Như vậy CPM cung cấp ba thành phần ứng dụng để bảo vệ người dùng cuối trên một bảng điều khiển:
Web Reputation Commom Firewall
I.2.17. Anti Malware
Core Protection Module sử dụng phần mềm phòng chống malware rất mạnh của Trend Micro và có cả một trung tâm phân tích hỗ trợ phòng chống mã độc hại của Trend Micro là Trend Lab để có được các yếu tố sau.
Cung cấp một nền tảng bảo vệ mạnh mẽ chống lại virus, trojan, sâu, và các biến thể mới của chúng.
Bảo vệ client chống lại nhiều loại phần mềm gián điệp/grayware, và cả các chương trình adware, dialers, joke, các công cụ truy cập từ xa, các keylogger, và các ứng dụng bẻ mật khẩu .
Phát hiện và loại bỏ rootkit đang hoạt động hay đang ẩn.
Làm sạch thiết bị đầu cuối khỏi malware bao gồm cả tiến trình và khóa registry.
Hình 43: Cơng cụ qt virus của Trend Micro
Tất cả các sản phẩm của Trend Micro bao gồm cả CPM để có thể được cấu hình để tự động kiểm tra cập nhật mẫu mới nhất tại máy chủ Trend Micro ActiveUpdate(TMAU). Nó sẽ tự động download và cài đặt khi có bản cập nhật mới. Đương nhiên mỗi sản phẩm điều cho phép cấu hình theo nhu cầu của tổ chức.
virus có chứa một "chữ ký" mã nhị phân duy nhất hoặc chuỗi ký tự để phân biệt nó với một đoạn mã khác, các chuyên gia virus tại TrendLabs chụp lại đoạn mã này cho vào trong các tập tin mẫu. các engine sau đó so sánh các bộ phận nhất định của mỗi tập tin với các dữ liệu trong các tập tin mẫu virus để tìm kiếm một sự phù hợp.
Tập tin mẫu có định dạng như sau: lpt$vpn.###
Phần ### là phiên bản của tập tin mẫu, trong nơi lưu trữ tập tin mẫu có thể tồn tại nhiều phiên bản xong chỉ có 1 phiên bản cao nhất được sử dụng. Để đạt được tốc độ quét cao thay vì quét từng byte của mỗi tập tin, thì cơng cụ quét và tập tin mẫu sẽ làm việc để xác định chính xác vị trí của đoạn mã độc đỗi với từng loại malware để phát hiện, như thế sẽ giúp cho quá trình quét thực hiện nhanh hơn.
I.2.17.2. Cập nhật công cụ quét
Bằng việc lưu trữ thông tin nhạy cảm trong các tập tin mẫu virus, Trend Micro giảm thiểu được vấn đề cập nhật công cụ quét trong khi vẫn đảm bảo được nhu cầu pháp hiện virus và vẫn giải quyết được vấn đề dữ liệu tăng lên hàng ngày. Trend Micro phát hành mới cơng cụ qt khi có các trường hợp sau:
Kết hợp công nghệ quét và phát hiện mới vào phần mềm.
Phầm mềm mã độc hại mới xuất hiện không được phát hiện bởi công cụ hiện hành.
Nâng cao hiệu suất quét.
Bổ sung các định dạng tập tin, ngơn ngữ kịch bản, mã hóa, và các định dạng nén.
I.2.17.3. Damage Cleanup Service
CPM sử dụng Trend Micro ™ Damage Cleanup Services (DCS) để làm sạch tập tin trên máy tính và virus mạng cùng với virus và sâu máy tính cịn sót lại, Trojans, registry, tập tin virus thơng qua một q trình tự động.
DCS:
Phát hiện và loại bỏ Trojans Ngắt các quá trình Trojans tạo ra
Sửa chữa hệ thống tập tin mà Trojans sửa đổi Xóa các tập tin và ứng dụng mà Trojans sinh ra
Bởi vì DCS tự động chạy nền, chúng ta khơng cần phải cấu hình nó. Người dùng cũng khơng hề biết khi nó chạy.
I.2.17.4. GeneriClean
Cịn được gọi là làm sạch tham chiếu, GeneriClean là một phương pháp mới để loại bỏ virus/malware khi mà các thành phần làm sạch virus khơng sẵn sàng. Nó sử dụng kiểu phát hiện tập tin cơ bản, GeneriClean quyết định loại bỏ chúng hồn tồn nếu phát hiện có một tập tin tương ứng về process/service trong bộ nhớ, và một chuỗi registry.
