Flowmon – Phân tích lưu lượng mạng mã hóa (ETA)

Markus Spiske 68zlatavyio Unsplash

99% các chuyên gia IT coi các lưu lượng mạng mã hóa là một mối đe dọa bảo mật cho hệ thống. Đừng để các kết nối mã hóa trở thành một rủi ro an ninh đối với doanh nghiệp của bạn. Với giải pháp phân tích lưu lượng mã hóa của Flowmon (ETA), bạn có thể sở hữu khả năng kiểm soát các mối đe dọa tiềm ẩn trong các lưu lượng mã hóa mà không ảnh hưởng tới tính riêng tư cũng như không gây ra độ trễ cho các kết nối mạng.

Encrypted Traffic Analysis (ETA) – phân tích lưu lượng mạng mã hóa là một phương pháp cho phép phát hiện malware và theo dõi các kết nối bảo mật mà không cần phải giải mã chúng – một công nghệ vô cùng tiên tiến cho phép đảm bảo tính riêng tư cho người sử dụng.

Với công nghệ này, các doanh nghiệp có một giải pháp có thể mở rộng một cách linh hoạt và có thể đảm bảo tính minh bạch (visibility) cho các kết nối mã hóa. Nó không tạo ra bất cứ độ trệ nào lên các kết nối cũng như không làm ảnh hưởng đến tính bí mật của các thông điệp mã hóa. Khi mà các malware ẩn trong các phiên SSL/TLS được mã hóa ngày càng tăng lên thì rất cần thiết phải có một phương pháp phát hiện các mã độc trong các phiên kết nối bảo mật. 

Flowmon giải quyết triệt để bài toán này mà vẫn đảm bảo được tính linh hoạt trong khả năng mở rộng, khả năng tích hợp với các hệ thống khác và quan trọng nhất là đảm bảo tính bảo mật cho các thông điệp mã hóa.

Image (38)

Encrypted Traffic Analysis (phân tích lưu lượng mạng mã hóa) hoạt động như thế nào?

Encrypted Traffic Analysis (ETA) – phân tích lưu lượng mạng mã hóa thu thập Network Metadata theo chuẩn IPFIX nhờ vào các Probe và kết hợp chúng với các thông tin về TLS. Các thuộc tính thông tin này luôn luôn sẵn có bất kể vị trí của người sử dụng có ở đâu đi chăng nữa hay server có là cloud hay datacenter.

Với ETA, các quản trị viên hệ thống có thể có cái nhìn toàn cảnh và sâu sắc về các kết nối bảo mật, cho phép họ phát hiện ra các chứng chỉ TLS quá cũ – tồn tại lỗ hổng bảo mật, các chứng chỉ TLS không tuân thủ quy định hoặc đánh giá độ mạnh của liên kết bảo mật SSL.

Flowmon giải quyết triệt để bài toán này mà vẫn đảm bảo được tính linh hoạt trong khả năng mở rộng, khả năng tích hợp với các hệ thống khác và quan trọng nhất là đảm bảo tính bảo mật cho các thông điệp mã hóa. Hơn thế nữa, hệ thống của Flowmon sử dụng các thông tin này và áp dụng Machine Learning để phân tích các hành vi bất thường, qua đó phát hiện ra malware và mã độc.

Image (40)

Giải pháp này đảm bảo các dữ liêu cá nhân của người dùng không bị tiết lộ mà không tạo nên tác động đối với khả năng hoạt động của hệ thống. Nó đem lại cho các quản trị viên cái nhìn toàn cảnh và sâu rộng đối với lượng dữ liệu mã hóa khổng lồ mà các hệ thống mạng phải xử lý mỗi ngày. Hơn thế nữa, do thông tin về dữ liệu được lưu dưới dạng tổng hợp (nén), nó tiết kiệm được đáng kể dung lượng lưu trữ mà vẫn đảm bảo được độ chính xác của dữ liệu.

Các đặc điểm nổi bật

  • Privacy preserving: Đảm bảo tính riêng tư cho các thông tin cá nhân.
  • Zero latancy impact: Không tạo ra bất cứ ảnh hưởng nào lên hoạt động của hệ thống.
  • Heterogeneous Environments: Có thể sử dụng được cho một loạt hệ thống khác nhau như on-premise ( tại chỗ), cloud, hybrid hoặc remote.
  • Reduce response time: Cung cấp các thông tin chuẩn xác nhất về các kết nối mã hóa mà không tạo ra các cảnh báo giả (false positive).

Giải quyết các vấn đề về bảo mật cũng như tuân thủ chính sách

Giám sát việc tuân thủ chính sách

  • Cảnh báo về các SSL hết hạn hoặc không tuân thủ, hiển thị các ứng dụng cần cập nhật.
  • Giám sát độ dài mã hóa cũng như thuật toán mã hóa.
  • Hiển thị các phiên bản SSL có chứa các lỗ hổng bảo mật
  • Cảnh báo về các kết nối đến các tên miền nguy hiểm bằng công cụ Server Name Identification

Phát hiện các mối nguy bảo mật

  • Hiển thị các ứng dụng nhiễm mã đọc bằng việc phát hiện các bất thường trong các tham số SSL.
  • Cảnh báo về Malware và C&C communication thông qua JA3 FingerPrinting. 
  • Cảnh báo về tấn công Man-in-the-middle bằng việc phát hiện các chứng chỉ SSL bất thường.
  • Cảnh báo việc ăn cắp dữ liệu nhờ vào việc giám sát độ lớn gói tin.

Phát hiện bất thường bằng JA3 Fingerprinting

JA3 Fingerprinting là một cách vô cùng hữu hiệu để phát hiện ra các mã độc hoặc ít nhất phát hiện ra các dấu hiệu của mã độc – Indicator of Compromise (IoC). Phương pháp này hoạt động dựa trên 5 thông số của các kết nối mã hóa là: phiên bản, thuật toán mã hóa, phần mở rộng (extensions), đường cong elip (elliptic curves) và format để tạo ra mã hash MD5. Người ta sẽ so sánh mã MD5 này với mã MD5 được lưu trong cơ sở dữ liệu của Flowmon. Mỗi phần mềm hoặc ứng dụng đều có mã MD5 riêng biệt. Ví dụ như “e7d705a3286e19ea42f587b344ee6865” là mã MD5 của một client TOR.

Tls Ja3 Fingerprint Records

Lưu ý rằng, các phần mềm độc hại, mã độc cũng có mã MD5 của riêng mình. Nếu ETA phát hiện ra sự trùng khớp, nó sẽ ngay lập tức đưa ra cảnh báo. Thậm chí cho dù nó có thu được một mã MD5 mà không trùng khớp với bất kỳ MD5 của một mã độc đã biết nào, nhưng nếu mã độc đó cũng không trùng khớp với mã MD5 của 1 phần mềm an toàn nào (ví dụ facebook), nó cũng sẽ đưa ra cảnh báo. Tóm lại, JA3 Fingerprint là một phương pháp signature-based (kiểm soát dựa vào dấu hiệu), và nó dựa hoàn toàn vào cơ sở dữ liệu của Flowmon Network.

Tham khảo:

https://www.flowmon.com/en/solutions/security-operations/encrypted-traffic-analysis

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *