FPT EagleEye malBot – Lời giải cho bài toán bảo mật thông tin

159

Vấn đề an toàn thông tin luôn là bài toán đặt ra trong thời đại kỷ nguyên số. Với sự biến tướng tinh vi của các loại mã độc, bảo mật thông tin được ví như cuộc đua marathon không có hồi kết. Vì vậy, các chuyên gia của Trung tâm An ninh mạng FPT đã nghiên cứu và cho ra đời EagleEye malBot – sản phẩm phát hiện và ngăn chặn mã độc trong mạng theo thời gian thực.

Tấn công mạng diễn biến khó lường 

Hiện nay, các vụ tấn công mạng nhắm tới các tổ chức ngày càng gia tăng cả về số lượng và độ tinh vi. Thực tế cho thấy, các phương pháp tấn công có chủ đích ngày càng trở nên phổ biến hơn với nhiều loại mã độc đa dạng được sử dụng để gây thiệt hại cho các tổ chức và doanh nghiệp. Các cuộc tấn công hiện nay đã có sự chuyển hướng, thay vì các cuộc tấn công chủ đích nhắm thẳng đến các máy chủ của doanh nghiệp thì nay lại chủ yếu tấn công vào các cá nhân sau đó mới leo thang chiếm quyền các máy chủ. Mặc dù, các doanh nghiệp dành không ít công sức và chi phí trong việc ngăn chặn các mối đe dọa đã và chưa biết. Tuy nhiên nền tảng các mối đe dọa rộng lớn và luôn thay đổi, cùng với những thách thức trong việc cải thiện thói quen bảo mật của khách hàng, đã tạo ra nhiều lỗ hổng cho kẻ gian khai thác.

Hầu hết đối với mỗi công ty hay tổ chức hiện nay đều đã và đang xây dựng cho mình một IDS (Intrusion Detection System – Hệ thống phát hiện xâm nhập) để có thể phát hiện ra những dấu hiệu vi phạm và hành vi bất thường đang diễn ra trên hệ thống của mình. IDS hoạt động chủ yếu dựa trên các bộ luật hay các dấu hiệu nhận biết được định nghĩa sẵn để phát hiện và cảnh báo tới người quản trị để có thể phân tích, xác minh những máy tính có dấu hiệu nghi vấn và có phương pháp ngăn chặn kịp thời các máy tính này.

Mô hình IDS truyền thống.

Với cách hoạt động truyền thống như vậy, đội ngũ kỹ thuật khó có một cái nhìn tổng thể vào các vấn đề tồn tại trên hệ thống để phát hiện và cảnh báo sớm các tấn công. Khi có sự cố xảy ra sẽ cần thời gian dài để phát hiện hoặc khi đã phát hiện cũng sẽ mất nhiều thời gian để cô lập và giải quyết vấn đề, từ đó kéo theo những tổn thất về tài chính. Đồng thời đối với các cách xử lý thủ công dễ dẫn đến việc sai và thiếu sót trong quá trình xử lý. Các công việc xử lý này là các công việc đơn thuần lặp đi lặp lại và hoàn toàn có thể tự động hóa.

Tự động hóa bảo mật với EagleEye malBot 

Để có thể giải quyết bài toán này, Trung tâm An ninh mạng FPT gồm đội ngũ chuyên gia về lĩnh vực bảo mật đã nghiên cứu và xây dựng sản phẩm malBot. malBot là hệ thống Bot tự động phát hiện và ngăn chặn máy tính vi phạm hệ thống mạng, được xây dựng hướng tới việc giảm bớt gánh nặng cho quản trị viên, đồng thời nhanh chóng phát hiện và xử lý ngay lập tức những dấu hiệu vi phạm trên hệ thống. Với các mục tiêu đề ra:

  • Sản phẩm mềm dẻo, dễ dàng tương thích với các sản phẩm hay các hệ thống có sẵn của doanh nghiệp.
  • Sản phẩm được thiết kế đơn giản, dễ dàng cho việc triển khai và sử dụng ngay lập tức.
  • Đồng thời thay thế các công việc thủ công của quản trị viên bằng hệ thống Bot tự động.

Phiên bản đầu tiên, có thể nói là sơ khai của EagleEye malBot được ra đời vào cuối tháng 06/2018 sau một tháng phát triển bởi đội ngũ của Trung tâm An ninh mạng FPT.

Sản phẩm được đưa vào chạy thử trong tháng 7 và ngay lập tức thể hiện được sự vượt trội so với các công cụ sẵn có. Cụ thể báo cáo tháng 05/2018 và tháng 06/2018 ghi nhận có khoảng hơn 9000 cảnh báo và 250 case được xử lý. Báo cáo tháng 07/2018 ghi nhận chỉ có 5316 cảnh báo và 235 case được xử lý. Như vậy số lượng cảnh báo được ghi nhận đã giảm gần 1 nửa.

Tháng 09/2018, phiên bản tiếp theo của EagleEye malBot được phát hành. Báo cáo tháng 09/2018 ghi nhận số lượng case xử lý trung bình tăng trên 350 case, gấp 1,5 lần so với tháng trước đây.

Báo cáo phát hiện và xử lý sự cố năm 2018.

Các phiên bản tiếp theo liên tục cải thiện khả năng phát hiện và xử lý sự cố của EagleEye malBot.

Các tính năng chính của EagleEye malBot:

  • Tự động phát hiện và ngăn chặn cách ly ngay lập tức các máy tính có hành vi vi phạm trong tổ chức.
  • Cung cấp về hành vi vi phạm an toàn chung của người dùng trên phạm vi toàn hệ thống bằng những giao diện trực quan, hỗ trợ nhanh chóng cho giám sát, đưa ra hành động và báo cáo khi xử lý sự cố.
  • Kết hợp nhiều thuật toán phân tích để giảm thiểu tối đa các trường hợp cảnh báo giả (False Positive).
  • Đưa ra cảnh báo tới người dùng và quản trị viên để thực hiện các hành động phản hồi và xử lý kịp thời khi có sự cố an toàn thông tin xảy ra.
  • FPT EagleEye malBot có khả năng tích hợp và triển khai với nhiều loại mô hình phù hợp với hạ tầng của tổ chức.
  • Xuất báo cáo định kỳ theo nhiều tiêu chuẩn bảo mật trên thế giới như PCI DSS, HIPAA/HITECH, FISMA, SCAP.
Màn hình theo dõi, giám sát.

Hiện tại EagleEye malBot đang được sử dụng cho mạng nội bộ của FPT Information System với quy mô khoảng 4000 endpoint và 2 khách hàng. Dự kiến trong năm nay sẽ triển khai trên toàn bộ tập đoàn FPT.

Phạm Tất Đạt
Trung tâm An ninh mạng FPT

Tin liên quan: