회사소개

제품

안내

고객지원

Company

Product

Information

Support

Thông tin về công ty

Sản phẩm

Thông tin

Hỗ trợ chung

ZombieZERO Network Inspector

Giải pháp phát hiện tấn công APT sử dụng Sandbox

ZombieZERO Network Inspector

Giới thiệu ZombieZERO Network Inspector

Thiết bị thu thập network traffic, phát hiện / phân tích các cuộc tấn công APT. Tích hợp thành tích phát hiện dựa trên hệ thống ảo. Cho phép phát hiện các mã độc chưa được nhận biết bằng cách phân tích dựa trên chữ ký và hành vi trong 3 bước, ngăn chặn trước các nguy cơ bảo mật.

Toàn bộ quá trình phân tích của ZombieZERO Network Inspector

npcore

Các tính năng chính

> Hệ thống phân tích mã độc trong 3 bước

  • 1) Phân tích dựa trên chữ ký: Phát hiện các tập tin đính kèm và phân loại chúng theo định dạng, phân tích cơ bản bằng Engine Anti-Virus (Bitdefender).
  • ▼ Inside Sandbox (phân tích tĩnh và động): Tạo mẫu tự động khi phát hiện mã độc.
  • 2) Phân tích tĩnh dựa trên tập luật Yara Rule : Phân tích các lỗ hổng trong mã nguồn và các tập lệnh sử dụng tập luật Yara Rule.
  • 3) Phân tích động dựa trên hành vi : Thực hiện phân tích trong môi trường sandbox đưa ra kết quả đánh giá và phân tích.
  • Tạo và phân phối mẫu đối với mã độc phát hiện từ đó xử lý các máy tính bị nhiễm.
  • Mô phỏng hệ thống mạng người dùng trên môi trường Sandbox. (máy ảo)

> Hai mức Phát hiện và ngăn chặn Truy cập Máy chủ C&C

  • Phát hiện truy cập C&C thông qua phân tích mẫu truy cập URL và URI.
  • Phát hiện và ngăn chặn truy cập đến máy chủ C&C từ phía người dùng nội bộ (sử dụng kỹ thuật DNS Sinkhole, và TCP-Reset)
  • Hỗ trợ Live-Update cơ sở dữ liệu về các máy chủ C&C từ Trung tâm NSOC (NPCore Security Operation Center ).

> Tập tin thu thập thông qua lưu lượng truy cập vào và ra khỏi mạng Phân tích thông minh Phát hiện hành vi độc hại

  • Thu thập các tệp tin đến thông qua các giao thức truyền tệp như Web, FTP, SMTP, IMAP và POP3.
  • Thu thập / phân tích các tập tin đến với các phần mở rộng khác nhau như thực hiện, nén và các tập tin tài liệu.
  • Phân tích tích hợp theo phiên
  • Kiểm tra nguy hiểm về hành vi mạng của tệp tin (DNS, URL, v.v.)
  • Phát hiện giao tiếp của Botnet thông qua tìm kiếm liên quan ngay cả trong trường hợp giao thông lớn.

> Phân tích theo hành vi sử dụng hệ thống ảo

  • Cung cấp máy ảo (Sandbox) bao gồm hệ thống phân tích tĩnh và năng động.
  • Phân tích các tệp tin PE (DLL, EXE, vv), các tệp tin nén, và các tệp tin tài liệu ở các định dạng khác nhau. (MS Office, HWP, PDF, v.v.)
  • Thực thi các tệp tin đáng ngờ sử dụng hệ thống phân tích năng động và phân tích hành vi của quá trình, tệp tin, mạng, bộ nhớ và cung cấp các kết quả phát hiện cho bệnh ác tính.
  • Phân tích mã nguồn tệp tin và các kịch bản với hệ thống tĩnh (PE-tĩnh, tài liệu-tĩnh) để phát hiện nếu chúng bao gồm các cuộc tấn công có thể khai thác lỗ hổng (sự tiêm nhiễm, web) của phần mềm và cung cấp chi tiết về kết quả.
  • Phát hiện mã độc máy ảo bằng cách loại bỏ các máy ảo từ các tệp tin thực thi và gây ra thực thi bắt buộc.

