Giới thiệu về các giải pháp NDR, EDR của Cisco. Ứng dụng trong thực tế.

Để giúp bạn hiểu rõ hơn về giải pháp NDR và EDR của Cisco, cũng như ứng dụng thực tế của chúng, ta sẽ đi vào chi tiết từng giải pháp:

Giải pháp NDR (Network Detection and Response) của Cisco: Cisco Secure Network Analytics (trước đây là Stealthwatch)

Giới thiệu:

Cisco Secure Network Analytics là một giải pháp NDR tập trung vào việc giám sát và phân tích lưu lượng mạng để phát hiện các mối đe dọa an ninh mạng. Thay vì chỉ tập trung vào các điểm cuối (như EDR), NDR quan sát toàn bộ lưu lượng mạng, bao gồm cả lưu lượng từ LAN <--> Internet và giữa các thiết bị trong mạng nội bộ LAN.

Cách thức hoạt động:

1. Thu thập dữ liệu: Cisco Secure Network Analytics thu thập dữ liệu lưu lượng mạng từ nhiều nguồn khác nhau như:
   • NetFlow/IPFIX từ router, switch.
   • Giao thức SPAN/TAP để sao chép lưu lượng.
   • Dữ liệu nhật ký từ các thiết bị bảo mật khác.
   • Thông tin từ môi trường cloud.
2. Phân tích hành vi: Giải pháp xây dựng một đường cơ sở về hành vi mạng bình thường của các thiết bị và người dùng. Sau đó, nó sử dụng các kỹ thuật phân tích hành vi, học máy (machine learning) và trí tuệ nhân tạo (AI) để phát hiện các hoạt động bất thường có thể chỉ ra các cuộc tấn công, xâm nhập hoặc hành vi đáng ngờ khác.
3. Phát hiện mối đe dọa: Cisco Secure Network Analytics có thể phát hiện nhiều loại mối đe dọa khác nhau, bao gồm:
   • Tấn công từ bên ngoài: Malware, botnet, tấn công từ chối dịch vụ (DDoS).
   • Tấn công từ bên trong: Sự di chuyển ngang của kẻ tấn công, truy cập trái phép, rò rỉ dữ liệu.
   • Các mối đe dọa nâng cao (APT): Các hoạt động ẩn dật và kéo dài của kẻ tấn công.
   • Các hành vi bất thường: Lưu lượng truy cập đột biến, kết nối đến các địa chỉ IP/domain độc hại đã biết.
4. Phản ứng và điều tra: Khi phát hiện mối đe dọa, giải pháp cung cấp thông tin chi tiết và ngữ cảnh giúp đội ngũ an ninh mạng (SOC) hiểu rõ về cuộc tấn công, phạm vi ảnh hưởng và các bước cần thiết để ứng phó. Nó cũng có thể tích hợp với các giải pháp bảo mật khác để tự động hóa các hành động phản ứng.

Ứng dụng trong thực tế:

• Phát hiện sớm các cuộc tấn công: Bằng cách giám sát liên tục lưu lượng mạng, NDR có thể phát hiện các dấu hiệu sớm của một cuộc tấn công, ngay cả khi kẻ tấn công chưa xâm nhập thành công vào các điểm cuối.
• Giám sát lưu lượng nội bộ: NDR đặc biệt hữu ích trong việc phát hiện các mối đe dọa bên trong và sự di chuyển ngang của kẻ tấn công sau khi chúng đã vượt qua các biện pháp bảo vệ ban đầu.
• Phân tích lưu lượng đã mã hóa: Một số giải pháp NDR, bao gồm Cisco Secure Network Analytics, có khả năng phân tích lưu lượng đã mã hóa (ví dụ: TLS/SSL) để phát hiện các hoạt động đáng ngờ mà không cần giải mã toàn bộ lưu lượng, bảo vệ quyền riêng tư đồng thời tăng cường khả năng phát hiện.
• Hỗ trợ điều tra và phân tích pháp y: Dữ liệu lưu lượng mạng được thu thập và lưu trữ bởi NDR cung cấp thông tin quan trọng cho việc điều tra các sự cố an ninh, xác định nguồn gốc của cuộc tấn công và các hệ thống bị ảnh hưởng.
• Bảo vệ môi trường hybrid và đa đám mây: Cisco Secure Network Analytics có khả năng giám sát lưu lượng mạng trong cả môi trường tại chỗ (on-premises) và các nền tảng đám mây khác nhau.

