Embedded Files
1. XDR là gì ?
1. XDR là gì ?
Phát hiện và ứng phó mở rộng, thường được viết tắt là XDR, là một nền tảng sự cố bảo mật hợp nhất sử dụng AI và tự động hóa. Nền tảng này cung cấp cho các tổ chức một cách toàn diện, hiệu quả để bảo vệ chống lại và ứng phó với các cuộc tấn công cấp cao trên mạng.
Các doanh nghiệp ngày càng hoạt động nhiều trong môi trường đa đám mây và kết hợp, nơi họ phải đối mặt với tình trạng gia tăng mối đe dọa trên mạng và các thách thức phức tạp về bảo mật. Ngược lại với các hệ thống được nhắm mục tiêu như phát hiện và ứng phó tại điểm cuối (EDR), các nền tảng XDR mở rộng phạm vi bảo vệ để chống lại các loại tấn công mạng tinh vi hơn. Các nền tảng này tích hợp khả năng phát hiện, điều tra và ứng phó trên nhiều miền hơn, bao gồm điểm cuối, danh tính kết hợp, khối lượng công việc và ứng dụng đám mây, email cũng như kho dữ liệu của tổ chức. Các nền tảng này cũng thúc đẩy hiệu quả trong toàn bộ các cơ sở hoạt động bảo mật với khả năng quan sát chuỗi tấn công cấp cao qua mạng, phân tích và tự động hóa dựa trên AI cũng như thông tin về mối đe dọa trên diện rộng.
2. Giới thiệu về Group-IB
2. Giới thiệu về Group-IB
Group-IB là công ty hàng đầu toàn cầu về các giải pháp Tìm kiếm các mối đe dọa, Cung cấp thông tin tình báo có độ chính xác cao, Phòng chống gian lận tốt nhất trong ngành bảo mật, hỗ trợ các cuộc điều tra mạng với quy mô lớn và nổi tiếng.
Group-IB đã phát triển một hệ sinh thái toàn diện sử dụng các công nghệ độc quyền để theo dõi các hoạt động độc hại, trích xuất và phân tích dữ liệu về mối đe dọa, lập bản đồ các hoạt động của các hội nhóm/cá nhân tấn công bảo mật và làm giàu hồ sơ thông tin về các hội nhóm, cá nhân này. Group-IB liên tục phát triển và tối ưu hệ sinh thái giải pháp bằng kinh nghiệm có được sau nhiều năm từ phân tích pháp y và ứng phó sự cố, cũng như sự tham gia của Group-IB trong các cuộc điều tra tội phạm mạng với quy mô lớn trên thế giới.
Bất kỳ tổ chức nào cũng có thể trở thành nạn nhân của một cuộc tấn công mạng. Sự an toàn bảo mật của một tổ chức phụ thuộc vào mức độ và cách thức bảo vệ hệ thống thông tin của tổ chức đó.
Bảo vệ toàn diện có thể được đảm bảo bằng cách sử dụng một hệ thống tập trung phát hiện các cuộc tấn công trong thời gian thực, giúp ứng phó với các sự cố giúp ngăn chặn và giảm thiểu một cách tối đa hậu quả của các cuộc tấn công gây ra. Giải pháp Extended Detection and Response (XDR) của Group-IB được thiết kế để giải quyết các thách thức về an ninh mạng và đảm bảo an ninh cơ sở hạ tầng.
3. Tổng quan giải pháp Group-IB XDR
3. Tổng quan giải pháp Group-IB XDR
Giải pháp Group-IB XDR được thiết kế sử dụng nhiều nguồn dữ liệu khổng lồ kế thừa từ Group-IB Platform cũng như các công cụ và công nghệ bảo mật được tối ưu và phát triển hàng ngày, mang lại khả năng phát hiện và phản hồi vượt trội.
