Tin Tức & Sự kiện

Giải pháp ATP từ Fortinet

02/04/2019 03:42:57

Giải pháp ATP từ Fortinet

1. Các dạng tấn công APT

Tội phạm mạng đang trở thành một ngành công nghiệp có lợi nhuận lớn, giá trị hàng tỷ đô la Mỹ. Các cuộc tấn công của hacker chuyên nghiệp, có tổ chức, phần lớn là có chủ đích nhằm kiếm tiền hoặc phá hoại theo đơn đặt hàng. Các loại tội phạm này đang có những bước phát triển rất nhanh, sử dụng nhiều kỹ thuật tiên tiến, khai thác các lỗ hổng zero-day, tấn công bằng nhiều phương thức tinh vi để xuyên thủng các hệ thống phòng vệ.

Thuật ngữ APT (Advanced Persistent Threat) được dùng để chỉ kiểu tấn công dai dẳng và có chủ đích vào một thực thể. Kẻ tấn công có thể được hỗ trợ bởi chính phủ của một nước nào đó nhằm tìm kiếm thông tin tình báo từ một chính phủ nước khác. Tuy nhiên không loại trừ mục tiêu tấn công có thể chỉ là một tổ chức tư nhân.

Điều đặc biệt nguy hiểm của tấn công APT là hacker có thể tạo ra malware riêng cho từng mục tiêu cụ thể, ủ bệnh rất lâu, thậm chí theo chia sẻ của các chuyên gia bảo mật thì có những loại malware có hành vi thể hiện rất ít nên cực kỳ khó phát hiện, kể cả khi chạy kiểm thử trong môi trường giả lập Sandbox. Với những loại malware này, giải pháp truyền thống dựa trên phân tích chữ ký (signature) trở nên bất lực trong việc phát hiện và ngăn chặn.

Cho đến nay, tấn công APT thường được dùng với mục đích:

  • Thu thập thông tin tình báo có tính chất thù địch.
  • Đánh cắp dữ liệu và bán lại bí mật kinh doanh cho các đối thủ.
  • Làm mất uy tín của cơ quan tổ chức.
  • Phá hoại, gây bất ổn hạ tầng CNTT, viễn thông, điện lực,....

2. Giải pháp ATP với FortiSandbox từ Fortinet

Các giải pháp ATP (Advanced Threat Protection)  mục đích phòng chống các dạng tấn công APT, trong đó cách phòng thủ hiệu quả nhất chống lại các cuộc tấn công có chủ đích tiên tiến được thành lập dựa trên Framework bảo vệ và gắn kết mở rộng. Framework của Fortinet sử dụng thu thập thông tin an ninh trên một giải pháp tích hợp các công cụ an ninh truyền thống và tiên tiến cho mạng, bao gồm nhiều hệ thống kết hợp, đảm bảo mọi luồng dữ liệu từ mọi phân đoạn mạng đề được rà soát một cách chi tiết nhất.

Sandbox là khái niệm về một môi trường tách biệt an toàn được sao chép lại từ một môi trường của người dùng đầu cuối nơi người quản trị có thể thực thi các đoạn mã, các ứng dụng… đồng thời cho phép quan sát và đánh giá dựa trên hoạt động chứ không phải là các thuộc tính.

FortiSandbox của Fortinet là một giải pháp ATP tích hợp, có khả năng hoạt động độc lập hay kết hợp với các thiết bị khác để xây dựng nên một Framework hoàn chỉnh.

Trong một giải pháp Fortinet, kết quả phát hiện có thể được sử dụng để kích hoạt các hành động phòng ngừa để đảm bảo sự an toàn của các nguồn tài nguyên và dữ liệu cho đến khi khắc phục được đặt ra. Cuối cùng, toàn bộ hệ sinh thái được cập nhật bản bảo mật để giảm thiểu bất kỳ tác động từ các cuộc tấn công trong tương lai thông qua việc tích hợp các dịch vụ nghiên cứu, thu thập thông tin các mối đe dọa tích hợp mạnh mẽ của FortiGuard Labs 

FortiSandbox hướng tới việc tái tạo hành vi người dùng thực trên hệ thống để thực thi và tăng tốc các mã độc hại để phát hiện ra các mã độc hại này. Để đánh giá mã độc hại, sandbox sẽ chạy với nhiều tiến trình code trên nhiều hệ điều hành và công nghệ khác nhau.

