Threat Protection – SonicWall
1. Advanced Threat Protection Appliance
Thiết bị SonicWall Capture™ (CSa) mang đến công nghệ Capture Advanced Threat Protection™ (ATP) và phân tích phần mềm độc hại sandbox cho các môi trường triển khai tại chỗ. CSa lý tưởng cho khách hàng cần tuân thủ chính sách nội bộ về không gửi tệp lên đám mây, đồng thời mong muốn dữ liệu vẫn nằm trong tổ chức của mình. Giải pháp này giúp họ khai thác sức mạnh vượt trội của các tính năng phát hiện mối đe dọa trước đây chỉ có trên nền tảng đám mây.
Đặc điểm nổi bật
- Kiểm tra bộ nhớ với RTDMI: Công nghệ phân tích tệp Real-Time Deep Memory Inspection (RTDMI™) giúp phát hiện các mối đe dọa ẩn sâu trong bộ nhớ.
- Phân tích nhiều giai đoạn: Kết hợp giữa kiểm tra danh tiếng, phân tích tĩnh và động, đảm bảo đánh giá kỹ lưỡng mọi tệp tin.
- API gửi và quản lý tệp: Hỗ trợ gửi tệp dễ dàng qua API, tương thích nhiều loại tệp và mạng nội bộ.
- Chặn cho đến khi có phán quyết: Tối ưu hóa bảo mật với khả năng chặn các tệp đáng ngờ cho đến khi phân tích xong.
- Báo cáo sâu: Cung cấp thông tin chi tiết về tệp, lịch sử và các hành vi đáng ngờ theo vai trò của quản trị viên.
1.1. Kiến trúc và tính năng chính
- RTDMI (Công cụ phân tích tệp Real-Time Deep Memory Inspection)
(RTDMI™) được cấp bằng sáng chế của SonicWall là một phương pháp mới để phân tích các tệp đáng ngờ bằng cách theo dõi hành vi của ứng dụng trong bộ nhớ. RTDMI có thể nhìn thấu mọi kỹ thuật che giấu hoặc mã hóa mà phần mềm độc hại hiện đại có thể triển khai để tránh phân tích mạng và hộp cát – mang lại khả năng phát hiện cực kỳ chính xác các cuộc tấn công được thực hiện bởi các tài liệu, tệp thực thi, tệp lưu trữ và nhiều loại tệp khác
- Bảo vệ theo thời gian thực
Kiểm tra danh tiếng và tình báo toàn cầu, phân tích tĩnh và công nghệ RTDMI hoạt động đồng bộ để cung cấp kết quả đủ nhanh để kích hoạt các công nghệ như Chặn cho đến khi có phán quyết trong các sản phẩm SonicWall. Khả năng này cho phép chính sách kiểm tra tệp trên tường lửa ngăn người dùng cuối tải xuống các tệp đáng ngờ cho đến khi quá trình kiểm tra đầy đủ hoàn tất và Capture ATP hoặc CSa đưa ra phán quyết. Khi hỗ trợ Mạng đóng được bật, các kiểm tra danh tiếng và tình báo dựa trên đám mây sẽ bị vô hiệu hóa.
- Quét thư mục
Quét thư mục mở rộng khả năng phân tích mối đe dọa của CSa để chia sẻ tệp tại chỗ và trên đám mây, hỗ trợ AzureFS, AWS S3 và SMBv3.
- Báo cáo sâu
Báo cáo sâu nâng cao khả năng phân tích tệp hiện đang được thực hiện trong hộp cát để cung cấp thêm khả năng hiển thị – chẳng hạn như thông tin tệp, lịch sử quét, hành vi đáng ngờ và ánh xạ đến Ma trận tấn công MITRE – cho quản trị viên SOC. Phân tích tĩnh các tệp bao gồm chữ ký PE, thông tin bộ lọc trước URL và thông tin phiên bản tệp.
