nền tảng bảo mật tối ưu phòng chống các nguy cơ an ninh...
TRANSCRIPT
![Page 1: Nền tảng bảo mật tối ưu phòng chống các nguy cơ an ninh mạngantoanthongtin.vn/Portals/0/UploadImages/kiennt2/KyYeu/DuLieuTrongNuoc... · – Người sáng lập-](https://reader030.vdocuments.net/reader030/viewer/2022040311/5dd0c89ad6be591ccb62ad6a/html5/thumbnails/1.jpg)
McAfee Confidential—Internal Use Only
Nền tảng bảo mật tối ưu phòng chống cácnguy cơ an ninh mạng
Chau LeTechnical Manager, Vietnam
![Page 2: Nền tảng bảo mật tối ưu phòng chống các nguy cơ an ninh mạngantoanthongtin.vn/Portals/0/UploadImages/kiennt2/KyYeu/DuLieuTrongNuoc... · – Người sáng lập-](https://reader030.vdocuments.net/reader030/viewer/2022040311/5dd0c89ad6be591ccb62ad6a/html5/thumbnails/2.jpg)
McAfee Confidential—Internal Use Only
Agenda
Giới thiệu McAfee
Tối ưu hóa bảo mật
Mô hình bảo mật và thách thức kinh doanh
Giải pháp thu thập và phân tích thông tin SIEM
SIEM truyền thống và SIEM thế hệ mới
McAfee SIEM
Tóm tắt
![Page 3: Nền tảng bảo mật tối ưu phòng chống các nguy cơ an ninh mạngantoanthongtin.vn/Portals/0/UploadImages/kiennt2/KyYeu/DuLieuTrongNuoc... · – Người sáng lập-](https://reader030.vdocuments.net/reader030/viewer/2022040311/5dd0c89ad6be591ccb62ad6a/html5/thumbnails/3.jpg)
McAfee Confidential—Internal Use Only
Giới thiệu McAfee
3
• Một công ty bảo mật hàng đầu thế giới chuyên tập trung100% về giải pháp an ninh hệ thống gồm các sản phẩm chocá nhân cũng như doanh nghiệp trên toàn cầu
• Được INTEL mua lại vào 28/2/2011• Liên tiếp 19 năm đạt giải thưởng giải pháp bảo mật.• 20 quý liên tiếp đạt tăng trưởng gấp đôi cùng kỳ năm trước• Đội ngũ quản lý vững mạnh và 6.380 nhân viên chuyên
nghiệp.
• Nghiên cứu toàn cầu- có mặt tại 120 quốc gia (R & D ở26 quốc gia)
• 480 bằng sáng chế, và nhiều sáng chế khác đang tiếnhành.
• 9 giải pháp nằm trong top đánh giá của Gartner
• 300 triệu người tin tưởng sử dụng McAfee• 94% trong 500 công ty lớn mạnh tin tưởng sử dụng
McAfee.• 10 nhà cung cấp viễn thông lớn nhất tin tưởng sử
dụng McAfee.• Các bộ phận quốc phòng lớn nhất tin tưởng sử dụng
McAfee
![Page 4: Nền tảng bảo mật tối ưu phòng chống các nguy cơ an ninh mạngantoanthongtin.vn/Portals/0/UploadImages/kiennt2/KyYeu/DuLieuTrongNuoc... · – Người sáng lập-](https://reader030.vdocuments.net/reader030/viewer/2022040311/5dd0c89ad6be591ccb62ad6a/html5/thumbnails/4.jpg)
McAfee Confidential—Internal Use Only4 Security Connected
Enterprise Security
CAN?How?
