Dịch vụ Bảo mật Umbrella của Cisco là gì? Các trường hợp sử dụng - Tính năng

Trong những năm gần đây, Cisco đã tập trung vào việc xây dựng danh mục đầu tư mạng được xác định bằng phần mềm và đám mây của họ thông qua việc mua lại các công ty nhỏ hơn như Viptela và OpenDNS trong số những công ty khác.

​

Trong bài viết này, chúng ta sẽ tập trung vào Cisco Umbrella, giải thích nó là gì, thảo luận về cách nó có thể bảo vệ mạng của bạn, v.v.

Tóm tắt về Cisco Umbrella

OpenDNS được thành lập vào năm 2006 và bắt đầu bằng việc cung cấp các dịch vụ DNS và bảo mật DNS cho người dùng gia đình và các doanh nghiệp nhỏ.

Đến năm 2012, OpenDNS đã phát triển thành một doanh nghiệp thành công và có thể hỗ trợ các doanh nghiệp lớn với nền tảng bảo mật đám mây mới được xây dựng dựa trên bảo mật DNS. Nền tảng đám mây mới này được gọi là Umbrella.

Đến năm 2013, OpenDNS đã thêm các dịch vụ thông minh vào nền tảng hỗ trợ xác định Địa chỉ IP hoặc miền DNS nào là an toàn hay không an toàn và đưa ra một dịch vụ mới có tên là OpenDNS Investigate.

Cisco Umbrella được sử dụng để làm gì?

Cisco Umbrella là Giải pháp Bảo mật Dịch vụ Tên miền (DNS) dựa trên đám mây mà Cisco xem như một 'tuyến phòng thủ đầu tiên' chống lại các mối đe dọa từ internet như Phần mềm độc hại, Phần mềm Ransomware và các chiến dịch Lừa đảo.

​

DNS được sử dụng để ánh xạ các tên thân thiện với con người như www.google.com với một địa chỉ IP có thể đọc được trên máy tính. DNS là một trong những dịch vụ quan trọng nhất cần thiết để truy cập Internet và các giao tiếp mạng khác.

Nhiều công ty ngày nay dựa vào kết nối với các ứng dụng đang chạy trên các máy chủ trong đám mây hơn là dựa trên cơ sở tại nơi làm việc (on premise).

Điều này làm cho nhiệm vụ bảo vệ người dùng nội bộ khỏi các mối đe dọa bên ngoài bằng cách sử dụng Tường lửa đơn thuần là một nhiệm vụ rất khó khăn.

Điều này đặc biệt khó khăn khi một phần lớn lực lượng lao động của công ty có thể sống và làm việc bên ngoài cơ sở hạ tầng của công ty như làm việc tại nhà.

Mục tiêu của Cisco Umbrella là sử dụng DNS để chặn các mối đe dọa tại nguồn bằng cách ngăn người dùng truy cập vào các miền được xác định là độc hại và nhằm mục đích ngăn Phần mềm độc hại hoặc Vi rút xâm nhập vào máy của người dùng cuối.

Khi máy tính của người dùng hoặc máy chủ lưu trữ khác cố gắng truy cập tài nguyên Internet, trước tiên máy tính này sẽ truy vấn dịch vụ Umbrella DNS để phân giải địa chỉ IP của đích.

Nếu mục tiêu đích được dịch vụ Umbrella biết là độc hại, người dùng không được phép truy cập tài nguyên đích.

Các mối đe dọa an ninh lớn bên ngoài

Bất kỳ mạng nào được kết nối với internet đều dễ bị tấn công bởi những người đang tìm cách xâm nhập vào mạng này và khai thác những gì nằm bên trong.

Có một số lý do thúc đẩy tin tặc như lợi nhuận tài chính, động cơ chính trị, khủng bố hoặc đơn giản là vì niềm vui và tai tiếng khi chịu trách nhiệm hạ gục hệ thống mạng của một tập đoàn lớn.

Có nhiều phương pháp có thể được sử dụng bởi những 'tác nhân đe dọa' này để giành quyền truy cập vào mạng của công ty nhưng xu hướng ngày càng tăng là cung cấp một phần mềm độc hại được gọi là Ransomware hoặc backdoor ATP khác cho một người dùng nội bộ vô tình chạy phần mềm mã độc này trên hệ thống của họ.

Phần mềm này thường được phân phối thông qua một chiến dịch lừa đảo được nhắm mục tiêu trong đó người dùng cuối nhận được email mà họ tin rằng đó là từ một nguồn hợp pháp và đáng tin cậy.

Phần mềm độc hại thường được ngụy trang dưới dạng tệp đính kèm vô hại trong email và giả vờ là thứ gì đó vô hại như hóa đơn PDF hoặc tài liệu dạng chữ. Khi phần đính kèm này được mở, phần mềm ẩn bên trong sẽ được kích hoạt.

