Để ngăn chặn các cuộc tấn công Zero-day, các thiết bị FireEye MPS sử dụng Virtual Excution (VX) engine và Callback Filter để phát hiện các mã độc chƣa biết đi vào bên trong, ngăn chặn việc trả ngƣợc dữ liệu ra bên ngoài và tự động phân tán một cách thông minh các mã độc đƣợc tạo ra để bảo vệ chống lại các cuộc tấn công trong tƣơng lai. Với nền tảng điện toán đám mây FireEye Malware Protection Cloud, các khách hàng sẽ nhận đƣợc thông tin an ninh toàn diện để bảo vệ chính hệ thống mạng của họ. FireEye loại bỏ các lỗ hổng bảo mật của hệ thống phòng thủ an ninh truyền thống. Bằng cách ngăn chặn 90% các loại mã độc thông thƣờng, FireEye MPS cung cấp khả năng phòng thủ an toàn tối đa cho hệ thống mạng, giúp bảo toàn ROI một cách cao nhất.
Virtual Excution (VX) engine: tất cả các thiết bị của FireEye - MAS, MPS Web, MPS Email, và File MPS - thực thi file nghi ngờ, file đính kèm, tập tin, và URL. Tự động quét phần mềm độc hại đáng nghi ngờ thông qua các quy tắc(rules) lọc để so sánh nó với các thiết lập hiện có đƣợc biết đến, sau đó chuyển qua môi trƣờng giả lập ảo của FireEye (VX) để đƣợc thực thi.
Comment [M17]: Phần này phải tổ chức lại. Viết về hai bộ phận quan trọng là vx engine và callback filter.
Comment [M18]:
Comment [M19]: Nếu không có giải thích thì xóa câu này.
Comment [M20]: Viết lại. làm sao sử dụng kỹ thuật nào để loại bỏ lỗ hổng và ngăn chặn mã độc.
Hình 11: Môi trƣờng giả lập FireEye MVX
Trong môi trƣờng ảo (VX), các phần mềm độc hại bị nghi ngờ đƣợc thực thi trong các thử nghiệm và kiểm tra trên một loạt các hệ điều hành, ứng dụng, trình duyệt, và tiện ích khác nhau. Trong môi trƣờng VX của FireEye, phần mềm độc hại đƣợc phép kích hoạt cuộc tấn công zero-day, callbacks, và các chức năng khác để FireEye có thể kiểm tra và đánh giá nó đầy đủ tiềm năng đe dọa. Mối đe dọa thực sự đối với các doanh nghiệp đƣợc xác định và dừng lại ngay trong môi trƣờng giả lập VX của FireEye, và FireEye đƣa ra báo cáo về kết quả thực thi. Giải pháp FireEye thu thập đầy đủ thông tin từ môi trƣờng VX nhƣ: địa chỉ IP phần mềm độc hại, các giao thức mạng sử dụng, cổng cụ thể đƣợc nhắm tới, và cách thức phần mềm ẩn nấp, giao tiếp, và phân phối payload. Sử dụng dữ liệu này, các giải pháp FireEye chặn callback và tất cả trao đổi dƣ liệu giữa phần mềm độc hại và máy chủ C&C. Với tính năng báo cáo chi tiết, có thể dễ dàng phát hiện các máy trạm bị nhiễm và đƣa ra lộ trình để duyệt phần mềm độc hại.
FireEye đi tiên phong trong việc sử dụng các máy tính ảo đóng vai trò là nạn nhân trong suốt hoạt động trong thiết bị mạng để phát hiện các cuộc tấn công mới và phân tích các phần mềm mã độc bị nhiễm trong thời gian thực. VX Engine thực hiện bao gồm giai đoạn phân tích đầu tiên để nắm bắt các đối tƣợng Web, các
thu thập thông tin về các mã độc, bƣớc thứ hai đƣợc triển khai để loại bỏ các mẫu dƣơng tính với mã độc.
