Xây dựng hệ thống phòng chống xâm nhập cho doanh nghiệp nhỏ và gia đình

Làm thế nào mà một công nghệ chỉ dành cho doanh nghiệp đã được tích hợp vào Router Wi-Fi và những thách thức.

Trước đây khách hàng tự bảo vệ mình trước các cuộc tấn công mạng bằng cách cài đặt các chương trình chống virus trên máy tính. Sau khi kỷ nguyên IoT bùng nổ, việc kết nối trở nên rộng lớn hơn, ngay cả màn hình giám sát của em bé và chuông cửa cũng có thể bị hack. Người dùng am hiểu công nghệ từ lâu đã học cách thiết lập các quy tắc tường lửa, nhưng cho dù chúng có chi tiết đến đâu, các quy tắc này đều có tính chất tĩnh.

Điều gì sẽ xảy ra nếu chúng ta có thể bảo vệ tự động, bảo vệ hệ thống mạng và tự bản thân nó cập nhật liên tục?

Đây là câu hỏi Synology đã chuẩn bị khi thiết kế Trình quản lý router Synology SRM 1.2 với 2 gói mới.

Safe Access (Truy cập an toàn) và Threat Prevention (Phòng ngừa mối đe dọa): Sự khác biệt là gì?

Safe Access và Threat Prevention đều có sẵn trên Router Synology chạy SRM 1.2*, thể hiện 2 cách tiếp cận khác nhau đối với bảo mật mạng.

Safe Access dựa trên DNS và IP. Nó tích hợp một số cơ sở dữ liệu bên ngoài (bao gồm Google Safe Browsing) để xác định tên miền và IP liên quan đến các phần mềm độc hại, lừa đảo, botnet, Command and Control servers, Social Engineering…v…v… Khi một thiết bị trong mạng cố gắng truy cập các điểm đến trong Black list, Router Synology ngăn chặn kết nối thậm chí kết nối đã được thiết lập.

Mặt khác, Threat Prevention dựa trên dấu hiệu. Hệ thống giám sát lưu lượng đến và đi bằng cách sử dụng Deep Pack Inspection (DPI) – không chỉ kiểm tra tên miền hoặc IP – và có thể loại bỏ bất kỳ gói dữ liệu độc hại nào được phát hiện trong thời gian thực. Ngoài ra các cuộc tấn công Internet, Threat Prevention có thể cảnh báo bạn về hành vi không phù hợp của người dùng, chẳng hạn như gửi mật khẩu thông qua lưu lượng HTTP không được mã hóa.

Cả hai chức năng đều hoạt động tương tự. Bạn có thể xem lại nhật ký sự kiện và điều chỉnh các hành động, nhưng ngay cả khi không làm gì, chúng vẫn âm thầm bảo vệ bằng cách chạy ngầm.

Tuy nhiên, đã từng có sự khác biệt quan trọng giữa chúng.

Thách thức: Công nghệ doanh nghiệp với chi phí cao

Công nghệ đằng sau Threat Prevention được gọi là Hệ thống ngăn chặn xâm nhập – Intrusion Prevention System (IPS), là một phần không thể thiếu trong hệ thống phòng thủ an ninh của nhiều doanh nghiệp. Bởi vì nó kiểm tra các gói mạng bằng DPI, nó có thể gây tổn hại nghiêm trọng đến CPU và RAM, khiến tốc độ internet bị giảm.

Các doanh nghiệp có thể mua IPS vì họ có khả năng sử dụng phần cứng cao cấp, một số có bộ xử lý bảo mật được xây dựng theo yêu cầu của doanh nghiệp. Hệ thống tường lửa doanh nghiệp có chi phí vào khoản $1000 – một mức giá cao cho hầu hết các gia đình và văn phòng nhỏ. Do đó, khi Synology lần đầu tiên cung cấp IPS trên Router Wi-Fi của mình, người dùng phải đưa ra lựa chọn bảo mật cấp doanh nghiệp hoặc tốc độ Internet khi sử dụng

Đối với hầu hết các sản phẩm công nghệ, việc đạt được tất cả các mục đích khi sử dụng 1 thiết bị bất kỳ là điều khó có thể đạt được. Nhưng Synology là trường hợp ngoại lệ.

Phần mềm đã thay đổi cục diện như thế nào

Khi xây dựng SRM 1.2, Synology nỗ lực rất lớn để tăng cường hiệu suất ÍP. Các yếu tố chính là việc sử dụng CPU và bộ nhớ, vì vậy sau khi nghiên cứu kỹ càng, những thay đổi sau đã được đưa ra:

Cơ chế ghi nhật ký được sửa đổi: Bản Beta ngăn chặn xâm nhập trước đó sử dụng bộ đệm để xử lý dữ liệu đầu ra từ công cụ phát hiện mối đe dọa – đây là cách tạo nhật ký sự kiện. Tuy nhiên, nó cũng là một chương trình sử dụng CPU/RAM cao. Chúng tôi đã từ bỏ bộ đệm cũ và tự mình viết một phiên bản hiệu quả hơn, giảm đáng kể tài nguyên hệ thống được sử dụng bằng cách đăng nhập.

Phân tích và phát hiện gói thông minh hơn: Không phải tất cả các gói đều như nhau. Khi nói đến các cuộc tấn công mạng, có những phần của mạng được liên kết cụ thể với chúng, chẳng hạn như bắt đầu mỗi phiên. Bằng cách kiểm tra các bộ phận này để tìm các gói nguy hiểm, động cơ có thể đánh giá rủi ro của toàn bộ phiên mà không phải kiểm tra từng gói riêng biệt.

Tăng mức dộ ưu tiên cho công cụ phát hiện mối đe dọa: Trong biên bản trước, mức độ ưu tiên của CPU và I/O được đặt ở mức thấp nhất để giảm thiểu tác động của IPS trên hệ thống. Trong một hệ thống mạng liên tục, việc này đôi khi dẫn đến việc không thể xử lý kịp thời. Sau khi các thay đổi trên giảm đáng kể mức sử dụng CPU và RAM, mức độ ưu tiên được đặt trở lại bình thường.

Điều gì đã tạo ra sự khác biệt ?

Chúng tôi đặt cả 2 phiên bản để thử nghiệm thực tế, cả 2 đều được cập nhật để sử dụng đồng bộ dữ liệu mới nhất. Kết quả cho thấy Threat Prevention mới có thể phát hiện số lượng sự kiện độc hại cao hơn, vì việc sử dụng CPU và RAM thấp hơn cho phép nó xử lý nhiều hơn mỗi giây (CPS)

Phòng chống xâm nhập (Intrusion Prevention) beta trong SRM 1.1 có 1844 sự kiện được phát hiện trong 7 ngày.

Threat Prevention trong SRM 1.2 có 3669 sự kiện được phát hiện trong 7 ngày

Quan trọng hơn, nó giúp gia tăng mạnh mẽ hiệu suất. Lấy Synology RT2600ac làm ví dụ: lưu lượng đã tăng từ dưới mức 100Mbps đến gần 1Gbps. Kết quả tương tự trên RT1900ac.

Lưu lượng giữa Intrusion Prevention Beta trong SRM 1.1 và Threat Prevention trong SRM 1.2

Tại sao việc bảo vệ hệ thống mạng quan trọng

Theo báo cáo của Verizon năm 2018 chỉ có 1.8% sự cố bảo mật nhắm vào các doanh nghiệp nhỏ, nhưng 34.1% trong số đó là doanh nghiệp nhỏ là nạn nhân, có nghĩa là hầu hết trong số họ có hệ thống phòng thủ không phù hợp so với doanh nghiệp, điều tương tự cũng xảy ra với gia đình nhỏ.

ÍP có thể cung cấp lớp bảo vệ bổ sung, hiệu quả cho hầu hết các hệ thống mạng, đó là lý do tại sao Synology tập trung tối ưu hóa cho Router Wi-Fi và đã thành công.

* Threat Prevention hiện có sẵn trên Synology RT2600acRT1900ac

Xem thêm về các sản phẩm Synology