Cisco Umbrella hoạt động như thế nào?

Umbrella hoạt động bằng cách bảo vệ các thiết bị cuối của công ty khỏi các mối đe dọa như ransomware bằng cách định tuyến các yêu cầu DNS của thiết bị cuối thông qua dịch vụ proxy Umbrella được đặt trên đám mây.

Dịch vụ này sử dụng máy đọc và hệ thống dựa trên danh tiếng miền để xác định miền internet nào và địa chỉ IP nào có khả năng không an toàn và ngăn người dùng cuối truy cập vào hệ thống trong các địa điểm này.

Khi các tệp được tải xuống từ internet, các tệp tải xuống này sẽ được định tuyến thông qua dịch vụ proxy Umbrella và được quét bởi dịch vụ chống vi-rút / hoặc AMP của dịch vụ Chống phần mềm độc hại của Cisco.

Nếu file tải xuống được xác định là không an toàn, nó sẽ bị loại bỏ và không được chuyển tiếp đến người dùng cuối.

Để kết nối thiết bị với dịch vụ Umbrella, địa chỉ DNS trỏ đến đám mây Umbrella được cấu hình trên tác nhân phần mềm được cài đặt trên các máy riêng lẻ hoặc được cấu hình trực tiếp vào bộ định tuyến Cisco Edge như ISR hoặc được cấu hình nội bộ trên Bộ điều khiển Lan không dây của Cisco.

​

Làm cách nào để Cisco Umbrella ngăn chặn ransomware và phần mềm độc hại?

Để phá vỡ các quy trình mà các mối đe dọa như ransomware sử dụng để tấn công mạng, công ty Lockheed Martin đã phát triển một khuôn khổ được các chuyên gia bảo mật sử dụng để hiểu cách các ứng dụng phần mềm độc hại có thể nhắm mục tiêu, lây nhiễm và sau đó lây lan khắp tổ chức. Quá trình này còn được gọi là “Cyber Kill chain-Chuỗi tiêu diệt mạng”.

Umbrella được thiết kế để chặn các giai đoạn nhất định của chuỗi tiêu diệt này, ngăn quá trình hoàn thành. Các giai đoạn của một chuỗi tiêu diệt mạng như sau:

• IDENTIFY & RECON - Các nạn nhân mục tiêu của ransomware có thể được chọn ngẫu nhiên hoặc thông qua danh sách email có sẵn trên dark web từ các vi phạm bảo mật trước đó hoặc họ có thể được nhắm mục tiêu rõ ràng thông qua các chiến dịch lừa đảo.
• NITIAL ATTACK- Cuộc tấn công ban đầu xảy ra khi tải file bị nhiễm được chuyển thành công đến hệ thống nạn nhân thông qua tải xuống và sau đó được cài đặt.
• COMMAND AND CONTROL- Ở giai đoạn này, gói ransomware đã được chuyển đến hệ thống và được cài đặt và bắt đầu thực hiện hành động. Thông thường, bước tiếp theo phần mềm độc hại sẽ thực hiện là thử thiết lập kết nối với mạng điều khiển và chỉ huy của nó, mạng này thường được gọi là hoạt động C2. Lệnh và điều khiển yêu cầu sử dụng các kết nối mạng ẩn danh và IP độc hại trong khi cố gắng tải xuống dữ liệu quan trọng.
• DISCOVER AND SPREAD- Việc phát tán ransomware thường được hoàn thành bởi các dạng phần mềm độc hại hoặc trojan khác trước khi ransomware thực sự được triển khai, tuy nhiên có một số loại được gọi là Crypto Worms cố gắng lây nhiễm các tệp hệ thống và cố gắng lây lan sang các máy khác.
• EXTRACT AND EXFILTRATE - Với ransomware, giai đoạn trích xuất là điểm mà tiền chuộc được trả và tiền được chuyển ra khỏi công ty. Ở giai đoạn này, trò chơi đã kết thúc và không có các khóa mã hóa, hầu như không thể giảm sự lây nhiễm trên các hệ thống bị ảnh hưởng.

Ở Giai đoạn 2 của chuỗi tiêu diệt, đây là nơi mà người dùng được nhắm mục tiêu sẽ được gửi một email lừa đảo được xây dựng cẩn thận có chứa gói độc hại.

Email sẽ được tạo ra để trông giống hệt như nó đến từ một nguồn hợp pháp và sẽ chứa các biểu trưng chính xác của công ty, các liên kết trở lại trang web thực của công ty và thậm chí chữ ký có thể trông hợp pháp với số điện thoại và chi tiết liên hệ chính xác của người gửi.

Tuy nhiên, miền mà email được gửi từ đó là sai và một lần nữa được thực hiện để trông giống như giao dịch thực bằng cách có thể thêm một ký tự khác vào miền, chẳng hạn như thêm chữ “I” hoặc “0” thay vì chữ O mà bạn có thể bỏ qua ngay cả những người dùng hiểu biết về công nghệ.

