Cybersecurity

Các công nghệ phân tích của Damballa FailSafe

Written by ductri

Damballa FailSafe cung cấp các phân tích về các mối đe dọa dựa trên Big Data, cho phép hiện thị thành công các lây nhiễm trong hệ thống mạng, bao gồm cả các mối đe dọa chưa từng thấy trước đây.

công nghệ phân tích của Damballa FailSafe

Query Profiler/Connection Profiler (Kết nối/truy vấn)

Nghiên cứu quy trình lây nhiễm, Query Profiler / Connection Profiler xác định các chỉ số của sự thỏa hiệp bằng cách quan sát ai và ở đâu thiết bị giao tiếp. Query Profiler/Connection Profiler nhìn các hoạt động của thiết bị trên Internet dựa trên Damballa’s Threat Intelligence.
FailSafe theo dõi các kết nối, xây dựng các trường hợp của chuỗi sự kiện để xác định thiết bị bị lây nhiễm hay không. Lưu ý rằng FailSafe thu thập tất cả các thông tin giao tiếp và không gởi cảnh báo tại một thời điểm duy nhất. Incident Responders và Security Analyst cần nhiều hơn một cảnh báo để xác định thiết bị có lây nhiễm hay không.
Ở đây bạn có thể thấy FailSafe theo dõi hoạt động của thiết bị theo thời gian, nắm bắt các sự kiện, IP/Domain/URL và thời gian.
Connection/Query Profiler trả lời cho câu hỏi “Ở đâu” và kết hợp với Damballa Labs Threat Intelligence cung cấp các thông tin “Ai” là mối đe dọa.

Automation Profiler (Tự động hóa)

Khi Connection/ Query Profiler cho chúng ta biết ai là thiết bị giao tiếp và ở đâu, Automation Profilers nhìn vào cùng giao tiếp và cho biết thiết bị giao tiếp “Như thế nào”. Tự động hóa cho phép Case Analyzer xác định thiết bị kết nối giống hoạt động của con người hay giống như phần mềm độc hại (software).

Domain Fluxing

Nhìn vào quá trình lây nhiễm, đôi khi không thể xác định được đâu là thiết bị bị nhiễm hoặc nơi nào thiết bị bị nhiễm giao tiếp, nhưng chúng ta có thể xác định “cách thức” thiết bị bị nhiễm giao tiếp.
Ví dụ như khi kẻ tấn công sử dụng thuật toán Domain Generation Algorithm (DGA), để thiết lập giao tiếp giữa thiết bị lây nhiễm và máy chủ điều khiển bên ngoài. DGA rất thông minh và thành công trong việc vượt qua các thiết bị bảo mật thông thường.
Tuy nhiên, Damballa FailSafe dựa vào cách nghiên cứu hành vi truy vấn của các thiết bị đầu cuối, có thể xác định được thiết bị có sử dụng các kỹ thuật DGA hay không. Dựa vào các bằng chứng trên hành vi của thiết bị, Damballa Failsafe xác định chính xác thiết bị có bị lây nhiễm hay không.

P2P Profiler

Một kỹ thuật khác được sử dụng để điều khiển thiết bị bị nhiễm là sử dụng giao thức P2P, gần như không thể ngăn chặn đối với các thiết bị phòng chống. Thậm chí khi doanh nghiệp kiểm soát lưu lượng P2P, doanh nghiệp rất khó khăn để biết đâu là hoạt động P2P hợp pháp, đâu là hoạt động P2P độc hại.
Giống như các profiler khác, Damballa sử dụng Big Data để phân tích một lượng lớn mẫu giao tiếp của phần mềm độc hại, sử dụng công nghệ tự học (machine learning), các bộ tính năng sẽ mô tả hoặc chỉ ra sự khác biệt của giao thức P2P độc hại và P2P hợp pháp. Các bộ tính năng này được Damballa tích hợp vào Damballa FailSafe.
Damballa lắng nghe tất cả các giao tiếp của thiết bị từ bên trong ra bên ngoài, có khả năng tạo ra lượng dữ liệu theo thời gian thực, Damballa FailSafe học lưu lượng dữ liệu trong khoảng thời gian ngắn để xác định giao tiếp P2P. Nếu hoạt động P2P được xác định, các phân loại machine learning được sử dụng để xác định hành vi P2P có tương tự với các thống kê P2P, từ đó đưa ra kết luận thiết bị có bị lây nhiễm hay không.

File Profiler

Thiết bị có thể bị lây nhiễm và mất mát dữ liệu từ nhiều cách và địa điểm khác nhau. Thường một thiết bị nằm ngoài mạng công ty thường không có các giải pháp phòng chống. Tuy nhiên đôi khi việc lây nhiễm vẫn xảy ra qua hệ thống mạng của doanh nghiệp và điều đó rất có giá trị để quan sát dấu vết của nhiễm khuẩn. Phần mềm độc hại hoạt động là cơ hội tuyệt vời để phát hiện lây nhiễm nhanh chóng. Khi một dropper được tải xuống máy của nạn nhân, File Profiler sẽ lấy một bản sao của tập tin và xác định xem nó có độc hại hay không.
Damballa FailSafe tiến hành một loạt các kiểm tra, liệt kê chi tiết đầy đủ các tập tin tải về. Việc xác định tập tin độc hại chưa đủ để xác định thiết bị bị nhiễm, Damballa FailSafe tiếp tục quá trình theo dõi và phân tích tập tin trong mạng nội bộ. Quá trình này giúp xác định tập tin được tải về đã thực sự được cài đặt trên thiết bị đầu cuối hay chưa. Damballa FailSafe kết luận chính xác thiết bị lây nhiễm dựa trên File Profiler và File Executions.

Execution Profilers (Thực thi)

Khi tập tin tải về điều đó không có nghĩa là thiết bị đã bị lây nhiễm. Các tập tin có thể bị chặn bởi phần mềm Antivirus, người sử dụng không có quyền cài đặt, hoặc các phần mềm độc hại được thiết kế cho một hệ điều hành khác, …Vì lý do này, việc xác nhận quá trình thực thi của các mối lây nhiễm là cần thiết để không nhận quá nhiều cảnh báo vô hại.
Sau khi tập tin nhiễm độc được phát hiện, Damballa FailSafe sử dụng kỹ thuật độc đáo để đảm bảo thu thập chứng cứ không thể chối cãi về quá trình thực thi của tập tin. Điều này cho thấy việc kết hợp nhiều phương pháp khác nhau (File và Execution Profilers) sẽ xác định chính xác thiết bị có lây nhiễm mã độc hay không.

Request Profiler

Khi Connection/Query Profiler cho biết “Nơi nào” và “Ai” giao tiếp, Request Profiler nhìn vào những gì đang trao đổi trong các Headers Request. Request Profiler sẽ xác định cấu trúc giao tiếp của thông tin liên lạc có tương tự về mặt thống kê với ngôn ngữ giao tiếp trong họ gia đình phần mềm độc hại.

Tích hợp

Damballa là đơn vị tiên phong đi đầu trong việc phát hiện lây nhiễm bên trong hạ tầng mạng, bên cạnh đó Damballa cũng cho phép tích hợp với các thiết bị phòng chống tấn công khác, giúp nâng cao năng lực phòng thủ chống lại các mối đe dọa mất mát dữ liệu của tổ chức.

Khả năng tích hợp của damballa failsafe với các hãng khác