Giải pháp EDR (Endpoint Detection and Response) của Cisco: Cisco Secure Endpoint (trước đây là AMP for Endpoints)

Giới thiệu:

Cisco Secure Endpoint là một giải pháp EDR tập trung vào việc bảo vệ các điểm cuối (endpoints) như máy tính để bàn, máy tính xách tay, máy chủ và thiết bị di động. Nó cung cấp khả năng giám sát liên tục, phát hiện mối đe dọa nâng cao và khả năng phản ứng nhanh chóng đối với các sự cố an ninh trên các điểm cuối này.

Cách thức hoạt động:

1. Giám sát liên tục: Cisco Secure Endpoint cài đặt một agent (phần mềm nhỏ) trên mỗi điểm cuối để liên tục theo dõi các hoạt động, bao gồm:
   • Hành vi của tiến trình (process).
   • Hoạt động của tệp tin (file).
   • Thay đổi registry.
   • Kết nối mạng.
   • Hoạt động của người dùng.
2. Phân tích và phát hiện: Dữ liệu thu thập từ các điểm cuối được phân tích bằng cách sử dụng nhiều kỹ thuật, bao gồm:
   • Phân tích hành vi: Xác định các hành vi bất thường hoặc đáng ngờ dựa trên các mẫu đã biết hoặc các thuật toán học máy.
   • Phân tích mối đe dọa dựa trên đám mây (cloud-based analytics): Sử dụng thông tin tình báo về mối đe dọa (threat intelligence) từ Cisco Talos và các nguồn khác để xác định các mối đe dọa đã biết và mới nổi.
   • Phân tích tĩnh và động: Kiểm tra các tệp tin để tìm các đặc điểm độc hại.
   • Học máy (machine learning): Phát hiện các mối đe dọa zero-day và các biến thể malware mới.
3. Phản ứng và khắc phục: Khi phát hiện mối đe dọa, Cisco Secure Endpoint cung cấp các khả năng phản ứng mạnh mẽ, bao gồm:
   • Cách ly điểm cuối bị nhiễm: Ngăn chặn sự lây lan của mối đe dọa sang các hệ thống khác.
   • Chấm dứt các tiến trình độc hại: Ngăn chặn malware thực hiện các hành động phá hoại.
   • Xóa các tệp tin độc hại: Loại bỏ các thành phần của malware khỏi hệ thống.
   • Khôi phục hệ thống về trạng thái an toàn: Hoàn tác các thay đổi do malware gây ra.
   • Điều tra và phân tích sâu: Cung cấp thông tin chi tiết về sự cố, bao gồm dòng thời gian của các sự kiện, các tệp tin và tiến trình liên quan.

Ứng dụng trong thực tế:

• Ngăn chặn và phát hiện malware: EDR là tuyến phòng thủ quan trọng chống lại các loại malware, bao gồm ransomware, virus, trojan và spyware.
• Phát hiện các cuộc tấn công zero-day: Khả năng phân tích hành vi và học máy giúp EDR phát hiện các mối đe dọa mới chưa có chữ ký (signature).
• Ứng phó sự cố nhanh chóng: Các công cụ phản ứng tự động và khả năng điều tra sâu giúp đội ngũ SOC nhanh chóng xác định, ngăn chặn và khắc phục các sự cố an ninh trên điểm cuối.
• Giám sát hành vi người dùng: EDR có thể giúp phát hiện các hành vi đáng ngờ của người dùng có thể chỉ ra các mối đe dọa nội bộ hoặc các tài khoản bị xâm nhập.
• Tăng cường khả năng hiển thị và kiểm soát: EDR cung cấp cái nhìn sâu sắc về các hoạt động trên điểm cuối, giúp quản trị viên bảo mật hiểu rõ hơn về trạng thái an ninh của hệ thống và thực thi các chính sách bảo mật.

