fbpx

Khám phá giá trị của khả năng hiển thị (Visibility) đối với an ninh mạng (Cybersecurity)

Khám phá giá trị của khả năng hiển thị (Visibility) đối với an ninh mạng (Cybersecurity)

Khám phá giá trị của khả năng hiển thị (Visibility) đối với an ninh mạng (Cybersecurity). You can’t secure what you can’t see

Bảo mật mạng công ty chưa bao giờ là thách thức hơn thế. Các phương pháp, kiến ​​trúc và giải pháp đã được thử nghiệm liên tục hiện nay không còn hoạt động hiệu quả nữa vì tội phạm mạng ngày càng tinh vi hơn và thành công hơn với việc khai thác.

Nếu bạn chỉ bỏ thêm tiền vào các phương pháp an ninh mạng lỏng lẻo tương tự sẽ không đủ. Trò chơi đang thay đổi và an ninh mạng doanh nghiệp cần thay đổi theo nó. Điều này đòi hỏi phải suy nghĩ lại về cách cấu trúc và triển khai các biện pháp phòng thủ an ninh mạng. Không chỉ từ quan điểm công nghệ mà còn từ quan điểm về lợi nhuận trên vốn đầu tư ROI.

Trong phần dưới đây, chúng ta sẽ xem xét lời khuyên mới nhất của chuyên gia về cách thiết kế các biện pháp phòng thủ an ninh mạng, tầm quan trọng của việc giám sát và phân tích liên tục. Nhưng trên hết là về các khả năng mới được kích hoạt bởi phần mềm an ninh mạng mã nguồn mở và các máy chủ tiêu chuẩn được tăng tốc FPGA với các ví dụ về các giải pháp an ninh mạng giá cả phải chăng nhưng hiệu quả.

Ngày càng có nhiều doanh nghiệp tận dụng những khả năng mới này để xây dựng các giải pháp giám sát an ninh mạng của riêng họ có thể cung cấp khả năng hiển thị và thông tin chi tiết về nhiều nơi hơn trong mạng và cho phép giám sát và phân tích liên tục cần thiết để chống lại tội phạm mạng.

Tin cậy vào vành đai phòng thủ sẽ không đủ

Theo các chuyên gia bảo mật và nhà phân tích như Gartner, các biện pháp phòng thủ an ninh mạng truyền thống chỉ dựa vào phòng ngừa không còn đủ để ngăn chặn tội phạm mạng. Việc ngăn chặn mối đe dọa bảo mật cần được bổ sung với các giải pháp có thể phát hiện các mối đe dọa dựa trên việc giám sát và phân tích liên tục hành vi của mạng và ứng dụng. Các giải pháp và công nghệ phát hiện mối đe dọa bảo mật sẽ không ngăn vi phạm xảy ra, nhưng sẽ giảm đáng kể thời gian phát hiện và phản ứng với vi phạm.

Trong cuốn sách “Thiết kế kiến ​​trúc bảo mật thích ứng để bảo vệ khỏi các cuộc tấn công nâng cao” được ra mắt vào tháng 1 năm 2016, Gartner đã mô tả khái niệm về kiến ​​trúc bảo mật thích ứng. Trong phân tích, Gartner kết luận rằng có sự phụ thuộc quá mức vào các giải pháp phòng chống bảo mật, không đủ để bảo vệ khỏi những kẻ tấn công có động cơ và tiên tiến. Giải pháp thay thế được đề xuất là một kiến ​​trúc bảo mật thích ứng dựa trên các khả năng quan trọng sau:

• Khả năng phòng ngừa để ngăn chặn các cuộc tấn công

• Khả năng thám sát để tìm các cuộc tấn công đã trốn tránh khả năng phòng ngừa

• Khả năng hồi cứu để phản ứng với các cuộc tấn công và thực hiện phân tích forensic

• Khả năng dự đoán để học hỏi từ các cuộc tấn công và trí tuệ ngành để cải thiện khả năng và chủ động dự đoán các cuộc tấn công mới tiềm năng

Các khuyến nghị này được ghi lại trong sơ đồ sau từ báo cáo:

Nền tảng và khả năng cho phép củng cố khuôn khổ kiến ​​trúc bảo mật thích ứng là khả năng thực hiện giám sát và phân tích liên tục bao gồm giám sát và phân tích mạng.

