PowerPoint ������ Giải pháp phòng chống tấn công APT HAI LỚP NPCore, Inc 1 Tổng quan 2 Giới thiệu về ZombieZERO 3 ZombieZERO Inspector 4 ZombieZERO Agent 5 Tại sao lựa chọn ZombieZERO Nội dung 1 Tổng[.]
Giải pháp phịng chống cơng APT HAI LỚP NPCore, Inc Nội dung Tổng quan Giới thiệu ZombieZERO ZombieZERO Inspector ZombieZERO Agent Tại lựa chọn ZombieZERO Nội dung Tổng quan Giới thiệu ZombieZERO ZombieZERO Inspector ZombieZERO Agent Tại lựa chọn ZombieZERO Tổng quan Tấn công APT gì? APT (Advanced Persistent Threat) việc hacker hay nhóm hacker có tổ chức cơng liên tục có chủ đích nhằm đạt mục tiêu đánh cắp thông tin quan trọng Chúng sử dụng số phương thức (E-mail, Web, v.v.) nhằm thực ý đồ Mức độ quy mô mặt kỹ thuật Advanced - Sử dụng kỹ thuật khác - Lợi dụng lỗ hổng ZERO Day để vượt qua hệ thống bảo mật Động mục tiêu công Persistent - Tấn công liên tục nhằm đạt mục tiêu - Tránh bị phát hiện, theo dõi Nguy việc an toàn bảo mật Threat - Phân tích trực tiếp người thay cơng cụ, phần mềm, v.v - Sử dụng kỹ thuật “social engineering” nhằm thực cơng Copyright © NPCore, Inc ZombieZERO is trademark of NPCore, Inc Tổng quan Một số thống kê Tấn công APT tiến triển từ 2006, nguy hàng đầu lĩnh vực an tồn thơng tin Internet & Security Focus ‘T5, 2013, KISA Cấp Đe dọa ` 3.20 Hacking(13) 6.25 Hacking(13) Nonghyup(11) Stuxnet(10) Phishing(12) Slammer Worm (03) Blaster Worm(03) SKComs(11) CH(98) Hyundai Capital(11) 6.25 DDoS(13) Virus Game Item Trade Site DDoS(07) Root,DNS DDoS(02) 3.4 DDoS(11) 7.7 DDoS(09) ` Code Red(02) DDoS Personal Data Exfiltration from GS Caltex(08) Personal Data Exfiltration from Auction(08) Amazon,eBay DDoS(00) Game Account Seized (06) eBay Hacking(08) Worm Personal Data Exfiltration APT 2000 2002 2004 2006 2008 2010 2012 Năm Copyright © NPCore, Inc ZombieZERO is trademark of NPCore, Inc Tổng quan Khó khăn việc phát APT Các giải pháp bảo mật truyền thống phát tiêu diệt malware dựa chữ ký (signature) phát ngăn chặn cơng APT (sử dụng malware biến thể hồn tồn mới) Khơng chặn malware từ site hợp lệ Không thể chặn malware từ địa IP, giao thức, hay ứng dụng hợp lệ Không chặn file chứa malware Giới hạn việc phát malware dựa chữ ký Copyright © NPCore, Inc ZombieZERO is trademark of NPCore, Inc Tổng quan Q trình cơng APT Trong cơng APT kẻ cơng tìm cách lây nhiễm malware vào PC hệ thống mạng nạn nhân, sau leo thang thực đánh cắp liệu quan trọng chứa hệ thống Kẻ cơng Lộ trình thực Hệ thống mạng mục tiêu ① Máy tính bị nhiễm malware lây nhiễm sang máy khác mạng ② Thực kết nối ngược ③ Điều khiển/ Ra lệnh ④ Truy cập máy chủ nội bộ/ Đánh cắp liệu Hệ thống máy chủ nội Kẻ cơng ⑤ Đánh cắp liệu Copyright © NPCore, Inc ZombieZERO is trademark of NPCore, Inc Nội dung Tổng quan Giới thiệu ZombieZERO ZombieZERO Inspector ZombieZERO Agent Tại lựa chọn ZombieZERO Giới thiệu ZombieZERO Giới thiệu ZombieZERO ZombieZERO, hệ thống phát phịng chống cơng APT, bao gồm hệ thống bảo vệ phía người dùng sử dụng AGENT hệ thống thu thập, giám sát lưu lượng hệ thống mạng, thực phân tích môi trường ảo nhằm phát ngăn chặn malware ZombieZERO hệ thống bảo mật mạnh mẽ cho phép chủ động ngăn chặn công đánh cắp liệu hay hành vi phá hoại Agent Phát ngăn chặn lớp người dùng Phát ngăn chặn hệ thống mạng Hệ thống phịng chống HAI LỚP Copyright © NPCore, Inc ZombieZERO is trademark of NPCore, Inc