Mô hình triển khai giải pháp của Fireeye rất linh hoạt, có thể tùy theo từng tình huống cụ thể để tích hợp vào hệ thống mạng của khách hàng. Các thành phần của giải pháp FireEye có thể triển khai theo 2 mô hình sau:
- Mô hình triển khai cổng mở rộng (Span port), các thiết bị ở chế độ giám sát và nằm riêng biệt so với hệ thống mạng của khách hàng:
Hình 13: Mô hình triển khai cổng mở rộng (SPAN port)
- Mô hình triển khai trực tiếp (Inline), các thiết bị sẽ hoạt động ở chế độ ngăn chặn và giám sát hệ thống:
Hình 14: Mô hình triển khai trực tiếp
2.2.3. Mô hình quản lý
Bằng cách kết hợp khả năng phát hiện theo chữ ký(Signature) hoặc Signature- less, tích hợp khả năng bảo vệ web, email và file, FireEye chặn đứng các cuộc tấn công nhắm mục tiêu tiên tiến hiện nay với sai số gần nhƣ tuyệt đối. Các thành phần của giải pháp FireEye bao gồm:
Comment [M22]: Tiêu đề không phù hợp với nội dung. Phần dƣới trình bày cách thức bảo vệ không liên quan đến việc quản lý hệ thống.
Web Malware Protection System: bảo vệ mã độc Web ngăn chặn các cuộc tấn công trên nền web mà tƣờng lửa truyền thông và thế hệ tiếp theo, IPS, AV hay WebGateway bỏ qua.
Email Malware Protection System: bảo vệ mã độc email bảo mật chống lại các cuộc tấn công lừa đảo giả mạo email mà qua đƣợc các công nghệ reputation- based và anti-spam. MPS web và email tích hợp sẽ cung cấp giải pháp duy nhất ngăn chặn các cuộc tấn công nhắm mục tiêu nâng cao sử dụng giả mạo spear, khai thác lỗ hổng Zero-day hay các URL độc hại.
File Malware Protection System: bảo vệ các mã độc dạng file phân tích các file đƣợc chia sẻ qua mạng để phát hiện và kiểm định các mã độc đƣợc đƣa vào mạng thông qua hệ thống Web, Email hay các nguy cơ thông thƣờng khác nhƣ chia sẻ file trực tuyến. Điều này tạm dừng sự lây lan nhanh chóng của các mã độc nâng cao mà các hệ thống phòng thủ truyền thống không ngăn chặn đƣợc. Các kiểu tấn công nhắm mục tiêu nâng cao sử dụng các mã độc tinh vi và dựa theo chiến thuật ATP, không chỉ để xâm nhập vào hệ thống phòng thủ mà còn lây lan sang cả các hƣớng khác và thiết lập một chỗ ẩn mình vững chắc trong hệ thống.
Malware Analysis System: hệ thống phân tích các mã độc hại cung cấp cho các nhà phân tích nguy cơ các thông số để kiểm tra các phần mềm độc hại, các cuộc tấn công Zero-day và APT nhắm mục tiêu đƣợc nhúng trong các định dạng tập tin phổ biến, các file đính kèm email và các đối tƣợng web. Với kiến trúc tiên tiến, môi trƣờng FireEye MVX engine cung cấp chi tiết về các lỗi để có thể khai thác nhƣ khai thác các lỗ hổng bảo mật để tạo ra tình trạng tràn bộ đệm, tấn công leo thang để chiếm quyền quản trị windows, sử dụng phƣơng pháp callback để khai thác dữ liệu.
Central Management System: Hệ thống quản lý tập trung tất cả các thành phần của giải pháp FireEye với giao diện đơn giản dễ triển khai.
Comment [M24]: Đánh chỉ mục lặp với phần trên.
FireEye Dynamic Threat Intelligent cloud: hệ thống đám mây thông minh liên kết các thiết bị FireEye triển khai trong mạng lƣới khách hàng, mạng lƣới đối tác công nghệ và các nhà cung cấp dịch vụ trên toàn thế giới. Đám mây này đƣợc chia sẻ một cách tự động và hiệu quả cung cấp các mẫu phần mềm độc hại mới nhƣ trong phòng thí nghiệm FireEye Malware Intelligent.
Hình 16: Mô hình thu thập và chia sẻ thông tin về các cuộc tấn công
Khi một thiết bị xác nhận một cuộc tấn công khu vực, nó tạo ra một signature động và ẩn danh của cuộc tấn công và phân phối thông qua hệ thống đám mây để cảnh báo ngƣời dùng khác.