- Hỗ trợ tính khả dụng cao (HA) Active/Passive
Hỗ trợ tính khả dụng cao (HA) Active/Standby cho phép người quản trị thêm hai đơn vị CSa ở chế độ Chủ động và Thụ động để tường lửa sẽ mặc định ở chế độ chờ nếu CSa chủ động bị lỗi vì bất kỳ lý do nào.
- Được tin cậy bởi công nghệ
- CSa đưa công nghệ từ Capture ATP của SonicWall, một dịch vụ dựa trên đám mây được hơn 200.000 khách hàng trên toàn cầu tin cậy và sử dụng, vào dạng thiết bị.
- CSa cũng nhận được các bản cập nhật thông tin tình báo thường xuyên để đồng bộ với thông tin tình báo về mối đe dọa được thu thập trên toàn cầu thông qua phân tích tệp SonicWall Capture ATP trừ khi hỗ trợ Mạng Đóng được bật.
- Tóm lược các tính năng
- Tra cứu danh tiếng và phán quyết toàn cầu (có thể cấu hình)
- Quét thư mục tại chỗ và trên đám mây
- Báo cáo chuyên sâu
- Hỗ trợ tính khả dụng cao chủ động/thụ động
- Phân tích tĩnh và phân tích động với RTDMI
- Danh sách cho phép/chặn đối với băm tệp hoặc IP/Tên miền
- Báo cáo theo lịch trình có thể cấu hình
- Quản trị dựa trên vai trò
- Quản lý – HTTPS/REST API thông qua giao diện quản lý chuyên dụng hoặc giao diện mạng thông thường
- Phân tích tệp lên đến 100MB
- Báo cáo dương tính giả và âm tính giả với danh sách trắng/đen tự động
- Giới hạn tốc độ cho mỗi nguồn tệp
- Hỗ trợ mạng đóng
- Hỗ trợ REST API để gửi và phân tích tệp
- Hệ điều hành được tăng cường với Khởi động an toàn và chuỗi tin cậy để chống giả mạo
- Syslog và Ghi nhật ký cục bộ
1.2 Mô hình Triển khai
Triển khai CSa của SonicWall nhanh chóng và đơn giản, chỉ cần cấu hình mạng cơ bản, báo cáo và quyền truy cập thiết bị được phép để bắt đầu.
CSa được xây dựng để có thể định địa chỉ IP và do đó có thể triển khai ở bất kỳ đâu, miễn là các thiết bị sẽ gửi tệp để phân tích có thể truy cập được. CSa cũng có thể được triển khai trong các mạng kín hoặc Air-Gapped.
Có ba phương pháp triển khai chính cho CSa 1000:
- Triển khai tại một Văn Phòng/Một vị trí
- CSa có thể được triển khai ở bất kỳ đâu trên mạng miễn là các nguồn gửi sẽ sử dụng nó có thể truy cập nó qua IP*.
- Sau khi CSa được triển khai, tường lửa và hệ thống bảo mật email (các giải pháp khác đang chờ xử lý) có thể được cấu hình để chuyển hướng các tệp đáng ngờ đến CSa thay vì đám mây để phân tích Chống tấn công có chủ đích (ATP).
- Triển khai Doanh nghiệp phân tán/Nhiều vị trí
- Nhiều văn phòng/chi nhánh có thể được cấu hình để chia sẻ quyền truy cập vào một thiết bị CSa duy nhất, được triển khai tại trung tâm dữ liệu HQ trung tâm hoặc tại một trung tâm dữ liệu từ xa mà tất cả các thiết bị có thể truy cập.
- Có thể truy cập trực tiếp qua internet hoặc qua VPN.
- Có thể cấu hình hàng loạt các hệ thống SonicWall để trỏ đến CSa bằng GMS hoặc các giải pháp quản lý tập trung NSM dựa trên đám mây để cấu hình và triển khai nhanh chóng.
