Những giải pháp bảo mật thông qua các thiết bị chuyên dụng nằm ở một vị trí cao trong toàn hệ thống với tầm quan trọng bậc nhất đối với một tổ chức lớn.
Theo các chuyên gia bảo mật, những kẻ xâm nhập là người có thể làm xáo trộn hoặc thậm chí loại bỏ một máy chủ chứa đầy các dữ liệu quan trọng có thể làm tê liệt các doanh nghiệp lớn. Nền tảng ứng dụng bảo mật không là chưa đủ, một hệ thống an ninh cho một doanh nghiệp tầm cỡ cần phải có các thiết bị được trang bị khả năng phát hiện, phòng chống xâm nhập, thường được gọi là Intrusion prevention systems (IPS). Các chức năng chính của hệ thống phòng chống xâm nhập bao gồm xác định hoạt động có hại, giám sát, kiểm soát và ngăn chặn.
Các tổ chức cần nhận định được các điểm trọng yếu trong hệ thống vật lý của trung tâm dữ liệu như cổng vào của trung tâm dữ liệu, các điểm truy cập, điểm giám sát… Điều đó có nghĩa là tổ chức cần phải nhận định rõ về tầm quan trọng của hệ thống bảo mật cơ sở hạ tầng. Nhiều tổ chức lớn trên thế giới đã thực hiện các chính sách truy cập hệ thống bằng phương pháp vật lý, như sử dụng thẻ từ mà trong đó có chứa những chính sách đối với người có quyền truy cập các nguồn tài nguyên trung tâm dữ liệu. Tuy nhiên đấy chỉ là những phương pháp mang tính kiểm soát đối với người dùng còn các hệ thống đánh chặn từ xa nhằm vào các nguy cơ thì cần có các thiết bị chuyên dụng.
Các giám đốc thông tin (CIO) và giám đốc an ninh thông tin (CISO) của các doanh nghiệp lớn cần phải bổ sung thêm những biện pháp đối phó một lớp các đe dọa sắp xảy ra hay.Trong thực tế họ đã triển khai các thiết bị tường lửa, các phần mềm diệt virus và các hệ thống phát hiện xâm nhập trên mạng của họ, nhưng vẫn còn cảm thấy không an toàn. Trước đây, doanh nghiệp thường sử dụng hệ thống tường lửa hoặc IDS (Intrusion Detection System – Hệ thống phát hiện sự xâm nhập). Tuy nhiên, IDS có khuyết điểm là đưa ra rất nhiều báo động giả (False Positive), gây quá tải và khó khăn cho người quản trị mạng. Theo thống kê, IDS chỉ có khả năng xử lý được 10% các cảnh báo, 90% cảnh báo tấn công còn lại người quản trị phải trực tiếp xử lý. Để khắc phục những điểm yếu của IDS, hệ thống IPS ra đời.
Mô hình của hệ thống bảo mật sử dụng IPS.
Hệ thống phòng chống xâm nhập IPS được coi là phần mở rộng của hệ thống phát hiện xâm nhập (Intrusion detection systems-IDS) bởi vì cả hai đều có khả năng giám sát lưu lượng mạng hoặc các hoạt động nguy hại. Sự khác biệt chính ở đây là hệ thống phòng chống xâm nhập được đặt trong hệ thống mạng của tổ chức và có thể chủ động phòng/ngăn chặn các hình thức xâm nhập đã được phát hiện.
Vì là hệ thống online nên IPS phải có khả năng phát hiện chính xác luồng thông tin dữ liệu nào sạch và hợp lệ. IPS cũng đủ thông minh và xử lý chính xác đảm bảo không cho gói tin nguy hại đi qua. Nhiệm vụ của IPS là xử lý dữ liệu đầu vào và đưa ra những dữ liệu “sạch” cho hệ thống. Đó là tính năng pro-active (công nghệ phân tích hành vi) của IPS. Công nghệ phân tích hành vi còn giúp người QT liên tục phát hiện được những điểm yếu.
Cụ thể hơn, IPS có thể gửi một báo động, loại bỏ các gói tin độc hại, cài đặt lại các kết nối hoặc ngăn chặn lượng truy cập từ địa chỉ IP có nguy cơ. Một IPS có thể sử dụng Cyclic Redundancy Check (CRC) để kiểm soát lỗi, ở mức tối thiểu thì thiết bị này cần phải cung cấp khả năng bảo vệ chống lại những bất thường của giao thức TCP, giải phóng các lưu lượng không cần thiết và có khả năng tùy chọn lớp mạng. 4 điểm quan trọng nhất đang diễn ra phổ biến hiện tại mà các doanh nghiệp lớn cần có một IPS để xử lý.
