GIỚI THIỆU

GIẢI PHÁP OPSWAT

METADEFENDER CORE
- NỀN TẢNG NGĂN CHẶN MỐI
ĐE DOẠ NÂNG CAO
1. Giới thiệu về hãng OPSWAT
OPSWAT là công ty hàng đầu toàn cầu về các giải pháp an ninh mạng cơ sở hạ
tầng quan trọng CNTT, OT và ICS cũng như công nghệ phân giải và tái cấu trúc
dữ liệu (CDR), bảo vệ các tổ chức quan trọng của thế giới khỏi phần mềm độc hại
và các cuộc tấn công zero-day. Để giảm thiểu nguy cơ bị xâm phạm, các giải pháp
Bảo vệ cơ sở hạ tầng quan trọng của OPSWAT bảo vệ cả các tổ chức khu vực công
và tư bằng công nghệ, quy trình và quét phần cứng mới nhất để đảm bảo việc
truyền dữ liệu, tệp và quyền truy cập thiết bị qua các mạng quan trọng. Hơn 1.500
tổ chức trên toàn thế giới bao gồm Dịch vụ Tài chính, Quốc phòng, Sản xuất,
Năng lượng, Hàng không vũ trụ và Hệ thống Giao thông tin tưởng OPSWAT sẽ
bảo mật các tệp và thiết bị; đảm bảo tuân thủ các chính sách và quy định do ngành
và chính phủ định hướng, đồng thời bảo vệ danh tiếng, tài chính, nhân viên và
khách hàng của họ khỏi sự gián đoạn do điều khiển mạng. Để biết thêm thông tin
về OPSWAT
OPSWAT được thành lập từ những năm 2002 tại Tampa, Florida, Hoa kì. Với 20
năm kinh nghiệm trong phát triển các giải pháp bảo mật chuyên dụng cho các hạ
tầng quan trọng, các sản phẩm của OPSWAT được thiết kế loại bỏ phần mềm độc
hại và các cuộc tấn công zero-day. Trong thời đại bùng nổ của công nghệ thông
tin cũng như cách mạng công nghệ 4.0, và với sự gia tăng nhanh chống của các kí
thuật tấn công, các mối đe dọa mới liên tục được hacker phát triển, mọi tệp và mọi
thiết bị đều là mối đe dọa. Các mối đe dọa cần phải được giải quyết mọi lúc, mọi
nơi. Các sản phẩm của OPSWAT tập trung vào việc ngăn chặn mối đe dọa và tạo
quy trình để truyền dữ liệu an toàn và truy cập thiết bị an toàn. Kết quả là các hệ
thống hiệu quả giảm thiểu rủi ro thỏa hiệp. Đó là lý do tại sao 98% các cơ sở điện
hạt nhân, các tổ chức an ninh quốc gia của Hoa Kỳ tin tưởng OPSWAT về an ninh
mạng và tuân thủ.
1.1 Đánh giá của các tổ
chức:

OPSWAT được coi là Công ty dẫn đầu toàn cầu về bảo vệ cơ sở hạ tầng quan trọng
được đặt tên là Công ty An ninh được Quản lý và Điểm cuối Tuyệt vời nhất trong
gần 20 năm phát triển, và liên tục giữ vững danh hiệu này. Điều này có được là do
các giải sản phẩm tập trung chủ yếu nhắm đến bảo vệ các hệ thống hạ tầng thiết
yếu của các tổ chức chính phủ. Với việc tuân thủ rất nhiều các chứng chỉ bảo mật
khác nhau và với triết lí thiết kế giải pháp tập trung cho việc bảo mật các lớp
vật lí. OPSWAT tự tin có thể bảo vệ được hầu hết các mối đe dọa đặc biệt nhắm
đến các khu vực trọng yếu cho chính phủ và các đơn vị liên quan.
1.2 Các chứng chỉ bảo mật tuân thủ của
OPSWAT:
1.3 Các khách hàng của OPSWAT
Các sản phẩm của OPSWAT được hơn 1.000 tổ chức trên toàn thế giới tin dùng để
bảo vệ tài sản kỹ thuật số và giữ an toàn cho luồng dữ liệu của doanh nghiệp. Các
công ty từ nhiều ngành khác nhau sử dụng công nghệ phân tích và tái cấu trúc dữ
liệu (Deep CDR), multi-scan, đánh giá lỗ hổng dựa trên tệp và kiểm soát truy cập
đám mây để có được sự bảo vệ mạnh mẽ khỏi các mối đe dọa đã biết và chưa biết.
 ..
,,,.,.,. ,/,.
wAmere
n
i it"XP.RI
orubo
•••..► ..t urd
(n,.,;1"1•<•.....-. Bitdefender

.
•
b m c
Carnegie
MelJon
Universit
y
•
CITRIX.
• e ( DUKE
<{;
ENERGY.

