Threat Hunting

McAfee phát triển mô hình Threat Defense Lifecycle nhằm tạo ra hệ thống tăng khả năng phòng vệ (Protect), nhanh chóng phát hiện các mối nguy, mã độc thâm nhập hệ thống, kể cả các mã độc tiên tiến cấp cao (Detect) và khắc phục, ứng phó nhanh chóng sửa chữa hệ thống. Hệ thống cũng phải có khả năng tự học để tương thích với sự phát triển của các mối nguy, mã độc.

Mô hình các thành phần của giải pháp Threat hunting

  • ePolicy Orchestrator (ePO): Hệ thống ePolicy Orchestrator cho phép quản trị, vận hành, giám sát và điều phối hoạt động toàn hệ thống.
  • Dynamic Endpoint Security (ENS): Giải pháp chống anti-malware cho endpoint. Kết hợp nhiều tính năng bảo vệ mã độc ở nhiều kênh như:
  • McAfee Active Response (MAR): Giải pháp dò tìm và ứng cứu cần tập trung vào ba yếu tố thiết yếu để phòng chống mối đe dọa hiệu quả: giám sát liên tục, tự động hoá và thích nghi với sự tiến hóa của các mối đe dọa.
  • Advanced Threat Defense (ATD): hệ thống phân tích sâu, sandbox, để phân tích phát hiện các hiểm họa tinh vi mức cao
  • Threat Intelligence Exchange (TIE): nền tảng lưu trữ, kết nối, trao đổi thông tin hiểm họa giữa các thành phần trong hệ thống an ninh bảo mật dựa trên chuẩn mở OpenDXL.
  • McAfee GTI – McAfee GTI đánh giá danh tiếng của truyền thông mạng dựa vào danh tiếng của hàng tỷ địa chỉ IP, tập tin, URL, giao thức và các dữ liệu định vị trên khắp thế giới.

Tầm quan trọng của giải pháp Threat hunting

Tấn công APT thường sử dụng các phương thức, công nghệ, mã chương trình chưa bị phát hiện bởi các công nghệ bảo mật truyền thống như tường lửa (Firewall/NGFW), hệ thống chống tấn thâm nhập (IPS), AntiVirus, AntiSpam, … Sau khi thâm nhập, các mối nguy APT thường ẩn mình trong hệ thống một thời gian dài, âm thầm phát triển trong hạ tầng và các hệ thống của tổ chức, nhằm khai thác, đánh cắp thông tin, thực hiện các mục đích mà người/tổ chức tấn công.

Tổ chức/doanh nghiệp thường rất khó phát hiện ra mình đã bị tấn công APT bởi sự hạn chế của các công nghệ và giải pháp truyền thống, vốn được thiết kế nhận biết và ngăn chặn các mối nguy hiểm dựa trên dấu hiệu nhận biết và sự vi phạm và đánh giá uy tín – bản chất là các mối nguy hiểm đã biết, đã được công bố. Các tấn công APT cũng không có biểu hiện hay gây ra các vấn đề cho các máy tính, hệ thống đang sử dụng.

Vấn đề hiện nay không phải là hệ thống có thể bị tấn công xâm hại không, làm thế nào để không bị xâm hại. Với các công nghệ và sự tiến hóa của các mã độc hại hiện nay, hệ thống có thể bị xâm hại bất kỳ khi nào, thống kê cho thấy thời gian để tấn công, xâm hại một hệ thống thường chỉ tính bằng phút.

Do vậy, bài toán cho đội ngũ bảo mật là phải phát hiện nhanh chóng và hiệu quả các mã độc thông thường cũng như các mã độc cấp cao, vừa mới phát sinh, chưa được nhận diện; phát hiện, ngăn chặn kịp thời các hành vi, hoạt động có hại, bất thường của từng máy chủ, máy trạm trên hệ thống; săn tìm và phản ứng nhanh chóng để làm sạch, sửa chữa hệ thống.

error: Content is protected !!