Được hỗ trợ bởi các nguồn thông tin từ Group-IB Threat Intelligence, trên các mạng, thiết bị đầu cuối, hạ tầng cloud, công cụ phân tích mã độc và các công nghệ AI/ML để tương quan sự kiện, Group-IB XDR hoạt động hiệu quả trong việc thu thập dữ liệu, tổng hợp, phân tích và đưa ra các thông tin có giá trị cho toàn bộ hạ tầng thông tin của khách hàng.
Kiến trúc giải pháp bao gồm các chức năng sau:
• Network Traffic Analysis (NTA) được thiết kế để phân tích các gói dữ liệu đến và đi. Sử dụng bộ cơ sở dữ liệu signature của mình, XDR phát hiện các tương
tác giữa các thiết bị nhiễm mã độc và các C&C server, các bất thường về lưu lượng và hành vi của các thiết bị trong mạng. Ngoài ra, các thông tin nhiều nguồn dữ liệu liên quan cũng được trích xuất để làm giàu nguồn thông tin đầu vào, giúp việc phân tích được thực thi một cách hiệu quả.
• Malware Detonation Platform (MDP) hoạt động như một hệ thống sandboxing, hỗ trợ phân tích hành vi của các tệp được trích xuất từ email, lưu lượng mạng, hệ thống lưu trữ, PC và các nguồn khác. Quá trình phân tích được thực hiện trong môi trường sandboxing với công nghệ tiên tiến cung cấp khả năng trích xuất IoC sâu và chống lại các kỹ thuật che giấu của mã độc.
• Endpoint Detection and Response (EDR) cung cấp khả năng kiểm soát thông tin và bảo vệ thiết bị đầu cuối trước các cuộc tấn công có chủ đích. EDR hỗ trợ thu thập thông tin trên thiết bị đầu cuối, dữ liệu liên quan đến hoạt động của thiết bị, phát hiện các hành vi bất thường trên thiết bị đầu cuối và hỗ trợ phản hồi xử lý trước những bất thường đó.
• Business Email Protection (BEP) hỗ trợ chặn lọc và tìm kiếm các mối đe doạ liên quan đến email bằng công nghệ bảo mật email đã được cấp bằng sáng chế. BEP có thể được triển khai trên nền tảng On-prems hoặc On-cloud dưới dạng giải pháp SaaS.
• XDR Console tổng hợp các nguồn thông tin, tự tương quan các sự kiện và cung cấp platform để kết nối với những chuyên gia Group-IB, phân tích và phản hồi trước những threat. XDR Console là một hệ thống quản trị duy nhất giúp kiểm soát toàn bộ hạ tầng bảo mật.
4. Tính năng chi tiết của giải pháp Group-IB XDR
4. Tính năng chi tiết của giải pháp Group-IB XDR
4.1 Network Traffic Analysis
Kiến trúc
Là sensors có khả năng thu thập dữ liệu và tích hợp với các thành phần MDP, XDR Console và TI.
Khả năng tích hợp
Dữ liệu được thu thập được gửi tới Data lake để phân tích sâu hơn thông qua XDR Console.
XDR Console kiểm soát và giám sát những vùng mạng có sensor được tích hợp, phát hiện những vẫn đề trong mạng và phân tích lưu lượng
Những dữ liệu dạng đối tượng (file, email,…) được bóc tách từ lưu lượng sẽ được gửi tới MDP.
TI sẽ là nguồn dữ liệu tham chiếu làm giàu thêm cho những vấn đề được phát hiện bởi sensor và MDP.
Tuỳ chọn triển khai
ISO image deployment
On-premises appliance
Virtual Appliances
Giao thức hỗ trợ
HTTP, HTTPS, SMB, CIFS, POP3, SMTP, GRE, FTP, NFS, NTP, TFTP, RDP
Tích hợp
Mail systems (SMTP/S, POP3/S, IMAP/S)
File storages (SMB, WebDAV, NFS, FTP)
Proxy servers
Syslog với hầu hết các hệ thống SIEM
SNMP tích hợp với các hệ thống giám sát
API
Các tính năng chính
Hỗ trợ phân tích lưu lượng với các giao thức mạng từ L2-L7.
