HCriffin đóng vai trò quan trọng trong việc phát hiện các cuộc tấn công trong mạng của hệ thống, dễ dàng triển khai, không gây ảnh hưởng tới hạ tầng. Các tính năng của HCriffin bao gồm:
• Khả năng tích hợp các giải pháp giám sát an ninh mạng SIEM, HCriffin như một nguồn dữ liệu, kết hợp các dữ liệu khác để đưa ra các cảnh báo có chiều sâu.
• Phát hiện cảnh báo sớm các cuộc tấn công có chủ đích (APT) trên lớp mạng.
• Triển khai linh hoạt theo mô hình Out-of-Band.
• Phát hiện các cuộc tấn công và nguy cơ an ninh mạng dựa vào signature, với hơn 25000 rule và được cập nhất, tối ưu định kì.
• Phát hiện các dấu hiệu bất thường, tấn công khai thác trong mạng theo thời gian thực. Phát hiện các cuộc tấn công dò quét, bruteforce như hành vi dùng công cụ dò quét lớp mạng, dò quét lỗ hổng bảo mật cũng bruteforce các dịch vụ HTTP, SSH…, phát hiện các hành vi khai thác các lỗ hổng đã biết xảy ra trong mạng nội bộ.
• Phát hiện các hành vi duyệt web đến url độc hại; Phát hiện các hành vi vi phạm chính sách tổ chức, hành vi sử dụng dịch vụ bất thường trong mạng.
• Phát hiện các kết nối điều khiển C&C, cũng như Bonet thông qua hành vi đã biết, các địa chỉ IP độc hại và sai phạm sử dụng giao thức.
• Thu thập và trích xuất packet, pcap phục vụ hỗ trợ điều tra chuyên sâu các sự cố ATTT.
• Khả năng forensic, lưu trữ thông tin packet liên quan cảnh báo, dò quét các file nhạy cảm đi qua trong luồng mạng bằng sandbox.
• Quản trị tập trung và cho phép tích hợp các hệ thống giám sát tập trung như SIEM. Việc ứng dụng giải pháp HCriffin, giúp đảm bảo yêu cầu cho cơ quan tổ chức trong việc giám sát, phân tích an ninh cho hệ thống mạng.
Khả năng nhận diện tấn công, sandbox
HCriffin cung cấp giao diện quản lý tập luật nhận diện tấn công, mặc định hơn 25000 rule và cập nhật tự động các tập luật mới cho phép phát hiện nhiều nhóm hành vi bất thường khác nhau trên lớp mạng, liên tục được cập nhật để có thể phát hiện được những dấu hiệu tấn công mới nhất, bao gồm các nhóm hành vi bất thường như:
• Dò quét thông tin mạng
• Dấu hiệu kết nối mã độc
• Dấu hiệu mã khai thác được thực thi
• Dấu hiệu tấn công ứng dụng web
• Dấu hiệu hành vi đăng nhập bất thường
• Phát hiện tấn công có chủ đích, APT
• Tổng hợp thông tin các cảnh báo tấn công
• Lưu trữ dữ liệu, phục vụ điều tra số.
• Phân tích và điều tra chuyên sâu
• Phân tích và lưu trữ gói tin dưới dạng PCAP, trích xuất và phân tích các giao thức trong mạng
• Tích hợp Sandboxing
Việc tích hợp Sandbox nhằm tăng cường khả năng phát hiện việc lây nhiễm mã độc, truyền tải file độc hại, công cụ tấn công qua mạng của hệ thống.
HCriffin cho phép tích hợp với hệ thống phân tích mã độc tự động giúp tăng cường khả năng giám sát, đặc biệt đối với các cuộc tấn công APT, sử dụng các loại mã độc chưa biết, đòi hỏi phải có bộ phân tích động. HCriffin thực hiện bóc tách và gửi các tập tin nghi ngờ hoặc theo loại file đã được định đến hệ thống sandbox để kiểm tra, dựa trên luồng dữ liệu bắt được:
• Lưu giữ các đoạn mã payload, binary nghi ngờ mã độc
• Thực hiện bóc tách, gửi các tập tin nghi ngờ đến sandbox phân tích
Mô hình triển khai
Giải pháp được thiết kế triển khai mô hình ClientServer (sensor – server), các sensor triển khai dưới mô hình out-of-band, không thay đổi kiến trúc hoặc sơ đồ mạng. Đồng thời cung cấp giao diện Web để quản trị các sensor, cảnh báo, cấu hình hệ thống.
Thông số kỹ thuật
• Có thể mở rộng không giới hạn các vùng mạng giám sát, thiết lập kết nối an toàn giữa server và sensor.
• Băng thông giám sát hỗ trợ hơn 500 Mbps (interface 1Gbps NIC).
Đánh giá ảnh hưởng tới hệ thống khách hàng
Thiết bị sensor được lắp vào hệ thống với mục đích thu thập các gói tin vào/ra dải mạng mục tiêu giámsát thông qua cổng giám sát (SPAN Port) trên Switch nên hoàn toàn không ảnh hưởng đến cấu trúc mạng.
Triển khai các thành phần
HCriffin bao gồm các thành phần chính:
• HCriffin Sensor: Là các cảm biến thu thập và phân tích lưu lượng mạng, được triển khai tại mỗi vùng mạng của tổ chức. Lưu lượng mạng tại vùng mạng tương ứng sẽ được cấu hình port mirroring tới HCriffin sensor, do đó, không làm ảnh hưởng đến dữ liệu của tổ chức. Các dữ liệu được sensor gửi về máy chủ tập trung HCriffin Server.
• HCriffin Server: Là máy chủ điều khiển, phân tích, liên kết dữ liệu các sự kiện liên quan được xử lý và tổng hợp bởi các sensor, từ đó cảnh báo các nguy cơ tấn công mạng vào hệ thống của tổ chức.
• HCriffin Web Portal: Là giao diện quản trị tập trung và hiển thị các cảnh báo được xử lý vào tổng hợp từ HCriffin Server.
Sản phẩm đã được chứng nhận bản quyền bởi cục bản quyền tác giả