Tweet
Thời đại vứt một con Firewall ở vùng biên (perimeter) rồi kê cao gối ngủ đã qua rất lâu rồi. Ngày nay, với bối cảnh mạng phức tạp và các luồng dữ liệu đan xen, câu hỏi thực tế không còn là "Liệu hacker có xuyên thủng được hệ thống của chúng ta không?", mà là "Khi chúng lọt vào rồi, mất bao lâu để hệ thống của chúng ta phát hiện ra, và dập dịch bằng cách nào?".
Bài viết này mình sẽ tổng hợp lại các mảnh ghép kỹ thuật cốt lõi trong kiến trúc Cisco Cyber Threat Defense. Mục tiêu tối thượng của kiến trúc này là khám phá, ngăn chặn và khắc phục các mối đe dọa ngay khi chúng đã xâm nhập vào mạng nội bộ.
1. "Mắt thần" giám sát hành vi: NetFlow và StealthWatch
Anh em làm mạng chắc không xa lạ gì với NetFlow. Ban đầu nó sinh ra để đo lường băng thông, hiệu suất ứng dụng và mức độ sử dụng. Nhưng trong bảo mật hiện đại, nó là nguồn cấp dữ liệu đo lường từ xa (telemetry) sống còn.
Kết hợp NetFlow với hệ thống StealthWatch, chúng ta có một giải pháp phân tích ngữ cảnh của người dùng và luồng dữ liệu (user and flow context analysis) cực kỳ mạnh mẽ. StealthWatch không nhìn vào chữ ký (signature) tĩnh, nó sử dụng dữ liệu telemetry, thông tin ngữ cảnh và độ tin cậy của tệp để:
Lỗ hổng zero-day là ác mộng vì không có bản vá và hệ thống phòng thủ truyền thống hoàn toàn "mù" trước chúng. Vậy triển khai gì ở vành đai để chống lại thứ chưa từng được biết đến?
Câu trả lời chính là NIPS (Network Intrusion Protection System), thường được tích hợp trong các giải pháp như Firepower Threat Defense (FTD).
Lợi thế của NIPS là nó không chỉ trút phế liệu vào các cơ sở dữ liệu mối đe dọa tĩnh như Antivirus. Nó hoạt động bằng cách giám sát các mô hình hoạt động mạng hàng ngày. Khi phát hiện lưu lượng hoặc sự kiện nằm ngoài mức bình thường (anomaly), nó có thể lập tức đưa ra cảnh báo hoặc khóa tường lửa, bảo vệ hệ thống khỏi các mối đe dọa được đưa vào từ cả nguồn bên ngoài lẫn bên trong (như cắm USB lạ).
3. Quản lý Danh tính và Cách ly Tự động (ISE & pxGrid)
Phát hiện ra bất thường rồi thì làm gì tiếp theo? Chạy đi rút dây mạng?
Ở quy mô Enterprise, chúng ta dựa vào Cisco Identity Services Engine (ISE). ISE không chỉ lo việc xác thực (như 802.1x, MAB, WebAuth), mà nó còn tích hợp trực tiếp danh tính thiết bị và người dùng với hệ thống phân tích như StealthWatch.
Khi StealthWatch phát hiện một luồng mạng bất thường từ một thiết bị, nó có thể thông qua nền tảng pxGrid để yêu cầu ISE thay đổi ngay lập tức chính sách truy cập của thiết bị đó (ví dụ: đẩy vào VLAN cách ly hoặc chặn hoàn toàn cổng mạng). Đây chính là sức mạnh của tự động hóa trong khắc phục sự cố.
4. Bảo vệ Điểm cuối và Bảo mật Ứng dụng/API
Ngoài mạng lõi, chúng ta không thể bỏ qua các rào chắn chuyên biệt cho từng bề mặt tấn công:
Bài viết này mình sẽ tổng hợp lại các mảnh ghép kỹ thuật cốt lõi trong kiến trúc Cisco Cyber Threat Defense. Mục tiêu tối thượng của kiến trúc này là khám phá, ngăn chặn và khắc phục các mối đe dọa ngay khi chúng đã xâm nhập vào mạng nội bộ.