FortiSandbox là công cụ phát hiện hoạt động các tốt nhất kết hợp với khả năng thực thi và phòng chống của tường lửa, mail gateway hay endpoint tạo thành hệ thống phòng chống các hiểm họa thế hệ mới. Trong đó Fortinet đưa ra bộ giải pháp tích hợp để lọc tất cả các lưu lượng ra vào hệ thống cũng như bảo vệ đến người dùng cuối. Fortinet đưa ra công nghệ độc quyền Content Pattern Recognition Language (CPRL) được phát triển bởi FortiGuard Labs để thực hiện kiểm tra sâu ở mức độ code. Ngôn ngữ này có thể xác định được 50,000 mã được biết đến.

Để phát hiện thêm những mối đe dọa tinh vi nhất, Fortinet đã đưa ra các kỹ thuật phân tích tiên tiến từ FortiGuard Labs trong FortiSandbox. Thiết bị chứng minh 99% phát hiện vi phạm trong bài test các vi phạm trong hệ thống của NSS Labs 2014. 

Theo đánh giá của NSS Lab 2016, Fortinet đã chứng minh được khả năng phát hiện vi phạm và hiệu suất ưu việt; đạt cùng lúc 2 đề xuất đánh giá cho giải pháp điện toán đám mây và thiết bị phòng chống hiểm họa nâng cao (ATP). 

Fortinet (NASDAQ: FTNT) đã công bố kết quả của họ trong bài kiểm tra khả năng phát hiện các vi phạm mới nhất của nhóm thử nghiệm NSS Lab. Fortinet đã mang đến 2 giải pháp Sandboxing hàng đầu là thiết bị FortiSandbox 3000D và dịch vụ đám mây của FortiSandbox, và cả 2 giải pháp này đều đạt được đề xuất đánh giá của tổ chức NSS Lab. 

Khuyến nghị của NSS Lab gần đây là một trong nhiều khuyến nghị mà Fortinet đã đạt được trước đó, thể hiện cam kết của Fortinet trước những thử nghiệm nghiêm ngặt của bên thứ ba. Fortinet cũng đã nhận được khuyến nghị của NSS Labs cho giải pháp tưởng lửa thế hệ mới (NGFW) Fortigate, hệ thống ngăn chặn xâm nhập trung tâm dữ liệu (DCIPS), giải pháp bảo vệ thiết bị đầu cuối FortiClient, và giải pháp tường lửa ứng dụng web FortiWeb (WAF). Tất cả những giải pháp đã chứng minh một các ấn tượng hiệu quả bảo mật trên 99% cùng với hiệu suất hàng đầu. Điều này đảm bảo rằng khách hàng của Fortinet có thể triển khai tốt nhất giải pháp Fortinet Security Fabric từ IOT đến đám mây và ở khắp mọi phân đoạn mạng của hệ thống. 

 

3. Các mô hình hoạt động

FortiSandbox có thể tương thích và phối hợp cùng với: 

  • FortiGate – Fortinet next generation firewall. FortiGate đóng vai trò là thiết bị tường lửa có nhiệm vụ lọc toàn bộ traffic đi qua, với những tập tin đáng nghi ngờ FortiGate sẽ gửi qua FortiSandbox thông qua kết nối TCP/UDP 514, FortiSandbox phân tích tập tin đáng nghi, gửi lại báo cáo cho FortiGate và cập nhật lên FortiGuard. Với tập tin được nhận định là nguy hại (malicious) FortiGate sẽ tự động cập nhật thông tin signature của loại mã độc này từ FortiSandbox để ngăn chặn nếu như có xuất hiện trong hệ thống mạng.
  • ForitMail – Fortinet Email gateway:Tương tự như FortiGate, FortiMail có vai trò gateway với các thư điện tử, FortiMail sẽ kiểm tra và gửi các đường dẫn, file đính kèm đáng ngờ đến FortiSandbox trong khi email vẫn chưa tới được Mail box của người dùng. Ngay khi phân tích xong và phát hiện mã độc, FortiMail sẽ được cập nhật dữ liệu và thực hiện việc xóa/ thông báo đến người dùng trên chính email nhiễm mã độc. 

  • FortiWeb – tường lửa lửa ứng dụng web: FortiWeb là giải pháp bảo vệ cho hệ thống ứng dụng Web, khi tích hợp cùng giải pháp FortiSandbox các dữ liệu người dùng upload lên Web server sẽ được phân tích và đánh giá, việc tích hợp này tương tự như FortiGate và FortiMail.

 

  • FortiClient – bảo mật thiết bị đầu cuối. FortiClient là phần mềm được sử dụng tích hợp với ForitSandbox khi được quản trị chung bằng FortiGate. Với đặc điểm hoạt động ở mức Endpoint, FortiClient có khả năng tạm khóa các tập tin đáng ngờ, ngăn chặn người dùng sử dụng khi chưa có sự đánh giá từ FortiSandbox; sau khi phát hiện tập tin nhiễm mã độc, FortiClient sẽ tự động “Quarantine” hoặc xóa bỏ ngay lập tức tập tin nhiễm mã độc trên máy tính người dùng. Việc tích hợp giữa FortiSandbox, FortiGate và FortiClient được đánh giá là giải pháp toàn vẹn nhất dành cho việc phòng chống mã độc triệt để hiện nay.