Thu thập log mạng với các thông tin metadata về các kết nối trong mạng
Phân tích lưu lượng dựa trên signature với việc hỗ trợ các signature dạng Suricata.
YARA Rules
Phát hiện Covert Channel theo các cách thức:
- DNS Tunneling
- ICMP Tunneling
- Domain Generation Algorithms
Cập nhật các IoC mới nhất từ hệ thống Threat Intelligence
Phát hiện các hành vi leo thang trong mạng
Phân tích dữ liệu mã hoá Encrypted Traffic Analysis (ETA)
Phát hiện Threat dựa trên SSL certificate fingerprints.
Phát hiện các lưu lượng tới C&C Server dựa trên công nghệ AI/ML
Tự động tạo chính sách dựa trên kết quả phân tích trên MDP
Phát hiện bất thường trong lưu lượng
Phát hiện việc lộ lọt dữ liệu trong các giao thức ứng dụng
Phân tích dữ liệu được giải mã hoá từ proxy server thông qua giao thức ICAP.
Phát hiện covert tunnel trong những ứng dụng chính thống, thông thường.
Các nguồn dữ liệu có thể bóc tách object
Lưu lượng mạng
Lưu lượng email
File Storages
Proxy Servers
Khả năng lưu trữ để phân tích
Lưu trữ dump lưu lượng mạng dạng PCAP.
Lưu trữ metadata của các kết nối mạng.
4.2. Malware Detonation Platform
Kiến trúc
Là hệ thống có thể được triển khai trên nền tảng ảo hoá, on- prems appliance hoặc trên cloud. Các Object thu thập được từ các thành phần khác hoặc được upload thủ công lên MDP sẽ được MDP phân tích.
Khả năng tích hợp với XDR
Object sẽ được bóc tách từ NTA, EDR agent hoặc upload (qua API hoặc thủ công).
XDR Console cho phép tuỳ biến VMs và truy cập vào quá trình phân tích.
Các báo cáo chuyên sâu từ TI khả dụng trên XDR Console cho phép admin có thể thực hiện các tác động chuyên sâu hơn.
TI sẽ là nguồn dữ liệu tham chiếu giúp việc phát hiện threat MDP hiệu quả hơn.
Tùy chọn triển khai
ISO image deployment
On-premises appliance
On Cloud
Nguồn trích xuất Object
Lưu lượng Email (SMTP/S, POP3/S, IMAP/S)
Proxy servers (ICAP)
Lưu lượng SPAN
Các hệ thống lưu trữ nội bộ/công khai
Thiết bị đầu cuối & Server
Upload thủ công
Tích hợp bên ngoài
Ready-made SOAR integrations
API
Python library
Các tính năng chính
Tự động tuỳ biến VMs để phân tích: Tích hợp các OS Image bổ sung, các tham số tuỳ biến.
Các định dạng hỗ trợ là hơn 250 định dạng object được hỗ trợ phân tích, bao gồm: Web objects, Office documents, Scripts, Macros, Archives.
Phân tích đường dẫn:
- Bao gồm các đường dẫn ẩn trong file đính kèm.
- Công nghệ Retrospective Analysis để phát hiện các chiến dịch Delayed Attack.
- Các công nghệ nâng cao để phân tích và chống các kỹ thuật ẩn mình của mã độc:
Static Analysis: AV scanning, YARA rules, IoCs from Threat Intelligence
Dynamic Analysis:
+ Network Activity Analysis với các thành phần NTA.
+ Retrospective analysis hỗ trợ phân tích các đường dẫn phát hiện các chiến dịch Delayed Attack.
+ Giả lập các hoạt động của người dùng (di chuyển chuột, gõ phím, đổi cửa sổ)
+ Công nghệ về Computer vision.
+ Chạy lệnh mực Registry
+ Tự tìm kiếm password giải nén trong từ điển, email chứa file đính kèm hoặc các email gần email chứa file đính kèm. • Phân loại hành vi dựa trên ML
+ Behavioral signatures
+ Xuất IoC
+ Hỗ trợ tự động khởi động lại VM và thực hiện lại các hành vi phân tích với các tham số phù hợp.
+ Xuất cấu hình mã độc
+ Cung cấp các thông tin về họ mã độc và các hacker liên quan.
Kiểm soát trong quá trình phân tích:
+ Hỗ trợ kết nối từ xa vào VMs trong quá trình phân tích.
+ Tuỳ biến image để giống với môi trường host thực tế.
+ Cho phép chọn các node ở các vùng khác nhau.
+ Fake SMTP option để phân tích
+ Hỗ trợ Mitmproxy
+ Tuỳ chọn cấu hình DNS
+ Cho phép chọn phân giải màn hình
+ Cho phép đặt các tham số khởi chạy.
Tích hợp các thành phần XDR:
Tích hợp NTA để nhận file từ lưu lượng mạng, các tài nguyên chia sẻ, proxy và các mail server.
Tích hợp EDR để phân tích file từ endpoint & server.
Tích hợp qua API.
Các báo cáo chuyên sâu:
MITRE ATT&CK Matrix vào mapping với hành vi
Cấu hình mã độc
Video phân tích
Đánh điểm mã độc
Cây tiến trình
Kiến trúc Object
Xuất IoC
Các hoạt động về mạng
Các thông tin liên quan đến mã độc
4.3. Endpoint Detection and Response
Kiến trúc: Endpoint Detection and Response (EDR) là tính năng được thực thi bởi Agent cài đặt trên endpoint, tích hợp với MDP, XDR Console và Threat Intelligence. EDR cũng nhận những tín hiệu từ những giải pháp về endpoint của các hãng khác.
Khả năng tích hợp với XDR:
Các thông tin mức đầu cuối được gửi đến XDR Console để phân tích.
XDR Console kiểm soát và giám sát các EDR Agent được cài đặt và phân tích những sự cố phát sinh.
Object được trích xuất từ Endpoints và gửi tới MDP.
TI sẽ là nguồn dữ liệu tham chiếu giúp việc phát hiện threat mức host hiệu quả hơn.
Hỗ trợ phân tích các hoạt động mức mạng trên các host-level object.
XDR Console có thể được sử dụng để thực thi phản hồi xử lý mức host thông qua EDR Agent, bao gồm cả quyền truy cập từ xa.
OS hỗ trợ cài đặt EDR Agent:
Windows 7, 8/8.1, 10, 11
Windows Server 2008, Windows Server 2012 (r2), Windows Server 2016, Windows Server 2019
Oracle Linux 8, CentOS 7+, Fedora 33+, Ubuntu 20.04+, Arch Linux, Manjaro Linux, Linux Mint
Các tính năng chính
Phát hiện mức host-level:
• Phân tích hành vi dựa trên công nghệ Machine Learning.
• Hỗ trợ chính sách tuỳ biến, phát hiện các event theo signature.
• YARA rules
• Phát hiện theo các Threat Intelligence IoCs
• Hỗ trợ phân tách các Object và phân tích trên MDP
• Tích hợp NTA phân tích các hoạt động trên mạng
• Phát hiện thêm bằng cách kết hợp các cảnh báo với các agent AV/EDR/EPP khác.
Ngăn chặn threat:
• Chặn việc khởi chạy mã độc
• Application control
Phản hồi:
• Tắt process
• Quarantine các object
• Truy cập từ xa tới host
• Thu thập dữ liệu để phân tích
• Host isolation
4.4. Business Email Protection
Kiến trúc: Business Email Protection có thể được triển khai một cách linh hoạt, trên môi trường On-prems bằng NTA Applicance tích hợp với MDP hoặc triển khai hoàn toàn trên nền tàng On-Cloud dưới dạng SaaS.
