1. Vai trò Damballa Failsafe Damballa Failsafe cung cấp một sức mạnh đáng kể giúp cải thiện khả năng phòng thủ, phát hiện các mối đe dọa tiềm ẩn và đưa ra các phản ứng nhanh chóng và chính xác chống lại các hành vi đánh cắp dữ liệu:
  • Giám sát và chẩn đoán các hoạt động mạng trong hạ tầng từ các bộ cảm biến thụ động dễ dàng cài đặt và không cần các cấu hình phức tạp.
  • Cung cấp các chứng cứ, xác định hành vi đe dọa liên quan, đồng thời cung cấp đánh giá chi tiết cùng các khuyến nghị nhằm nâng cao năng lực của hạ tầng.
  • Hỗ trợ tích hợp với các thiết bị khác cho phép làm sạch các thiết bị bị nhiễm, đóng các lỗ hỏng bảo mật và nâng cao hiệu quả hoạt động của các thiết bị hiện có.
Damballa Failsafe giúp các doanh nghiệp, tổ chức theo nhiều cách khác thức khác nhau:
  • Hiểu được điểm yếu của các công cụ phòng thủ.
  • Đáp ứng các tiêu chuẩn tuân thủ trong việc kiểm soát liên tục các mối đe dọa.
  • Định vị chính xác các hoạt động giao tiếp của thiết bị với các tác nhân đe dọa.
  • Hiểu được sức khỏe tổng thể của toàn hệ thống mạng.
  • Kiểm soát đặc biệt hạ tầng mạng trong các thương vụ mua lại doanh nghiệp.
Quét lỗ hỏng và kiểm tra thâm nhập truyền thống chỉ phát hiện ra các hướng tấn công. Các tội phạm mạng cao cấp, được tổ chức bài bản dễ dàng vượt qua các hệ thống phòng thủ truyền thống. Một khi đã ẩn mình bên trong hạ tầng mạng, khả năng phát hiện và hiểu được nội dung bên trong các cuộc tấn công là vấn đề hết sức quan trọng. Damballa FailSafe cung cấp một cái nhìn toàn diện về các cuộc tấn công:
  • Các mối đe dọa bên trong hạ tầng.
  • Các hoạt động giao tiếp của thiết bị đầu cuối với các tổ chức chỉ huy và kiểm soát (C&C).
  • Các tập tin tải ứng dụng và và thực thi.
  • Phân tích lưu lượng mạng.
Khi sử dụng đúng công cụ để phát hiện các tổ chức chỉ huy và kiểm soát (C&C), doanh nghiệp, tổ chức có thể ngăn chặn các hành vi trộm cắp dữ liệu. Damballa FailSafe cung cấp các thông tin về C&C và giúp cho doanh nghiệp, tổ chức có các hành động cụ thể chống lại các mối đe dọa:
  • Cập nhật lại các quy định tường lửa hoặc thiết bị phòng chống.
  • Tự động cô lập các thiết bị bị nhiễm.
  • Ngắt các kết nối ra ngoài đến các tổ chức chỉ huy và kiểm soát (C&C).
  • Xác định dữ liệu gởi ra bên ngoài.
2. Kiến trúc Damballa FailSafe 2.1 Vị trí của Damballa FailSafe An ninh mạng là vô cùng phức tạp, có thể chia làm 03 giai đoạn:
  • Giai đoạn ngăn chặn tấn công và phần mềm độc hại đưa vào bên trong hệ thống mạng.
  • Phát hiện những lây nhiễm hoạt động ẩn trong hệ thống mạng.
  • Dừng thiệt hại ngay tức thời và chính xác.
Trong lịch sử, các doanh nghiệp đã tập trung vào việc ngăn chặn các cuộc tấn công. Nhưng phần mềm độc hại biến thể và xuất hiện mới liên tục làm cho các công nghệ phòng chống không theo kịp. Do đó các hệ thống phòng chống sẽ nhanh chóng bị vượt qua, và thiết bị bị lây nhiễm hoạt động trong hạ tầng mạng gây ra những rủi ro rất lớn trong tổ chức. Damballa FailSafe tập trung vào giai đoạn phát hiện những lây nhiễm, lổ hỏng bảo mật đang hoạt động ẩn bên trong hệ thống mạng của các tổ chức doanh nghiệp, giúp nhanh chóng phát hiện giải quyết vấn đề trước khi sự mất mát xảy ra.
2.2 Kiến trúc Damballa FailSafe Damballa FailSafe hoạt động dựa trên kiến trúc hub & spoke. Các cảm biến được đặt ở những vị trí chủ chốt trong hạ tầng mạng để quan sát tất cả các lưu lượng đi qua các cổng cả hai hướng (Egress, Proxy, và DNS). Các cảm biến và các bộ Deep Packet Inspections Engines của nó sẽ lắng nghe lưu lượng mạng thụ động qua thiết bị như PAN hoặc lưu lượng SPAN. Các cảm biến cũng giao tiếp với nhau để theo dõi hoạt động của các thiết bị hoạt động theo thời gian. Các bằng chứng nghi ngờ được gởi về Management console để kiểm tra bởi Case Analyzer và sau đó đưa ra các phán quyết. Tất cả các bằng chứng phải được gởi về MC. Damballa giám sát lưu lượng mạng đang hoạt động, xem xét các chẩn đoán, những bằng chứng và đưa ra các hướng làm sạch hoạt động. Lưu lượng SPAN cần thiết cho Damballa FailSafe:
  • Lưu lượng DNS
  • Lưu lượng Proxy
  • Lưu lượng Egress
3. Công nghệ phân tích Damballa FailSafe Damballa FailSafe cung cấp các phân tích về các mối đe dọa dựa trên Big Data, cho phép hiện thị thành công các lây nhiễm trong hệ thống mạng, bao gồm cả các mối đe dọa chưa từng thấy trước đây.