Giải pháp bảo mật đa lớp – Wedge AMD
Giải pháp bảo mật đa lớp – Wedge AMB
Wedge Advanced Malware Blocker ™ (WedgeAMB ™) là sản phẩm đầu tiên trong Sê-ri (WedgeARP ™) bảo vệ tuyệt đối theo thời gian thực của Wedge. Giải pháp mang đến sự kết hợp độc đáo giữa việc phát hiện các mối đe dọa hàng đầu với độ chính xác về ngăn chặn hiệu suất cao theo thời gian thực tốt nhất trong ngành. Điều này đạt được nhờ sự tích hợp công nghệ trí tuệ nhân tạo tiên tiến (AI) từ Cylance® với Kiến trúc điều phối bảo mật (Security Orchestrator) được cấp bằng sáng chế của Wedge (WedgeSO ™) và các...Giải pháp bảo mật đa lớp – Wedge AMB
Wedge Advanced Malware Blocker ™ (WedgeAMB ™) là sản phẩm đầu tiên trong Sê-ri (WedgeARP ™) bảo vệ tuyệt đối theo thời gian thực của Wedge. Giải pháp mang đến sự kết hợp độc đáo giữa việc phát hiện các mối đe dọa hàng đầu với độ chính xác về ngăn chặn hiệu suất cao theo thời gian thực tốt nhất trong ngành. Điều này đạt được nhờ sự tích hợp công nghệ trí tuệ nhân tạo tiên tiến (AI) từ Cylance® với Kiến trúc điều phối bảo mật (Security Orchestrator) được cấp bằng sáng chế của Wedge (WedgeSO ™) và các công nghệ chống phần mềm độc hại dựa trên chữ ký (signature) và heuristic, từ những Hãng bảo mật hàng đầu như Kaspersky và Avira, để cung cấp cho ngành giải pháp phòng chống phần mềm độc hại cơ chế inline theo thời gian thực hiệu quả nhất.
WedgeARP cung cấp cả hai dòng sản phẩm dựa trên nền tảng tại trạm (on-premises) và dựa trên nền tảng điện toán đám mây (cloud-based) để hỗ trợ các yêu cầu bảo mật đa dạng của khách hàng. Phương pháp tiếp cận phát triển sản phẩm của Wedge dựa trên ba trụ cột của sự đổi mới:
Bảo mật tuyệt vời bắt đầu với khả năng hiển thị theo thời gian thực
Tại trung tâm của WedgeAMB là Kiến trúc điều phối bảo mật (Security Orchestrator) được cấp bằng sáng chế của Wedge. WedgeAMB được đặt in-line phù hợp với luồng lưu lượng truy cập đi vào và đi ra khỏi mạng, trung tâm dữ liệu hoặc sub net được phân vùng. Khi lưu lượng truy cập đi qua, nó sẽ kiểm tra các gói và tải trọng gói (payload), và sau đó nó sẽ xây dựng lại nội dung tệp (file) đầy đủ, không làm gián đoạn lưu lượng, sử dụng kết hợp giữa việc kiểm tra sâu gói tin (DPI) và kiểm tra nội dung sâu (DCI) được cấp bằng sáng chế. Nội dung gói tin được xây dựng lại hoàn toàn, sau đó nó được quét và phân tích với một loạt các công cụ chặn virus và phần mềm độc hại được tối ưu hóa. Khả năng hiển thị thời gian thực đối với các gói và nội dung được xây dựng lại hoàn chỉnh tạo tiền đề cho việc phát hiện và ngăn chặn chính xác các mối đe dọa thông thường và nâng cao.
Chặn phần mềm độc hại tối ưu hóa bằng nhiều lớp phát hiện
WedgeAMB tích hợp nhiều công nghệ phát hiện phần mềm độc hại và vi rút tốt nhất được phối hợp với WedgeSO. Bước đầu tiên trong quy trình là quét theo cấp độ Hệ thống ngăn chặn xâm nhập trái phép (IPS) của WedgeAMB, để phát hiện và chặn worms và các mối đe dọa lớp 3 (layer 3) khác. Tiếp theo, công cụ DCI (Deep Content Inspection) được sử dụng để phân tách nội dung cần quét thêm từ nội dung sẽ không được quét, chẳng hạn như lưu lượng VOIP, Video Streaming và các nội dung theo chính sách khác được khách hàng định nghĩa “customer-defined”
Tất cả lưu lượng còn lại và nội dung được liên kết sau đó được quét bằng thư viện đầy đủ của Wedge với hơn 100 triệu chữ ký về virus và phần mềm độc hại có nguồn gốc từ các đối tác thứ 3 hàng đầu về chống phần mềm độc hại. Nội dung tương tự sau đó được quét bằng công cụ phát hiện nhận dạng Heuristic của Wedge để phát hiện và chặn các biến thể mới của các mối đe dọa đã biết. Nói chung, các bản quét này đáng tin cậy phát hiện và chặn hơn 99% các loại virus và phần mềm độc hại đã biết và biến thể, có thể tồn tại trong các mạng của các tổ chức điển hình hiện nay.