Giới thiệu ZombieZERO Hệ thống phịng thủ HAI LỚP đối phó cơng APT Hệ thống phòng thủ lớp mạng Bot Net ZombieZERO Inspector Pattern Generation Inspector Hệ thống phòng thủ lớp người dùng ZombieZERO Agent ESM Quản lý giám sát hệ thống ZombieZERO ESM Agent Thiết bị có chứa malware ZombieZERO – giải pháp tiên phong phòng thủ APT HAI LỚP 10 Copyright © NPCore, Inc ZombieZERO is trademark of NPCore, Inc ZombieZERO Inspector Phân tích lưu lượng thơng minh Phân tích lưu lượng đến, Phát hành vi bất thường - Phát malware thông qua phân tích giao thức có hành vi khả nghi Web, Mail, v.v - Phát việc tạo lưu lượng trái phép truy cập máy chủ C&C người dùng nội cơng DDoS Nhóm người dùng Engine phân tích lưu lượng thơng minh Phân tích tổng hợp theo phiên Kiểm tra hành vi nguy hại liên quan đến hệ thống Kiểm tra hành vi nguy hại liên quan đến mạng (DNS, URL) Phát giao tiếp với máy chủ C&C Phát giao tiếp với mạng ‘Bot net’ Phát lưu lượng bất hợp pháp 17 Copyright © NPCore, Inc ZombieZERO is trademark of NPCore, Inc ZombieZERO Inspector Smart NIC Smart NIC, bo mạch nhúng đa lõi, đem đến khả tăng cường hiệu suất hoạt động nguồn tài nguyên mạng mà không cần phải thực thay đổi chương trình có - Smart NIC thu thập vận chuyển gói tin vào đơn vị định nhằm giảm thiểu ngắt hệ thống Ưu điểm Smart NIC đảm bảo công suất hoạt động 20Gbps Full data, giảm thiểu tài nguyên CPU, nâng cao hiệu suất ứng dụng - Cơng suất thu thập gói tin 20Gbps với gói tin với kích thước nhỏ 18 Copyright © NPCore, Inc ZombieZERO is trademark of NPCore, Inc Nội dung Tổng quan Giới thiệu ZombieZERO ZombieZERO Inspector ZombieZERO Agent Tại lựa chọn ZombieZERO ZombieZERO Agent Đặc điểm I Phát malware dựa hành vi Phát ngăn chặn malware biến thể Khả phân tích phát hiệu sử dụng phân tích kết nối tiến trình/file/lưu lượng Ngăn chặn hành vi trái phép (tấn công DDoS, đánh cắp liệu, nghe lén, v.v) nhờ Agent với engine phân tích hành vi phía người dùng Phân tích phát malware độc lập dựa hành vi sử dụng engine phân tích hành vi (các sản phẩm khách phải kết hợp với thiết bị mạng để thực ngăn chăn) II Ngăn chặn hành vi trái phép (Phát ngăn chặn đánh cắp liệu) Phân loại hành vi người dùng hành vi tiến trình, nhờ phát hiện, ngăn chặn đánh cắp liệu lưu lượng bất hợp pháp Phát kết nối ngược, chặn lệnh phát tán từ hacker đến máy zombie Giám sát ngăn chặn hành vi nghe hình người dùng theo thời gian thực Phát ngăn chặn công DDoS cơng hệ thống III Đảm bảo tính ổn định khả phối hợp phòng thủ Giảm thiểu xung đột với chương trình khác Agent cài đặt mức Kernel Driver, thay mức ứng dụng Liên hiệp với hệ thống phòng vệ lớp hệ thống mạng, hình thành hệ thống phịng thủ hai lớp 20 Copyright © NPCore, Inc ZombieZERO is trademark of NPCore, Inc ... Inspector Hệ thống phòng thủ lớp người dùng ZombieZERO Agent ESM Quản lý giám sát hệ thống ZombieZERO ESM Agent Thiết bị có chứa malware ZombieZERO – giải pháp tiên phong phòng thủ APT HAI LỚP 10 Copyright... ZombieZERO ZombieZERO Inspector ZombieZERO Agent Tại lựa chọn ZombieZERO Nội dung Tổng quan Giới thiệu ZombieZERO ZombieZERO Inspector ZombieZERO Agent Tại lựa chọn ZombieZERO Tổng quan Tấn công. .. chống HAI LỚP Copyright © NPCore, Inc ZombieZERO is trademark of NPCore, Inc Giới thiệu ZombieZERO Hệ thống phòng thủ HAI LỚP đối phó cơng APT Hệ thống phịng thủ lớp mạng Bot Net ZombieZERO