Tweet
Cisco File Dispositions – Cơ chế phân loại và TTL trong Malware Detection
Trong hệ sinh thái Cisco Collective Security Intelligence (Cisco CSI) Cloud, hàng triệu mẫu file được xử lý liên tục từ nhiều nguồn khác nhau. Hệ thống tiến hành phân tích nhiều lớp (multi-stage analysis) để gán disposition – tức trạng thái phân loại – cho từng file. Các khách hàng Cisco triển khai AMP (Advanced Malware Protection) trên thiết bị của mình sẽ tận dụng trực tiếp thông tin tình báo này để kiểm tra file khi chúng di chuyển qua các segment mạng được giám sát. 1. Cơ chế hoạt động
Một file có thể được gán vào một trong bốn trạng thái sau:
Để đảm bảo dữ liệu phân loại không bị cũ hoặc lỗi thời, mỗi kết quả (disposition + threat score) đều có TTL (time-to-live). Sau khi hết hạn TTL mà không có cập nhật, cache sẽ bị xóa và hệ thống buộc phải truy vấn lại AMP Cloud.
Điều này giúp cân bằng giữa hiệu suất (tận dụng cache) và tính chính xác (truy vấn lại để đảm bảo thông tin cập nhật).
👉 Nhìn từ góc độ network & security engineer, việc hiểu rõ cơ chế phân loại file (file disposition) và TTL là cực kỳ quan trọng. Nó ảnh hưởng trực tiếp đến:
Nói cách khác, file disposition chính là “điểm giao cắt” giữa threat intelligence từ cloud và các hành động phòng thủ trong mạng nội bộ.
Trong hệ sinh thái Cisco Collective Security Intelligence (Cisco CSI) Cloud, hàng triệu mẫu file được xử lý liên tục từ nhiều nguồn khác nhau. Hệ thống tiến hành phân tích nhiều lớp (multi-stage analysis) để gán disposition – tức trạng thái phân loại – cho từng file. Các khách hàng Cisco triển khai AMP (Advanced Malware Protection) trên thiết bị của mình sẽ tận dụng trực tiếp thông tin tình báo này để kiểm tra file khi chúng di chuyển qua các segment mạng được giám sát. 1. Cơ chế hoạt động
- Thiết bị Threat Defense không gửi toàn bộ file lên cloud, thay vào đó chỉ gửi SHA-256 hash của file.
- Điều này đảm bảo không có dữ liệu khách hàng bị lộ, đồng thời giảm tài nguyên xử lý trên thiết bị vì toàn bộ phân tích nâng cao được thực hiện trong cloud.
- Nếu hash đã có sẵn trong cache của FMC (Firepower Management Center), hệ thống sẽ dùng kết quả cached thay vì truy vấn lên AMP Cloud để tối ưu hiệu suất.
- Dựa trên disposition, hệ thống có thể thực thi chính sách như block file ngay lập tức.
Một file có thể được gán vào một trong bốn trạng thái sau:
- Malware – File bị phân loại là malware bởi AMP Cloud, local analysis, hoặc khi điểm số đe dọa vượt ngưỡng (threat score threshold) trong policy.
- Clean – File được xác nhận sạch bởi AMP Cloud.
- Unknown – AMP Cloud chưa phân loại được file tại thời điểm truy vấn.
- Unavailable – FMC/FTD không kết nối được đến AMP Cloud (mặc định qua HTTPS/443, dữ liệu truyền tải luôn được mã hóa).
Để đảm bảo dữ liệu phân loại không bị cũ hoặc lỗi thời, mỗi kết quả (disposition + threat score) đều có TTL (time-to-live). Sau khi hết hạn TTL mà không có cập nhật, cache sẽ bị xóa và hệ thống buộc phải truy vấn lại AMP Cloud.
- Clean: 4 giờ
- Unknown: 1 giờ
- Malware: 1 giờ
Điều này giúp cân bằng giữa hiệu suất (tận dụng cache) và tính chính xác (truy vấn lại để đảm bảo thông tin cập nhật).
👉 Nhìn từ góc độ network & security engineer, việc hiểu rõ cơ chế phân loại file (file disposition) và TTL là cực kỳ quan trọng. Nó ảnh hưởng trực tiếp đến:
- Khả năng phát hiện sớm malware trong lưu lượng mạng.
- Hiệu suất thiết bị (giảm overhead nhờ cơ chế hash + cache).
- Tính liên tục trong bảo mật khi hệ thống không thể kết nối AMP Cloud (Unavailable).
Nói cách khác, file disposition chính là “điểm giao cắt” giữa threat intelligence từ cloud và các hành động phòng thủ trong mạng nội bộ.
Attached Files