A. Giới thiệu
1. Các mối nguy hại đối với hệ thống mạng
Cuộc chiến giữa những kẻ tấn công (hacker) nhằm phá hoại, đánh cắp dữ liệu với đội ngũ quản trị an ninh mạng đang diễn ra hàng ngày, hàng giờ. Các thủ đoạn, phương pháp, kỹ thuật tấn công của tội phạm mạng ngày càng diễn ra với nhiều thủ đoạn, công nghệ mới và tinh vi hơn. Cụ thể theo như báo cáo điều tra về việc mất an toàn dữ liệu vào năm 2019 của Verizon có tới 43% các doanh nghiệp vừa và nhỏ là mục tiêu tấn công của hacker và 71% các doanh nghiệp này thuộc vào lĩnh vực tài chính.
Nghiên cứu cho thấy gần 80% các vụ vi phạm được phát hiện là do các tác nhân bên ngoài trong khi 20% còn lại liên quan đến các tác nhân bên trong. Thật không may, các giải pháp bảo mật phản ứng ngày nay thường tập trung vào việc bảo vệ các mối đe dọa bên ngoài hoặc bên trong chứ không phải cả hai.
2. Giới thiệu giải pháp FortiDeceptor
FortiDeceptor dựa trên công nghệ đánh lừa bổ sung cho chiến lược bảo vệ vi phạm hiện có của tổ chức, được thiết kế để đánh lừa, vạch trần và loại bỏ các cuộc tấn công bắt nguồn từ các nguồn bên ngoài hoặc bên trong trước khi bất kỳ thiệt hại thực sự nào xảy ra.
FortiDeceptor kết hợp với các thành phần khác trong Security Fabric, sử dụng phương pháp kỹ thuật cho phép các tổ chức nhanh chóng tạo ra một mạng ngụy trang thông qua việc triển khai tự động các quá trình trao đổi thông tin với cơ sở hạ tầng CNTT / OT hiện có để dụ những kẻ tấn công lộ diện. FortiDeceptor có thể coi như một hệ thống cảnh báo sớm bằng cách cung cấp khả năng phát hiện chính xác liên quan đến chi tiết hoạt động của kẻ tấn công và dự báo cho một chiến dịch đe dọa rộng lớn hơn. Thông tin tình báo về mối đe dọa thu được từ FortiDeceptor được chia sẻ trong Security Fabric để có thể áp dụng biện pháp bảo vệ tự động, ngăn chặn các cuộc tấn công trước khi có bất kỳ thiệt hại thực sự nào.
B. Tính năng
FortiDeceptor được thiết kế để đánh lừa, vách trần và ngăn chặn các cuộc tấn công nâng cao bằng cách ngăn chặn các cuộc tấn công một cách sớm nhất và khám phá được các mã độc bằng một cách nào đó đã vượt qua được hệ thống phòng thủ truyền thống của doanh nghiệp. FortiDeceptor tự động tạo ra lớp phòng thủ trong hệ thống bằng cách đánh lừa, vạch trần và ngăn chặn các cuộc tấn công trước khi chúng kịp phá hoại hệ thống.
1. Đánh lừa (Deceive)
FortiDeceptor đánh lừa các loại tấn công ngay cả khi chúng xuất từ bên ngoài hay bên trong hệ thống mạng bằng hệ thống các máy ảo được quản trị tập trung. Các máy ảo được triển khai phân bố trên Windows, Linux, VPN, và SCADA khiến cho các mã độc tấn công không thể phân biệt được đâu là máy chủ thật, đâu là giả mạo, dẫn dụ chúng lộ diện với các hành vi phá hoại, đánh cắp.
2. Vạch trần (Expose)
Nếu các phần mềm độc hại có hành vi, ngay lập tức chúng sẽ bị phát hiện, và từ đó FortiDeceptor sẽ gửi cảnh báo. Tất cả cách hành vi phá hoại, đánh cắp dữ liệu sẽ được theo dõi và ghi lại, sau đó được gửi đến đội ngũ quản trị viên thông qua giao diện Web, Email, SNMP traps, logs và sự kiện thông qua FortiSIEM và FortiAnalyzer. Tương quan các thông tin từ nhiều nguồn từ đó phát hiện ra chiến dịch tấn công của hacker một cách sớm nhất.
3. Ngăn chặn
FortiDeceptor ngăn chặn các cuộc tấn công bằng cách cách ly hoàn toàn chúng với FortiGate trong Security Fabric. Nhận diện các xâm nhập và mã độc có trong hệ thống mạng.
C. Mô hình triển khai
Mô hình triển khai FortiDeceptor cụ thể như sau:
1. FortiDeceptor triển khai hệ thống “mồi nhử” với các loại hệ điều hành khác nhau sử dụng các loại dịch vụ nhằm thu hút các loại mã độc (ví dụ: dịch vụ SMB / SQL / SSH)
2. FortiDeceptor hoạt động như một hệ thống cảnh báo sớm phơi bày ý định xấu của kẻ tấn công và theo dõi các hành vu, cảnh báo thời gian thực được gửi tới FortiDeceptor, cũng như FortiAnalyzer và FortiSIEM để xem xét và xác thực. FortiDeceptor áp dụng phân tích đến một tập hợp các sự kiện bảo mật tổng hợp và tương quan chúng với các chiến dịch tấn công.
3. FortiDeceptor cho phép nhà phân tích bảo mật tự điều tra và áp dụng biện pháp khắc phục thủ công hoặc tự động chặn các cuộc tấn công dựa trên về mức độ nghiêm trọng trước khi thiệt hại thực sự xảy ra thông qua tích hợp với FortiGate để cách ly địa chỉ IP của tác nhân đe dọa.
D. Lợi ích của FortiDeceptor
- Triển khai các hệ thống máy ảo trong cả mạng OT và IT nhằm dẫn dụ các hành vi phá hoại, đánh cắp dữ liệu của hacker
- Giám sát và thu thập các hành vi, chiến dịch tấn công hệ thống với các thông tin chi tiết như thời gian đăng nhập, đăng xuất, theo dõi động cơ, và các hành động xem, sửa, xóa dữ liệu trên các VM “mồi nhử”
- Giúp ngăn chặn các mối nguy hại từ cả bên trong lẫn bên ngoài mạng nhờ việc phát hiện ra các xâm nhập, mã độc, và trang web độc hại.
- Có khả năng kết hợp với FortiGate trong Security Fabric để tự động cách ly các nguồn tấn công, kết hợp với FortiSIEM và FortiAnalyzer để tăng khả năng điều tra và phân tích.
- Có khả năng tạo báo cáo về các hành vi và chiến dịch phá hoại.
- Có khả năng cảnh báo và gửi cảnh báo qua Email, SNMP traps, Event, syslog.
E. Hiệu suất thiết bị
1. Thiết bị ảo hóa
2. Thiết bị phần cứng