\::i!i
tmlrare5 (es1ijl =FExelon
R
®· F·SecureV f.Garanti GENERAL
£
,,
DYNAMICS

/ ...
';
t!l!t:d!!!:ll::!!!!t ING.iM) leidos
(Jp
Lenovo

.
IJ:,O
,
nLincoln
Fl"-'n<lfJGroup
-
........
.
nex_thin
COMCAST

opentext·
R
(!.@'{}1; i·,.\\'>..

1r
,.

-
k palo"a•l·t~o•

$PulseSecure· Raytheon SONICW LL" SOPHOS

0TRAPMINE VERINT xerox f ) '

2. Giới thiệu về giải pháp MetaDefender của OPSWAT
Khác biệt giữa OPSWAT và các công ty bảo mật truyền thống trên thị trường,
OPSWAT sở hữu hàng loạt công nghệ bảo mật chuyên dụng được thiết kế, phát
triển riêng biệt dành riêng cho các hạ tầng quan trọng cho các ngành trọng yếu
như Dịch vụ Tài chính, Quốc phòng, Sản xuất, Năng lượng, Hàng không vũ trụ và
Hệ thống Giao thông.
Các doanh nghiệp đang đầu tư nhiều nguồn lực hơn bao giờ hết vào an ninh mạng
- tuy nhiên, ngày càng có nhiều vụ vi phạm lớn hơn hàng năm. Hàng nghìn giải
pháp ngăn chặn mối đe dọa có trên thị trường, nhưng hầu hết chúng đều có chung
một lỗ hổng quan trọng: chúng dựa trên khả năng phát hiện, nhưng việc phát hiện
không bao giờ hoàn hảo 100%. Đó là lý do tại sao nền tảng ngăn chặn mối đe dọa
tiên tiến của OPSWAT, MetaDefender, không chỉ dựa trên detection.
MetaDefender sử dụng chức năng content disarm and reconstruction (Deep
CDR) độc quyền được tự phát triển của OPSWAT để loại bỏ các mối đe dọa khỏi
tệp bằng cách tạo lại tệp và trong quá trình này, loại bỏ nội dung và tập lệnh độc
hại tiềm ẩn. MetaDefender cũng cung cấp tính năng quét đa dạng, đánh giá lỗ
hổng dựa trên tệp và ngăn chặn mất dữ liệu chủ động (Proactive DLP).

Các công nghệ làm sạch mã độc hiện nay:

- Giải pháp chỉ sử dụng multi-Engines để làm sạch thiết bị
- Sử dụng công nghệ CDR kết hợp multi malware and heuristics
engines
1. Phương án chỉ sử dụng multi-engines
Công nghệ kết hợp multi anti malware, virus engines đã được tạo ra từ khá lâu
đời. Công nghệ đằng sau khá đơn giản là kết hợp nhiều egines anti-malware của
nhiều hãng bảo mật trên thế giới (thường kết hợp từ 2 đến 6 engines của các hãng
bảo mật hoặc nhiều hơn).
Nguyên tắc hoạt động: Khi một thiết bị có thể tháo rời như USB, ổ cứng di động,
… được đưa vào giải pháp làm sạch dữ liệu. Giải pháp sẽ tiến hành rò quét toàn
bộ dữ liệu được lưu trong thiết bị đó bằng nhiều signatures database của nhiều
hãng bảo mật được tích hợp trong giải pháp. Tuy nhiên, đối với các mã độc,
macros, hoặc virus tinh vi hơn được ẩn trong định dạng các file khác như file ảnh,
words,… thì giải pháp này không thể phát hiện được mã độc. Dẫn đến không thể
loại bỏ được toàn bộ mối nguy hại, gây tiềm ẩn rủi ro cho các đơn vị, tổ chức.
Ưu điểm:
- Giải pháp đơn giản về mặt kiến trúc kĩ thuật.
- Kết hợp nhiều nguồn dữ liệu về mã độc của nhiều hãng bảo mật
Nhược điểm:
- Bị phụ thuộc vào công nghệ các hãng bảo mật
- Các macros, virus nhúng ẩn dưới các định dạng tài liệu như ảnh,
words,.. không thể bị phát hiện bởi công nghệ này.
- Thiết kế đơn giản, không đảm bảo loại bỏ được toàn bộ các mã độc
trong các thiết bị di động

