FortiSandbox-Giải pháp ngăn chặn mã độc của Fortinet

Fortinet - FortiSandbox – Giải pháp ngăn chặn mã độc thế hệ mới ( Phần 1 )

FortiSandbox hướng tới việc tái tạo hành vi người dùng thực trên hệ thống để thực thi và tăng tốc các mã độc hại để phát hiện ra các mã độc hại này. Để đánh giá mã độc hại, sandbox sẽ chạy với nhiều tiến trình code trên nhiều hệ điều hành và công nghệ khác nhau.



FortiSandbox là công cụ phát hiện hoạt động các tốt nhất kết hợp với khả năng thực thi và phòng chống của tường lửa, mail gateway hay endpoint tạo thành hệ thống phòng chống các hiểm họa thế hệ mới. Trong đó Fortinet đưa ra bộ giải pháp tích hợp để lọc tất cả các lưu lượng ra vào hệ thống cũng như bảo vệ đến người dùng cuối. Fortinet đưa ra công nghệ độc quyền Compact Pattern Recognition Language (CPRL) được phát triển bởi FortiGuard Labs để thực hiện kiểm tra sâu ở mức độ code. Ngôn ngữ này có thể xác định được 50,000 mã được biết đến.

Để phát hiện thêm những mối đe dọa tinh vi nhất, Fortinet đã đưa ra các kỹ thuật phân tích tiên tiến từ FortiGuard Labs trong FortiSandbox. Thiết bị chứng minh 99% phát hiện vi phạm trong bài test các vi phạm trong hệ thống của NSS Labs 2014.



Theo đánh giá của NSS Lab 2016, Fortinet đã chứng minh được khả năng phát hiện vi phạm và hiệu suất ưu việt; đạt cùng lúc 2 đề xuất đánh giá cho giải pháp điện toán đám mây và thiết bị phòng chống hiểm họa nâng cao (ATP).

Fortinet (NASDAQ: FTNT) đã công bố kết quả của họ trong bài kiểm tra khả năng phát hiện các vi phạm mới nhất của nhóm thử nghiệm NSS Lab. Fortinet đã mang đến 2 giải pháp Sandboxing hàng đầu là thiết bị FortiSandbox 3000D và dịch vụ đám mây của FortiSandbox, và cả 2 giải pháp này đều đạt được đề xuất đánh giá của tổ chức NSS Lab.



Đánh giá NSS về khả năng phát hiện các loại malware và phát hiện trên các loại giao thức của FortiSandbox

Khuyến nghị của NSS Lab gần đây là một trong nhiều khuyến nghị mà Fortinet đã đạt được trước đó, thể hiện cam kết của Fortinet trước những thử nghiệm nghiêm ngặt của bên thứ ba. Fortinet cũng đã nhận được khuyến nghị của NSS Labs cho giải pháp tưởng lửa thế hệ mới (NGFW) Fortigate của họ, hệ thống ngăn chặn xâm nhập trung tâm dữ liệu (DCIPS), giải pháp bảo vệ thiết bị đầu cuối FortiClient, và giải pháp tường lửa ứng dụng web FortiWeb (WAF). Tất cả những giải pháp đã chứng minh một các ấn tượng hiệu quả bảo mật trên 99% cùng với hiệu suất hàng đầu. Điều này đảm bảo rằng khách hàng của Fortinet có thể triển khai tốt nhất giải pháp Fortinet Security Fabric từ IOT đến đám mây và ở khắp mọi nơi ở giữa chúng.

 

Fortinet - FortiSandbox – Giải pháp ngăn chặn mã độc thế hệ mới (phần 2)

Qua bài viết lần trước chúng ta đã hiểu rõ được sự hiệu quả của FortiSandbox trong việc phòng chống mã độc như thế nào. Qua bài viết lần này, chúng ta sẽ có 1 cái nhìn sâu hơn về những tính năng mà FortiSandbox mang lại
Phần 1: Fortinet - FortiSandbox – Giải pháp ngăn chặn mã độc thế hệ mới (phần 1)
Phần 3: Fortinet - FortiSandbox – Giải pháp ngăn chặn mã độc thế hệ mới (phần 3)

Tính năng chính
FortiSandbox của Fortinet hỗ trợ các tính năng chính dưới đây:

• Cung cấp môi trường chạy thử ảo hóa với các công nghệ bảo mật tiên tiến bên trong để phát hiện các mối đe dọa chưa được biết đến
• Cung cấp bộ lọc nhiều lớp độc đáo giúp phát hiện mối đe dọa nhanh chóng và hiệu quả
• Cung cấp việc báo cáo đầy đủ và chi tiết giúp quan sát được toàn bộ vòng đời của một mối đe dọa
• Kiểm tra nhiều giao thức trong một thiết bị vật lý giúp đơn giản hóa trong việc triển khai và làm giảm chi phí đầu tư
• Tích hợp và tự động hóa với các sản phẩm phòng chống mối đe dọa của Fortinet có sẵn mà không cần phải đầu tư toàn bộ lại từ đầu
• Giải pháp đã được kiểm tra độc lập và được cấp chứng nhận

Cơ chế đa lớp giảm thiểu chủ động các mối đe dọa
Ngày nay, các tội phạm công nghệ cao ngày càng dễ dàng vượt qua các giải pháp chống malware truyền thống và chèn các mối đe dọa dai dẳng tiên tiến sâu vào bên trong mạng của tổ chức. Các cuộc tấn công thường nhắm mục tiêu có giá trị cao và có khả năng né tránh việc phát hiện dựa trên signature-based bằng cách che dấu mã độc nhiều cách như - nén, mã hóa, đa hình, và một số kỹ thuật che dấu khác. Ngoài ra, hiện nay thậm chí một số mã độc đã bắt đầu phát triển để né tránh môi trường "sandbox" - sử dụng công nghệ phát hiện trên máy ảo, "time bombs" và nhiều hơn nữa. Việc chống lại các cuộc tấn công ngày nay đòi hỏi một cách tiếp cận toàn diện và tích hợp.
FortiSandbox cung cấp một sự kết hợp mạnh mẽ của chủ động phát hiện và giảm thiểu, cho chúng ta thấy cái nhìn sâu sắc mối đe dọa hành động như thế nào và có thể triển khai tích hợp và tự động hóa.

Phát hiện chủ động và giảm nhẹ
Các đoạn mã đáng ngờ sẽ được bộ lọc đa lớp xử lý trong môi trường hệ điều hành ảo để phân tích các hành vi chi tiết. Các bộ lọc đa lớp hiệu quả cao bao gồm một màn hình bằng công cụ AV, sẽ truy vấn dữ liệu các mối đe dọa trên hệ thống cơ sở dữ liệu điện toán đám mây của Fortinet và sẽ thực hiện việc mô phỏng chạy thử các đoạn mã đáng ngờ trên hệ điều hành mô phỏng độc lập, sau đó sẽ được chạy trong môi trường ảo đầy đủ. Một khi mã độc hại được phát hiện, bảng xếp hạng cùng với thông tin của mối đe dọa là có sẵn, một chữ ký điện tử để nhận diện mã độc được tạo tự động để phân phối cho các sản phẩm bảo mật tích hợp khác trong hệ thống và cung cấp thông tin đe dọa đầy đủ chia sẻ (tùy chọn khi cấu hình) với FortiGuard Labs để cập nhật cơ sở dữ liệu mối đe dọa trên toàn cầu.

Cái nhìn sâu sắc hành động
Tất cả các phân loại - độc hại và cao / trung bình / rủi ro thấp - được hiển thị trong một bảng điều khiển trực quan. Thông tin đầy đủ mối đe dọa từ việc thực hiện trên môi trường ảo hóa – bao gồm hoạt động hệ thống, các lỗ hổng bảo mật được khai thác, lưu lượng web, các download tiếp theo, các nỗ lực kết nối ra bên ngoài và nhiều hơn nữa – và có sẵn trong các nhật ký và báo cáo toàn diện và đầy đủ thông tin.

 

Fortinet - FortiSandbox – Giải pháp ngăn chặn mã độc thế hệ mới (phần 3)

Qua phần này, chúng ta cùng tìm hiểu về tính năng Advanced Threat Protection Framework của Fortinet và FortiSandBox có thể tương thích và kết hợp với những thiết bị nào để tạo nên một bức tường phòng thủ vững chắc

ADVANCED THREAT PROTECTION FRAMEWORK



Cách phòng thủ hiệu quả nhất chống lại các cuộc tấn công có chủ đích tiên tiến được thành lập dựa trên Framework bảo vệ và gắn kết mở rộng. Framework của Fortinet sử dụng thu thập thông tin an ninh trên một giải pháp tích hợp các công cụ an ninh truyền thống và tiên tiến cho mạng, ứng dụng và bảo mật đầu cuối, và phát hiện mối đe dọa để cung cấp hành động, không ngừng nâng cao việc bảo vệ.

Fortinet tích hợp thu thập thông tin của FortiGuard Labs bên trong FortiGate tường lửa thế hệ tiếp theo (Firewall Next-gen), FortiMail cổng thư điện tử bảo mật, FortiClient bảo mật thiết bị đầu cuối, FortiSandbox phát hiện mối đe dọa nâng cao, và các sản phẩm bảo mật khác để tiếp tục tối ưu hóa và cải thiện mức độ an ninh cho tổ chức.

Ngăn chặn cuộc tấn công bằng cách phối hợp với các thiết bị Gateway
FortiSandbox có thể tương thích và phối hợp cùng với:

• FortiGate – Fortinet next generation firewall. FortiGate đóng vai trò là thiết bị tường lửa có nhiệm vụ lọc toàn bộ traffic đi qua, với những tập tin đáng nghi ngờ FortiGate sẽ gửi qua FortiSandbox thông qua kết nối TCP/UDP 514, FortiSandbox phân tích tập tin đáng nghi, gửi lại báo cáo cho FortiGate và cập nhật lên FortiGuard. Với tập tin được nhận định là nguy hại (malicious) FortiGate sẽ tự động cập nhật thông tin signature của loại mã độc này từ FortiSandbox để ngăn chặn nếu như có xuất hiện trong hệ thống mạng.

• ForitMail – Fortinet Email gateway.

Tương tự như FortiGate, FortiMail có vai trò gateway với các thư điện tử, FortiMail sẽ kiểm tra và gửi các đường dẫn, file đính kèm đáng ngờ đến FortiSandbox trong khi email vẫn chưa tới được Mail box của người dùng. Ngay khi phân tích xong và phát hiện mã độc, FortiMail sẽ được cập nhật dữ liệu và thực hiện việc xóa/ thông báo đến người dùng trên chính email nhiễm mã độc.

• FortiWeb – tường lửa lửa ứng dụng web

FortiWeb là giải pháp bảo vệ cho hệ thống ứng dụng Web, khi tích hợp cùng giải pháp FortiSandbox các dữ liệu người dùng upload lên Web server sẽ được phân tích và đánh giá, việc tích hợp này tương tự như FortiGate và FortiMail

• FortiClient – bảo mật thiết bị đầu cuối. FortiClient là phần mềm được sử dụng tích hợp với ForitSandbox khi được quản trị chung bằng FortiGate.

Với đặc điểm hoạt động ở mức Endpoint, FortiClient có khả năng tạm khóa các tập tin đáng ngờ, ngăn chặn người dùng sử dụng khi chưa có sự đánh giá từ FortiSandbox; sau khi phát hiện tập tin nhiễm mã độc, FortiClient sẽ tự động “Quarantine” hoặc xóa bỏ ngay lập tức tập tin nhiễm mã độc trên máy tính người dùng. Việc tích hợp giữa FortiSandbox, FortiGate và FortiClient được đánh giá là giải pháp toàn vẹn nhất dành cho việc phòng chống mã độc triệt để hiện nay.

FortiClient hiện nay đã và đang được sử dụng ở các hệ điều hành phổ biến: Windows, MacOS, Android, iOS. Tuy nhiên việc tích hợp để thực hiện vai trò kiểm soát mã độc thì mới có thể hoạt động được tại Windows và MacOS.

Giảm thiểu tác động và cải thiện bảo vệ
Trong một giải pháp Fortinet, kết quả phát hiện có thể được sử dụng để kích hoạt các hành động phòng ngừa để đảm bảo sự an toàn của các nguồn tài nguyên và dữ liệu cho đến khi khắc phục được đặt ra. Cuối cùng, toàn bộ hệ sinh thái được cập nhật bản bảo mật để giảm thiểu bất kỳ tác động từ các cuộc tấn công trong tương lai thông qua việc tích hợp các dịch vụ nghiên cứu, thu thập thông tin các mối đe dọa tích hợp mạnh mẽ của FortiGuard Labs