1. Tấn công lừa đảo và các trang web chứa phần mềm độc hại
Các cuộc tấn công lừa đảo trực tuyến đang trở nên phổ biến hơn, mục tiêu đa dạng và phức tạp, điều quan trọng là IPS có thể giúp bảo vệ cả người dùng mục tiêu lẫn các tổ chức lớn hơn tầm cấp tập đoàn hoặc chính phủ. Vài năm trước, bảo mật email và chống thư rác là những giải pháp chủ yếu được triển khai để giữ chống email lừa đảo. Ngày nay, với việc phát triển của ứng dụng cũng như các phương tiện mạng xã hội thì chỉ kiểm tra email là không đủ. Các tổ chức cần phải có phương án nhằm đảm bảo cơ chế chọn lọc mới nhất để đối các cuộc tấn công, chẳng hạn các cuộc tấn công đến phương tiện truyền thông xã hội. Trong các cuộc tấn công lừa đảo trực tuyến hiện đại Spear, các mạng xã hội được xem là phương tiện ưa thích của tin tặc. Ngoài việc giáo dục người dùng về hành vi thì một IPS có thể là công cụ giúp kiểm soát truy cập vào các trang web mạng xã hội, giúp phân loại tin nhắn lừa đảo cũng như cũng như chặn truy cập vào các trang web chứa mã độc hại nếu người dùng vô tình truy cập.
IBM Protocol Analysis Module
IBM Protocol Analysis Module (PAM) được thiết kế và cập nhật bởi đội ngũ phát triển và nghiên cứu X-Force – là yếu tố chủ chốt trong giải pháp bảo mật IBM XGS 4100. Dựa trên cơ sở dữ liệu nhận dạng các mối nguy hiểm thuộc dạng toàn diện nhất thế giới từ đội ngũ X-Force, PAM liên tục cập nhật các nội dung nhận dạng bảo mật để giúp doanh nghiệp luôn đón đầu được các mối đe dọa sắp xảy đến. Sự kết hợp của PAM và cơ sở dữ liệu của X-Force giúp IBM XGS 4100 nâng cao khả năng nhận diện các lỗ hỗng của ứng dụng nhằm dự đoán và chống lại các cuộc tấn công trước khi nó được biết đến và được sửa chữa. Ngoài ra IBM XGS 4100 còn có khả năng nhận dạng chính xác trên diện rộng những mối nguy hiểm về bảo mật như: mã độc, botnet độc hại, các hoạt động mạng ngang hàng (p2p) và nhiều thứ khác.
2. Tấn công từ ứng dụng web
Trong nhiều năm qua, những cuộc tấn công nhằm vào các lỗ hổng trong ứng dụng web đã được hạn chế khá cao. Trong thực tế lỗ hổng ứng dụng web chiếm khoảng 40-50% trong tổng số lỗ hổng bảo mật mỗi năm .Hệ thống phòng chống xâm nhập hiện đại bây giờ phải đối mặt với các cuộc tấn công tầng ứng dụng, IPS mới cung cấp khả giám sát và ngăn chặn các cuộc tấn công nghiêm trọng như SQL injection hay Cross-site Scripting. Trong nhiều trường hợp, IPSes có thể kết hợp với một ứng dụng web- ứng dụng này là công cụ quét để phát hiện các lỗ hổng trong thời gian ngắn.
3. Các cuộc tấn công ẩn trong luồng dữ liệu được mã hóa bằng SSL
Với việc sử dụng rộng rãi của mã hóa SSL trong một loạt các ứng dụng Facebook và Twitter - hệ thống phòng chống xâm nhập phải có khả năng quét vào phiên mã hóa để xác định nguy cơ bảo mật tiềm ẩn hoặc các cuộc tấn công.Nguy cơ đến từ người sử dụng truy cập vào trang web bị nhiễm malware trên SSL (có thể thông qua liên kết rút ngắn) hoặc bị tấn công từ bên ngoài bằng cách sử dụng SSL để che giấu thông tin liên lạc với máy chủ botnet.
4. Các cuộc tấn công đa dạng và mối đe dọa bậc cao
Những tin tặc bây giờ thực hiện mục tiêu, tấn công đa dạng có thể từ bên ngoài lẫn từ bên trong nội bộ, một IPS có thể không đáp ứng hết được nhu cầu an ninh thông tin. Hệ thống phòng chống xâm nhập mới cần phải có khả năng tích hợp với công nghệ bảo mật khác để giúp các quản trị viên cập nhật các hoạt động đang diễn ra bên ngoài. Các nhà quản trị CIO,CISO cần được cung cấp khả năng cập nhật các hoạt động an ninh dữ liệu, dữ liệu cho các công cụ phân tích và phát hiện các hoạt động bất thường. IPS khi được cập nhật liên tục sẽ dễ dàng thích ứng với kiểu tấn công mới, cũng như các cuộc tấn công liên tục biến đổi, trong khi vẫn đảm bảo tốc độ kết nối trong doanh nghiệp.
Nền tảng Qradar Security Intelligence.
Ví dụ như nền tảng Qradar Security Intelligence Platform được tích hợp trong IBM Security Network Protection XGS 4100. Nền tảng này bao gồm những modun giao tiếp mạng (NIMs) có thể thay thế được để hổ trợ các tiêu chuẩn và cấu hình mạng khi chúng cần thay đổi theo thời gian. Nó cũng cung cấp giấy phép về hiệu năng linh hoạt để cho phép nâng cấp hiệu năng mà không cần những thay đổi về phần cứng.