công nghệ SDN:
- Các bẫy phân tán hiển thị tới các Subnet dưới dạng ảnh (thông tin địa chỉ IP, hệ điều hành…)
- Ngăn chặn hacker tương tác ngược từ máy chủ ảo giả ngược lại các máy trong môi trường thực
- Cho phép cô lập, loại bỏ máy chủ ảo giả khi cần thiết
- Công nghệ Fluid Deception độc quyền:
- Hacker chỉ tương tác với ảnh ảo. Khi Hacker tấn công vào bẫy – tự chuyển đổi ảnh ảo sang máy giả có đầy đủ hệ điều hành, phần mềm, CSDL được thiết kế sẵn khiến hacker đi sâu vào bẫy.
- Cho phép triển khai mồi nhử có mức độ tương tác khác nhau từ thấp, trung bình tới cao phù hợp với các mức độ xâm nhập khác nhau từ trình độ nghiệp dư tới nâng cao.
4. Các tính năng của ShadowPlex
Dưới đây là một số tính năng chính của ShadowPlex
Các tùy chọn triển khai linh hoạt thông qua kiến trúc Deception Farm | § Được thiết kế để triển khai đa quốc gia và doanh nghiệp lớn
§ Một hoặc nhiều ADC § Cảm biến đa cổng, cảm biến dạng phần cứng / phần mềm, cổng Trunk / Access § Hỗ trợ nhiều môi trường – On-prem, Hybrid và Multi-cloud |
Tổng chi phí sở hữu TCO thấp | § Khả năng triển khai giải pháp, đề xuất một cách tự động
§ Deception Playbook được cấp bằng sáng chế cho phép khả năng triển khai mở rộng |
Các bằng sáng chế và giấy phép bản quyền hiệu quả cho TCO thấp | § Acalvio đã được trao hơn 25+ bằng sáng chế và có hơn 10 bằng sáng chế đang được xin cấp phép |
Khả năng tích hợp linh hoạt | § Hỗ trợ tích hợp được với IEM, SOAR, EDR, SMTP, NAC, AD
§ API REST |
Toàn quyền kiểm soát các trò lừa dối | § Mồi nhử được cấp bằng sáng chế & khả năng Playbook
§ Kiểm soát thời lượng phiên attacker § Tự động chụp nhanh các máy ảo tương tác cao § Ngăn chặn và kiểm soát hoàn toàn kẻ tấn công § Whitelisting |
Phân tích mối đe dọa và quản lý sự cố dựa trên AI | § Tận dụng BRO, SNORT, HIDS, AI
§ Các quan sát được ánh xạ tới mô hình MITRE ATT&CK § Tính linh hoạt để tích hợp vào bất kỳ công cụ IR nào |
Tự động khám phá và học các khu vực lân cận | § Giảm nỗ lực thủ công trong việc triển khai lừa dối |
Khả năng hiển thị đầy đủ và hỗ trợ forensics toàn diện | § Bộ nhớ VM và snapshots đĩa,
§ PCAP, Nhật ký Bro § Thông tin đăng nhập, Truy vấn DB, ảnh chụp màn hình, keylogger, tệp, mục đăng ký § IOC |
Ứng phó sự cố tự động | § Tự động phân loại, phản hồi, tìm kiếm mối đe dọa được hỗ trợ bởi AI |
Các tính năng quản lý doanh nghiệp mạnh mẽ | § Đăng nhập một lần (SSO), Người dùng, Vai trò, Tính khả dụng cao, Ghi nhật ký kiểm tra, Báo cáo, v.v. |
5. Các mô hình triển khai
ShadowPlex hỗ trợ nhiều kiến trúc triển khai khác nhau từ On-prem tới On-cloud cũng như MSSP (Managed security service provider).
6. Một số giao diện giải pháp
ShadowPlex hỗ trợ giao diện người dùng, trải nghiệm người dung trực quan và linh hoạt.
Hình 1. ShadowPlex Dashboard
Hình 2. ShadowPlex – Insights Page
Hình 3. ShadowPlex – Dêcption Mesh
Công ty cổ phần giải pháp công nghệ Sonic hân hạnh là nhà phân phối chính hãng các sản phẩm của Acalvio tại thị trường Việt Nam. Hãy liên hệ chúng tôi để nhận được tư vấn và báo giá tốt nhất.
Chi tiết xin liên hệ:
Product Manager: Mr Nam – 0982.151.882
Công ty cổ phần giải pháp công nghệ Sonic
Tầng 16, Tòa nhà Licogi 13, 164 Khuất Duy Tiến, P. Nhân Chính, Q. Thanh Xuân, TP. Hà Nội
Tel: 02466.564.587
Email: sales@sonic.com.vn