- REST API Gateway
- Dòng CSa có giao diện REST API có thể được sử dụng để gửi tệp để phân tích và truy vấn kết quả bởi các nhóm tình báo mối đe dọa thông qua các tập lệnh, tích hợp cổng thông tin web và các sản phẩm bảo mật khác của riêng họ.
- Các mẫu mã và hướng dẫn về cách bắt đầu với tập lệnh API cho CSa có sẵn tại https://github.com/sonicwall.
1.3 Thông số kỹ thuật
2. Sonicwall Capture Advanced Threat Protection Service
Để bảo vệ hiệu quả trước mối đe dọa zero-day, các tổ chức cần các giải pháp bao gồm công nghệ phân tích phần mềm độc hại và có thể phát hiện các mối đe dọa và phần mềm độc hại tiên tiến khó phát hiện cho hiện tại và tương lai. Capture Advanced Threat Prevention (Capture ATP) là Sandbox nhiều Engine đầu tiên trong ngành có thể chặn cho đến khi có phán quyết. Công nghệ này nhanh chóng đưa ra phán quyết chính xác về các tệp đáng ngờ và có thể được sử dụng trên toàn bộ hệ sinh thái các sản phẩm SonicWall.
Để bảo vệ khách hàng khỏi các mối nguy hiểm ngày càng tăng của các mối đe dọa zero-day, Dịch vụ SonicWall Capture Advanced Threat Protection (ATP) — một dịch vụ dựa trên đám mây có sẵn với tường lửa SonicWall — phát hiện và có thể chặn các mối đe dọa nâng cao tại cổng cho đến khi có phán quyết. Dịch vụ này là dịch vụ phát hiện mối đe dọa nâng cao duy nhất kết hợp Sandbox nhiều lớp, bao gồm Kiểm tra bộ nhớ sâu theo thời gian thực (RTDMI™) của SonicWall, mô phỏng toàn bộ hệ thống và các kỹ thuật ảo hóa, để phân tích hành vi mã đáng ngờ. Sự kết hợp mạnh mẽ này phát hiện nhiều mối đe dọa hơn
so với các giải pháp Sandbox đơn Engine, vốn dành riêng cho môi trường tính toán và dễ bị né tránh.
Giải pháp này quét lưu lượng truy cập và trích xuất mã đáng ngờ để phân tích, nhưng không giống như các giải pháp cổng khác, giải pháp này phân tích nhiều loại kích thước và loại tệp. Cơ sở hạ tầng tình báo mối đe dọa toàn cầu nhanh chóng triển khai các Signature khắc phục cho các mối đe dọa mới được xác định đối với tất cả các thiết bị bảo mật mạng của SonicWall, do đó ngăn chặn sự xâm nhập thêm. Khách hàng được hưởng lợi từ hiệu quả bảo mật cao, thời gian phản hồi nhanh và giảm tổng chi phí sở hữu.
Các lợi ích và đặc điểm nổi bật của Giải pháp
- Hiệu quả bảo mật cao chống lại các mối đe dọa chưa biết
- Triển khai Signature gần thời gian thực bảo vệ khỏi các cuộc tấn công tiếp theo
- Giảm tổng chi phí sở hữu
- Chặn các tệp tại cổng cho đến khi có phán quyết
- Nhiều công cụ xử lý tệp song song để có phán quyết nhanh chóng
- Công cụ RTDMI của SonicWall chặn phần mềm độc hại không xác định trên thị trường đại chúng bằng cách sử dụng các kỹ thuật kiểm tra dựa trên bộ nhớ thời gian thực
2.1 Tính năng giải pháp
- Phân tích mối đe dọa nâng cao bằng nhiều Engine
Dịch vụ ATP của SonicWall Capture mở rộng khả năng bảo vệ mối đe dọa của tường lửa để phát hiện và ngăn chặn các cuộc tấn công zero-day. Tường lửa kiểm tra lưu lượng truy cập, phát hiện và chặn các cuộc xâm nhập và phần mềm độc hại đã biết. Các tệp đáng ngờ được gửi đến SonicWall Capture ATP Cloud để phân tích. Nền tảng Sandbox nhiều Engine, bao gồm RTDMI, Sandbox ảo hóa, mô phỏng toàn bộ hệ thống và công nghệ phân tích cấp độ trình quản lý ảo, thực thi mã đáng ngờ và phân tích hành vi, đồng thời cung cấp khả năng hiển thị toàn diện đối với hoạt động độc hại trong khi chống lại các chiến thuật trốn tránh và tối đa hóa khả năng phát hiện mối đe dọa zero-day.