FortiClient hiện nay đã và đang được sử dụng ở các hệ điều hành phổ biến: Windows, MacOS, Android, iOS. Tuy nhiên việc tích hợp để thực hiện vai trò kiểm soát mã độc thì mới có thể hoạt động được tại Windows và MacOS. 

4. Tính năng chính

FortiSandbox của Fortinet hỗ trợ các tính năng chính dưới đây: 

  • Cung cấp môi trường chạy thử ảo hóa với các công nghệ bảo mật tiên tiến bên trong để phát hiện các mối đe dọa chưa được biết đến
  • Cung cấp bộ lọc nhiều lớp độc đáo giúp phát hiện mối đe dọa nhanh chóng và hiệu quả
  • Cung cấp việc báo cáo đầy đủ và chi tiết giúp quan sát được toàn bộ vòng đời của một mối đe dọa
  • Kiểm tra nhiều giao thức trong một thiết bị vật lý giúp đơn giản hóa trong việc triển khai và làm giảm chi phí đầu tư
  • Tích hợp và tự động hóa với các sản phẩm phòng chống mối đe dọa của Fortinet có sẵn mà không cần phải đầu tư toàn bộ lại từ đầu
  • Giải pháp đã được kiểm tra độc lập và được cấp chứng nhận 

5. Cơ chế đa lớp giúp giảm thiểu các mối đe dọa một cách chủ động
Ngày nay, các tội phạm công nghệ cao ngày càng dễ dàng vượt qua các giải pháp chống malware truyền thống và chèn các mối đe dọa có chủ đích tiên tiến sâu vào bên trong mạng của tổ chức. Các cuộc tấn công thường nhắm mục tiêu có giá trị cao và có khả năng né tránh việc phát hiện dựa trên signature-based bằng cách che dấu mã độc nhiều cách như - nén, mã hóa, đa hình, và một số kỹ thuật che dấu khác. Ngoài ra, hiện nay thậm chí một số mã độc đã bắt đầu phát triển để né tránh môi trường "sandbox" - sử dụng công nghệ phát hiện trên máy ảo, "time bombs" và nhiều hơn nữa. Việc chống lại các cuộc tấn công ngày nay đòi hỏi một cách tiếp cận toàn diện và tích hợp. 
FortiSandbox cung cấp một sự kết hợp mạnh mẽ của chủ động phát hiện và giảm thiểu, cho chúng ta thấy cái nhìn sâu sắc mối đe dọa hành động như thế nào và có thể triển khai tích hợp và tự động hóa.  

6. Chủ động phát hiện và giảm thiểu thiệt hại

Các đoạn mã đáng ngờ sẽ được bộ lọc đa lớp xử lý trong môi trường hệ điều hành ảo để phân tích các hành vi chi tiết. Các bộ lọc đa lớp hiệu quả cao bao gồm một màn hình bằng công cụ AV, sẽ truy vấn dữ liệu các mối đe dọa trên hệ thống cơ sở dữ liệu điện toán đám mây của Fortinet và sẽ thực hiện việc mô phỏng chạy thử các đoạn mã đáng ngờ trên hệ điều hành mô phỏng độc lập, sau đó sẽ được chạy trong môi trường ảo đầy đủ. Một khi mã độc hại được phát hiện, bảng xếp hạng cùng với thông tin của mối đe dọa là có sẵn, một chữ ký điện tử để nhận diện mã độc được tạo tự động để phân phối cho các sản phẩm bảo mật tích hợp khác trong hệ thống và cung cấp thông tin đe dọa đầy đủ chia sẻ (tùy chọn khi cấu hình) với FortiGuard Labs để cập nhật cơ sở dữ liệu mối đe dọa trên toàn cầu. 

7. Đưa ra các đánh giá chi tiết dựa trên hành vi

Tất cả các phân loại - độc hại và cao / trung bình / rủi ro thấp - được hiển thị trong một bảng điều khiển trực quan. Thông tin đầy đủ mối đe dọa từ việc thực hiện trên môi trường ảo hóa – bao gồm hoạt động hệ thống, các lỗ hổng bảo mật được khai thác, lưu lượng web, các download tiếp theo, các nỗ lực kết nối ra bên ngoài và nhiều hơn nữa – và có sẵn trong các nhật ký và báo cáo toàn diện và đầy đủ thông tin.