![Page 5: Nền tảng bảo mật tối ưu phòng chống các nguy cơ an ninh mạngantoanthongtin.vn/Portals/0/UploadImages/kiennt2/KyYeu/DuLieuTrongNuoc... · – Người sáng lập-](https://reader030.vdocuments.net/reader030/viewer/2022040311/5dd0c89ad6be591ccb62ad6a/html5/thumbnails/5.jpg)
McAfee Confidential—Internal Use Only
Đạt đến tối ưu hóa: Mô hình tiêu chuẩnMaturity cho bảo mật doanh nghiệp
TỐI ƯU HÓA BẢO MẬT
OPTIMIZED(~4% chi phí đầu tư cho bảo mật )(~4% chi phí đầu tư cho bảo mật )
REACTIVE(~3% chi phí đầu tư cho bảo mật )(~3% chi phí đầu tư cho bảo mật )
COMPLIANT/PROACTIVE(~8% chi phí đầu tư cho bảo mật )(~8% chi phí đầu tư cho bảo mật )
TCO(CapEx + OpEx)
SecurityPosture
![Page 6: Nền tảng bảo mật tối ưu phòng chống các nguy cơ an ninh mạngantoanthongtin.vn/Portals/0/UploadImages/kiennt2/KyYeu/DuLieuTrongNuoc... · – Người sáng lập-](https://reader030.vdocuments.net/reader030/viewer/2022040311/5dd0c89ad6be591ccb62ad6a/html5/thumbnails/6.jpg)
McAfee Confidential—Internal Use Only
Kiến trúc công nghệ cho an ninh
Làm thế nào kết nối các giải pháp bảo mật với nhau?
Host IPSAgent
SystemsManagement
AgentAudit
Agent
AntivirusAgent
Encryption
NAC
DLPAgent
Mỗi giải pháp đềucần có mộtAGENT
Mỗi AGENTđều có mộtgiao diệnđiều khiển
Mỗi giao diện điềukhiển cần phải có mộtmáy chủ
Mỗi máy chủ đều cầnphải có hệ điềuhành/cơ sở dữ liệu
Nhân lực quản trị , bảo trì,vá lỗi
IT dừng lại ởđâu?
6
![Page 7: Nền tảng bảo mật tối ưu phòng chống các nguy cơ an ninh mạngantoanthongtin.vn/Portals/0/UploadImages/kiennt2/KyYeu/DuLieuTrongNuoc... · – Người sáng lập-](https://reader030.vdocuments.net/reader030/viewer/2022040311/5dd0c89ad6be591ccb62ad6a/html5/thumbnails/7.jpg)
McAfee Confidential—Internal Use Only
Kiến trúc công nghệ cho an ninh
Kết nối an toàn máy tính của bạn thế nào?
Giao diệnquản trịduy nhất
Agentcài đặt
duy nhất
McAfee ePO Server(AV, DLP, NAC,
Encryption,PA, Site Advisor)
7 Security Connected
![Page 8: Nền tảng bảo mật tối ưu phòng chống các nguy cơ an ninh mạngantoanthongtin.vn/Portals/0/UploadImages/kiennt2/KyYeu/DuLieuTrongNuoc... · – Người sáng lập-](https://reader030.vdocuments.net/reader030/viewer/2022040311/5dd0c89ad6be591ccb62ad6a/html5/thumbnails/8.jpg)
McAfee Confidential—Internal Use Only
McAfee Security ConnectedNền tảng giải pháp bảo mật tối ưu
SECURITY MANAGEMENT
Security Operations MgmtPolicy Auditing & ManagementVulnerability ManagementRisk ManagementCompliance Management
PARTNER COMMUNITY
McAfee ConnectedGlobal Strategic Alliance Partners
Security Innovation Alliance
High Assurance FirewallNetwork Intrusion PreventionNetwork Access ControlNetwork Behavior Analysis
NETWORK SECURITY
INFORMATION SECURITYEmail SecurityWeb SecurityData Loss PreventionEncryptionIdentity & Access ManagementAPI and Web Services Security
Server & Database Protection
Smartphone and Tablet ProtectionVirtual Machine and VDI Protection
Hardware Assisted Security
Embedded Device Protection
ENDPOINT SECURITYMalware ProtectionDevice EncryptionApplication WhitelistingDesktop FirewallDevice ControlEmail ProtectionNetwork Access ControlEndpoint Web ProtectionHost Intrusion ProtectionMobile Device Management
8 Security Connected
![Page 9: Nền tảng bảo mật tối ưu phòng chống các nguy cơ an ninh mạngantoanthongtin.vn/Portals/0/UploadImages/kiennt2/KyYeu/DuLieuTrongNuoc... · – Người sáng lập-](https://reader030.vdocuments.net/reader030/viewer/2022040311/5dd0c89ad6be591ccb62ad6a/html5/thumbnails/9.jpg)
McAfee Confidential—Internal Use Only
Kiến trúc mở cho giải pháp McAfee vàliên minh bảo mật CNTT (SIA partners)
SIA Associate PartnerSIA Technology Partner(McAfee Compatible)
Note: Partner listgrowing rapidly –inquire for current list
9 Security Connected
![Page 10: Nền tảng bảo mật tối ưu phòng chống các nguy cơ an ninh mạngantoanthongtin.vn/Portals/0/UploadImages/kiennt2/KyYeu/DuLieuTrongNuoc... · – Người sáng lập-](https://reader030.vdocuments.net/reader030/viewer/2022040311/5dd0c89ad6be591ccb62ad6a/html5/thumbnails/10.jpg)
McAfee Confidential—Internal Use Only
.
Kho chứa thông nguy cơan ninh từ cloud
Làm thế nào để tổ chức của bạn an toàn?McAfee Global Threat Intelligence (GTI)
NetworkIPS Firewall Web
Gateway Host AVMailGateway Host IPS 3rd Party
Feed
300M IPSattacks/mo.
300M IPSattacks/mo.
2B BotnetC&C IP
ReputationQueries/mo.
20B MessageReputation
Queries/mo.
2.5B MalwareReputation
Queries/mo.
300M IPSAttacks/mo.
Geo locationfeeds
10
![Page 11: Nền tảng bảo mật tối ưu phòng chống các nguy cơ an ninh mạngantoanthongtin.vn/Portals/0/UploadImages/kiennt2/KyYeu/DuLieuTrongNuoc... · – Người sáng lập-](https://reader030.vdocuments.net/reader030/viewer/2022040311/5dd0c89ad6be591ccb62ad6a/html5/thumbnails/11.jpg)
McAfee Confidential—Internal Use Only
Nguy cơ an ninh không ngừng thách thức
11
Tuân thủ PCI-DSS, HIPAA, NERC CIP,
SOX, GLBA, GPG-13
Mất dữ liệu• Các mối đe dọa nội bộ và
quản lý tài sản kỹ thuật sốcủa công ty
Virus tấn công• Tăng tính tinh vi và phổ biến
của các cuộc tấn côngmạng
Gian lận danh tính• Các vụ vi phạm dữ liệu công
ty tăng và trộm danh tính
Bảo mật doanh nghiệp• Dùng để quản lý và bảo vệ
các thông tin cho các nghànhcông nghiệp có các thông tinnhạy cảm.
Khối lượng lớn dữ liệu• Những khối lượng dữ liệu lớn
trình bày thu thập và phân tíchnhững thách thức
![Page 12: Nền tảng bảo mật tối ưu phòng chống các nguy cơ an ninh mạngantoanthongtin.vn/Portals/0/UploadImages/kiennt2/KyYeu/DuLieuTrongNuoc... · – Người sáng lập-](https://reader030.vdocuments.net/reader030/viewer/2022040311/5dd0c89ad6be591ccb62ad6a/html5/thumbnails/12.jpg)
McAfee Confidential—Internal Use Only
Giải pháp thu thập và phân tích thông tinSIEM
Security Information and Event Management (SIEM) được định nghĩa như một bộcông nghệ gồm:
• Thu thập log• Tương quan giữa các sự kiện• Nhóm các sự kiện giống nhau• Bình thường hóa• Duy trì• Phân tích và luồng thông tin
Ba yếu tố chính triển khai SIEM• Tầm nhìn trước mối đe dọa thời gian thực• Vận hành hiệu quả• Tính tuân thủ và các yêu cầu riêng cho hệ thống quản lý log
Device & ApplicationLog Files
ApplicationContent
DatabaseTransactions
Events fromSecurityDevices& Endpoints
VA ScanData
NetworkFlows
OS events
Authentication& IAM
Location
![Page 13: Nền tảng bảo mật tối ưu phòng chống các nguy cơ an ninh mạngantoanthongtin.vn/Portals/0/UploadImages/kiennt2/KyYeu/DuLieuTrongNuoc... · – Người sáng lập-](https://reader030.vdocuments.net/reader030/viewer/2022040311/5dd0c89ad6be591ccb62ad6a/html5/thumbnails/13.jpg)
McAfee Confidential—Internal Use Only
Giải pháp SIEM cổ điển
Device andApplication Log
Files
Authenticationand IAM
Events fromSecurity Devicesand Endpoints