2. Phương án sử dụng công nghệ CDR kết hợp multi engines

“CDR” – Content Disarm and Reconstruction là công nghệ phân giải và tái cấu
trúc dữ liệu cao cấp. Công nghệ này cho phép có thể lọc ra và loại bò được các mã
độc dù cho chúng có thể ngụy trang rất sâu trong các file dữ liệu. Không giống
như phân tích phần mềm độc hại, công nghệ CDR không xác định hoặc phát hiện
chức năng của phần mềm độc hại nhưng loại bỏ tất cả các thành phần tệp không
được chấp thuận trong định nghĩa và chính sách của hệ thống. Nó được sử dụng để
ngăn chặn các mối đe dọa an ninh mạng xâm nhập vào mạng. Các kênh mà CDR
có thể được sử dụng để bảo vệ bao gồm email và lưu lượng truy cập trang web.
Các giải pháp nâng cao cũng có thể cung cấp khả năng bảo vệ tương tự trên các
thiết bị đầu cuối của máy tính, các dịch vụ chia sẻ tệp và email trên đám mây hoặc
lọc các tệp tin điều khiển hoặc giám sát của các vùng công nghiệp.
Khác với việc phân tích mã độc (malware analysis), công nghệ CDR sẽ không tìm
kiếm các đoạn mã được coi là mã độc (malware) mà đơn giản là loại bỏ tất cả
những gì không an toàn, không phù hợp với chính sách. Ví dụ, với các file định
dạng PDF, người ta thấy các đoạn mã Javascript nhúng trong đó có thể gây hại tới
người dùng. Đối với malware analysis, người ta cần sử dụng model, rule để xác
định các đoạn mã độc trong đó và nếu nó độc thì sẽ không sử dụng file này. Tuy
nhiên, đối với việc sử dụng CDR, vì Javascript trong file PDF được định nghĩa là
không an toàn nên chỉ đơn giản là xoá bỏ các mã Javascript này và tạo một file
mới không có các mã Javascript.
Nguyên lý chung của CDR xử lý tất cả các tệp đến của mạng doanh nghiệp, giải
mã chúng và loại bỏ các phần tử không phù hợp với tiêu chuẩn của loại tệp hoặc
chính sách đặt ra. Công nghệ CDR sau đó xây dựng lại các tệp thành các phiên
bản sạch có thể được gửi tới người dùng cuối như dự định. Bởi vì CDR loại bỏ tất
cả các mã độc hại tiềm ẩn, nó có thể có hiệu quả chống lại các lỗ hổng zero-day
dựa vào đó là một mối đe dọa chưa xác định mà các công nghệ bảo mật khác sẽ
cần phải vá để duy trì sự bảo vệ.
Kế thừa được những tính năng của công nghệ CDR truyền thống. Các công nghệ
CDR hiện nay được thiết kế được tăng cường bảo mật hơn với thuật toán duy nhất
cho mỗi loại tệp thực hiện giải trừ các mối đe dọa tiềm ẩn không xác định. Người
dùng nhận được loại tệp giống hệt nhau với chức năng liền mạch như tệp gốc,
đảm bảo rò quét tối đa các mã độc, mang lại sự an toàn rất cao cho tổ chức doanh
nghiệp
Nguyên lý hoạt động của CDR:
Quy trình phân rã và tái cấu trúc dữ liệu cấp bằng sáng chế áp dụng nhiều thuật
toán nâng cao cho mỗi tệp. Các thuật toán này thực hiện các hoạt động phức tạp
được điều chỉnh chính xác cho từng loại tệp, xác định và tiêu diệt ngay lập tức các
phần mềm độc hại ẩn đã biết và chưa biết. Các bước của một chu trình phân
giải và tái cấu trúc dữ liệu bao gồm:
- Đầu tiên, file ban đầu sẽ được giải cấu trúc (deconstruction). Tại đây, từ một
file ban đầu người ta sẽ đưa nó về một cấu trúc, định dạng khác phù hợp
hơn để xử lí.
- Tiếp theo, file sau khi đã giải cấu trúc sẽ được quét các nội dung không phù
hợp (disarm) và loại bỏ các nội dung này khỏi file. Quá trình loại bỏ nội
dung không phù hợp (Disarm) sử dụng kết hợp với phân tích và phát hiện
mã độc dựa vào multi engins, CDR làm sạch nhanh nhiều loại và kích
thước
 tệp. Các thuật toán CDR trải qua quá trình tối ưu hóa rộng rãi, cho
phép chúng đạt được hiệu suất siêu nhanh mà không ảnh hưởng đến hệ
thống tương tác với hệ thống khử trùng và không thay đổi cấu trúc của
tệp.
- Cuối cùng, từ file đã giải cấu trúc đã sạch các nội dung disarm, người ta
sẽ tái cấu trúc nó trở về định dạng ban đầu.
Ưu điểm:
- Đảm bảo loại bỏ toàn bộ các mã độc trong các thiết bị di động, ngay cả
các mã độc, macros, virus được nhúng ẩn trong các tài liệu, các định dạng
khác trước khi mang vào khu vực hạ tầng quan trọng (Critical
Infrastructures)
- Đảm bảo loại bỏ các virus, malware, zero - days,… hoặc các biến thể của
các mã độc dựa vào cơ sở dữ liệu đa nền tảng và phương pháp phân tích
đặc tính mã độc heuristic
- Tốc độ xử lí nhanh hơn
- Khá hiệu quả với các tấn công chưa được công bố (Zero-day attack) trên
cơ sở file.
- Các file đã nhiễm mã độc có thể tiếp tục sử dụng sau khi loại bỏ các
thành phần không mong muốn.
Nhược điểm:
Kiến trúc phức tạp hơn so với giải pháp chỉ sử dụng multi engines nhưng đổi
lại tốc độ xử lí đảm bảo và làm sạch hoàn toàn dữ liệu.
3. Giải pháp OPSWAT MetaDefender Core
Để bảo vệ cơ sở hạ tầng công nghệ thông tin (CNTT) – tài sản giá trị nhất của mỗi
tổ chức doanh nghiệp, bạn không thể chỉ phụ thuộc vào các công cụ phòng chống
mã độc bằng phương pháp nhận diện các mẫu đã biết (Signatures) hay những
hành vi đặc trưng của virus, bởi các mã độc zero-day và các loại mã độc khác hẳn
nhiên được thiết kế để lẩn tránh các bộ lọc bảo mật truyền thống này. Các tổ chức
doanh nghiệp cần một giải pháp an ninh tiên tiến gồm đa phương thức phòng
chống các cuộc tấn công mạng.
MetaDefender Core giúp tích hợp nền tảng phát hiện và ngăn chặn mã độc tiên
tiến hàng đầu thế giới vào các giải pháp và cơ sở hạ tầng CNTT hiện có của doanh
nghiệp, để xử lý hầu hết các vấn đề an ninh mạng phổ biến như: bảo vệ website
khỏi các cuộc tấn công bằng tập tin độc hại, tăng cường hiệu quả của các sản
phẩm an ninh mạng và hệ thống phân tích mã độc hiện có của khách hàng.

