An ninh mạng - Bài toán cần lời giải cho các doanh nghiệp vừa và nhỏ?

Theo số liệu từ cuộc khảo sát về rủi ro an ninh thông tin của các doanh nghiệp trên toàn cầu năm 2014, chi phí trung bình mà doanh nghiệp vừa và nhỏ tổn thất trong một cuộc tấn công của các đối tượng tin tặc có thể lên đến 375.000USD.

Khi là nạn nhân của các cuộc tấn công, doanh nghiệp không chỉ tổn thất về mặt tài chính mà hình ảnh và uy tín của doanh nghiệp cũng sẽ bị tác động theo chiều hướng tiêu cực.

Vậy lý do nào khiến cho các doanh nghiệp vừa và nhỏ chưa chú trọng đầu tư các giải pháp an ninh mạng để bảo vệ hoạt động kinh doanh của họ? Nguyên nhân chủ yếu là doanh nghiệp chưa tìm ra được giải pháp phù hợp để đáp ứng các nhu cầu bảo mật với chi phí cho phép, khi mà các giải pháp truyền thống đòi hỏi chi phí đầu tư và vận hành quá lớn.

Các mối hiểm họa ngày càng tinh vi, hệ thống phòng thủ của doanh nghiệp cũng cần được nâng cấp để đủ khả năng giảm thiểu đến mức thấp nhất các rủi ro có thể xảy đến. Muốn làm được nhiệm vụ này, các giải pháp phòng thủ thế hệ mới ngoài nhiệm vụ kiểm soát hệ thống bằng các chính sách được quy định trước còn phải có khả năng nhận biết các sự kiện theo ngữ cảnh, linh động đánh giá các nguy cơ an ninh, tối ưu hóa các chính sách phòng vệ thông qua việc hiểu được kiến trúc mạng của doanh nghiệp. Bên cạnh đó, để đối phó với các cuộc tấn công có chủ đích (APT) hoặc các mối hiểm họa dạng zero-day thì đòi hỏi giải pháp cần được trang bị khả năng theo dõi, phát hiện, ngăn chặn các phần mềm độc hại thông qua việc kết hợp các dấu hiệu nhận biết đã có với cơ chế phân tích trên điện toán đám mây.

Hiểu được các thử thách mà các doanh nghiệp vừa và nhỏ đang phải đối đầu, bên cạnh dòng sản phẩm cao cấp dành cho các trung tâm dữ liệu, Cisco cũng mang đến thị trường dòng sản phẩm phục vụ cho các doanh nghiệp vừa và nhỏ với chi phí vô cùng cạnh tranh mà vẫn đáp ứng tốt các yêu cầu bảo mật cho doanh nghiệp.

Khác với đa số các giải pháp UTM hoặc tường lửa thế hệ mới của các nhà cung cấp khác chỉ có khả năng kiểm soát việc truy cập mạng của người dùng và tích hợp thêm hệ thống phát hiện và phòng chống tấn công truyền thống bằng cách dựa vào các dấu hiệu đã được nhận biết trước. Giải pháp tường lửa thế hệ mới của Cisco (Cisco ASA with FirePOWER Services) tích hợp thêm tính năng ngăn chặn các phần mềm độc hại (Advance Malware Protection) cùng với giải pháp phát hiện và phòng chống tấn công thế hệ mới của SourceFire - một giải pháp hàng đầu về phát hiện và ngăn chặn tấn công được đánh giá bởi các tổ chức độc lập - có khả năng nhận biết ngữ cảnh và đánh giá các rủi ro an ninh mạng.


Cisco đưa ra sự lựa chọn mới, chi phí phù hợp cho các tổ chức SMB với dòng sản phẩm Nextgen Firewall 5500-X với khả năng bảo vệ trước nguy cơ mới, hạn chế các tấn công khai thác cũng như giảm chi phí sửa chữa cho hệ thống.


Giải pháp Cisco NGFW 5506-X là lựa chọn tối ưu cho các SMB bởi:

- Bảo vệ cao cấp trước các nguy cơ mới: Là sự kết hợp giữa giải pháp tường lửa thế hệ mới hàng đầu với giải pháp phòng chống tấn công hàng đầu, Cisco NGFW cung cấp khả năng bảo vệ trước các nguy cơ mã độc nâng cao và khả năng quản trị vận hành đơn giản, hiệu quả. Tường lửa này cung cấp khả năng nhận biết theo ngữ cảnh đầy đủ và những điều khiển linh động cần thiết tự động đánh giá các nguy cơ an ninh, tương quan thông tin và tối ưu hóa hoạt động phòng thủ để bảo vệ toàn bộ mạng. Đây cũng là tường lửa có khả năng thích ứng, tập trung vào nguy cơ an ninh với khả năng cung cấp hoạt động bảo vệ đa lớp, mở rộng khả năng vượt xa các giải pháp tường lửa thông thường

- Giá trị hiệu quả cao: Được đánh giá cao bởi các tổ chức thứ ba về giải pháp bảo mật như NSS Labs, Gartner, Cisco NGFW đem lại cho doanh nghiệp SMB giá trị lớn về mặt hiệu quả đầu tư gồm giá thành cũng như hiệu quả bảo mật đem lại.

- Khả năng quản trị mềm dẻo: Đối với các doanh nghiệp SMB có thể lựa chọn sử dụng thành phần quản trị có sẵn trong thiết bị với giao diện thân thiện, dễ sử dụng. Hay đối với doanh nghiệp Enterprise khi đầu tư cho các chi nhánh có thể lựa chọn sử dụng thành phần quản trị tập trung, đem lại khả năng vận hành, giám sát và quản trị tốt nhất cho tổ chức.

Thông tin chi tiết xin mời liên hệ:

Công ty E-Secure Việt Nam – Nhà phân phối chính thức của Cisco Việt Nam

Hà Nội:
Mr Nguyễn Tuấn Ngọc – 0904 200 475 – ngocnt@e-secureasia.com

TP Hồ Chí Minh:
Mr Võ Lê Vinh – 0903 705 275 – vinhvl@e-secureasia.com

Y Tá Đen - Kỹ thuật DDoS giúp laptop bình thường có thể hạ gục hệ thống máy chủ

Ngay cả khi các máy chủ đó được trang bị những thiết bị tường lửa nổi tiếng, chúng vẫn có thể bị đánh gục nếu kẻ tấn công khai thác kỹ thuật này.

Nghe có vẻ khó tin, nhưng thay vì một mạng botnet khổng lồ, bạn chỉ cần một chiếc laptop với một đường kết nối Internet để phát động cuộc tấn công DDoS mạnh mẽ, hạ gục các máy chủ Internet quan trọng và các tường lửa hiện đại.

Các nhà nghiên cứu tại Trung tâm Điều hành Bảo mật TDC đã khám phá ra một kỹ thuật tấn công mới, cho phép những kẻ tấn công đơn lẻ với nguồn lực hạn chế (trong trường hợp này, là một laptop với một đường mạng băng thông có băng thông ít nhất 15 Mbps) có thể hạ gục các máy chủ cỡ lớn.

Được mệnh danh là kỹ thuật tấn công BlackNurse - Y Tá Đen hay tấn công tốc độ thấp “Ping of Death”, kỹ thuật này có thể được sử dụng để phát động hàng loạt cuộc tấn công từ chối dịch vụ DoS khối lượng thấp bằng cách gửi các gói tin ICMP hay các “ping” để làm ngập những bộ xử lý trên máy chủ. Ngay cả những máy chủ được bảo vệ bằng tường lửa từ Cisco, Palo Alto Networks, hay các công ty khác cũng bị ảnh hưởng bởi kỹ thuật tấn công này.


ICMP (Internet Control Message Protocol) là giao thức được các router và các thiết bị mạng lưới khác sử dụng để gửi đi và nhận lại các thông báo lỗi.

Ping of Death là kỹ thuật tấn công làm quá tải hệ thống mạng bằng cách gửi các gói tin ICMP có kích thước vượt quá 65.536 byte đến mục tiêu. Do kích thước này lớn hơn kích thước cho phép của các gói tin IP nên nó sẽ được chia nhỏ ra rồi gửi từng phần đến máy đích. Khi đến mục tiêu, nó sẽ được ráp lại thành gói tin hoàn chỉnh, do có kích thước quá mức cho phép, nó sẽ gây ra tràn bộ nhớ đệm và bị treo.