UserIdentity Location
VA Scan Data Network Flows Time OS Events
DÒ TÌM DỰA TRÊN CÁC MẪU NGUY HIỂM ĐÃ BIẾT
Quản ly log
Hình dung, Điều traHình dung, Điều traHình dung, Điều tra
Bối cảnh truyền thống
• Xem tần số đăng nhập• Tìm kiếm các bản ghi• Tương quan sự kiện
13
![Page 14: Nền tảng bảo mật tối ưu phòng chống các nguy cơ an ninh mạngantoanthongtin.vn/Portals/0/UploadImages/kiennt2/KyYeu/DuLieuTrongNuoc... · – Người sáng lập-](https://reader030.vdocuments.net/reader030/viewer/2022040311/5dd0c89ad6be591ccb62ad6a/html5/thumbnails/14.jpg)
McAfee Confidential—Internal Use Only
Giải pháp SIEM thế hệ mới
Quản lý log
Bối cảnh truyền thống
Nhận biết nội dung
VA Scan Data Network Flows Time OS Events
Ứng dụng Cơ sở dữ liệu
Các dòng chảy chỉ ra tần xuất nhưng bỏqua cái gì, ai và như thế nàoBức tranh tổng thể từ ứng dụng và cơ sởdữ liệuLog ứng dụng hạn chế do hiệu năng hệthống.Log cơ sở dữ liệu hạn chế do chính sách
• Xem tần số đăng nhập• Tìm kiếm các bản ghi• Tương quan sự kiện• Các dữ liệu liên quan• Ai là người làm việc đó
Visualize, Investigate, RespondVisualize, Investigate, RespondVisualize, Investigate, Respond
14
Hình dung , điều tra, ứng phóHình dung , điều tra, ứng phóHình dung , điều tra, ứng phó
![Page 15: Nền tảng bảo mật tối ưu phòng chống các nguy cơ an ninh mạngantoanthongtin.vn/Portals/0/UploadImages/kiennt2/KyYeu/DuLieuTrongNuoc... · – Người sáng lập-](https://reader030.vdocuments.net/reader030/viewer/2022040311/5dd0c89ad6be591ccb62ad6a/html5/thumbnails/15.jpg)
McAfee Confidential—Internal Use Only
Mcafee SIEM đáp ứng yêu cầu SIEM thếhệ mới
Quàn lý log
Bối cảnh truyền thống
Nhận biết nội dung
Nội dung động
Hình dung, Điều tra, ứng phóHình dung, Điều tra, ứng phóHình dung, Điều tra, ứng phó
Mối đa dọa toàn cầu Mức độ an ninhdoanh nghiệp
ePolicyOrchestrator
RiskAdvisor
Công cụ nâng cao tương quanCông cụ nâng cao tương quanCông cụ nâng cao tương quan• Xem tần số đăng
nhập• Tìm kiếm các bản
ghi• Tương quan sự
kiện• Ai là người làm việc
đó?• Rủi ro hệ thống?
• Mối đe dọa tình báo• Báo động ngay lập tức• Phân tích lịch sử
• Lổ hổng• Số lượt truy cập• Cá nhân
15
![Page 16: Nền tảng bảo mật tối ưu phòng chống các nguy cơ an ninh mạngantoanthongtin.vn/Portals/0/UploadImages/kiennt2/KyYeu/DuLieuTrongNuoc... · – Người sáng lập-](https://reader030.vdocuments.net/reader030/viewer/2022040311/5dd0c89ad6be591ccb62ad6a/html5/thumbnails/16.jpg)
McAfee Confidential—Internal Use Only
Giới thiệu McAfee SIEM•An ninh và tuân thủ thời gian thực
– Tích hợp SIEM, giám sát cơ sở dữ liệu, ứng dụng, vàtương quan nâng cao (rủi ro và lịch sử).