Như có thể thấy, trong các trường phát hiện và phản hồi của sơ đồ, trọng tâm là phát hiện, chứa và ứng phó với các sự cố bảo mật. Những khả năng này nhận ra thực tế là sẽ có những vi phạm sẽ không bị phát hiện bởi các giải pháp ngăn chặn mối đe dọa bảo mật vì lý do này hay lý do khác. Do đó, điều quan trọng là phải giám sát hoạt động để phát hiện bất kỳ hành vi bất thường nào có thể cho thấy vi phạm.

Hệ thống mạng phức tạp hơn

Mạng doanh nghiệp đang trở nên phức tạp hơn trên một số khía cạnh. Hiện nay chúng ta dựa vào Internet cho hầu hết mọi khía cạnh của đời sống doanh nghiệp, điều này đã dẫn đến sự xuất hiện của một loạt các ứng dụng mới trên mạng. Điều này bao gồm từ liên lạc email đơn giản đến Voice-over-IP (VoIP) cho đến hội nghị truyền hình. Ngoài ra, mạng doanh nghiệp đã được mở rộng đến các thiết bị di động và điện thoại thông minh tạo ra một sự phức tạp ở cấp độ thiết bị mới. Điều này đương nhiên dẫn đến Bring Your Own Deviec (BYOD), vốn đã trở thành một điểm bán hàng cho việc tuyển dụng tại một số công ty, nhưng lại đưa ra một thách thức về an ninh mạng. Khi nói đến đám mây, tất nhiên chúng ta thấy việc sử dụng các ứng dụng dựa trên đám mây cho mục đích cá nhân và công ty ngày càng tăng, nhưng chúng ta cũng đang thấy các mạng kết hợp trải dài các trung tâm dữ liệu nội bộ và các dịch vụ đám mây được lưu trữ, điều này một lần nữa làm tăng thêm sự phức tạp của môi trường cần giám sát.

Theo IHS Markit1, 57% doanh nghiệp được khảo sát dự kiến ​​vận hành kết hợp các dịch vụ bảo mật tại chỗ và được quản lý bằng cách sử dụng 11 nhà cung cấp dịch vụ đám mây khác nhau.

Rõ ràng là trong một môi trường mạng và ứng dụng phức tạp như vậy, số lượng các nguồn tấn công tiềm ẩn đã tăng lên gấp bội và các cuộc tấn công giờ đây có thể xảy ra từ bên trong hệ thống phòng thủ vòng ngoài của mạng doanh nghiệp.

Phát hiện nhanh chóng hơn

Rõ ràng là trong một môi trường mạng và ứng dụng phức tạp như vậy, số lượng các nguồn tấn công tiềm ẩn đã tăng lên gấp bội và các cuộc tấn công giờ đây có thể xảy ra từ bên trong hệ thống phòng thủ vòng ngoài của mạng doanh nghiệp. Nghiên cứu cho thấy rằng ai có thể phát hiện và phản ứng với vi phạm càng nhanh, thì tác động và chi phí liên quan càng thấp, đây là mối quan tâm ngày càng tăng do các vi phạm hồ sơ rất cao ở mức độ C-level và trễ trong những trường hợp như vậy.

Khám phá giá trị của khả năng hiển thị (Visibility) đối với an ninh mạng (Cybersecurity)
Khám phá giá trị của khả năng hiển thị (Visibility) đối với an ninh mạng (Cybersecurity)

Các nhà điều hành doanh nghiệp ngày càng nhận thức được chi phí của việc đánh mất dữ liệu, hiện trung bình trên 7 triệu đô la cho mỗi lần như vậy. Do đó, việc thiết lập một cơ sở hạ tầng phân tích và giám sát liên tục, đặc biệt đối với mạng, có tầm quan trọng cực kỳ quan trọng. Tuy nhiên, cung cấp khả năng hiển thị ở tất cả các địa điểm được yêu cầu có thể là một đề xuất đắt đỏ và trong khi có nhiều dịch vụ thương mại để lựa chọn, việc tìm kiếm giải pháp cung cấp chính xác những gì bạn cần, với chính xác mức giá bạn có thể chi trả, có thể khó khăn.