I.2.17.5. Các chế độ quét
CPM cung cấp 3 chế độ quét là: Real-Time Scan (quét thời gian thực) On-demand Scan (chế độ quét tùy chọn) Scheduled Scan (chế độ quét theo lịch)
+ Real-time Scan: Là kiểu quét kiểm tra mã độc hại cho các tập tin khi
có những hoạt động như là khi chúng được mở ra, lưu lại, sao chép hoặc bị truy cập. Quét theo thời gian thực đặc biệt hiệu quả trong việc bảo vệ chống lại các mối đe dọa từ Internet và các tập tin độc hại đang được sao chép vào máy client.
Hình 44: Real-time scan
+ On-demand Scan: Sử dụng On-Demand quét để chạy một lần quét
các ổ đĩa cứng của khách hàng và khu vực khởi động. khi phần mềm anti virus được cài đặt thường sẽ sử dụng chế độ này để quét tất cả các ổ đĩa nhằm phát hiện các virus đã lưu trú từ trước. On-Demand quét có thể mất từ vài phút đến vài giờ để hoàn thành, tùy thuộc vào phần cứng của khách hàng và số lượng tập tin được quét.
+ Scheduled Scan: Chúng ta có thể lên lịch để On-Demand Scan được
kích hoạt tại một thời gian nhất định như một thời điểm trong ngày hay một ngày nào đấy trong tuần. chúng ta cũng có thể cho q trình qt tự động tái xuất hiện theo lịch trình mà chúng ta thiết lập cấu hình.
I.2.18. Web Reputation
Có lẽ nhắc đến Web Reputation chúng ta lại thấy cụm từ này quen quen. Web Reputation là một công nghệ bảo vệ người dùng khi truy cập web. Công nghệ này khác với công nghệ lọc web truyền thống là việc q trình nó tạo ra danh sách các trang web “đen” khác hẳn với cách truyền thống mà các nhà cung cấp giải pháp bảo vệ truy cập web thường làm. Web Reputation lọc web dựa vào danh tiếng của trang web đó và danh tiếng đó được tạo nên qua thời gian mà nó tồn tại và được chính người sử dụng xây dựng nên cùng với hàng loạt các mạng lưới theo dõi phân tích của Trend Micro. Cũng như module Web protection đã nói ở phần trước, Core protection module cũng
bảo vệ người sử dụng trước các mối hiểm họa từ việc truy cập web bằng cơng nghệ Web Reputation.
Hình 45: CPM cảnh báo web nguy hiểm
Web Reputation cũng cho phép người quản trị thêm vào các trang web được cho là không tốt cho tổ chức, hay không muốn cho người dùng trong công ty sử dụng trong thời gian làm việc.
Hình 46: thêm vào các trang web không được phép truy cập
Việc sử dụng web reputation để chặn web có lợi thế là người sử dụng không thế sử dụng proxy để vượt qua. Trend Micro cũng cung cấp cho người dùng một site để kiến nghị về các trang web độc hại nếu muốn kiến nghị về một trang web thì mọi người có thể truy cập vào link sau:
http://reclassify.wrs.trendmicro.com/wrsonlinequery.aspx
CPM cũng cung cấp một giao diện báo cáo độc lập với Web protection module.
Hình 46: Web Reputation trong CPM
Ở giao diện báo cáo này đưa ra cả thông tin về các trang web bị chặn và cả các trang web mà client đã truy cập. việc có báo cáo các trang web truy cập thành công hay khơng là tùy thuộc vào người quản trị có cấu hình bật chính sách này hay không.
I.2.19. Commom Firewall
CPM cung cấp Commom Firewall để bảo vệ các máy client và máy chủ sử dụng cơng nghệ thanh tra trạng thái, nó giám sát tất cả các kết nối đến client và ghi lại trạng thái của các kết nối đó. Nó có thể xác định các điều kiện cụ thể trong kết nối bất kỳ, dự đoán hành động tiếp theo và phát hiện sự gián đoạn trong kết nối bình thường. Đưa ra các quyết định chọn lọc do đó khơng chỉ dựa trên hiện trạng và chính sách mà cịn trên bối cảnh thành lập, bằng cách phân tích các kết nối và lọc gói tin đi qua tường lửa.
Commom Firewall cũng đã cung cấp cho chúng ta các luật cơ bản về các giao thức phổ biết và cũng cho phép chúng ta tạo ra các luật mới.
Hình 47: Tạo một luật mới trong Commom Firewall
Thông tin mà chúng ta cần điền vào trong một luật mới là các thông tin rất cơ bản như: tên rule, hành động Alow hoặc Deny, chiều của luồng thông tin, cổng áp dụng. sau khi điền đầy đủ các thơng tin thì click vào Save rule là đã tạo thành công một luật.