> Phát hiện và Phân tích

  • Phân tích mã độc thông qua máy ảo trong một môi trường khép kín.
  • Phân tích cập nhật mô hình theo cách thủ công ngay cả trong môi trường bị chặn internet.
  • Ngăn chặn việc truyền tải dữ liệu phân tích thông qua ảo hóa.
  • Đăng ký và phát hiện các mẫu người dùng xác định sử dụng các chuỗi thông thường.
  • Trích xuất và lưu các tập tin phần mềm độc hại được sử dụng cho sự lây nhiễm và hành vi nguy hiểm.
  • Cung cấp phân tích chi tiết về lưu lượng truy cập độc hại thông qua PCAP.

> Tính Hiệu quả

  • Khả năng mở rộng của nhân viên hoặc thiết bị trong tương lai
  • Truy cập vào màn hình quản lý dựa trên web sử dụng giao thức mã hóa
  • Chặn IP và URL trong cấu hình phản chiếu mà không ảnh hưởng đến mạng.
  • Phục hồi các tập tin bị chặn do sai số

ZombieZERO Real machine (Kế hoạch phát triển)

> Một giải pháp dò tìm kỹ lưỡng APT / mã độc bỏ qua hệ thống ảo

  • Được sử dụng với hệ thống ảo để phát hiện / chặn bỏ qua APT / mã độc.
  • Truyền tệp tin nghi ngờ của hệ thống ảo sang ‘Máy thực’ để phân tích kép.
  • Môi trường của máy tính thực được cấu hình giống như máy tính của người dùng. (Bao gồm giấy phép)
  • Inspector 1000R (10 Real machines), Inspector 2000R (20 Real machines)

ZombieZERO Network Inspector Sơ đồ khối hệ thống

npcore

Thông số sản phẩm (HW or Cloud type)

Model Inspector 300 Inspector 500 Inspector 1000 Inspector 2000 Inspector 5000
Dectector + Analyzer Dectector + Analyzer Dectector + Analyzer Dectector Analyzer Dectector Analyzer
Traffic Coverage ~ 200Mb ~ 300Mb ~ 1Gb ~ 4Gb ~ 20Gb
Coverage of
‘EDR  for APT’
~ 300 User ~ 500 User ~ 1,000 User ~ 5,000 User ~ 10,000 User
malware/min 3 5 10 20 40
CPU Intel Xeon
Quad 3.1GHz
Intel Xeon
Quad 3.1GHz
Intel Xeon
Quad 3.4GHz
Intel Xeon
Quad 3.4GHz
Dual Intel Xeon
Hexa 2.1GHz
Dual Intel Xeon
Hexa 2.1GHz
Dual Intel Xeon
Hexa 2.1GHz
Memory DDR3 16GB DDR3 24GB DDR3 32GB DDR3 32GB DDR3 64GB DDR3 32GB DDR3 128GB
RAID SAS 512GB SAS 512GB SAS 512GB AS 512GB SAS 1TB SAS 512GB SAS 2TB
OS ESXi 5.5 ESXi 5.5 ESXi 5.5 ESXi 5.5 ESXi 5.5 ESXi 5.5 ESXi 5.5
Management
Interface
2 x 10/100/1000Base-T 2 x 10/100/1000Base-T 2 x 10/100/1000Base-T 2 x 10/100/1000Base-T 2 x 10/100/1000Base-T 2 x 10/100/1000Base-T 2 x 10/100/1000Base-T
Network
Interface
4 x 1GbE Copper 4 x 1GbE Copper 4 x 1GbE Copper /
4 x 1GbE SFP
4 x 1GbE SFP
Accelerator
4 x 10GbE SFP
Accelerator
Power Single 500W Redundant 500W Redundant 500W Redundant 500W Redundant 500W Redundant 500W Redundant 500W
Dimension 2.5U 2.5U 2.5U 2.5U 2.5U 2.5U 2.5U
Virtual OS 3EA 5EA 10EA 20EA 40EA

* Bao gồm ZombieZERO Manager khi mua ZombieZERO Inspector.
* Các thông số kỹ thuật của H/W có thể thay đổi tùy theo hoàn cảnh của nhà sản xuất.