Xây dựng cơ sở hạ tầng có khả năng hiển thị (Visibility) của riêng bạn

Giảm thiểu số lượng ngày càng tăng các nguồn đe dọa tiềm ẩn đòi hỏi một tầm nhìn rộng hơn về những gì đang xảy ra trong các mạng với nhiều điểm dễ thấy hơn. Tuy nhiên, có thể rất tốn kém khi sử dụng các giải pháp thương mại tại tất cả các điểm có liên quan trong mạng.

Đây là lý do tại sao ngày càng nhiều doanh nghiệp đang khám phá lựa chọn xây dựng các thiết bị và thiết bị thăm dò an ninh mạng của riêng họ. Chưa bao giờ việc theo đuổi lựa chọn này trở nên khả thi hơn. Có một loạt các dịch vụ phần mềm nguồn mở, chẳng hạn như Snort, Suricata và Bro đã đạt đến mức độ trưởng thành cao và cho phép các giải pháp giám sát bảo mật mạnh mẽ. Thật vậy, chúng thường là cơ sở của nhiều dịch vụ thương mại có sẵn!

Lợi thế của việc xây dựng thiết bị hoặc thiết bị thăm dò an ninh mạng của riêng bạn là nó có thể cung cấp chính xác mức độ và khả năng hiển thị và thông tin chi tiết mà bạn cần, ở nơi bạn cần. Nó có thể bao gồm chính xác các tính năng bạn yêu cầu, bao gồm các khả năng quan trọng đối với môi trường và mạng của bạn. Tìm kiếm một giải pháp thương mại có thể cung cấp chính xác những gì bạn cần, với mức giá bạn sẵn sàng trả có thể là một thách thức, vì vậy, việc xây dựng thiết bị thăm dò của bạn cung cấp một giải pháp thay thế hấp dẫn có thể kéo dài ngân sách an ninh mạng của bạn.

Vấn đề trước đây là tìm ra nền tảng máy tính phù hợp để triển khai các ứng dụng phần mềm an ninh mạng mã nguồn mở, thương mại hoặc được phát triển nội bộ. Các máy chủ tiêu chuẩn thông thường sử dụng Network Interface Card (NIC) cung cấp một giải pháp “đủ tốt” để có tốc độ thấp hơn, nhưng phải đối mặt với những thách thức khi bạn vượt quá tốc độ 1G.

Một trong những thách thức lớn là mất gói tin. Cho dù giải pháp giám sát bảo mật đang được thiết kế là nội tuyến hay thụ động theo dõi lưu lượng truy cập trên một lần nhấn hoặc chuyển đổi cổng SPAN, việc mất gói sẽ đặt ra một vấn đề, vì khi bị mất, các gói tin không thể được lấy lại. Điều này là do các giải pháp giám sát không được can thiệp vào thông tin liên lạc trừ khi phát hiện ra mối đe dọa. Vì vậy, không thể sử dụng các cơ chế thông thường để gửi lại lưu lượng không nhận được, chẳng hạn như truyền lại TCP.

Mất gói tin có phải là một vấn đề lớn?

Khi vấn đề mất gói tin phát sinh, nó không chỉ là một gói tin ở đây hay ở đó, mà là một số gói tin bị mất cùng một lúc. Điều này có thể có nghĩa là toàn bộ phiên bị tổn hại theo phân tích, giống như việc bỏ sót một phần của bộ phim tội phạm tiết lộ danh tính của nhân vật phản diện. Theo thuật ngữ an ninh mạng, điều này hoàn toàn đúng đắn, vì một chiến thuật để ngăn chặn hoạt động độc hại là áp đảo hệ thống phòng thủ bằng các loạt dữ liệu.