Theo một báo cáo kỹ thuật được công bố trong tuần này, kỹ thuật tấn công BlackNurse còn được biết đến dưới một cái tên truyền thống hơn: “tấn công gây lụt ping” và nó dựa trên các truy vấn ICMP Type 3 (hay lỗi Đích tới Không thể truy cập – Destination Unreachable) Code 3 (lỗi Cổng Không thể truy cập – Port Unreachable).

Các truy vấn này là những gói tin trả lời, thông thường sẽ trở lại nguồn ping khi cổng đích đến của mục tiêu không thể truy cập – hay Unreachable.

Dưới đây là cách kỹ thuật tấn công BlackNurse hoạt động:

Bằng cách gửi đi một gói tin ICMP Type 3 với một mã số là 3, một hacker có thể gây ra tình trạng từ chối dịch vụ (DoS) bằng cách làm quá tải các CPU trên một số loại tường lửa nhất định của máy chủ, cho dù chất lượng của đường Internet thế nào đi nữa.

Khối lượng truy cập bằng kỹ thuật BlackNurse rất nhỏ, chỉ từ 15 Mbps cho đến 18 Mbps (hay khoảng từ 40.000 đến 50.000 gói tin mỗi giây), đặc biệt khi so sánh với cuộc tấn công DDoS kỷ lục 1 Tbps nhắm vào nhà cung cấp dịch vụ Internet của Pháp OVH trong tháng Chín.

Trong khi đó, TDC cũng cho biết rằng khối lượng khổng lồ này không phải vấn đề quan trọng khi chỉ cần duy trì một dòng ổn định các gói tin ICMP từ 40K đến 50K đến được thiết bị mạng của nạn nhân là có thể phá hủy thiết bị mục tiêu.


Vậy tin tốt ở đây là gì? Các nhà nghiên cứu cho biết: “Khi cuộc tấn công diễn ra, người dùng trong mạng nội bộ LAN sẽ không thể gửi hay nhận các truy cập đi và đến Internet nữa. Tất cả tường lửa mà chúng tôi đã thấy đều phục hồi sau khi cuộc tấn công dừng lại.”

Tuy vậy, điều này có nghĩa là, kỹ thuật tấn công DoS khối lượng thấp này vẫn rất hiệu quả bởi vì nó không chỉ gây lụt tường lửa bằng các truy cập, mà còn buộc các CPU phải tải với mức độ cao, thậm chí hạ gục các máy chủ offline nếu cuộc tấn công có đủ công suất mạng.

Các nhà nghiên cứu cho rằng không nên nhầm lẫn BlackNurse với các cuộc tấn công gây lụt ping dựa trên các gói tin ICMP Type 8 Code 0 (hay những gói tin ping thường xuyên). Các nhà nghiên cứu giải thích:

“Kỹ thuật tấn công BlackNurse thu hút sự chú ý của chúng tôi bởi vì trong cuộc thử nghiệm giải pháp chống DDoS, ngay cả khi tốc độ truy cập và khối lượng các gói tin mỗi giây ở mức độ rất thấp, cuộc tấn công này cũng có thể làm dừng mọi hoạt động của khách hàng chúng tôi.”

“Thậm chí, kỹ thuật tấn công này cũng có thể áp dụng cho các doanh nghiệp được trang bị tường lửa và có đường kết nối Internet lớn. Chúng tôi hy vọng rằng các thiết bị tường lửa chuyên nghiệp sẽ có thể xử lý được các cuộc tấn công này.”

Các thiết bị bị ảnh hưởng

Kỹ thuật tấn công BlackNurse có hiệu quả với các sản phẩm sau:

- Thiết bị tường lửa Cisco ASA 5506, 5515, 5525 (ở các cài đặt mặc định).
- Thiết bị tường lửa Cisco ASA 5550 (đời cũ) và 5515-X (thế hệ mới nhất).
- Cisco Router 897 (có thể bị giảm nhẹ).
- SonicWall (cấu hình sai có thể bị thay đổi và giảm nhẹ).
- Một số thiết bị chưa xác định từ Palo Alto.
- Router Zyxel NWA3560-N (tấn công không dây từ mạng LAN nội bộ).
- Thiết bị tường lửa Zyxel Zywall USG50.


Làm thế nào để giảm nhẹ cuộc tấn công BlackNurse?

Vẫn còn tin tốt cho bạn – có một số cách có thể đánh trả lại các cuộc tấn công BlackNurse.

TDC đề nghị một số biện pháp giảm nhẹ và các quy tắc IDS SNORT (hệ thống phát hiện xâm nhập theo mã nguồn mở SNORT) có thể sử dụng để phát hiện các cuộc tấn công BlackNurse. Hơn nữa, các code PoC (proof-of-concept: mã bằng chứng của khái niệm) đã được các kỹ sư OVH đăng tải lên GitHub, cũng có thể sử dụng để thử nghiệm thiết bị của các nhà quản trị mạng trong việc chống lại BlackNurse.

Để giảm nhẹ các cuộc tấn công BlackNurse vào tường lửa và các thiết bị khác, TDC khuyến cáo người dùng nên lập ra một danh sách các nguồn đáng tin cậy, được phép gửi và nhận gói tin ICMP. Tuy nhiên, cách tốt nhất để giảm nhẹ cuộc tấn công chỉ đơn giản là vô hiệu hóa gói tin ICMP Type 3 Code 3 trên giao diện WAN.

Công ty Palo Alto Networks cũng phát hành một tuyên bố, cho biết các thiết bị của mình chỉ bị ảnh hưởng theo “các kịch bản rất cụ thể, không phải trong thiết lập mặc định và trái với các thông lệ thường thấy.” Công ty cũng đã liệt kê một số khuyến cáo cho khách hàng của mình.

Trong khi đó, Cisco cho biết họ không cho rằng hành vi trong báo cáo là một vấn đề an ninh, mà cảnh báo rằng:

“Chúng tôi khuyến cáo mọi người thiết lập giấy phép cho các gói tin không thể truy cập ICMP Type 3. Từ chối các thông điệp không thể truy cập ICMP giúp vô hiệu hóa giao thức Path MTU Discovery cho gói tin ICMP. Những việc này có thể ngăn chặn IPSec (Internet Protocol Security: tập hợp các giao thức để bảo mật cho quá trình truyền tin) và truy cập theo giao thức PPTP (Point-To-Point Tunneling Protocol: Là giao thức được dùng để truyền dữ liệu giữa các mạng riêng ảo VPN).”

Hơn nữa, nhà cung cấp phần mềm độc lập NETRESEC cũng công bố một bản phân tích chi tiết về BlackNurse với tựa đề: “Kỹ thuật tấn công gây ngập lụt từ những năm 90 đã quay trở lại.” Bên cạnh các cảnh báo trên, Viện Sans cũng thông báo một bản ghi nhớ ngắn về cuộc tấn công của BlackNurse, thảo luận về cuộc tấn công và những gì người dùng nên làm để giảm nhẹ nó.

Giải pháp an ninh mạng – ASA 5512-X with FirePower

3.1. Giới thiệu về dòng ASA 5500-X

Dòng sản phẩm ASA 5500-X là dòng sản phẩm Firewall Next Generation mới được ra đời với sự kế thừa các đặc tính nổi trội của các dòng sản phẩm bảo mật trước đó của Cisco System. Nó được coi là sản phẩm bảo mật chuyên dụng với sự kết hợp của khả năng bảo mật tốt nhất và dịch vụ VPN cùng với những đổi mới mang tính chất tiên phong trong kiến trúc AIM (Cisco Adaptive Indentification and Mitigation). Được thiết kế với vai trò là một thiết bị lõi của Self-Defending Network, Cisco ASA 5500-X có khả năng phòng chống và ngăn ngừa các yếu tố có thể đe doạ tới hệ thống mạng trước khi nó có thể ảnh hưởng tới toàn bộ hệ thống mạng, kiểm soát hoạt động mạng và các lưu lượng ứng dụng đồng thời mang lại cho người dùng các kết nối VPN một cách linh hoạt và mềm dẻo.

Với những đặc điểm đó, dòng sản phẩm này có thể mang lại cho khách hàng những giải pháp bảo mật tối ưu đối với các hệ thống mạng vừa và nhỏ cũng như các hệ thống mạng doanh nghiệp.


Cisco ASA 5500-X mang lại sự kết hợp tốt nhất của một thiết bị đa tính năng trên nền tảng một thiết bị phần cứng duy nhất.

Dòng sản phẩm ASA có khả năng mang lại hiệu quả cao và tăng cường khả năng bảo mật cho hệ thống mạng nhờ nó các những đặc tính nổi trội như sau:

Đã được thị trường chứng minh về khả năng bảo mật và VPN: Đầy đủ các đặc điểm, khả năng Fire-wall cao, IPS, anti-X và công nghệ VPN IPSec/SSL mang lại khả năng bảo mật cao. Việc quản lý User và Application dựa trên việc kiểm soát truy nhập, giảm nhẹ khả năng virus và worm, bảo vệ malware, content filtering và kết nối các remote user hoặc remote Site.

Có khả năng mở rộng thích nghi nhận dạng và kiến trúc Mitigation Services: Dòng sản phẩm này được xây dựng trên kiến trúc modular, do đó khả năng mở rộng của thiết bị là rất lớn và có thể hoàn toàn đáp ứng được các yêu cầu về bảo mật cho hệ thống mạng.

Giảm thiểu chi phí vận hành và phát triển: Dòng sản phẩm đa tính năng Cisco AS 5500-X cho người dùng khả năng cấu hình và quản trị theo một hệ thống và một tiêu chuẩn xác định, điều này giúp giảm bớt chi phí vận hành và quản trị hệ thống.

Về mặt kiến trúc phần cứng, dòng Firewall Cisco ASA 5500-X bao gồm các model:

• ASA 5506-X
  
• ASA 5508-X
  
• ASA 5512-X
  
• ASA 5515-X
  
• ASA 5525-X.
  
• ASA 5545-X.
  
• ASA 5555-X.
  

Các tính năng kỹ thuật chính của thiết bị Firewall Next-Generation ASA được miêu tả như sau:

• Kiểm soát, theo dõi các luồng dữ liệu
  
• Thực thi các chính sách bảo mật : cho phép, từ chối dịch vụ
  
• Lọc bỏ các luồng dữ liệu không mong muốn
  
• Dịch chuyển địa chỉ mạng (NAT)
  
• Định tuyến
  
• Thực thi nhiều dịch vụ mạng riêng ảo (VPN IPSec, VPN SSL, Cisco AnyConnect)
  

Đứng về phương diện tổ chức bảo mật,  ngoài vai trò chốt chặn kiểm soát các lưu lượng dữ liệu, hệ thống Firewall còn có nhiệm vụ  chia cắt hệ thống mạng của chúng ta ra thành nhiều phần nhỏ, và xác định ranh giới đó. Tùy theo hệ thống Firewall được triển khai, hệ thống sẽ được chia cắt theo những đặc thù riêng. Tuy nhiên, nhìn chung đòi hỏi sẽ phải có 3 vùng bảo mật chính.

Trên nguyên tắc, sự xâm nhập từ các phân vùng có độ bảo mật thấp sang những khu vực bảo mật cao hơn sẽ không được Firewall cho phép. Nhìn chung, các chính sách đựoc xây dựng cho Firewall chỉ cho phép thông tin đi theo những chiều an toàn từ trong ra ngoài,từ nơi an toàn cao đến nơi an toàn thấp(cấp độ bảo mật). Chiều ngược lại gần như không được phép ngoài trừ 1 số trường hợp đặc biệt xảy ra dưới sự cấu hình cho phép và giám sát của người quản trị. Thiết bị sẽ dựa vào địa chỉ nguồn, đích,cổng kết nối,…các đặc thù về giao thức mạng để lọc các gói tin,cho phép nó đi qua hay ở lại. Ta có thể thay đổi giá trị  độ bảo mật của một phân vùng nhằm phục vụ cho một ý đồ tổ chức nào đó.

3.2. Tính năng ASA 5512-X with FirePower

Hệ thống được trang bị thiết bị chuyên dụng CISCO ASA 5512-X, thiết bị cung cấp các tính năng tiên tiến đảm bảo an toàn an ninh hệ thống như các nguy cơ Zero-day, tấn công ứng dụng dịch vụ, đánh cắp cơ sơ dữ liệu.

