ECLYPSIUM

Trong khi đội ngũ bảo mật hệ thống thông tin vẫn tập trung vào các hiểm họa trên phần mềm như truyền thống, thì phía bên kia chiến tuyến, tin tặc đã nhanh chóng chuyển mục tiêu vào những khu vực mà nhóm an ninh của ta thiếu khả năng quan sát và kiểm soát. Firmware trên các máy chủ, laptop và thiết bị mạng trở thành những mục tiêu mới của tin tặc bởi chúng lọt vào “điểm mù” của các hệ thống phòng ngự truyền thống. Dù là khai thác các lỗ hổng, xâm nhập đối tác trong chuỗi cung ứng, hoặc chiếm đoạt quyền truy cập vật lý vào hệ thống, những tin tặc được “vũ trang” có thể truy cập rất sâu vào trong hạ tầng lõi, nơi mà các cơ chế phòng vệ và phục hồi thông thường khó lòng đáp ứng được kỳ vọng.

Giải pháp của Eclypsium đem lại cho doanh nghiệp khả năng cải thiện tầm quan sát nhằm phát hiện các firmware đã bị sửa đổi, xâm nhập (bao gồm cả trong chuỗi cung ứng), các lỗ hổng nghiêm trọng của phần cứng và firmware, đồng thời cải tiến việc quản lý cập nhật firmware cho các máy chủ và thiết bị đầu cuối trong hệ thống. Doanh nghiệp có thể sử dụng giải pháp của Eclysium để xác định và giám sát các linh kiện hệ thống của từng thiết bị đầu cuối và máy chủ, đồng thời áp dụng các biện pháp phản ứng nhanh cho những hệ thống đã bị phát hiện tồn tại lỗ hổng hoặc xâm nhập.

TÍNH NĂNG GIẢI PHÁP

– THÀNH PHẦN GIẢI PHÁP

Giải pháp Eclypsium gồm 3 thành phần chính

1.1. Eclypsium Administration & Analytics Services

Dịch vụ quản trị và phân tích này được host bởi Eclypsium với tùy chọn Instance Cloud riêng biệt hoặc tự host on-prem. Dịch vụ Analytics sẽ phân tích các dữ liệu gởi từ hệ thống giám sát và cung cấp giao diện quản trị Web cùng API cho người dùng và quản trị viên của giải pháp.

Hình 1. Giao diện quản trị của Eclypsium Management Console
Hình 1. Giao diện quản trị của Eclypsium Management Console

1.2. Device Scanner
Cài đặt tạm thời hoặc lâu dài trên hệ thống cần giám sát. Scanner sử dụng một driver Kernel để thu thập các thông tin cấu hình và dữ liệu cần thiết từ phần cứng bộ xử lý và chipset, firmware hệ thống như UEFI hoặc BIOS, trình quản lý điều khiển như Intel Management Engine hoặc BMC trên các máy chủ, và các thành phần hệ thống như ổ cứng, card mạng, card đồ họa, các linh kiện nôi bộ và bổ sung khác… Scanner gởi các thông tin này qua một kênh truyền mã hóa chứng thực đến dịch vụ Analytic, qua đó cũng tối ưu dung lượng dữ liệu gởi đi. Scanner tiêu tốn cực ít tài nguyên hệ thống – không có bất kỳ tác động nào lên hệ thống mà nó đang chạy, và rất ít tác động đến cPU/ Memory trong mỗi 30 giây thực thi. Eclypsium hoàn toàn có thể cung cấp thêm các dữ kiện về sự tiêu tốn tài nguyên nếu có yêu cầu.
Devices Scanner được thiết kế để bảo trì, triển khai và phân phối thông qua các công cụ quản lý đầu cuối doanh nghiệp như: SCCM, Intune, Tatinum (Windows); Jamf, Airwatch (McOS); Puppet, Chef (Linux).

Hình 2. Các tùy chọn cho Eclysium Scanner
Hình 2. Các tùy chọn cho Eclysium Scanner

1.3. Cloud Platform

Đây là dịch vụ điện toán đám mây được phát triển và duy trì bởi Eclypsium, cung cấp kho tri thức được cập nhật thường xuyên cho dịch vụ Analytic (ví dụ, danh sách các Firmware đã được nhận biết là “sạch”, thông tin các lỗ hổng firmware..).

Hình 3. Kiến trúc tổng thể của Eclypsium
Hình 3. Kiến trúc tổng thể của Eclypsium

– CƠ CHẾ HOẠT ĐỘNG VÀ TÍNH NĂNG

Thông qua việc kết hợp các thành phần của giải pháp: dựa vào dữ liệu chi tiết firmware của Scanner kết hợp cùng thông tin tình báo được cung cấp bởi Cloud Platform, các bước phân tích và phát hiện sau đây sẽ được thực hiện:

  • Rà soát binary image và cấu hình của firmware với các phương thức can thiệp firmware (implant) đã biết: dựa trên các dấu hiệu và chỉ báo xâm nhập, phá hoại. Ví dụ, UEFI bị can thiệp có thể cài đặt một mã thực thi UEFI mới, đã biết trước đó hoặc một biến thể khác.
  • Kiểm tra tính nguyên vẹn binary image của Firmware, so sánh với nhiều cơ sở dữ liệu sạch khác nhau (whitelisting), đồng thời liên tục tạo lập và quản lý một CSDL chuyên biệt của chính tổ chức/ doanh nghiệp. Qua đó phát hiện được các tấn công cài đặt mã thực thi firmware mới hoặc chỉnh sửa trên một phiên bản hiện thời.
  • Liên tục giám sát cấu hình và tính toàn vẹn của Firmware, thông báo và truy vết các thay đổi nếu phát hiện. Ví dụ, firmware có thể bị sửa đổi khi nhân viên dùng laptop trong dịp công tác.
  • Liên tục giám sát các thiết bị được lắp vào hệ thống đang giám sát. Ví dụ, cơ chế này có thể phát hiện việc tin tặc lắp 1 thiết bị ngoại lai (hardware implant – cấy ghép phần cứng) để đọc dữ liệu trong bộ nhớ, vượt qua các cơ chế an ninh bảo vệ ở cấp độ phần mềm.
  • Tương quan chéo và phát hiện sai khác từ dữ liệu firmware thu thập được, thông qua nhiều
    phương thức độc lập trên một hệ thống với các hệ thống khác.
  • Tạo lập mô hình hóa dữ liệu theo phương thức Heuristic, phân tích dữ liệu hành vi của hệ thống, cảnh báo các hành vi bất thường. Ví dụ, việc can thiệp firmware có thể sử dụng cơ chế phần cứng để qua mặt các biện pháp giám sát.
  • Giám sát trạng thái hoạt động và tính toàn vẹn của các scanner.
Hình 4. Minh họa chi tiết trạng thái Rủi ro và Tính toàn vẹn
Hình 4. Minh họa chi tiết trạng thái Rủi ro và Tính toàn vẹn

ĐỐI TÁC CHIẾN LƯỢC

BÀI VIẾT THAM KHẢO