Bƣớc 1 : nắm bắt các luồng dữ liệu nghi ngờ dựa trên quá trình chuẩn đoán phức tạp;
Bƣớc 2 : loại bỏ các mẫu dƣơng tính, các dữ liệu Web nghi ngờ đƣợc tái tạo lại trong các máy chủ ảo “nạn nhân” để xác định rõ các mã độc zero-day cả biết và chƣa biết.
Với các phần mềm độc hại zero-day đƣợc xác nhận trong môi trƣờng ảo, các đặc tính thêm vào của mã độc đƣợc thu thập trong suốt quá trình phân tích nhƣ đích đến callback, phân tích nhị phân, thay đổi registry hay gây ra tình trạng lỗi các file. Quá trình phân tích đƣợc đƣa vào một vòng lặp và đƣợc gửi tới FireEye Malware Protection Cloud để bảo vệ những đối tƣợng khác.
Hình 12: Công nghệ của Fireeye
Callback Filter : theo dõi các dữ liệu đi ra và ngăn chặn trên các giao thức kết nối không đƣợc phép tới các máy chủ của tội phạm mạng.
FireEye có thể chính xác ngăn chặn các mối đe dọa chƣa biết với việc sử dụng VX Engine, một môi trƣờng thử nghiệm ảo đầy đủ tính năng thực thi các đoạn mã
độc hại nhằm giúp phát hiện các lỗ hổng trong hệ điều hành, ứng dụng, trình duyệt và các plug-in. Nó bắt thông tin về các cuộc tấn công cho phép FireEye xác nhận các dấu hiệu nhận biết về các mã độc và ngăn chặn mã độc bên ngoài mạng qua các giao thức khác nhau nhƣ HTTP, IRC, FTP và các giao thức khác đƣợc thiết kế bởi các tổ chức tội phạm mạng.
Các thiết bị FireEye triển khai bên trong lớp an ninh mạng để bổ sung các giải pháp an ninh mạng và endpoint hiện có bằng cách ngăn chặn các mối đe dọa chƣa biết và các kết nối ra bên ngoài và đảm bảo tính bảo mật thông minh cho hệ thống IT của các tổ chức. Các phần mềm bảo mật thiết bị đầu cuối vẫn đóng một vai trò bảo mật quan trọng trong hệ thống thông tin.
Bằng cách theo dõi các kết nối ra bên ngoài bất hợp pháp tới các máy chủ C&C (Control & Command) của bọn tội phạm, các máy tính bị nhiễm phần mềm độc hại ẩn có thể đƣợc gắn cờ cho việc dọn dẹp và chặn tạm thời việc khai thác dữ liệu. FireEye đồng thời cũng phân tích các giao thức và nội dung đƣợc sử dụng để kết nối tới chính các máy chủ C&C, phát hiện chính xác các máy tính bị nhiễm mã độc và ngăn chặn nỗ lực trộm cắp dữ liệu trên các máy tính này.
FireEye Malware Protection Cloud: dựa trên nền tảng điện toán đám mây, FireEye cung cấp một cơ sở dữ liệu cho toàn bộ các khách hàng. Dữ liệu luôn đƣợc cập nhật và chia sẻ đối với mỗi một loại mã độc mới nào đƣợc phát hiện trên thế giới.
Hệ thống ngăn chặn mã độc FireEye là một giải pháp hoàn chỉnh duy nhất để ngăn chặn các cuộc tấn công nâng cao nhắm mục tiêu qua Web và email hay các phần mềm độc hại trong quá trình chia sẻ file. Các giải pháp của FireEye bổ sung khả năng phòng thủ truyền thống chẳng hạn nhƣ các thiết bị tƣờng lửa truyền thống, tƣờng lửa thế hệ mới, các thiết bị IPS, AV và WebGateway, không thể ngăn chặn các loại mã độc tiên tiến, do đó để lại các lỗ hổng trong hệ thống mạng của phần lớn
doanh nghiệp, tổ chức. Comment [M21]: Viết lại câu này. Câu