1. Vai trò Damballa Failsafe
Damballa Failsafe cung cấp một sức mạnh đáng kể giúp cải thiện khả năng phòng thủ, phát hiện các mối đe dọa tiềm ẩn và đưa ra các phản ứng nhanh chóng và chính xác chống lại các hành vi đánh cắp dữ liệu:
- Giám sát và chẩn đoán các hoạt động mạng trong hạ tầng từ các bộ cảm biến thụ động dễ dàng cài đặt và không cần các cấu hình phức tạp.
- Cung cấp các chứng cứ, xác định hành vi đe dọa liên quan, đồng thời cung cấp đánh giá chi tiết cùng các khuyến nghị nhằm nâng cao năng lực của hạ tầng.
- Hỗ trợ tích hợp với các thiết bị khác cho phép làm sạch các thiết bị bị nhiễm, đóng các lỗ hỏng bảo mật và nâng cao hiệu quả hoạt động của các thiết bị hiện có.
- Hiểu được điểm yếu của các công cụ phòng thủ.
- Đáp ứng các tiêu chuẩn tuân thủ trong việc kiểm soát liên tục các mối đe dọa.
- Định vị chính xác các hoạt động giao tiếp của thiết bị với các tác nhân đe dọa.
- Hiểu được sức khỏe tổng thể của toàn hệ thống mạng.
- Kiểm soát đặc biệt hạ tầng mạng trong các thương vụ mua lại doanh nghiệp.
- Các mối đe dọa bên trong hạ tầng.
- Các hoạt động giao tiếp của thiết bị đầu cuối với các tổ chức chỉ huy và kiểm soát (C&C).
- Các tập tin tải ứng dụng và và thực thi.
- Phân tích lưu lượng mạng.
- Cập nhật lại các quy định tường lửa hoặc thiết bị phòng chống.
- Tự động cô lập các thiết bị bị nhiễm.
- Ngắt các kết nối ra ngoài đến các tổ chức chỉ huy và kiểm soát (C&C).
- Xác định dữ liệu gởi ra bên ngoài.
2. Kiến trúc Damballa FailSafe
2.1 Vị trí của Damballa FailSafe
An ninh mạng là vô cùng phức tạp, có thể chia làm 03 giai đoạn:
- Giai đoạn ngăn chặn tấn công và phần mềm độc hại đưa vào bên trong hệ thống mạng.
- Phát hiện những lây nhiễm hoạt động ẩn trong hệ thống mạng.
- Dừng thiệt hại ngay tức thời và chính xác.
2.2 Kiến trúc Damballa FailSafe
Damballa FailSafe hoạt động dựa trên kiến trúc hub & spoke. Các cảm biến được đặt ở những vị trí chủ chốt trong hạ tầng mạng để quan sát tất cả các lưu lượng đi qua các cổng cả hai hướng (Egress, Proxy, và DNS). Các cảm biến và các bộ Deep Packet Inspections Engines của nó sẽ lắng nghe lưu lượng mạng thụ động qua thiết bị như PAN hoặc lưu lượng SPAN. Các cảm biến cũng giao tiếp với nhau để theo dõi hoạt động của các thiết bị hoạt động theo thời gian. Các bằng chứng nghi ngờ được gởi về Management console để kiểm tra bởi Case Analyzer và sau đó đưa ra các phán quyết. Tất cả các bằng chứng phải được gởi về MC.
Damballa giám sát lưu lượng mạng đang hoạt động, xem xét các chẩn đoán, những bằng chứng và đưa ra các hướng làm sạch hoạt động.
Lưu lượng SPAN cần thiết cho Damballa FailSafe:
- Lưu lượng DNS
- Lưu lượng Proxy
- Lưu lượng Egress
3. Công nghệ phân tích Damballa FailSafe
Damballa FailSafe cung cấp các phân tích về các mối đe dọa dựa trên Big Data, cho phép hiện thị thành công các lây nhiễm trong hệ thống mạng, bao gồm cả các mối đe dọa chưa từng thấy trước đây.