Giải pháp chống tấn công APT của Kaspersky

GIẢI PHÁP QUẢN LÝ MỐI ĐE DỌA VÀ BẢO VỆ CỦA KASPERSKY

1. Tổng quan

Tổng quan giải pháp

Trong khi phần lớn các mối đe dọa trực tuyến đơn giản có thể bị chặn bởi các sản phẩm bảo mật truyền thống, dựa trên signature và tăng cường heuristic, thì ngày nay, tội phạm mạng và tin tặc đang sử dụng các cuộc tấn công ngày càng tinh vi – để nhắm vào các doanh nghiệp. Các cuộc tấn công có chủ đích – bao gồm các mối đe dọa liên tục nâng cao (APT) – hiện là một trong những rủi ro nguy hiểm nhất mà các doanh nghiệp phải đối phó. Tuy nhiên, trong khi các mối đe dọa và các kỹ thuật mà tội phạm mạng và tin tặc sử dụng – liên tục phát triển, nhiều doanh nghiệp không thể điều chỉnh các chiến lược bảo mật của họ.

Để duy trì một chiến lược an ninh hiệu quả chống lại những hiểm họa tiên tiến và tấn công có chủ đích, các công ty phải suy nghĩ theo dạng chu kỳ thích nghi vĩnh viễn: phòng ngừa, tìm kiếm, phản ứng và dự đoán. Đây là những trụ cột quan trọng nhất của an ninh mạng, và cũng là cách tiếp cận được chứng minh thực sự chống lại những mối đe dọa thế hệ mới. Hệ thống an ninh của phòng thí nghiệm Kasperky Lab cung cấp cho các tổ chức khả năng duy trì hệ thống an ninh mạng trong mỗi giai đoạn của chu kỳ thích nghi vĩnh viễn như sau:

• Ngăn chặn – giảm nguy cơ các mối đe dọa tiên tiến và các cuộc tấn công có chủ đích
• Phát hiện – xác định các hoạt động có thể báo hiệu một cuộc tấn công có chủ đích
• Phản ứng – làm đầy các khoảng cách an ninh và điều tra các cuộc tấn công
• Dự đoán – nơi các cuộc tấn công có chủ đích mới có thể xuất hiện

Giải pháp:

• Giải pháp chống APT chuyên dụng để phát hiện các mối đe dọa tinh vi đa tầng – Nền tảng chống tấn công có chủ đích KATA (Kaspersky Anti Targeted Attack) của Kaspersky
• Giải pháp tự động điều tra và phản ứng sự cố dựa trên agent tích hợp – Phát hiện và phản hồi điểm cuối KEDR (Kaspersky Endpoint Detection and Response) của Kaspersky
• Cơ sở dữ liệu thống kê mối đe dọa và uy tín – Mạng riêng tư bảo mật KPSN (Kaspersky Private Security Network) của Kaspersky

Dịch vụ:

Đào tạo KATA:

• Đào tạo tại chỗ 2 ngày cho Quản trị viên hệ thống CNTT
• Hội thảo 1 ngày tại chỗ dành cho Chuyên gia phân tích bảo mật (nhóm SOC)
• Đào tạo tại chỗ 5 ngày cho nhóm Điều tra và Phản ứng sự cố

Ứng phó sự cố:

• Gói đăng ký phản hồi sự cố từ xa
• Gói đăng ký phản hồi sự cố tại chỗ

Cơ sở dữ liệu tình báo Threat Intelligence để điều tra:

• Cổng tra cứu mối đe dọa của Kaspersky (Kaspersky Threat Lookup)

Truy tìm mối đe dọa (Threat Hunting):

• Quản lý bảo vệ của Kaspersky (Kaspersky Managed Protection)
• Hỗ trợ:
• Hỗ trợ kỹ thuật cao cấp 24/7 – MSA
• Trình quản lý tài khoản bảo mật chuyên dụng – SAM
• Dịch vụ chuyên nghiệp để triển khai, nâng cấp phát hành giải pháp trong tương lai và tinh chỉnh

2.1. Cơ sở cải tiến

Sự phát triển trong tương lai của dự án có thể được lên kế hoạch trong những năm tiếp theo, thêm các thành phần chi tiết hàng năm, với cách tiếp cận linh hoạt theo sự phát triển của dự án. Các thành phần có thể có của Chiến lược bảo mật thích ứng Kaspersky được tích hợp đầy đủ có thể bao gồm:

Ngăn chặn:

• Giải pháp bảo vệ điểm cuối được quản lý tập trung (Kaspersky Endpoint Security for Business) có thể được tích hợp với nền tảng được cài đặt trong giai đoạn 1 của dự án và có thể bảo vệ: Máy khách Windows và máy chủ, Linux, Mac, iOS, Android, Hệ điều hành nhúng
• Các giải pháp Mail Antivirus và Antispam có thể được tích hợp với nền tảng thông qua Cổng bảo mật của Kaspersky (cung cấp khả năng phòng ngừa cho các phát hiện KATA)
• Bảo vệ cơ sở hạ tầng ảo có thể được tích hợp với nền tảng, hỗ trợ kiến ​​trúc sau: VMware, NSX, Microsoft Hyper-V, Citrix Xen Server và KVM.
• Bảo mật cho Storages, hỗ trợ các kiến ​​trúc sau: IBM, Oracle, Netapp, DELL, EMC, HP, Hitachi.
• Nền tảng nâng cao nhận thức bảo mật cho nhân viên không không thuộc lĩnh vực bảo mật và nhân viên hỗ trợ CNTT (IT Service Desk)
• Nền tảng nâng cao nhận thức bảo mật cho nhân viên không không thuộc lĩnh vực bảo mật và nhân viên hỗ trợ CNTT
• Các khóa đào tạo cấp 2 nên được lên lịch hai lần một năm để duy trì cập nhật cho nhân viên an ninh về các mối đe dọa và kỹ thuật mới nhất đồng thời đào tạo các nhân viên mới của bộ phận an ninh.

Phát hiện:

• Cải tiến KATA:
• Cảm biến bổ sung lắp đặt cho các văn phòng từ xa (mạng, email, web proxy)
• Khả năng cài đặt thêm các máy chủ Sandbox để tăng số đối tượng quét mỗi ngày
• Nền tảng Deception Threat để phát hiện kẻ tấn công và người trong tổ chức
• Threat Data Feeds điều chỉnh cho các hệ thống SIEM hoặc giải pháp bên thứ 3 khác
• Báo cáo mối đe dọa cụ thể theo quốc gia / khách hàng

Phản hồi:

• Điều chỉnh phát hiện KATA với các tính năng EDR (Phát hiện và phản hồi điểm cuối) thông qua tác nhân duy nhất được tích hợp với nền tảng KESB hoặc một tác nhân độc lập tương thích với Giải pháp Enpoint Protection của bên thứ 3
• Phân tích phần mềm độc hại, Dịch vụ phản ứng pháp y (Digital Forensic) và sự cố kỹ thuật số được cung cấp trực tiếp bởi các chuyên gia của Kaspersky Lab, sử dụng nền tảng hiện có
• Việc đào tạo cấp 3 nên được lên kế hoạch cho một nhóm nhân viên bảo mật có trình độ chuyên môn cao hơn
• Đào tạo YARA cho các nhà nghiên cứu bảo mật về việc triển khai YARA

Dự đoán:

Kiểm tra thâm nhập để thực hiện tìm kiếm chủ động các điểm yếu và tài sản dễ bị tổn thương
Đánh giá bảo mật ứng dụng cho cơ sở hạ tầng CNTT quan trọng (bao gồm PLC, thiết bị GSM, ATM, v.v.)
Kiểm tra toàn bộ cơ sở hạ tầng và hoạt động chung về xây dựng trung tâm pháp y
Cổng tra cứu hiểm họa (Threat Lookup portal) cho các chuyên gia về an ninh mạng liên quan đến phân tích phần mềm độc hại, điều tra sự cố và quy trình nghiên cứu mối đe dọa
Cổng thông tin APT, bao gồm các báo cáo APT đầy đủ (hơn 200+), các quy tắc IOC và Yara có thể được tích hợp trong hệ thống cốt lõi được cài đặt trên tiền đề trong giai đoạn đầu tiên của dự án hoặc giải pháp bên thứ 3 khác