Ứng dụng phối hợp của NDR và EDR:

Trong thực tế, NDR và EDR là hai lớp bảo vệ bổ sung cho nhau và thường được triển khai cùng nhau để cung cấp một giải pháp an ninh toàn diện hơn:

• Tăng cường khả năng phát hiện: NDR cung cấp cái nhìn tổng quan về lưu lượng mạng, giúp phát hiện các mối đe dọa ở cấp độ mạng, trong khi EDR tập trung vào các hoạt động trên từng điểm cuối. Sự phối hợp này giúp phát hiện các cuộc tấn công phức tạp có thể bỏ qua một trong hai lớp bảo vệ riêng lẻ.
• Cung cấp ngữ cảnh toàn diện: Thông tin từ NDR (lưu lượng mạng) và EDR (hoạt động điểm cuối) có thể được kết hợp để cung cấp một bức tranh đầy đủ hơn về một sự cố an ninh, giúp đội ngũ SOC hiểu rõ hơn về nguồn gốc, phạm vi và tác động của cuộc tấn công.
• Phản ứng hiệu quả hơn: Khi một mối đe dọa được phát hiện bởi một trong hai giải pháp, thông tin có thể được chia sẻ với giải pháp còn lại để thực hiện các hành động phản ứng phối hợp. Ví dụ, khi NDR phát hiện lưu lượng đáng ngờ đến một điểm cuối cụ thể, EDR trên điểm cuối đó có thể được kích hoạt để thực hiện quét sâu hơn hoặc cách ly hệ thống.
• Hỗ trợ săn lùng mối đe dọa (threat hunting): Các chuyên gia an ninh mạng có thể sử dụng dữ liệu từ cả NDR và EDR để chủ động tìm kiếm các dấu hiệu của các cuộc tấn công tiềm ẩn hoặc các hoạt động đáng ngờ khác trong môi trường mạng.

Ví dụ ứng dụng thực tế:

• Một nhân viên vô tình tải xuống một tệp tin độc hại. EDR trên máy tính của nhân viên sẽ phát hiện hành vi đáng ngờ của tệp tin và ngăn chặn nó gây hại. Đồng thời, NDR có thể phát hiện các kết nối bất thường từ máy tính này đến các máy chủ. Thông tin này được kết hợp để cảnh báo cho đội ngũ SOC về một sự cố tiềm ẩn và cung cấp thông tin chi tiết để ứng phó.
• Một kẻ tấn công cố gắng xâm nhập vào mạng từ bên ngoài. NDR có thể phát hiện các hành vi quét cổng (port scanning) hoặc các nỗ lực khai thác lỗ hổng. Nếu kẻ tấn công thành công xâm nhập vào một máy chủ, EDR trên máy chủ đó sẽ phát hiện các hoạt động độc hại như tạo tiến trình lạ hoặc sửa đổi tệp tin hệ thống. Cả NDR và EDR đều cung cấp thông tin quan trọng để ngăn chặn sự lây lan của cuộc tấn công và khắc phục hậu quả.

Tóm lại, cả Cisco NDR (Secure Network Analytics) và EDR (Secure Endpoint) đều là những giải pháp quan trọng trong chiến lược an ninh mạng hiện đại. NDR tập trung vào giám sát và phân tích lưu lượng mạng để phát hiện các mối đe dọa ở cấp độ mạng, trong khi EDR tập trung vào bảo vệ và giám sát các điểm cuối. Việc triển khai cả hai giải pháp này một cách phối hợp sẽ mang lại khả năng bảo vệ toàn diện và hiệu quả hơn cho tổ chức của bạn.

Xem thêm tại

• Cisco Secure Network Analytics (formerly Stealthwatch) Data Sheet
• Cisco Secure Endpoint Data Sheet