– Chứng nhận dành cho quốc phòng, cơ sở hạ tầngquan trọng
Chỉ có SIEM FIPS-140-2 được xác nhận & tiêu chuẩnchung EAL 3+
• Tổng quan NitroSecurity– McAfee SIEM là NitroSecurity
• Được mua lại trong Q4 2011– Người sáng lập- một kiến trúc sư của cơ sở dữ liệu
SAGE tại phòng nghiên cứu quốc gia Idaho• Cơ sở dữ liệu SAGE được biết đến như EDB
(Embedded Database), tốc độ cao là mục tiêuchính để xây dựng cơ sở dữ liệu
• Điều này mang đến cho McAfee SIEM lợi thế tốcđộ hiệu suất với lượng lớn dữ liệu
![Page 17: Nền tảng bảo mật tối ưu phòng chống các nguy cơ an ninh mạngantoanthongtin.vn/Portals/0/UploadImages/kiennt2/KyYeu/DuLieuTrongNuoc... · – Người sáng lập-](https://reader030.vdocuments.net/reader030/viewer/2022040311/5dd0c89ad6be591ccb62ad6a/html5/thumbnails/17.jpg)
McAfee Confidential—Internal Use Only
Nhận biết từ làng công nghệ
• SIEM Leaders Quadrant– Gartner 2012 SIEM Magic Quadrant, May, 2012
• “Best log management solution”– InfoWorld 2011 Technology of the Year, January, 2011
• “Fastest database in the business, truly creative front end”– SC Magazine, Innovators Hall of Fame, December, 2010
• “One of the most useful and seamless incidentresponse-focused SIEM products available today”
– The 451 Group, Impact Report, June, 2010• “Top performance, 2nd lowest price”
– Info-Tech Research Group Vendor Landscape, June, 2011• “Nitro has attained tier-one status alongside larger organizations”
– Ovum, Technology Audit, July, 2011
![Page 18: Nền tảng bảo mật tối ưu phòng chống các nguy cơ an ninh mạngantoanthongtin.vn/Portals/0/UploadImages/kiennt2/KyYeu/DuLieuTrongNuoc... · – Người sáng lập-](https://reader030.vdocuments.net/reader030/viewer/2022040311/5dd0c89ad6be591ccb62ad6a/html5/thumbnails/18.jpg)
McAfee Confidential—Internal Use Only
Khách hàng tiêu biểu
![Page 19: Nền tảng bảo mật tối ưu phòng chống các nguy cơ an ninh mạngantoanthongtin.vn/Portals/0/UploadImages/kiennt2/KyYeu/DuLieuTrongNuoc... · – Người sáng lập-](https://reader030.vdocuments.net/reader030/viewer/2022040311/5dd0c89ad6be591ccb62ad6a/html5/thumbnails/19.jpg)
McAfee Confidential—Internal Use Only
McAfee SIEM đáp ứng nhu cầu thị trường
Sản phẩm cáchãng khác
Chưa có khả năng phân tích dữ liệu mức sâu vàrộng
Chưa thể tập hợp và phân tích log trong môitrường dữ liệu rất lớn với thời gian truy vấnngắn
Ưu điểmNitroSecurity
Khách hàng từ SMB đến top Fortune 500 Tập hợp các log có mối tương quan Hiệu mức nội dung và ngữ cảnh
Nhanh hơn 100x to 1,000x các giải pháp khác Một thiết bị đơn lẻ có khả năng xử lý 300K EPS Giải pháp SIEM duy nhất vừa thêm và truy vấn
dữ liệu
Khả năng mở rộng Tốc độ
Sản phẩm cáchãng khác
Chủ yếu sử dụng các công cụ báo cáo cho tínhtuân thủ
Cần tinh chỉnh log và event để giảm đi dữ liệucần quản lý
Ưu điểmNitroSecurity
Giải pháp toàn diện bao gồm SIEM, giám sát ứngdụng, cơ sở dữ liệu và các giao thức an ninhmạng
Thật sự hiệu quả với cách quản lý “single pane-of-glass” Chức năng vượt bậc
Các tính năng cao cấp khác Linh hoạt và chi phí hợp lý
![Page 20: Nền tảng bảo mật tối ưu phòng chống các nguy cơ an ninh mạngantoanthongtin.vn/Portals/0/UploadImages/kiennt2/KyYeu/DuLieuTrongNuoc... · – Người sáng lập-](https://reader030.vdocuments.net/reader030/viewer/2022040311/5dd0c89ad6be591ccb62ad6a/html5/thumbnails/20.jpg)
McAfee Confidential—Internal Use Only
• Passive Event MonitoringEliminates performance overhead associated with DB logging
• Stores event activity as SessionsReconstruct and Examine activity from Login to Logoff
• Correlate Database activity to Security EventsCorrelate sensitive information access to users
SSL Connection
• Quantitative Risk Scoring CorrelationACE uses Rule-Less correlation to determine threat activity
• Enables Historical CorrelationMatch new rules against historic events in near Real-Time
• Combined Correlation Engines without overheadOperates independently of event collection.