Nói cách khác, bạn mất các gói tin vào đúng thời điểm mà bạn cần để hiểu rõ hơn về những gì đang xảy ra. Một điều trớ trêu không thua gì tội phạm mạng.

Do đó, đảm bảo không mất gói là điều cần thiết để đảm bảo rằng các biện pháp phòng thủ an ninh mạng luôn hoạt động khi cần thiết nhất.

FPGA-BASED SMARTNICS cho an ninh mạng đáng tin cậy

Để đảm bảo không mất gói tin, điều quan trọng là sử dụng NICs, được thiết kế cho nhiệm vụ này. FPGA-Based SmartNIC là lý tưởng cho mục đích này vì chúng không chỉ cung cấp thông lượng thô và hiệu suất xác định cần thiết mà còn có thể cung cấp quá trình xử lý thông minh dữ liệu trên SmartNIC sẽ giải quyết tất cả các khía cạnh của việc mất gói.

Giải pháp FPGA-Based SmartNIC bao gồm hai phần quan trọng; phần cứng SmartNIC với chip FPGA trên bo mạch thay thế NIC tiêu chuẩn và phần mềm “image” FPGA triển khai các tính năng và khả năng được thực thi trên FPGA. Để biết thêm thông tin về FPGA là gì và nó hoạt động như thế nào, hãy theo dõi ở hình ảnh bên dưới.

Mất gói tin có thể xảy ra ở nhiều vị trí trong máy chủ. Nó có thể ở cổng mạng hoặc trong đường dẫn xử lý của NIC, nhưng cũng có thể xảy ra do tắc nghẽn trên giao diện PCIe của máy chủ, quản lý bộ nhớ không chặt chẽ và truyền dữ liệu qua giao diện QPI nút NUMA.

Các giải pháp dựa trên FPGA-based SmartNICs không chỉ đảm bảo rằng các cổng mạng và đường dẫn nội bộ của chúng có khả năng nhận và truyền lưu lượng dữ liệu ở tốc độ lý thuyết cao nhất, mà còn cung cấp bộ đệm trên bo mạch để đảm bảo rằng không có gói tin nào bị mất do mạng, PCIe tắc nghẽn bus hoặc CPU. Truyền trực tiếp và tối ưu hóa dữ liệu vào bộ nhớ đệm CPU đảm bảo rằng các gói được xử lý nhanh nhất có thể. Phân loại thông minh và phân phối tải nhiều CPU phân chia việc xử lý và phân tích dữ liệu qua nhiều lõi CPU dẫn đến mức hiệu suất cao.

Tóm lại, bằng cách thay thế các NIC tiêu chuẩn bằng FPGA-based SmartNICs và phần mềm FPGA Image được thiết kế cho các ứng dụng giám sát bảo mật, có thể đảm bảo không mất gói tin, cải thiện hiệu suất đáng kể và cho phép các thiết bị và đầu dò tốc độ cao được xây dựng để hỗ trợ mã nguồn mở các ứng dụng như Snort, Suricata và Bro.

Khám phá giá trị của khả năng hiển thị (Visibility) đối với an ninh mạng (Cybersecurity)
Khám phá giá trị của khả năng hiển thị (Visibility) đối với an ninh mạng (Cybersecurity)

A Field Programmable Gate Array (FPGA) là một chip có thể cấu hình lại cung cấp một tập hợp các thành phần logic và bộ nhớ có thể được kết hợp để thực hiện một tác vụ tính toán cụ thể. Cách kết hợp các thành phần logic và bộ nhớ được xác định bằng cách sử dụng tệp cấu hình phần mềm được gọi là FPGA Image.

FPGA có thể hỗ trợ hầu hết mọi tác vụ tính toán có thể tưởng tượng được trong đó đường dẫn dữ liệu và các phép tính có thể được tùy chỉnh hoàn toàn cho tác vụ cần thực hiện. Vì FPGA được định nghĩa bằng cách sử dụng phần mềm, nó cũng có thể được cấu hình lại, nhanh chóng, từ xa cho phép cùng một phần cứng có các khả năng mới theo yêu cầu.

