Trong thế giới kỹ thuật số ngày nay, các mối đe dọa bảo mật ngày càng trở nên tinh vi và khó lường. Để bảo vệ hệ thống, dữ liệu và tài sản của tổ chức, các doanh nghiệp cần một giải pháp bảo mật chủ động, có khả năng phát hiện và ngăn chặn các cuộc tấn công ngay từ khi mới bắt đầu. Đây chính là lý do mà ThreatWise – nền tảng bảo mật toàn diện từ Commvault – được thiết kế để giúp các tổ chức nâng cao khả năng bảo vệ trước những mối đe dọa ngày càng gia tăng hiện nay.

ThreatWise Early Warning: Cảnh báo chính xác và nhanh chóng

ThreatWise cung cấp một hệ thống cảnh báo sớm, thông minh với khả năng mô phỏng các môi trường giả mạo, giống như thật, nhằm lừa đảo các kẻ tấn công. Những decoys đóng vai trò như các “bẫy” giúp thu hút kẻ tấn công, đồng thời hệ thống chỉ đưa ra các cảnh báo chính xác, không có thông tin sai lệch (spam hoặc cảnh báo giả). Đặc biệt, ThreatWise hỗ trợ tích hợp mạnh mẽ với các công cụ bảo mật quan trọng và các môi trường sao lưu, giúp tạo ra một hệ sinh thái bảo mật liền mạch, dễ dàng và mạnh mẽ.

Với kiến trúc SaaS (Software as a Service), ThreatWise có khả năng linh hoạt cao, dễ dàng triển khai và mở rộng, phù hợp với nhu cầu của mọi tổ chức, từ các doanh nghiệp nhỏ đến các tập đoàn lớn.

Kiến trúc tổng quan của ThreatWise

ThreatWise được xây dựng với ba thành phần cốt lõi, bao gồm:

1. ThreatWise Security Operation Console (TSOC): Đây là giao diện web-based trên Cloud, giúp người dùng dễ dàng truy cập và quản lý các hoạt động bảo mật.
2. Appliance: Có thể triển khai on-prem hoặc trên cloud dưới dạng Virtual Images hoặc phần cứng (Hardware) ảo, dùng để triển khai các Threat Sensors.
3. Threat Sensors (Decoys): Các cảm biến giả mạo đóng vai trò quan trọng trong việc phát hiện và ngăn chặn các cuộc tấn công ngay từ khi bắt đầu.

Ngoài ra, hệ thống còn cung cấp các thành phần tùy chọn thêm như Lures, Full OS trap và Network Intelligence Sensor, giúp nâng cao khả năng phát hiện và phân tích các cuộc tấn công.

ThreatWise Security Operation Console (TSOC): Hệ sinh thái bảo mật hoàn chỉnh

TSOC của ThreatWise là trung tâm điều khiển và giám sát bảo mật, tích hợp với các hệ thống bảo mật quan trọng như SIEM, tường lửa (firewalls), và Network Access Control (NAC). Hệ thống này hỗ trợ API để tích hợp với các giải pháp bảo mật khác, giúp các tổ chức xây dựng quy trình tự động bảo vệ dữ liệu (DP) giữa các bộ phận bảo mật, đội ngũ IT, và các giám đốc điều hành cấp cao.

Dễ dàng truy cập ThreatWise từ giao diện Metalic Service Catalog.

Từ đây, người dùng sẽ được chuyển đến bảng điều khiển sự kiện trong TSOC. Bảng điều khiển này cung cấp cái nhìn tổng quan về các sự kiện và chỉ số quan trọng như timeline của sự kiện, các decoys đã được cấu hình, vị trí địa lý (của mối đe dọa và bẫy) cùng với nhiều thông tin khác.

Threat Sensors: Giả mạo tài sản thật để phát hiện kẻ tấn công

Threat Sensors là các thiết bị giả mạo được thiết kế để phản ứng khi có ai đó cố gắng tương tác với chúng. Những cảm biến này dễ dàng triển khai và có thể bao phủ một khu vực mạng rộng lớn mà vẫn hoàn toàn “vô hình” đối với người dùng hợp pháp. Ngoài ra, các Adaptive Threat Sensors cho phép người dùng tạo các thiết bị giả mạo tùy chỉnh, giống hệt như thiết bị thật, giúp nâng cao tính chân thực của môi trường giả mạo.

Ngoài ra, ThreatWise còn cung cấp các Full OS Sensors (cảm biến hệ điều hành đầy đủ), có thể giả mạo các hệ thống Windows/Linux (cả vật lý và ảo), tạo ra các bẫy hoàn hảo dẫn dụ kẻ tấn công.

Threat Sensors được lưu trữ thông qua các Appliance. Khi chọn một Appliance, bạn sẽ thấy các cảm biến được lưu trữ bởi Appliance đó. Các Threat Sensors này có khả năng mở rộng và cấu hình cao.
Ví dụ: các Appliance này đang lưu trữ các Decoys như Windows Server, Linux Server và Cisco Router.