Đây là giai đoạn đầu tiên mà Umbrella có thể phá vỡ chuỗi Kill một cách hiệu quả. Bằng cách sử dụng máy học và hệ thống danh tiếng của nó, Umbrella sẽ có thể phát hiện ra rằng liên kết mà người dùng đã nhấp vào đang hướng họ đến miền có điểm danh tiếng kém hoặc, nếu đó là miền mới được đăng ký, miền không có danh tiếng.

Sau đó, nó sẽ thực hiện hành động để chặn kết nối và chuyển hướng người dùng đến một trang tự tạo an toàn, trang này sẽ cảnh báo người dùng rằng họ có thể là nạn nhân của email lừa đảo kèm theo hướng dẫn về cách họ nên tiếp tục.

Ở giai đoạn 3, Umbrella lại phá vỡ chuỗi bằng cách sử dụng bảo mật lớp IP và DNS để phát hiện kết nối đi này từ phần mềm độc hại đến máy chủ điều khiển và chỉ huy của nó, chặn tải xuống các khóa mã hóa và ngăn chặn bất kỳ giao tiếp nào khác với máy chủ C&C làm gián đoạn ransomware và ngăn nó hoàn thành nhiệm vụ.

Giao diện Quản lý cho Umbrella được truy cập thông qua Web GUI kết nối với dịch vụ trên đám mây.

Ngăn quản lý này có thể hiển thị thống kê Quản trị mạng về tất cả các kết nối bị chặn trên mỗi máy hoặc mỗi cấp người dùng.

Ngăn quản lý cũng có thể cung cấp thông tin về các máy có thể đã bị nhiễm và đang cố gắng kết nối từ mạng công ty với các miền độc hại.

Các tính năng của Cisco Umbrella

Giống như nhiều sản phẩm của Cisco, các tính năng khả dụng với Umbrella tùy thuộc vào cấp độ giấy phép đã được mua. Có 4 gói có sẵn:

• DNS Security Essentials
• DNS Security Advantage
• SIG Security Essentials
• SIG Security Advantage

Tùy thuộc vào gói được mua, Cisco Umbrella có các tính năng sau:

• Secure Web Gateway
• Cloud Access Security Broker
• DNS Layer Security
• Cloud Based Firewall
• Data Loss Prevention
• Remote Browser Isolation
• XDR and Threat Intelligence
• User Attribution
• Traffic Forwarding
• Management
• Reporting and Logs

Bạn có thể tìm thêm thông tin về các gói có sẵn tại đây:

https://umbrella.cisco.com/products/packages

​

Một số trường hợp sử dụng của Cisco Umbrella

Có rất nhiều câu chuyện thành công có thể được nghe từ các công ty đang phải vật lộn với việc lây nhiễm Phần mềm độc hại làm gián đoạn hoạt động kinh doanh của họ.

Bạn có thể tìm thấy nhiều câu chuyện thành công này tại đây: https://learn-umbrella.cisco.com/case-studies

Nhiều Khách hàng trong số này đã chọn sử dụng Cisco Umbrella để giải quyết một vấn đề cụ thể mà họ gặp phải khi xử lý nhiễm Phần mềm độc hại. Các trường hợp sử dụng phổ biến nhất là:

• Bảo vệ phần mềm độc hại cho lực lượng lao động từ xa.
• Tuân thủ GDPR và ngăn chặn việc xâm nhập dữ liệu.
• Phản ứng sự cố nhanh hơn thông qua xác định nhanh hơn các thiết bị bị nhiễm.
• Thực thi chính sách của công ty thông qua lọc URL và Web.
• Nhận dạng Shadow IT nơi người dùng đang sử dụng các ứng dụng đám mây khác với phần còn lại của công ty.

Một số đối thủ cạnh tranh của Cisco Umbrella

Umbrella hiện đang dẫn đầu thị trường về bảo mật DNS nhưng có rất nhiều công ty khác đang cạnh tranh cho Thị trường Cổng vào Web Bảo mật.

Tất cả chúng đều cung cấp các tính năng rất giống nhau và theo Gartner.com, các sản phẩm sau đây hiện là lựa chọn thay thế phổ biến nhất cho Cisco Umbrella.

• Zscaler Internet Access
• Forcepoint Web Security (Appliance)
• McAfee Web Gateway
• Kaspersky Security for Internet Gateway
• Symantec ProxySG
• Netskope NextGen SWG
• iboss cloud
• Trend Micro InterScan Web Security

Các nhà cung cấp khác cung cấp dịch vụ tương tự là TitanHQ, Barracuda và Palo Alto Networks

Bài viết liên quan: Giải pháp bảo mật trên đám mây của Cisco - Cisco Umbrella

 

Note, thanks.