HPT Mavex – Nền tảng săn lùng các mối đe dọa

Ngày nay, các hoạt động của các nhóm tin tặc, mã độc ngày càng tinh vi, khó đoán. Với nhiều hình thức tấn công và lây lan khác nhau dựa trên sự đa dạng của các bề mặt tấn công hiện diện trên hệ thống. Tấn công và phòng thủ luôn là một cuộc chơi ăn miếng trả miến của giới an toàn thông tin. Việc phát hiện và giảm thiểu các rủi ro bằng cách hạn chế các bề mặt tấn công hiện diện trên hệ thống luôn là một trong những vấn đề được chú trọng từ trước tới nay. Các công cụ, giải pháp hiện đó đang rời rạc, chưa được sâu chuỗi một cách đầy đủ nhất về hiện trạng của các máy chủ trong hệ thống. Trước bối cảnh đó, HPT Mavex ra đời nhằm hướng đến cho ra đời một nền tảng tích hợp các công cụ và sâu chuỗi tối đa các thông tin có được sau quá trình thu thập.  Cung cấp cho doanh nghiệp một bức trang tổng thể hề hiện trang của các máy chủ trong hệ thống về các rủi ro có thể gặp phải bên trong hệ thống, chính xác và hiệu quả về mặt thời gian.

Sản phẩm HPT Mavex là bộ sản phẩm phần mềm cung cấp một nền tảng Threat Hunting dựa trên các mô đun chuyên biệt thực hiện các công tác phân tích các thành phần của Windows. Hệ thống được xây dựng dựa trên mô hình Cloud-based, triển khai dưới hình thức agentless để thực hiện việc săn lùng các mối đe doạ (Threat Hunting) trên từng máy chủ, kết quả được thu thập vào biểu thị trên giao diện người dùng thân thiện, đơn giản.



Các tính năng chính của sản phẩm



·      Dò quét các tệp tin bất thường trên đĩa

·      Dò quét các tiến trình, dịch vụ, task schedule bất thường

·      Dò quét các ứng dụng tự động khởi chạy cùng hệ thống.

·      Dò quét các dấu hiệu bất thường, IOCs trên bộ nhớ, trên đĩa và các kết nối vào ra trên máy chủ.

·      Kiểm tra các phiên bản phầm mềm được cài đặt trên máy chủ, tham chiếu đến các lỗ hổng bảo mật đã được công bố dựa trên cở sơ dữ liệu của Exploit-DB.

·      Kiểm tra các thông tin cấu hình chính sách GPOs dựa trên tiểu chuẩn CIS.

·      Kiểm tra các sự kiện được ghi lại trong Windows Eventlog, từ đó sâu chuỗi và phát hiện các dấu hiệu bất thường dựa trên các tập luật đã được định nghĩa trước đó.

·      Cách thức triển khai có thể thực hiện trên từng máy chủ hoặc triển khai đồng loạt trên một phạm vi máy chủ được cung cấp mà không phải cài đặt agent lên máy chủ.

·      Hỗ trợ cả việc triển khai trong môi trường Airgap, các hệ thống mạng tách biệt, hoặc thông qua các Firewall một chiều như Data Diode, HPT Mavex đều có thể triển khai và cung cấp kết quả rõ ràng.

Dò quét các tệp tin bất thường

HPT Mavex dựa trên các yếu tố chính để phát hiện các tệp tin có dấu hiệu bất thường tồn tại trên hệ thống. Bao gồm:

·       Dựa trên tập luật Yara rule, HPT Mavex thực hiện dò quét các phạm vi được quy định trước để phát hiện các dấu hiệu bất thường trong các thành phần của Windows như: tiến trình, dịch vụ, Task Schedule, Registry, Startup. Yara Rule này được HPT Cyber Security Team liên tục nghiên cứu và cập nhật.

·       Dựa trên cơ sở dữ liệu hash của các tệp tin trên hệ thống Windows trên nhiều phiên bản khác nhau. Được kiểm tra trên các nền tảng Sandbox, Threat Intelligence từ hơn 60 nguồn trên thế giới, IOC nội bộ từ HSOC (HPT SOC),.. trước khi được gán nhãn và xây dựng thành cơ sở dữ liệu để sử dụng. Đồng thời ứng dụng Machine Learning trong việc nhận diện mã độc, dấu hiệu nghi ngờ.

·       Dựa trên các thông tin nguồn gốc được đính kèm bên trong Meta Data của các tệp tin. Các tệp tin không có đầy đủ các thông tin cơ bản của một tệp tin sẽ được thu thập.

·       Dựa trên các kết nối và lịch sử thực thi tập trên, dấu vết thu thập được trên từng đối tượng, các thông tin đã thu thập để bổ trợ vào kết quả nhận diện.

Kiểm tra các lỗ hổng phần mềm được cài đặt lên hệ thống

Các chương trình được cài đặt trên máy chủ được tiến hành thu thập vào phân tích, đánh giá dựa trên phiên bản, trên cơ sở đó, xác định các lỗ hổng có thể tồn tại tương ứng trên phiên bản đang được sử dụng. Cung cấp cái nhìn tổng quan về các bề mặt tấn công liên quan đến các phần mềm, ứng dụng được cài đặt trên máy chủ.

Kiểm tra các thông tin cấu hình chính sách GPOs

Thông tin chính sách GPOs được cấu hình trên từng máy chủ được HPT Mavex thu thập sau đó đánh giá dựa trên tiêu chí được xây dựng bởi CIS. Các tiêu chí đánh giá được đúc kết từ các tiêu chuẩn tương ứng với các hệ điều hành khác nhau, sau đó, được rút gọn thành những tiêu chuẩn cơ bản nhất và cần thiết nhất. Mavex dựa trên các tiêu chuẩn đó, sẽ tiến hành thu thập, phân tích, đánh giá và đưa ra kết quả đạt hoặc chưa đạt cho từng tiêu chí. Đồng thời cũng nêu ra phương án điều chỉnh cụ thể, sàn lọc từ nội dung CIS Benchmark, nhằm chỉ rõ các công việc cần thực hiện cho người quản lý.

Kiểm tra các sự kiện được ghi lại trong Windows Eventlog

Các sự kiện trên hệ thống được ghi nhận và lưu trữ bởi Windows Eventlog sẽ được HPT Mavex thu thập, sâu chuỗi các sự kiện đơn lẻ, thành các chỗi sự kiện có tương quan lẫn nhau trên hệ thống. Từ các chuỗi sự kiện trên, chúng tôi xây dựng các tập luật để phát hiện nhận dạng các chuỗi sự kiện trên có khả năng tương đồng với các hình thức tấn công vào hệ thống. Các cuộc tấn công có thể nhận dạng như:

- Suspicious account behavior
- Command line/Sysmon/PowerShell auditing
- Service auditing
- Credential Dump

Giao diện người dùng

Để giúp tổ chức đạt được bức tranh tổng thể giám sát an toàn thông tin, HPT Mavex cung cấp giao diện giám sát chính trực quan đa dạng.


Hình ảnh giao diện tổng thể của HPT Mavex

- Giao diện được phân cấp theo từng máy chủ, mỗi máy chủ biểu diễn các thông tin đặc thù cho từng máy chủ đó.
- Giao diện giám sát được xây dựng theo tiêu chí thân thiện với người dùng, biểu diễn đầy đủ các thành phần của Windows một cách trực quan, dễ theo dõi.
- Thể hiện trực quan các tài sản được thu thập và kết quả sau phân tích.
- Cho phép xuất báo cáo dưới các định dạng khác nhau PDF, HTML... 




Hình ảnh báo cáo dạng HTML do HPT Mavex xuất bản

Mô hình triển khai

HPT Mavex hỗ trợ triển khai theo 02 mô hình chính, phù hợp với đặc thù từng hệ thống như:

·      Triển khai Cloud-based: hỗ trợ đối với các máy chủ, hệ thống các máy chủ có thể truy cập internet. Trong mô hình này, khách hàng sẽ được cung cấp agent để thực thi trên các máy chủ cần thiết. Ưu điểm của mô hình này là triển khai nhanh gọn vì hệ thống đã có sẵn, chỉ cần nhận Agent và thực hiện trên từng đơn vị máy chủ.

·       Triển khai On-premise: hỗ trợ đối với khách hàng không có nhu cầu sử dụng cloud-based hoặc đặc thù hệ thống không có kết nối ra bên ngoài Internet. Việc triển khai mô hình này đòi hỏi tốn một khoảng thời gian chuẩn bị trước khi thực hiện threat hunting để có thể triển khai máy chủ phân tích onpremis. Ưu điểm của mô hình này, đảm bảo tất cả dữ liệu của khách hàng được lưu trữ trên hệ thống của khách hàng. Giải quyết được bài toàn giới hạn truy cập internet đối với các máy chủ quan trọng hoặc toàn bộ hệ thống.

Sản phẩm đã được chứng nhận bản quyền bởi cục bản quyền tác giả