Tiếp tục tất cả lưu lượng còn lại sau đó được phân tích kỹ hơn bằng cách sử dụng các công cụ trí tuệ nhân tạo (AI) dựa trên công nghệ phòng chống phần mềm độc hại dự đoán trước của Cylance®. Các công cụ AI này được sử dụng để phát hiện và chặn mọi mối đe dọa chưa được biết tới, zero-day, nhắm mục tiêu và các mối đe dọa có chủ đích APT có thể có. Công cụ phòng chống phần mềm độc hại dự đoán trước hàng đầu trong ngành công nghệ của Cylance kết hợp học máy với trí tuệ nhân tạo để mang lại độ chính xác cao nhất về các mối đe dọa theo thời gian thực hiện hữu ngày nay.
Nói chung, cách tiếp cận chống phần mềm độc hại nhiều lớp này thúc đẩy chu trình tái cấu trúc và kiểm tra nội dung đơn gói tin của Kiến trúc điều phối bảo mật Wedge (WedgeSO), để cung cấp khả năng phát hiện hiệu suất cao nhất của ngành về các mối đe dọa đã biết và chưa biết, chỉ với một phần nghìn giây (miliseconds) cho trải nghiệm người dùng mạng được an toàn và thỏa mãn.
Như một tùy chọn thêm, dữ liệu được xác định là phần mềm độc hại bởi công cụ AI có thể được chuyển tiếp đến Wedge Malware Analyzer ™ (WedgeMA ™) (Sandbox Cloud) để mô tả thêm về đặc tính của phần mềm độc hại mới và phân loại lại bất kỳ thông tin sai tiềm ẩn nào để tránh tỷ lệ phát hiện nhầm (false positives) với dữ liệu bình thường
Hình 1 – Kiến trúc điều phối bảo mật (Security Orchestrator – WedgeSO) của Webge
Công cụ phân tích phần mềm độc hại Wedge Malware Analyser (WedgeMATM ) dựa trên công nghệ điện toán đám mây để giảm tỷ lệ dương tính giả (False Positives)
Wedge Advanced Malware BlockerÔ (WedgeAMBÔ) quét lưu lượng truy cập mạng và coi đó là sạch thì nó cho truyền qua hoặc coi là độc hại thì nó chặn. WedgeAMB sử dụng công nghệ học máy, và do đó các phán quyết là – “sạch” hoặc “độc hại” – được dựa trên các giá trị từ 1 đến -1, với bất kỳ giá trị dương nào (trên 0) được coi là sạch và mọi giá trị âm (nhỏ hơn 0) được coi là đáng ngờ, và do đó nó bị chặn. Thông qua việc phân tích trường rộng rãi, chúng tôi đã phát hiện ra rằng các giá trị gần với -1 chỉ ra nội dung độc hại, trong khi các giá trị từ 0 đến -0.6 được coi là đáng ngờ (greyware) và, mặc dù bị chặn, có thể dẫn đến một số lượng nhỏ các kết quả dương tính giả (false positves). Nếu tùy chọn công cụ phân tích phần mềm độc hại Wedge Malware AnalyzerÔ (WedgeMAÔ) đã được cấp phép, WedgeAMB sẽ chuyển tiếp những dữ liệu đáng ngờ (greyware) này sang Wedge MA để xử lý thêm.
Hình 2 – Chu trình làm việc (Workflow) của Wedge Malware Analyzer (WedgeMA)
Wedge Malware Analyzer là một dịch vụ giá trị gia tăng tùy chọn có sẵn cho người dùng WedgeAMB. Dịch vụ này, khi được gọi tới, có thể tự động thực thi, phân tích và mô tả các tệp tin “greyware” bị coi là đáng ngờ và bị chặn bởi WedgeAMB. Các dịch vụ WedgeMA sẽ xử lý và phân tích các tệp này để cung cấp thông tin về mối đe dọa có thể kết luận rằng các tệp đó thực sự là phần mềm độc hại và nếu không, hồ sơ sẽ được tự động đưa trở lại hệ thống WedgeAMB để cải thiện thêm tốc độ phát hiện mối đe dọa và độ chính xác.
Hình 3 – Lựa chọn thêm Wedge Malware Analyzer
Để tăng cường cho các kết quả dương tính giả vào thử nghiệm gần đây trong bối cảnh các mục tiêu có giá trị cao đang bị tấn công đã cho kết quả như sau:
KIỂU MÔ HÌNH MẠNG | IDS/IPS Events | Viruses Events | AI AV Events | MA AV Events |
Quân sự | 1,957 | 18,525 | 5,719 | 22 |
Tiện ích công cộng | 4,477 | 391 | 70 | 10 |
Viễn thông | 488 | 1,579 | 94 | 0 |
Viễn thông | 2,125 | 21 | 8 | 0 |
Kết quả đáng ngạc nhiên nhất là thử nghiệm mô hình mạng quân sự nơi chúng ta thấy gần 30.000 cuộc tấn công trong khoảng thời gian ba tuần. Những kết quả này được thu thập khi đơn vị AMB được đặt phía sau một NGFW / UTM của một Hãng có uy tín đang bị áp đảo bởi cuộc tấn công. Dữ liệu thu thập được cho thấy chỉ có 4 kết quả dương tính giả gặp phải. 4 kết quả dương tính giả này đã được WedgeMA xác định và do đó chúng tôi có thể quản lý chúng một cách hiệu quả. Nếu giải pháp của chúng tôi chưa được thực hiện, 5.719 mối đe dọa chưa biết trước đó đã trốn tránh chữ ký và heuristic của phần mềm diệt virus/mã độc (AV/AM) sẽ được phép đi vào mạng. Như một sự lựa chọn, chúng tôi tin tưởng rằng bất kỳ tổ chức hoặc SOC nào đều muốn đối phó với 4 sự cố giả trên gần 6.000 mối đe dọa xâm nhập vào mạng của họ để được xử lý bằng các biện pháp khác. Các kết quả khác cho thấy tỷ lệ dương tính giả thấp đến không.
Công nghệ trí tuệ nhân tạo (AI) đang được cải thiện liên tục và trở nên chính xác hơn khi thời gian trôi qua và kết quả dương tính giả đang giảm xuống. Tuy nhiên, với WedgeMA, chúng tôi có thể tin tưởng rằng dương tính giả sẽ tiến gần đến không.
Điều phối cho quy mô và hiệu suất cao
Theo thời gian, nhiều nhà cung cấp sẽ tự hào hỗ trợ cho trí tuệ nhân tạo, nhưng rất ít, nếu có, sẽ cung cấp với hiệu suất và quy mô cao như của WedgeAMB! Phép thuật này dựa trên công cụ Điều phối An ninh của WedgeAMB, sử dụng nhiều công nghệ được cấp bằng sáng chế và các kỹ thuật bí mật thương mại để mang lại hiệu suất hàng đầu trong ngành trong khi sử dụng các máy chủ x86 thương mại (COTS). Không giống như các hệ thống bảo mật khác được phát triển và tối ưu hóa để chạy trên phần cứng độc quyền dựa trên ASIC hoặc dựa trên công nghệ đồ họa, WedgeSO được thiết kế và tối ưu hóa để chạy như một máy ảo được phối hợp mà không phụ thuộc vào phần cứng. Bộ điều phối tích hợp trên WedgeAMB giám sát tải và hiệu suất của từng chức năng mạng ảo (VNF) đang chạy để hỗ trợ phạm vi hoạt động tính toán đa dạng.
Khi khối lượng công việc tăng lên cho từng bộ chức năng mạng ảo (VNF), bộ điều phối tự động phân bổ nhiều tài nguyên CPU hơn cho các chức năng đó. Nếu khối lượng công việc tiếp cận với công suất của một VNF đơn lẻ, bộ điều phối chỉ đơn giản sẽ tạo ra nhiều phiên bản VNF hơn và phân phối khối lượng công việc cho thông lượng được duy trì. Khi khối lượng công việc thay đổi theo thời gian, các tài nguyên được phân bổ lại để luôn đạt được hiệu suất hệ thống tổng thể tối ưu trên bất kỳ máy chủ nào. Hiệu suất tăng được tiếp tục đạt được thông qua sự kết hợp của kiến trúc phần mềm và từng dòng code được viết và tối ưu hóa để có hiệu suất vượt trội trong môi trường xử lý song song đa luồng lớn. Các kỹ thuật được cấp bằng sáng chế như Wedge SubSonic Engine ™ với công nghệ GreenStream ™ sử dụng thuật toán học tập và các kỹ thuật khác để tối đa hóa thông lượng với độ trễ không thể nhận ra được.