Các Threat Sensors Cấu hình sẵn của ThreatWise có thể được triển khai cho nhiều loại thiết bị khác nhau, bao gồm:

• Workstations: Windows, Linux, Mac
• Servers: Database, Backup server, VM (máy ảo)
• IoT Devices: Máy in, camera giám sát, thiết bị bán hàng (POS), đèn thông minh
• Networking: Các loại switch, VPN
• Medical: Hệ thống MRI, CT, PACS
• Industrial: Hệ thống SCADA, SAP, PLC
• Financial: SWIFT, ATM

Dễ dàng chọn các loại Threat Sensor khác nhau

Tất cả các Threat Sensors đều được cấu hình sẵn theo các tiêu chuẩn tốt nhất trong ngành. Ở giao diện này, người dùng có thể áp dụng các tham số và cài đặt khác nhau để cấu hình thêm cho các cảm biến này, khiến chúng giống với tài sản thực trong môi trường của bạn.

Thẻ Analysis hiển thị các cảnh báo. Tại đây, người dùng có thể lọc kết quả và xem các cảnh báo lây nhiễm: khi chọn một cảnh báo, hệ thống sẽ cung cấp thông tin chi tiết về cuộc tấn công đã được thực hiện.

Người dùng sẽ được cung cấp thông tin pháp y chi tiết thu thập từ kẻ tấn công như hostname (tên máy), địa chỉ IP, đường dẫn, threat sensors bị tương tác và nhiều thông tin khác.

Lures: Các “mồi nhử” để thu hút kẻ tấn công

Một trong những tính năng độc đáo của ThreatWise là các Lures – những mồi nhử được thiết kế để đánh lừa kẻ tấn công kích hoạt Threat Sensor và thu thập thông tin về hành vi của chúng. Các Lures có thể là thông tin như:

• Tên đăng nhập và mật khẩu đã được lưu trữ
• Tệp tin (Word, Excel)
• Các ổ đĩa SMB giả
• Lịch sử duyệt web
• Các mục trong tệp HOSTS
• Phiên làm việc đã lưu (SSH, RDP, WinSCP)
• Dữ liệu Active Directory

Các mồi nhử này không thể bị nhìn thấy bởi người dùng hợp pháp và khi kẻ tấn công mở những tệp tin giả này, hệ thống sẽ ngay lập tức cảnh báo qua các Threat Sensor.

Full OS Traps

Full OS traps trong ThreatWise được proxy từ các Threat Sensors để tạo ra môi trường giả lập đầy thuyết phục, khiến kẻ tấn công tin rằng chúng đang tương tác với hệ thống thực tế hoặc một bộ tài sản hợp pháp. Các proxy này điều hướng kẻ tấn công đi sâu vào các “bẫy”, khiến chúng tiếp tục tương tác với môi trường giả mà không nhận ra đó là môi trường “giả”. Điều này không chỉ giúp thu thập thông tin về hành vi của kẻ tấn công mà còn ngăn chặn chúng tiếp tục tấn công vào các hệ thống thực, giúp bảo vệ dữ liệu và cơ sở hạ tầng quan trọng. Khi kẻ tấn công bị “dẫn dắt” vào môi trường này, ThreatWise có thể ghi nhận và phân tích từng động thái của chúng, từ đó ngăn ngừa các cuộc tấn công tiềm ẩn mà không gây ảnh hưởng đến hệ thống thực.

Network Intelligence Sensors

Network Intelligence Sensors có thể được triển khai để giám sát và phân tích lưu lượng mạng của tổ chức, cung cấp khả năng phát hiện các luồng outbound traffic (lưu lượng mạng đi ra ngoài) bất thường hoặc đáng ngờ. Các cảm biến này giúp nhận diện những kết nối không hợp lệ hoặc có dấu hiệu của các cuộc tấn công, như việc exfiltration (trích xuất) dữ liệu hoặc các yêu cầu kết nối bất thường ra ngoài hệ thống. Bằng cách phân tích các mẫu lưu lượng mạng và xác định các hành vi sai lệch, Network Intelligence Sensors cho phép phát hiện sớm các mối đe dọa, giúp đội ngũ bảo mật phản ứng nhanh chóng trước khi những mối nguy này gây thiệt hại nghiêm trọng cho tổ chức. Hệ thống này không chỉ giúp bảo vệ các tài nguyên quan trọng mà còn tối ưu hóa khả năng ngăn chặn các cuộc tấn công phức tạp.

ThreatWise Advisor

ThreatWise Advisor là công cụ giúp tổ chức bảo vệ môi trường sao lưu một cách thông minh bằng cách liên tục đánh giá các khối công việc và đưa ra khuyến nghị cấu hình cảm biến tự động. Điều này giảm bớt gánh nặng cho người dùng, đồng thời tối ưu hóa việc bảo vệ các tài sản quan trọng nhất trong hệ thống, như các máy chủ và dịch vụ then chốt. Nhờ vậy, ThreatWise Advisor giúp tăng cường bảo mật, phát hiện và ngăn chặn mối đe dọa hiệu quả, đồng thời đảm bảo môi trường IT luôn được bảo vệ tối ưu.

Kết luận

ThreatWise từ Commvault là giải pháp bảo mật tiên tiến, giúp các tổ chức phát hiện và ngăn chặn các cuộc tấn công một cách chủ động và hiệu quả. Với hệ thống cảnh báo sớm, khả năng giả mạo thiết bị, và tích hợp mạnh mẽ với các công cụ bảo mật khác, ThreatWise là lựa chọn lý tưởng để bảo vệ tài sản kỹ thuật số và dữ liệu quan trọng của tổ chức bạn.

Thông tin về hãng cung cấp giải pháp