Commom Firewall cũng cho phép chúng ta tạo ra nhiều chính sách, các chính sách này có thể bao gồm một hay nhiều luật.
Hình 48: Tạo mới một chính sách
Việc tạo một chính sách cũng tương tự như tạo ra một luật nhưng việc tạo ra chính sách cũng có một số điểm khác là. Trong việc tạo ra chính sách đưa ra khái niệm mức bảo mật với 3 mức:
High: ở mức cao quy định là tất cả các lưu lượng(trafic) vào ra đều bị
từ chối, ngoại trừ các lưu lượng trong luật được thêm vào trong phần Exception Rules.
Midium: ở mức trung bình quy định tất cả các lưu lượng đi
vào(inboun) đều bị từ chối và cho phép tất cả các lưu lượng đi ra, ngoại trừ các lưu lượng trong luật được thêm vào trong phần Exception Rules.
IP và trong một khoảng IP được định nghĩa.
Trong Commom Firewall thì chính sách chưa phải là cái cuối cùng để áp dụng vào client mà cịn có thêm một cái nữa là Task Policy.
Hình 49: Tạo một Task Policy
Một Task policy có thể bao gồm nhiều Policy và việc áp dụng cá Policy này cũng được áp dụng từ trên xuống dưới. việc tạo Task policy diễn ra đơn giản bằng các chọn các Policy cho một task rồi click vào Create firewall policy task. Mỗi một client chỉ được áp dụng một Policy task duy nhất.
Commom Firewal cũng cung cấp cho chúng ta giao diện báo cáo bằng biểu đồ giúp dễ dàng thấy được mức độ an ninh của mạng.
Hình 50: biểu đồ thơng báo lượng truy cập vào các cổng của Firewall Thông tin được đưa ra bao gồm số lượng traffic vào ra trên các cổng, thông tin có thể truy vấn theo nhiều kiểu có thể truy vấn theo vùng mạng, theo từng mày hay tồn bộ mạng. Thơng tin báo cáo cũng được cung cấp cả trên Web Report.
Yêu cầu về thiết bị của Core protection module cũng khơng q cao đối với máy tình hiện nay cấu hình tối thiểu để chạy được CPM như sau
Bộ vi sử lý: 300MHz Intel Pentium hoặc cao hơn RAM: 512MB hoặc cao hơn
Available disk space 700MB recommended Others
Màn hình hỗ trợ độ phân giải 800 x 600 với 256 mầu.
Đối với windows vista, windows 7 và 2008 thì yêu cầu tối thiểu là Bộ vi sử lý: 800MHz Intel Pentium hoặc cao hơn
RAM: 1GB hoặc cao hơn
Available disk space 700MB recommended Others
Màn hình hỗ trợ độ phân giải 800 x 600 với 256 mầu.
Core protection module hỗ trợ cho 2 dòng hệ điều hành là Windows và Mac OS X cả 32bit và 64bit.
cơng nghệ tiên tiến nhất bảo vệ cho người dùng cuối trước các hiểm họa về an tồn thơng tin vốn đang tràn ngập. kết hợp với các module đã trình bày thì người sử dụng đã được bảo vệ tương đối an toàn, và việc quản trị cũng khá đơn giản vì tất cả đều được điều khiển trên một cửa sổ với mức độ tiện lợi cao nhất. và một module gần đây mới được nhắc đến và còn khá mới trên thị trường đấy là Data Leak Prevention sẽ được trình bày ở phần kế tiếp.
I.2.20. Data Leak Prevention Module
Trend Micro ™ Data leak prevention là một giải pháp phần mềm toàn diện được thiết kế để giúp các tổ chức bảo vệ các thơng tin nhạy cảm của mình từ tiết lộ tình cờ và cố ý trộm cắp. Dư liệu và thông tin nhạy cảm là những thứ quan trọng nhất đối với bất cứ tổ chức nào vì vậy việc bảo vệ để dữ liệu khơng bị rị rỉ và đánh cắp là mục tiêu quan trọng của tổ chức Data Leak Prevention đã làm được điều này. Tuy chưa có module tích hợp trên ESP nhưng Trend Micro sẽ cho ra module náy sớm nhất để đưa ESP thành một sản phẩm bảo vệ toàn diện người dùng cuối. Hiện giờ một phiên bản Client- Server đang được Trend Micro phát hành với các tên Data Lose Prevention là phiên bản độc lập, là một sản phẩm riêng lẻ đang được bán trên thị trường, nhưng trong một ngày khơng xa nó sẽ trở thành một module của ESP, vì nó đang nằm trên bàn thử nghiệm để kiểm tra tính hiệu quả và hiệu suất đây là cam kết của Hãng bảo mật hàng đầu Trend Micro.