Một trong những thuộc tính hấp dẫn chính của FPGA giúp chúng khác biệt với các chip xử lý có thể lập trình khác là tính xác định. Khi đường dẫn dữ liệu được định cấu hình trong FPGA, thời gian cần thiết để xử lý dữ liệu đó là như nhau cho dù tải. Điều này làm cho FPGA trở nên lý tưởng cho các ứng dụng có độ trễ thấp và ít rung giật và các ứng dụng yêu cầu hiệu suất được đảm bảo trong mọi điều kiện.

Các giải pháp an ninh mạng hiện nay

Một số loại giải pháp giám sát an ninh có thể sử dụng phần mềm nguồn mở chạy trên máy chủ tiêu chuẩn với FPGA-based SmartNICs và phần mềm FPGA Image tập trung vào an ninh mạng:

• Hệ thống phát hiện xâm nhập (IDS) có thể phát hiện nếu vi phạm đã xảy ra trong nội bộ mạng chứ không chỉ ở ngoại vi

• Hệ thống phát hiện mối đe dọa nâng cao trong mạng nội bộ (ATD) có thể phân tích mô hình hoạt động của mạng để xác định xem liệu mối đe dọa ngày 0 đã loại bỏ các biện pháp vành đai phòng thủ hay chưa

• Các giải pháp bảo mật forensics có thể ghi lại dữ liệu mạng để phân tích sâu hơn nếu phát hiện vi phạm

• Dynamic Distributed Denial of Service (DDos) có thể phát hiện các cuộc tấn công DDoS và chuyển hướng lưu lượng truy cập để kiểm tra

• Các giải pháp kiểm tra bảo mật có thể tạo ra lưu lượng truy cập ở giới hạn lý thuyết đầy đủ để kiểm tra sức mạnh phòng thủ an ninh mạng

Dưới đây là một ví dụ về giải pháp an ninh mạng kết hợp một số khả năng ở trên:

Khám phá giá trị của khả năng hiển thị (Visibility) đối với an ninh mạng (Cybersecurity)
Khám phá giá trị của khả năng hiển thị (Visibility) đối với an ninh mạng (Cybersecurity)

Nó liên quan đến hai máy chủ, mỗi máy chủ có FPGA-Based SmartNIC của riêng chúng và phần mềm FPGA image chuyên dụng. Trong máy chủ đầu tiên, chúng tôi đang sử dụng ứng dụng phát hiện mối đe dọa Suricata-based IDS để kiểm tra dữ liệu trong thời gian thực để xác định xem có bất kỳ lưu lượng truy cập đáng ngờ nào hay không. Trong máy chủ thứ hai, chúng tôi đang sử dụng ứng dụng bảo mật forensics và bộ ghi mạng để ghi tất cả dữ liệu mạng vào đĩa mà không mất gói nào để phân tích sau này. Nếu công cụ Suricata phát hiện thấy lưu lượng truy cập đáng ngờ, nó sẽ gửi một cảnh báo đến ứng dụng giám sát bảo mật và forensics để tự động hoặc theo yêu cầu từ người dùng, truy xuất dữ liệu mạng liên quan đến sự cố bảo mật từ dữ liệu mạng đã ghi. Điều này cho phép chuyên gia bảo mật nhanh chóng xác định tính xác thực và mức độ nghiêm trọng của sự cố bảo mật.

Tạo kiến trúc bảo mật phù hợp với phần cứng có thể cấu hình lại

Vì máy chủ tiêu chuẩn với giải pháp FPGA-Based SmartNIC có thể hỗ trợ nhiều giải pháp an ninh mạng, nên có thể mở rộng khả năng phòng thủ an ninh mạng và triển khai một kiến ​​trúc bảo mật thích ứng hoàn toàn bằng cách sử dụng các ứng dụng phần mềm khác nhau.

