Bkav NIPS - Bkav Cyber Security

Bkav Network Intrusion Prevention System – Bkav NIPS

Hệ thống phát hiện và ngăn chặn xâm nhập lớp mạng

Sản phẩm Bkav NIPS được phát triển bởi công ty cổ phần Bkav. Sản phẩm có tính năng giám sát và phát hiện các hành vi xâm nhập, tấn công hệ thống mạng, theo dõi và kiểm soát lưu lượng mạng trong hệ thống, chia sẻ và kết nối dữ liệu tới các giải pháp như Bkav SIEM, Bkav SOAR… và các hệ thống khác.

Giải pháp NIPS phải hoạt động tại hai chế độ:

Chế độ giám sát chủ động (inline mode)
Chế độ giám sát thụ động (promiscuous mode)

Chế độ giám sát chủ động của Bkav NIPS

Theo định nghĩa của Bộ Thông tin và Truyền thông (Bộ TT&TT): “Chế độ giám sát chủ động cho phép NIPS kiểm soát chủ động lưu lượng mạng được giám sát trực tiếp, thực hiện ngăn chặn nếu phát hiện hành vi xâm nhập mạng”. Dựa theo định nghĩa của Bộ TT&TT có thể thấy, khi chạy ở “Chế độ giám sát chủ động”, giải pháp sẽ hoạt động ở chế độ IPS. Ở chế độ IPS, giải pháp được đặt nội tuyến (trong đường giao tiếp trực tiếp giữa nguồn và đích), chủ động phân tích và thực hiện các hành động tự động trên tất cả các luồng lưu lượng truy cập vào mạng. IPS thường nằm ngay sau tường lửa.

Dưới đây là hình minh họa về chế độ IPS trong hệ thống mạng:

Hệ thống Bkav NIPS hoạt động với chế độ giám sát chủ động (IPS) trong hệ thống mạng

Chế độ giám sát thụ động của Bkav NIPS

Theo định nghĩa của Bộ Thông tin và Truyền thông (Bộ TT&TT): “Chế độ giám sát chỉ cho phép NIPS thu thập thụ động lưu lượng mạng được giám sát để phân tích và đưa ra cảnh báo nếu phát hiện có hành vi xâm nhập mạng. Tuy nhiên, NIPS vẫn có thể tương tác với các thiết bị mạng khác để ngăn chặn các hành vi đó”. Dựa theo định nghĩa của Bộ TT&TT có thể thấy, khi chạy ở “Chế độ giám sát thụ động” giải pháp sẽ hoạt động ở chế độ IDS.

Dưới đây là hình minh họa về chế độ IDS trong hệ thống mạng:

Hệ thống Bkav NIPS hoạt động với chế độ giám sát thụ động (IDS) trong hệ thống mạng

Hệ thống Bkav NIPS hoạt động bao gồm 2 chế độ IPS/IDS với từng interface monitor riêng biệt. Bkav NIPS thu thập dữ liệu đầu vào là network traffic ứng với từng interface monitor để tiến hành phân tích dữ liệu mạng, thông qua tập luật áp dụng được cấu hình sẵn để đưa ra các cảnh báo phát hiện xâm nhập và tấn công vào hệ thống mạng. Dữ liệu sau khi phân tích được đưa ra thành các cảnh báo (Alert) sự kiện mạng (event) và PCAP để người dùng thực hiện giám sát. Đồng thời, hệ thống thực hiện các hành động phản hồi với các cảnh báo phát hiện được thông qua các hành động kiểm soát lưu lượng mạng được quy định trong tập luật có sẵn trực tiếp trên nút mạng giám sát (trong chế độ IPS) hoặc thông qua việc tương tác với các thiết bị mạng khác trong hệ thống (trong chế độ IDS).

Chức năng chung của hệ thống

Collection: đối với một hệ thống NIPS, khả năng thu thập dữ liệu mạng nhanh, chính xác là đặc biệt quan trọng. Bkav NIPS cung cấp khả năng thu thập dữ liệu lớp mạng 24/7 liên tục, hỗ trợ nhiều phương thức cấu hình khác nhau.
Decoding: Bkav NIPS cung cấp khả năng phân tích gói tin mạnh mẽ, hỗ trợ nhiều giao thức gói tin, cung cấp cho người dùng thông tin đầy đủ của các gói tin được thu thập.
Detection: đây là tính năng quan trọng nhất của một hệ thống NIPS. Network Detection là tính năng giúp Bkav NIPS có khả năng phát hiện chính xác và kịp thời các hành vi xâm nhập và tấn công lớp mạng trong vùng mạng được giám sát, bảo vệ.
Prevention: bên cạnh tính năng giám sát chính xác, Bkav NIPS còn cung cấp tính năng tự động phản ứng lại các mối đe dọa được phát hiện trong hệ thống mạng. Tính năng này còn cho phép người dùng tích hợp Bkav NIPS với nhiều thiết bị mạng khác trong hệ thống nhằm tăng khả năng và hiệu quả trong việc chống lại các mối đe dọa khi được phát hiện.
Visualization: tính năng này cung cấp cho người dùng một giao diện giám sát đồ họa trực quan trong thời gian thực, đồng thời cung cấp các tính năng quản trị giúp người dùng dễ dàng làm chủ được hệ thống thông quan giao diện.
Report: bên cạnh các thông tin xâm nhập, tấn công hệ thống được hiển thị trên giao diện giám sát đồ họa, Bkav NIPS cung cấp cho người dùng tính năng tổng hợp báo cáo dữ liệu giám sát theo cài đặt, giúp người dùng có cái nhìn toàn cảnh về tình hình an ninh mạng của đơn vị.
Data Sharing: Bkav NIPS cung cấp khả năng chia sẻ dữ liệu giám sát lớp mạng tới nhiều hệ thống giám sát khác thông qua các kênh kết nối mã hóa được cấu hình sẵn.