Data Lose Prevention (DLP) là một sản phẩm bảo vệ dữ liệu nhạy cảm của người sử dụng trước nguy cơ bị tiết lộ do tình cờ hay trộm cắp bằng cơng nghệ chính xác dấu vân tay và phù hợp với nội dung. Có thể ví dụ như “một tài liệu đang được sao chép vào một ổ đĩa USB hoặc đang được gửi đi thông qua mạng nội bộ. Hệ thống phát hiện các hoạt động, xác định có hoặc khơng
có tập tin chứa thơng tin nhạy cảm, thực hiện ghi log và sau đó ngừng ngay các hành động này.”
Vậy thơng tin nhạy cảm là gì?
Đây là một câu hỏi mà câu trả lời còn phụ thuộc vào phía tổ chức, tổ chức phải định nghĩa được thơng tin nhạy cảm của mình là gì. Ví dụ như thơng tin nhạy cảm của một cá nhân có thể là:
Thông tin về bản thân cá nhân Thông tin về họ tên
Thông tin về ngày tháng năm sinh Thông tin về quên quán
Số điện thoại
Thông tin về số tài khoản Thông tin về mật khẩu Thông tin về mã số thuế …
Data Lose Prevention khơng mã hóa dữ liệu như các phần mềm bảo vệ dữ liệu khác. Mà nó chỉ bảo vệ các dữ liệu được định nghĩa là thơng tin nhạy cảm, nó khơng cho phép sao chép và gửi các thơng tin này đi dưới mọi hình thức. chính vì khơng mã hóa dữ liệu nên DLP chạy rất nhanh và hầu như không ảnh hưởng đến hiệu xuất của máy, của mạng.
Được trang bị các định nghĩa thơng tin nhạy cảm và chính sách bảo mật, hệ thống DLP có thể xác định dữ liệu truyền đi có thơng tin nhạy cảm bằng cách kiểm tra xem nó có chống lại các định nghĩa thơng tin nhạy cảm và sẽ đưa ra những hành động cần thiết theo chính sách được thành lập trong thời gian thực khi thông tin được sắp rời khỏi tổ chức.
Quy trình thiết lập để bảo vệ dữ liệu trong Data lose prevention bao gồm các bước theo mơ hình sau:
Hình 51: Các bước thực hiện bảo vệ dữ liệu- Bước thứ nhất: Xác định dữ liệu nhạy cảm - Bước thứ nhất: Xác định dữ liệu nhạy cảm
- Bước thứ hai: Tạo một bản mẫu phù hợp - Bước thứ ba: Tạo một chính sách
Tìm kiếm dữ liệu
- Bước thứ tư: Triển khai các chính sách và theo dõi. I.2.21. Xác định dữ liệu nhạy cảm
Đây là một công việc khá phức tạp và nhạy cảm nó mang tính quyết định việc bảo vệ dữ liệu có đạt hiệu quả hay khơng. Việc xác định khơng chính xác sẽ dẫn đến việc dữ liệu cần bảo vệ thì khơng được bảo vệ, hay phiền toái cho người dùng dẫn đến cảnh báo nhầm hay ngăn chặn sai các nguy cơ mất mát dữ liệu.
DLP đưa ra 4 yếu tố để người quản trị định nghĩa dữ liệu nhạy cảm đấy là những yếu tố sau:
- Keywords - Patterns
- File Attributes
I.2.21.1. Fingerprints
Fingerprints không phải là ám chỉ kiểu xác thực sử dụng dấu vân tay. Mà nó dùng để chỉ cách tạo ra dấu vân tay trên các file dữ liệu nhạy cảm. Chúng ta có thể hiểu một cách đơn giản như khi chúng ta cầm vào một đồ vật thì đồ vật đó sẽ in dấu vân tay của chúng ta và khi có một ai đó lấy đồ vật đó đi khi qua cửa kiểm xốt vân tay thì nó sẽ phát hiện ra đồ vật này là của chúng ta khơng cho bất kỳ ai lấy nó đi hoặc sẽ thơng báo với chúng ta việc người đó đã mang nó đi. Như vậy việc tạo một Fingerprint là việc xác định một dữ liệu nhạy cảm và gán cho nó một dấu hiệu nhận biết.
Đầu tiên để gán dấu vân tay chúng ta cần xác định một khu vực để các