IDS và các ứng dụng phát hiện mối đe dọa có thể cung cấp các giải pháp phát hiện bảo mật cần thiết. Một ứng dụng bảo mật forensics có thể được sử dụng để nhanh chóng điều tra và phản ứng với các vi phạm và các giải pháp kiểm tra bảo mật có thể được sử dụng để tăng cường phòng thủ. Tất cả các giải pháp này có thể dựa trên cùng một nền tảng có thể cấu hình lại, máy chủ tiêu chuẩn với FPGA-Based SmartNIC với phần mềm FPGA Image tập trung vào an ninh mạng.

Kết quả cuối cùng/ Phần cuối quan trọng

Như đã nêu trước đó, việc phát hiện và phản ứng với các vi phạm nhanh hơn giúp tiết kiệm tiền lên đến $ 7 triệu. Bằng cách thiết lập cơ sở hạ tầng giám sát và phân tích liên tục thích hợp với khả năng hiển thị mạng rộng, có thể xem nhiều hơn, nhưng cũng xác định nhanh xem sự cố bảo mật có phải là vi phạm hay không.

Điều này rất quan trọng, vì một chuyên gia bảo mật điển hình cần kiểm tra tới 17.000 cảnh báo bảo mật mỗi tuần. Nhiều vụ tấn công lớn nhất đã thành công, không phải vì vi phạm không được phát hiện bởi lực lượng phòng vệ an ninh, mà là sự cố bảo mật không thể được kiểm tra đúng cách và kịp thời do các chuyên gia bảo mật quá tải với các sự cố và không có sẵn các công cụ và thông tin chi tiết để xác định xem một sự cố có phải là một vi phạm đủ nhanh hay không.

Các giải pháp thương mại là một trong những phần quan trọng nhất cho các biện pháp phòng thủ an ninh mạng của bạn, nhưng việc cho phép khả năng hiển thị ở tất cả các vị trí bạn cần có thể trở nên tốn kém khi sử dụng các giải pháp thương mại có sẵn. Bằng cách sử dụng các ứng dụng mã nguồn mở trên các máy chủ tiêu chuẩn với FPGA-Based SmartNIC với phần mềm FPGA Image được thiết kế để giám sát bảo mật hiệu suất cao, bạn có thể xây dựng một giải pháp hợp lý hơn với chính xác các khả năng cần thiết để cung cấp khả năng hiển thị bạn cần, bất kể khi nào hay ở đâu mà bạn cần.

Ví dụ, Napatech đã chỉ ra rằng có thể tăng gấp đôi hiệu suất của các ứng dụng như Suricata ngay cả khi sử dụng bộ signature. Trong thực tế, điều đó có nghĩa là một nửa công suất CPU của máy chủ bây giờ được yêu cầu để chạy cùng một ứng dụng.

Nếu chúng ta làm các con số, những gì chúng ta thấy là đây có thể là sự khác biệt giữa việc mua máy chủ dual-socket hoặc quad-socket. Giá cho một máy chủ ổ cắm kép là khoảng 5.000 đô la, trong khi một máy chủ bốn ổ cắm thực sự đắt hơn 4 lần vào khoảng 20.000 đô la !! Điều này là do không có nhiều ứng dụng cần máy chủ quad-socket, có nghĩa là khối lượng thấp hơn và bo mạch chủ đắt hơn rất nhiều. Vì vậy, trong khi người ta có thể mong đợi rằng 2 lõi nhiều hơn có nghĩa là giá gấp đôi, nó thực sự có nghĩa là giá gấp 4 lần! Vì vậy, giảm một nửa số lõi là một khoản tiết kiệm đáng kể lên đến 15.000 đô la cho mỗi máy chủ!

Vì vậy, nếu bạn là doanh nghiệp cần một giải pháp hợp lý hơn để cung cấp thông tin chi tiết về tất cả hoạt động mạng của bạn, thì hãy xem lợi ích của việc sử dụng máy chủ tiêu chuẩn với FPGA-Based SmartNIC và phần mềm FPGA Image được thiết kế để giám sát bảo mật hiệu suất cao nền tảng được lựa chọn để triển khai giải pháp an ninh mạng được phát triển nguồn mở, thương mại hoặc nội bộ của bạn.

Tham khảo: You can’t secure what you can’t see.

Facebook Comments
Chia sẻ với bạn bè

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *