MDS
Giới thiệu sản phẩm
Giải pháp phản ứng với mối đe dọa thông minh AhnLab MDS cung cấp khả năng quan sát đặc biệt và đối phó hiệu quả với mối đe dọa thông minh dựa trên chuỗi giết người mạng.
Các cuộc tấn công tinh vi nhắm vào các mục tiêu cụ thể (Advanced Persistent Threat, APT) đang ngày càng gia tăng.
Các cuộc tấn công thông minh chủ yếu xâm nhập vào doanh nghiệp và tổ chức qua email, web, và các điểm cuối, trong đó ransomware cũng có thể được coi là một loại mối đe dọa thông minh do trực tiếp xâm nhập vào các điểm cuối và thực hiện hành vi độc hại.
Mối đe dọa thông minh khác với mối đe dọa bảo mật truyền thống vì không thể đối phó chỉ với phần mềm bảo mật hay thiết bị bảo mật đơn lẻ. Gần đây, các cuộc tấn công đang sử dụng các công nghệ tinh vi và nhiều phương thức kết hợp để tránh bị phát hiện bởi các giải pháp bảo mật và gây thiệt hại nặng nề.
Để đối phó hiệu quả với các cuộc tấn công ngày càng tinh vi và đa dạng, cần phải xây dựng chuỗi giết người mạng (Cyber Kill-Chain) kết hợp với các giải pháp bảo mật hiện tại, đồng thời xem xét nhiều đặc điểm của các cuộc tấn công mới.
Để xác định và đối phó với các cuộc tấn công, cần phải có khả năng quan sát mối đe dọa (Threat Visibility).
AhnLab MDS là giải pháp phản ứng với mối đe dọa thông minh, cung cấp phương án đối phó tối ưu theo từng lối tấn công khác nhau dựa trên quan sát đặc biệt và chuỗi giết người mạng (Cyber Kill-Chain).
Thông qua mạng sandbox và các agent chuyên dụng, AhnLab MDS thu thập các mối đe dọa xâm nhập qua nhiều con đường và phát hiện và đối phó chính xác các mối đe dọa từ những phương thức cũ (Known) đến những mối đe dọa mới (Unknown) một cách hiệu quả bằng cách sử dụng nhiều engine, bao gồm signature-based, reputation-based, và signature-less.
AhnLab EDR, với 30 năm kinh nghiệm phân tích mã độc của công ty bảo mật điểm cuối hàng đầu AhnLab, cung cấp khả năng quan sát các mối đe dọa điểm cuối giúp tăng cường khả năng phản ứng với mối đe dọa. AhnLab EDR cung cấp quan sát mối đe dọa thông qua việc giám sát liên tục các điểm cuối và giúp phòng ngừa mối đe dọa tiềm ẩn một cách chủ động, đồng thời đảm bảo bảo mật mạnh mẽ hơn thông qua việc liên kết hiệu quả với các giải pháp bảo mật khác.
Tính năng chính
Dựa trên nhiều engine, từ các mối đe dọa đã biết (Known) đến những mối đe dọa mới (Unknown), AhnLab MDS cung cấp khả năng quan sát và các phương án đối phó chính xác và hiệu quả với các mối đe dọa xâm nhập qua nhiều con đường.
- 1. Phát hiện/Phân tích mối đe dọa và lưu lượng bất thường
-
- - Thu thập và phân tích các giao thức dịch vụ internet chính - HTTP, SMTP, SMB/CIFS, FTP, v.v.
- - Giám sát lưu lượng đi và đến đối với việc truyền tải và nhận file
- - Phân tích mã độc mới bằng máy ảo (VM)
- - Tích hợp engine phân tích mã độc không phải thực thi (non-PE) - MS Office và các chương trình Hangeul
- - Bắt gói tin PCAP dựa trên phân tích VM và phát hiện C&C, có thể tải xuống file PCAP
- - Phát hiện và ngăn chặn truy cập vào các trang web độc hại và giao tiếp C&C từ các máy tính bị nhiễm mã độc
- 2. Phát hiện và cách ly mối đe dọa qua email (MTA)
-
- - Phát hiện và tự động cách ly email có file đính kèm hoặc URL độc hại
- - Phân tích động các file đính kèm email
- - Phân tích đa chiều các URL và script trong nội dung email
- - Có thể giải phóng cách ly thông qua lệnh của quản trị viên
- - Áp dụng theo cách cấp phép
- 3. Đối phó và xử lý mối đe dọa
-
- - Điều trị mã độc (tự động/thủ công) và cách ly mạng đối với các máy chủ nghi ngờ bị nhiễm mã độc
- - Chức năng "Tạm giữ (Execution Holding)" đối với các file thực thi (PE) đang phân tích mã độc
- - Trích xuất "file nghi ngờ" từ các máy chủ bị nhiễm mã độc
- - Chức năng khôi phục các file bị xóa tương tự
- 4. Giám sát và quản lý nhật ký tích hợp
-
- - Cung cấp thông tin tình trạng bảo mật và các sự kiện chính qua bảng điều khiển
- - Xác nhận tình trạng mã độc và kiểm tra sự xuất hiện của lưu lượng bất thường
- - Nhật ký chi tiết về loại sự kiện, địa chỉ IP, hành vi (file/proces/regitry/network), v.v.