1. "Mắt thần" giám sát hành vi: NetFlow và StealthWatch
Anh em làm mạng chắc không xa lạ gì với NetFlow. Ban đầu nó sinh ra để đo lường băng thông, hiệu suất ứng dụng và mức độ sử dụng. Nhưng trong bảo mật hiện đại, nó là nguồn cấp dữ liệu đo lường từ xa (telemetry) sống còn.
Kết hợp NetFlow với hệ thống StealthWatch, chúng ta có một giải pháp phân tích ngữ cảnh của người dùng và luồng dữ liệu (user and flow context analysis) cực kỳ mạnh mẽ. StealthWatch không nhìn vào chữ ký (signature) tĩnh, nó sử dụng dữ liệu telemetry, thông tin ngữ cảnh và độ tin cậy của tệp để:
- Cung cấp nhận thức theo thời gian thực về người dùng, thiết bị và lưu lượng truy cập.
- Phân tích hành vi mạng để phát hiện sự bất thường.
- Trở thành công cụ đắc lực cho phản hồi sự cố và điều tra mạng (forensics).
Lỗ hổng zero-day là ác mộng vì không có bản vá và hệ thống phòng thủ truyền thống hoàn toàn "mù" trước chúng. Vậy triển khai gì ở vành đai để chống lại thứ chưa từng được biết đến?
Câu trả lời chính là NIPS (Network Intrusion Protection System), thường được tích hợp trong các giải pháp như Firepower Threat Defense (FTD).
Lợi thế của NIPS là nó không chỉ trút phế liệu vào các cơ sở dữ liệu mối đe dọa tĩnh như Antivirus. Nó hoạt động bằng cách giám sát các mô hình hoạt động mạng hàng ngày. Khi phát hiện lưu lượng hoặc sự kiện nằm ngoài mức bình thường (anomaly), nó có thể lập tức đưa ra cảnh báo hoặc khóa tường lửa, bảo vệ hệ thống khỏi các mối đe dọa được đưa vào từ cả nguồn bên ngoài lẫn bên trong (như cắm USB lạ).
3. Quản lý Danh tính và Cách ly Tự động (ISE & pxGrid)
Phát hiện ra bất thường rồi thì làm gì tiếp theo? Chạy đi rút dây mạng?
Ở quy mô Enterprise, chúng ta dựa vào Cisco Identity Services Engine (ISE). ISE không chỉ lo việc xác thực (như 802.1x, MAB, WebAuth), mà nó còn tích hợp trực tiếp danh tính thiết bị và người dùng với hệ thống phân tích như StealthWatch.
Khi StealthWatch phát hiện một luồng mạng bất thường từ một thiết bị, nó có thể thông qua nền tảng pxGrid để yêu cầu ISE thay đổi ngay lập tức chính sách truy cập của thiết bị đó (ví dụ: đẩy vào VLAN cách ly hoặc chặn hoàn toàn cổng mạng). Đây chính là sức mạnh của tự động hóa trong khắc phục sự cố.
4. Bảo vệ Điểm cuối và Bảo mật Ứng dụng/API
Ngoài mạng lõi, chúng ta không thể bỏ qua các rào chắn chuyên biệt cho từng bề mặt tấn công:
- Bảo vệ Điểm cuối (Endpoint): Giải pháp EDR (Endpoint Detection and Response) như AMP4E (Advanced Malware Protection For Endpoints) cung cấp khả năng phát hiện và phản hồi dựa trên ngăn chặn, thông tin tình báo về mối đe dọa và công nghệ học máy (machine learning).
- Email & Web (ESA & WSA/Umbrella): Cisco Email Security Appliance (ESA) kiểm soát động các hình thức đe dọa qua email. Trong khi đó, Web Security Appliance (WSA) chặn đứng các hoạt động web đáng ngờ và Umbrella lo việc bảo vệ ở cấp độ DNS.
- Bảo vệ API và Ứng dụng Web: Trong kỷ nguyên Cloud và Microservices, API là cửa ngõ giao tiếp sống còn. Để bảo mật các nền tảng API, ứng dụng di động và website luôn "always on", Web Application Firewalls (WAF) kết hợp cùng tính năng bảo vệ khỏi bot là lá chắn bắt buộc phải có, thay vì chỉ dựa vào firewall L3/L4 truyền thống.