3. Mô tả giải pháp an ninh
Mục tiêu của dự án này là tạo ra một cơ sở hạ tầng bảo mật cho các cuộc tấn công có chủ đích và phát hiện các mối đe dọa tiên tiến, cung cấp hướng dẫn phản ứng vận hành và cho phép các thủ tục điều tra và khắc phục bằng các công cụ tự động hóa. Mục tiêu của dự án này – tạo ra một hệ thống phát hiện nhanh các mối đe dọa tiên tiến và các cuộc tấn công có chủ đích, nhằm mục đích giảm đáng kể thời gian nhận thông tin chính về các sự cố của các cuộc tấn công có chủ đích và các mối đe dọa tiên tiến.

Mục tiêu chính là:

Phát triển chiến lược bảo mật doanh nghiệp dài hạn chống lại các mối đe dọa tinh vi, mới và các vectơ tấn công sắp tới
Trao quyền cho các quy trình bảo mật của công ty và khả năng SOC với Threat Intelligence and Security Analytics
Giảm thiệt hại tài chính và hoạt động do tội phạm mạng gây ra
Giảm thiểu thời gian để khám phá sự thật về sự thỏa hiệp mạng doanh nghiệp
Giảm thiểu sự gián đoạn đối với các quy trình quan trọng trong kinh doanh với các hoạt động trái phép và tội phạm mạng
Tránh các hành động pháp lý tốn kém và các vấn đề pháp lý hoặc tuân thủ
Bảo vệ cơ sở hạ tầng của công ty khỏi thiệt hại lén lút lâu dài
Tránh chi phí khắc phục (như đào tạo bổ sung, nhân sự, hệ thống cứng lại sau sự cố an ninh thành công)
Tăng mức độ bảo mật thông tin chung theo các mức độ đe dọa tiên tiến thực tế mà không cần thay thế các giải pháp bảo mật đã có và thiết kế lại cơ sở hạ tầng CNTT

3.1 Kaspersky Anti Targeted Attack (KATA) platform
Nền tảng chống tấn công có chủ đích của Kaspersky là một phần của cách tiếp cận tích hợp, thích ứng với bảo mật doanh nghiệp. Giám sát lưu lượng mạng theo thời gian thực – kết hợp với phân tích hành vi và sandbox đối tượng – mang đến cái nhìn chi tiết về những gì đang xảy ra trên cơ sở hạ tầng CNTT của doanh nghiệp. Bằng cách tương quan các sự kiện từ nhiều lớp – bao gồm mạng, điểm cuối và bối cảnh mối đe dọa toàn cầu (Threat landscape) – Nền tảng chống tấn công có chủ đích của Kaspersky cung cấp khả năng phát hiện các mối đe dọa phức tạp ‘gần thời gian thực’ và giúp cho phép điều tra hồi cứu.

Nền tảng chống tấn công có chủ đích của Kaspersky sử dụng phát hiện mối đe dọa nhiều lớp được gọi là phát hiện nâng cao – bao gồm đánh giá chi tiết về hoạt động xảy ra trên mạng doanh nghiệp – để giúp bảo vệ doanh nghiệp chống lại các cuộc tấn công tinh vi nhất. Phát hiện nâng cao được tăng cường hơn nữa bằng cách phát hiện máy chủ liên quan đến tấn công nhắm mục tiêu, sử dụng cơ sở dữ liệu được cập nhật liên tục của máy chủ chỉ huy và kiểm soát hoạt động (C&C Server), trang web độc hại và điểm phân phối phần mềm độc hại, dựa trên trí thông minh mới nhất từ ​​nhóm GReAT của Kaspersky Lab, cho phép phát hiện ngay cả các mối đe dọa mới nhất.
3.1.1        KATA components description
Nền tảng chống tấn công có chủ đích của Kaspersky (Kaspersky Anti Targeted Attack Platform) kết hợp phân tích động dựa trên sandbox và khả năng học máy tiên tiến để cung cấp bảo vệ chống lại nhiều mối đe dọa. Nền tảng này bao gồm:

Kiến trúc cảm biến đa lớp – để cung cấp cho bạn tất cả khả năng hiển thị ‘ vòng tròn ‘: Thông qua sự kết hợp đầy đủ của dữ liệu mạng, web & email, và cảm biến điểm cuối (endpoint sensor), Kaspersky Anti Targeted Attack Platform cung cấp phát hiện nâng cao ở mọi cấp cơ sở hạ tầng CNTT doanh nghiệp của bạn
Động cơ phân tích mạnh mẽ – cho các phán quyết nhanh chóng và ít dương tính giả (False positives): Kaspersky Targeted Attack Analyzer đánh số liệu từ cảm biến mạng, cảm biến điểm cuối và nhanh chóng tạo ra các quyết định phát hiện mối đe dọa cho nhóm bảo mật của tổ chức.
Advanced sandbox – để đánh giá các mối đe dọa mới: Kết quả từ hơn 10 năm phát triển liên tục, Advanced sandbox của Kaspersky cung cấp một môi trường bị cô lập, ảo hóa nơi các đối tượng đáng ngờ có thể được thực hiện một cách an toàn – vì vậy hành vi của chúng có thể được quan sát
Thông tin tình báo mối đe dọa toàn cầuGlobal Threat Intelligencemgiải pháp hàng đầu về phân tích dữ liệu lớn (Big Data) trong điện toán an ninh mạng đám mây của Kaspersky (Kaspersky Security Network cloud)

3.1.2        KATA sensors

Giải pháp có các cảm biến linh hoạt cho phép không chỉ tích hợp riêng với các loại lưu lượng khác nhau mà còn thực hiện cả ba loại phân tích (lưu lượng mirrored, mail và web proxy) trên cùng một máy chủ vật lý cho cảm biến
Công nghệ cảm biến mạng (network sensor) có thể phát hiện lưu lượng đáng ngờ và tạo cảnh báo
Cảm biến mạng có thể phát hiện giao tiếp với URL đáng ngờ và độc hại
Cảm biến mạng phân tích loại đối tượng để chỉ cung cấp khả năng áp dụng cho các tệp tấn công vào các công cụ phát hiện
Công nghệ cảm biến có thể hỗ trợ tối đa thông lượng lên tới 2 Gb / giây
Công nghệ cảm biến có thể xác định các chỉ số tấn công trong các mẫu lưu lượng truy cập mạng trong thời gian thực và thực hiện phát hiện phần mềm độc hại lén lút xâm nhập vào mạng thông qua tải xuống ổ đĩa hoặc các cuộc tấn công HTTP nhắm mục tiêu khác khai thác lỗ hổng hoặc truyền ra Internet.
Công nghệ cảm biến có khả năng phân tích và xử lý dữ liệu .pcap của khách hàng. Công nghệ cho phép nhóm bảo mật tải lên dữ liệu .pcap được thu thập từ các nguồn bên ngoài và phát hiện các chỉ số cũng như cảnh báo về các mối đe dọa.
Công nghệ cảm biến có thể lưu trữ lưu lượng mạng để phân tích pháp y mạng (network forensic analysis).
Công nghệ cảm biến thư (email sensor) có thể hỗ trợ thông lượng lên tới 2 Gb / giây
Cảm biến mạng không ảnh hưởng đến tương tác của người dùng
Sensors các cảm biến mạng có thể cung cấp lưu trữ lưu trữ từ email
Các cảm biến có thể thực hiện việc lọc ra SMTP gốc từ SPAN sensors.
Các cảm biến mạng có thể thực hiện các khả năng ngăn chặn email thông qua triển khai lược đồ MTA sensors.
Các cảm biến mạng có thể thực hiện phân tích URL từ lưu lượng email

3.1.3        KATA sandbox

Công nghệ sandboxing hỗ trợ khả năng mở rộng linh hoạt với các tùy chọn phân cụm