- - Cung cấp các mẫu báo cáo phân tích khác nhau
- - Cập nhật tính năng và bản vá của agent qua controller
- - Cung cấp thông báo cho các host cá nhân hoặc tổng thể
- - Mở rộng hệ thống server farm linh hoạt, dễ dàng phản hồi với sự thay đổi số lượng agent
- - Tự động triển khai MDS agent cho các host chưa cài đặt
- - Sao lưu DB tự động và thủ công
- - Chuyển tiếp syslog cho hệ thống quản lý bảo mật bên thứ ba (SIEM, ESM)
- - Cung cấp thông tin người dùng nội bộ qua kết nối AD (Active Directory)
Điểm mạnh
Khả năng quan sát mối đe dọa (Threat Visibility)
- Cung cấp biểu đồ xu hướng mối đe dọa và dòng tấn công qua bảng điều khiển trực quan
-
- - Xu hướng mối đe dọa: Cung cấp thông tin về loại mối đe dọa, đường xâm nhập, mức độ lây lan, tình trạng phát hiện và phân tích, v.v.
- - Dòng tấn công: Cung cấp thông tin chi tiết về loại mối đe dọa, hành vi và các giai đoạn tấn công cùng với các biện pháp phản ứng và xử lý
- - Có thể xử lý lưu lượng DDoS quy mô lớn thông qua cấu hình Cluster
- Cung cấp báo cáo phân tích chi tiết mã assembly và bộ nhớ dựa trên phân tích nội dung động (DICA)
Phân tích đa engine (Multi Engine-based Analysis)
- Phân tích mối đe dọa thông qua nhiều engine như dựa trên chữ ký, dựa trên đánh giá, và không có chữ ký (signature-less)
-
- - Phát hiện và phân tích chính xác và hiệu quả các mối đe dọa bao gồm ransomware và các mối đe dọa mới và biến thể
- Áp dụng công nghệ phát hiện khai thác (exploit) dựa trên phân tích bộ nhớ độc đáo
-
- - Có thể phát hiện mã độc bất kể loại hành vi xấu hoặc hành vi có xảy ra hay không
Phản ứng mối đe dọa thông qua liên kết mạng và điểm cuối
- Liên kết giữa phân tích sandbox mạng và phản ứng điểm cuối qua agent chuyên dụng
- Cách ly các host bị nhiễm từ mạng thông qua agent chuyên dụng
-
- - Ngừng truyền tải mối đe dọa nội bộ
- Chức năng tạm giữ (Execution Holding, EH) ngừng thực thi file nghi ngờ
-
- - Chặn thực thi ransomware
- Chức năng "Trích xuất file nghi ngờ" dựa trên máy học để đối phó với các mối đe dọa tiềm ẩn
-
- - Thu thập và phân tích tự động các file nghi ngờ trong các điểm cuối và phản ứng với chúng
Hiệu quả triển khai
AhnLab EDR có thể được áp dụng dễ dàng thông qua AhnLab EPP Agent mà không cần cài đặt thêm agent, và môi trường cài đặt agent như sau:
| Phân loại | Môi trường sử dụng |
|---|---|
| Hệ điều hành |
* Hỗ trợ chế độ tương thích 64bit cho các hệ điều hành trên
|
| Ngôn ngữ hỗ trợ |
|
Cấu hình
Tùy thuộc vào môi trường của doanh nghiệp, AhnLab MDS có thể được triển khai cơ bản hoặc mở rộng, giúp đối phó hiệu quả với các mối đe dọa mới xâm nhập qua nhiều con đường như mạng (Internet), email, thư mục chia sẻ, thiết bị đầu cuối, v.v.
Thông số kỹ thuật sản phẩm
Thông số kỹ thuật AhnLab MDS
| Phân loại | MDS 4000A | MDS 8000A | MDS 10000A |
|---|---|---|---|
| Số lượng agent quản lý (khuyến nghị) | 700 | 2,000 | 5,000 |
| Xử lý lưu lượng | 800Mbps | 1.5Gbps | 4Gbps |
| HDD | 1TB x 2 | 1TB x 4 | 1TB x 8 |
| RAID | RAID 1 | RAID 10 | RAID 10 |
| Giao diện mạng |
|
|
Cơ bản
|
|
Tùy chọn
|
|||
| Nguồn | 750W Redundant | ||
| Gắn Rack | 1U (19”) | 1U (19”) | 2U (19”) |
| Kích thước (W x D x H) | 482 x 721.91 x 42.8 mm | 482 x 721.91 x 42.8 mm | 482.4 x 715.5 x 86.8 mm |
Thông số kỹ thuật AhnLab MDS Manager
| Phân loại | MDS Manager 5000AR | MDS Manager 10000AR |
|---|---|---|
| Số lượng agent quản lý |
|
|
| HDD | 1TB x 2, 2TB x 2 | 2TB x 2, 4TB x 2 |
| RAID | RAID 1 | |
| Giao diện mạng | 1GbE 2 cổng (Copper) | 1GbE 2 cổng (Copper) |
| Nguồn | 500W Redundant | 740W Redundant |
| Gắn Rack | 1U (19”) | 2U (19”) |
| Kích thước (W x D x H) | 437 x 650 x 43 mm | 440 x 650 x 89 mm |
* DV (Data Viewer): Quản lý giám sát và log tích hợp
* HC (Host Controller): Quản lý tích hợp MDS Agent (* Cần thêm MDS Manager khi thêm agent)
Môi trường sử dụng AhnLab MDS Agent
| Phân loại | Hệ điều hành (OS) |
|---|---|
| Máy tính cá nhân (PC) | Windows XP SP3 trở lên / 7 / 8(8.1) / 10 |
| Máy chủ | Windows Server 2003 SP2 trở lên / 2008 / 2012 / 2016 |
* Hỗ trợ cả chế độ 32/64 bit cho các hệ điều hành trên