Hình 4 – Điều phối an ninh (Wedge Security Orchestrator (WedgeSO)) của Wedge
Xác định lại quy mô bảo mật
WedgeAMB có sẵn ban đầu với các cấu hình 100 Mbps, 1 Gbps và 10 Gbps. Mặc dù các nhà cung cấp khác có thể cung cấp các sản phẩm được bán trên thị trường với tốc độ tương tự, WedgeAMB hoàn toàn khác biệt về khả năng thực sự mở rộng theo các tốc độ định mức này, đồng thời hỗ trợ quét bảo mật đầy đủ, với công nghệ giải mã và mã hóa SSL.
WedgeAMB cũng có thể được triển khai với các công nghệ cân bằng tải, cả vật lý và ảo hóa, để dễ dàng mở rộng hơn 10Gbps.
Tối đa hóa việc triển khai linh hoạt
Toàn bộ loạt sản phẩm WedgeARP được thiết kế và triển khai bằng các nguyên tắc ảo hóa và phối hợp để đạt được hiệu suất tốt nhất, không phụ thuộc vào phần cứng độc quyền. Do đó, WedgeAMB có sẵn dưới dạng máy ảo hiệu suất cao (VM) có thể chạy trên phần cứng thương mại (COTS) hoặc trên một thiết bị được cấu hình sẵn được Wedge hỗ trợ đầy đủ với hiệu suất xác định. Sự kết hợp giữa các tùy chọn đóng gói và quy mô này hỗ trợ triển khai tối ưu trên tất cả các vị trí để ngăn chặn phần mềm độc hại trên toàn doanh nghiệp kết hợp phân tích mối đe dọa trên toàn mạng.
Hình 6 – Mô hình triển khai linh hoạt của WedgeAMB
Với việc phát hành V2.0, hỗ trợ triển khai như chiếc kẹp tóc (lưu lượng Đông-Tây) cũng đã được thực hiện, cho phép quét theo quy mô toàn mạng, cùng với lưu lượng truy cập Bắc-Nam để xâm nhập vào/ra. Điều này cho phép phát hiện và chặn phần mềm độc hại tiềm tàng ngay cả khi phần mềm này bắt nguồn từ bên trong nội bộ mạng. Ngoài ra, cấu hình Chế độ TAP hỗ trợ các khả năng trình diễn và đánh giá đơn giản hóa để cho phép thử nghiệm sản phẩm trước khi triển khai đầy đủ.
Hơn nữa, WedgeAMB có thể được triển khai với khả năng quản lý tập trung cho phép nhiều thiết bị AMB được phân tán của một tổ chức trong khi được quản lý từ một màn hình Dashboard duy nhất (Single pane of glass)
Trực quan hóa khung cảnh về mối đe dọa cho những hành động thông minh
WedgeAMB tích hợp công cụ phân tích mối đe dọa thông minh WedgeIQ ™ để cung cấp khả năng hiển thị trên toàn mạng về các loại, số lượng, nguồn gốc và các mục tiêu của các mối đe dọa bị chặn bởi WedgeAMB. Thông tin tình báo về các mối đe dọa (Threat Inteligent) được cuộn lên từ mỗi nút, để phân tích và trực quan hóa bằng cách sử dụng các kỹ thuật đồ họa tiên tiến để hiển thị các tập dữ liệu phức tạp dưới dạng thông tin trực quan và có thể thực hiện được. Điều này, kết hợp với khả năng tìm kiếm linh hoạt và báo cáo thân thiện với người dùng được cải thiện, cho phép người dùng xem toàn bộ bức tranh bảo mật trong mạng của họ. Việc bổ sung chi tiết hóa các cải tiến tích hợp báo cáo phân tích WedgeMA ™ cung cấp các chi tiết đặc trưng cho mối đe dọa trên từng phần mềm nghi ngờ (greyware) đã gửi đi với các mục trong bảng có thể nhấp chuột mà nó có thể dễ dàng chuyển đổi được giữa các báo cáo tóm tắt và chi tiết đầy đủ sự kiện. Khả năng hiển thị theo thời gian thực đối với bối cảnh mối đe dọa trên toàn mạng trao quyền cho các chuyên gia bảo mật với trí thông minh mà họ cần để xác định và hành động đối với các mối đe dọa quan trọng nhất, tối đa hóa bảo mật hơn nữa.
Tư vấn và báo giá:
Mr Hùng: 0965 553 879 | Email: hung-le.huy@nts.com.vn
Công ty cổ phần Nam Trường Sơn Hà Nội
Tầng 15, tòa nhà Licogi 13, 164 Khuất Duy Tiến, P. Nhân Chính, Quận Thanh Xuân, Hà Nội.
Tel: 0246 2818 045
Email: info.ntshn@nts.com.vn