CISCO ASA 5512-X thế hệ mới được thiết kế đặc biệt có khả năng phát hiện và ngăn chặn các cuộc tấn công. Thế hệ firewall Cisco ASA với FirePOWER Services mới cung cấp khả năng nhận thức theo ngữ cảnh và điều khiển linh động để đánh giá các mối đe dọa, phối hợp thông tin và tối ưu hóa phòng thủ đam bao an ninh an toàn hệ thống mạng thông tin.

Cisco ASA 5512-X được tích hợp tính năng kiểm soát ứng dụng, hệ thống phòng chống xâm nhập thế hệ mới Next-Generation Intrusion Prevention Systems (NGIPS) cùng với giải pháp phòng chống malware tiên tiến Advanced Malware Protection (AMP) từ SourceFire.

Cisco ASA 5512-X kết hợp tường lửa, tính năng kiểm soát ứng dụng với khả năng phòng chống xâm nhập và phát hiện các cuộc tấn công, giúp đơn giản hóa kiến trúc bảo mật,tiết kiệm được đáng kể chi phí cũng như giảm bớt số lượng thiết bị bảo mật cần quản lý và triển khai.

Cisco ASA 5512-X bảo vệ chống lại các cuộc tấn công Zero-day với hơn 40 engine và 6500 stateful, cơ chế signature chống lại hàng ngàn các cuộc tấn công khai thác ngày càng gia tăng.

Cisco ASA 5512-X có khả năng phát hiện với phạm vi rộng các loại giao thức giúp cho hệ thống đảm bảo được sự hoạt động ôn định và ngăn chặn được các nguy cơ tấn công tiềm ẩn.

Cisco ASA 5512-X có khả năng nhận diện và ngăn chặn tấn công từ chối dịch vụ DoS, DDoS, lụt SYN, và các tấn công mã hóa với cơ chế Cisco Global Colerration

Cisco ASA 5512-X sử dụng hệ thống bằng sáng chế công nghệ Anti-evasion để bao vệ và giám sát đối phó với worm, virus, trojan, các cuộc tấn công do thám, phần mềm gián điệp, tấn công botnet, phishing, peer to peer, cũng như các kỹ thuật lẩn trốn.

Cisco ASA 5512-X với tính năng tường lửa dựa trên công nghệnhận dạng để đảm bảo thiết lập chính sách chính xác và mạnh mẽ.

Các tính năng kỹ thuật chính của thiết bị Firewall Next-Generation ASA 5512-X được miêu tả như sau:

• Kiểm soát, theo dõi các luồng dữ liệu
  
• Thực thi các chính sách bảo mật : cho phép, từ chối dịch vụ
  
• Lọc bỏ các luồng dữ liệu không mong muốn
  
• Dịch chuyển địa chỉ mạng (NAT)
  
• Định tuyến
  
• Thực thi nhiều dịch vụ mạng riêng ảo (VPN IPSec, VPN SSL, Cisco AnyConnect)
  

Đứng về phương diện tổ chức bảo mật,  ngoài vai trò chốt chặn kiểm soát các lưu lượng dữ liệu, hệ thống Firewall còn có nhiệm vụ  chia cắt hệ thống mạng của chúng ta ra thành nhiều phần nhỏ, và xác định ranh giới đó. Tùy theo hệ thống Firewall được triển khai, hệ thống sẽ được chia cắt theo những đặc thù riêng. Tuy nhiên, nhìn chung đòi hỏi sẽ phải có 3 vùng bảo mật chính.

Trên nguyên tắc, sự xâm nhập từ các phân vùng có độ bảo mật thấp sang những khu vực bảo mật cao hơn sẽ không được Firewall cho phép. Nhìn chung, các chính sách được xây dựng cho Firewall chỉ cho phép thông tin đi theo những chiều an toàn từ trong ra ngoài, từ nơi an toàn cao đến nơi an toàn thấp (cấp độ bảo mật). Chiều ngược lại gần như không được phép ngoài trừ 1 số trường hợp đặc biệt xảy ra dưới sự cấu hình cho phép và giám sát của người quản trị. Thiết bị sẽ dựa vào địa chỉ nguồn, đích, cổng kết nối,… các đặc thù về giao thức mạng để lọc các gói tin,cho phép nó đi qua hay ở lại. Ta có thể thay đổi giá trị  độ bảo mật của một phân vùng nhằm phục vụ cho một ý đồ tổ chức nào đó.