• Stores Event & Flow data using McAfeeEDBPatented, high-performance, embedded data access engine
• Hosts browser-based, flash-enabled SIEM interfaceEasy to use. Highly customizable Views / Dashboards.
• Manages rules thru Policy Manager.Customizable Data Source and Correlation rules
• Configures Reports and AlarmsCustomizable Reporting and Flexible Alarm Management
• Redundant CapablePrimary and Secondary ESMs can be configured
• Designed to be ScalableDesigned to support 100,000’s events per second
• Collection point for Events and FlowsPassive and Active collection technologies
• Hosts Rules-based Correlation EngineCan be enterprise wide or specific to local receiver.
• Redundant CapableHigh Availability Receivers can be configured
• Designed to be ScalableDesigned to support up to 20,000’s eps per appliance
• Archive Management for Raw EventsReceiver forwards unaltered logs to ELM
• Maintains ELM Management databaseAbility to manage parsed and raw logs simultaneously
• Raw Log Integrity ManagementEnsures Forensic Integrity.
• Raw logs Compression Management (up to 20:1)Delivers Maximum Storage Efficiency
• Flexible StorageLocal, SAN (Fibre), CIFS, NFS, iSCSI, NAS and Combinations
Receiver
CIFSNFSSANiSCSI
Application Data MonitorContent VisibilityADM
Các thành phần trong giải pháp McAfeeSIEM
ReceiverReceiver
ELM
Receiver
AES Encrypted ChannelAES Encrypted Channel
Enterprise Security Managercontent aware SIEM
Advanced Correlation EngineDedicate Correlation Logic ApplianceACE
Database Event MonitorDatabase Transaction MonitoringDEM
Receiver
AES
Encr
ypte
d
ELMESM Enterprise Log Manager
Fully integrated Compliant Log Management
Event Receiver3rd Party Log/Event/Flow Collection
ReceiverELM
http://
P2P
chat
VoIP
Shell / FTP
LDP, PS
Span or Tap
Span or Tap
• Protocol & Application MonitoringFull inspection of application content
• Monitor Sensitive Data Transmitted via ApplicationsIdentify monitoring blind-spots
![Page 21: Nền tảng bảo mật tối ưu phòng chống các nguy cơ an ninh mạngantoanthongtin.vn/Portals/0/UploadImages/kiennt2/KyYeu/DuLieuTrongNuoc... · – Người sáng lập-](https://reader030.vdocuments.net/reader030/viewer/2022040311/5dd0c89ad6be591ccb62ad6a/html5/thumbnails/21.jpg)
McAfee Confidential—Internal Use Only
Tóm tắt về McAfee SIEM
XÁC ĐỊNH NGUY CƠAN NINH MẠNG CHÍNH XÁC BẬC NHẤT
THỜI GIAN TRẢ LỜI NHANH NHẤT
GIÁM SÁT SỰ TUÂN THỦ LIÊN TỤC
CHI PHÍ HỢP LÝ THÔNG QUAGIẢM CHI PHÍ TCO VÀ THỜI
GIAN ĐẦU TƯ
![Page 22: Nền tảng bảo mật tối ưu phòng chống các nguy cơ an ninh mạngantoanthongtin.vn/Portals/0/UploadImages/kiennt2/KyYeu/DuLieuTrongNuoc... · – Người sáng lập-](https://reader030.vdocuments.net/reader030/viewer/2022040311/5dd0c89ad6be591ccb62ad6a/html5/thumbnails/22.jpg)