Khả năng tích hợp với XDR
Các phân tích chuyên sâu các object từ lưu lượng email từ MDP với các tuỳ biến bổ sung cho tính năng bảo mật cho email.
Các NTA Appliance cung cấp khả nnawg phân tích lưu lượng theo thời gian thực cho tổ chức với kiến trúc On-prems.
XDR Console cung cấp một trình cấu hình tuần thự (Configuration Wizard) cho việc triển khai Email Protection trên nền tảng Cloud.
XDR Console phân tích các email chứa mã độc, bao gồm phân tích file đính kèm và các đường link.
TI sẽ là nguồn dữ liệu tham chiếu giúp việc phát hiện và phân tích cho BEP.
Traffic Tunneling
Giải pháp trên hạ tầng cloud cho phép tạo các exit node để chống các kỹ thuật lần tránh.
Malware Detonation được cấu hình tương đương với môi trường thật để xác định chính xác Network IoC của mã độc.
Image Morphing
Options for custom image modifications of VMs including: Tuỳ biến các VM Image bao gồm:
Join domain với tên xác định.
Đổi username patterns
Cài đặt các ứng dụng đặc thù bên trong môi trường cloud.
…
Các tính năng chính
Phân tích đường dẫn và file đính kèm: Hỗ trợ 290+ định dạng, bao gồm
• Web objects
• Office documents
• Scripts
• Macros
• Archives
• …
Tự tìm kiếm password giải nén trong từ điển, email chứa file đính kèm hoặc các email gần email chứa file đính kèm.
Các công nghệ phòng chống kỹ thuật lẩn trốn của mã độc:
• Giám sát WinAPI.
• Tự động khởi chạy lại theo thời gian để xử lý riêng những mã độc theo thời gian.
• Sử dụng những tham số thực tế để thiết lập môi trường.
• Sử dụng những phiên bản phần mềm thực tế trong môi trường giả lập.
• Công nghệ Retrospective link analysis.
• Định nghĩa những điều kiện bổ sung trong quá trình giả lập, phân tích (OS reboot, macros, mở ứng dụng, mở theo thời gian, vv..vv...).
• Hệ thống giả lập những hành động của người dùng.
• Chạy lệnh trên Registry.
• Tự tìm kiếm password giải nén trong từ điển, email chứa file đính kèm hoặc các email gần email chứa file đính kèm.
• Hỗ trợ từ Malware Detonation Platform.
- Các tính năng nâng cao về bảo mật email:
• Quét AV trên file đính kèm
• Lọc thư rác
• Lọc nội dung theo policy
• Thu thập meta log & lịch sử email
Post-delivery protection (trích xuất các email đã được gửi đã được chứng minh là độc hại bằng kỹ thuật retrospective analysis).
5. GÓI DỊCH VỤ VÀ TRIỂN KHAI
5. GÓI DỊCH VỤ VÀ TRIỂN KHAI
Group-IB XDR cung cấp 03 gói dịch vụ XDR– Standard, Pro và Enterprise và license tính theo số lượng endpoints.
Phạm vi của professional services bao gồm:
Xây dựng kế hoạch chi tiết để triển khai giải pháp XDR vào mạng lưới.
Triển khai cài đặt và tích hợp với hạ tầng mạng lưới của khách hàng.
Triển khai cài đặt thiết bị Network Traffic Analysis kết nối thu thập dữ liệu từ các nguồn SPAN/TAP lưu lượng mạng.
Tích hợp với hệ thống email (nếu cần).
Tích hợp với các hệ thống thiết bị (như proxy, NGFW,…) của khách hàng thông qua giao thức ICAP (nếu cần).
Page updated
Google Sites
Report abuse