3.3. Tính năng log, cảnh báo, hiển thị thông tin nguy cơ bảo mật

Giải pháp Cisco ASA with FirePower sử dụng hệ thống Cisco FireSIGHT Management Center để quản lý, giám sát, cấu hình. Hệ thống này sẽ giám sát toàn bộ hệ thống IT theo thời gian thực và cung cấp cho người quản trị cái nhìn tổng quan nhất về tình trạng bảo mật của toàn hệ thống.

Bảng sau cung cấp các đối tượng mà FireSight nhận biết được:

Category	FireSIGHT Management Center
Threats	Yes
Users	Yes
Web applications	Yes
Application protocols	Yes
File transfers	Yes
Malware	Yes
Command-and-control servers	Yes
Client applications	Yes
Network servers	Yes
Operating systems	Yes
Routers and switches	Yes
Mobile devices	Yes
Printers	Yes
VoIP phones	Yes
Virtual machines	Yes

Các thông tin hiển thị event, log, alert trên hệ thống Cisco FireSIGHT Management Center như sau:

• Context Explorer: bảng hiển thị thông tin tổng quan về toàn bộ hệ thống
  
• Base Dashboard: bảng hiển thị thông tin về các sự kiện (event), cảnh báo (alert) bảo mật
  
• Threat Awareness Dashboard: bảng hiển thị thông tin về các mối nguy cơ mà FirePower nhận diện được dựa trên việc monitor các kết nối đang dùng trong hệ thống
  
• Instrusion Policy: bảng hiển thị thông tin về các chính sách bảo mật đang dùng
  
• Reporter Dashboard: lập báo cáo về tình trạng bảo mật của toàn hệ thống
  
• Thống kê tần suất sử dụng của các ứng dụng, danh sách các ứng dụng hay dùng
  
• Thống kê lưu lượng dữ liệu sử dụng dựa theo người dùng
  
• Tự động phân tích các nguy cơ bảo mật của hệ thống mạng theo PC người dùng, theo ứng dụng, theo file, Malware…
  
• Tính năng theo dõi giúp khai thác đường đi của một nguy cơ bảo mật (malware), giúp dễ dàng khoanh vùng và tìm ra nguồn phát của malware.
  

         3.4. Chức năng của hệ thống cảnh báo

Thiết bị tường lửa dòng ASA 5512-X tích hợp với FirePower giúp bảo vệ an toàn cho toàn bộ hệ thống thông tin. Mỗi khi có bất kỳ nguy hiểm sau (threat) sau:

• Kết nối truy cập trái phép vào vùng policy không che phép
  
• Xuất hiện các đợt tấn công chủ đích như malware
  
• Tấn công từ chối dịch vụ từ bên ngoài Internet
  
• Tấn công truy cập vào hệ thống từ bên ngoài Internet
  
• Có phiên truy cập các trang web trái phép
  

Khi xuất hiện các mối đe dọa trên,  thiết bị tường lửa ASA 5512-X sẽ ngay lập tức ngăn chặn (dựa theo chính sách người quản trị đã đặt từ trước).

Bên cạnh đó, tường lửa ASA 5512-X tích hợp IPS của FirePower giúp ngăn chặn các nguy cơ (threat) ngay từ khi mới xuất hiện. Bằng cách liên tục monitor toàn hệ thống, sensor của tường lửa ASA 5512-X sẽ nhận biết các luồng dữ liệu khác lạ (bằng cách so sánh với behavior của dữ liệu bình thường), và ngăn chặn các luồng dữ liệu lạ ngay từ ban đầu. Do đó, bảo vệ hệ thống IT của doanh nghiệp tốt hơn.

Ngay sau khi có một trong các event ở trên, chương trình quản trị sẽ ghi nhận và đưa ra cảnh báo cho người quản trị mạng dưới các dạng sau:

• Hiển thị thông báo lên màn hình monitor
  
• Lưu trữ dưới dạng log, người quản trị có thể view chi tiết khi truy cập vào Phần quản trị log.
  
• Gửi thông báo email cho người quản trị