- Kiểm tra bộ nhớ sâu theo thời gian thực (RTDMI)
Cải thiện dịch vụ Capture ATP nhiều Engine của SonicWall là công nghệ Kiểm tra bộ nhớ sâu theo thời gian thực đang chờ cấp bằng sáng chế của chúng tôi. Engine RTDMI chủ động phát hiện và chặn các mối đe dọa đã được công bố, zero-day và phần mềm độc hại chưa biết bằng cách kiểm tra trực tiếp trong bộ nhớ. Nhờ có kiến trúc thời gian thực, công nghệ RTDMI của SonicWall chính xác, giảm thiểu các kết quả dương tính giả và xác định cũng như giảm thiểu các cuộc tấn công tinh vi.
- Phân tích loại tệp rộng
Dịch vụ hỗ trợ phân tích nhiều loại và kích thước tệp, bao gồm các chương trình thực thi
(PE), DLL, PDF, tài liệu MS Office, tệp lưu trữ, JAR và APK, cùng nhiều hệ điều hành bao gồm
Windows và Android. Quản trị viên có thể tùy chỉnh chế độ bảo vệ bằng cách chọn hoặc loại trừ các tệp sẽ được gửi lên đám mây để phân tích theo loại tệp, kích thước tệp, người gửi, người nhận hoặc giao thức. Ngoài ra, quản trị viên có thể gửi tệp theo cách thủ công lên dịch vụ đám mây để phân tích. Chúng tôi lưu giữ các tệp độc hại trong cơ sở dữ liệu của mình trong một tháng trước khi chúng bị xóa tự động. Và các tệp lành tính (tốt) sẽ bị xóa trong vòng 24 giờ kể từ dấu thời gian phân tích của chúng.
- Chặn cho đến khi có phán quyết
Để ngăn chặn các tệp có khả năng gây hại xâm nhập vào mạng, các tệp được gửi đến dịch vụ đám mây để phân tích có thể được giữ tại cổng cho đến khi có phán quyết.
- Triển khai nhanh Signature để khắc phục
Khi một tệp được xác định là độc hại, một Signature sẽ ngay lập tức được tạo ra sẵn cho tường lửa. SonicWall Capture ATP để ngăn chặn các cuộc tấn công tiếp theo. Ngoài ra, phần mềm độc hại được gửi đến nhóm nghiên cứu mối đe dọa của SonicWall Capture Labs để phân tích thêm và đưa vào cơ sở dữ liệu chữ ký IPS và Gateway Anti-Virus cùng với thông tin về mối đe dọa. Ngoài ra, nó được gửi đến cơ sở dữ liệu URL, IP và danh tiếng tên miền trong vòng 48 giờ.
- Báo cáo và cảnh báo
Dịch vụ SonicWall Capture ATP cung cấp bảng điều khiển phân tích mối đe dọa tổng quan và báo cáo, trong đó nêu chi tiết kết quả phân tích cho các tệp được gửi đến dịch vụ, bao gồm nguồn, đích và tóm tắt cùng thông tin chi tiết về hành động của phần mềm độc hại sau khi kích hoạt. Cảnh báo nhật ký tường lửa cung cấp thông báo về các tệp đáng ngờ được gửi đến Dịch vụ SonicWall Capture ATP và phán quyết phân tích tệp.