2.1. Các tính năng nổi bật:

Công Nghệ Làm Sạch và Tái Lập Nội Dung Chuyên Sâu (Deep CDR) Giúp
làm sạch và tái cấu trúc hơn 130 loại tập tin phổ biến, trong khi đảm bảo tối đa
tính khả dụng và nội dung an toàn. Cung cấp hàng trăm lựa chọn tái lập tập tin để
chuyển đổi các tập tin thành các định dạng phổ biến và tiện lợi hơn khi sử dụng.
Công Nghệ Nâng Cao Nhận Dạng Mã Độc Với Đa Ứng Dụng Xử Lý
(Multiscanning) Bạn có thể lựa chọn sử dụng hơn 30 chương trình nhận dạng
mã độc hàng đầu hiện nay với nhiều gói sản phẩm linh hoạt. Nhanh chóng phát
hiện
hơn 99% mã độc bằng các phương pháp nhận diện mẫu mã độc, phân tích hành
vi đặc trưng của virus và máy học.
Hơn 100 Tùy Chọn Chuyển Đổi Tập Tin Giữ nguyên tính khả dụng của tập tin
thông qua quá trình tái cấu trúc tập tin hoặc chuyển đổi tập tin thành các định
dạng dễ sử dụng hơn.
Công Nghệ Chủ Động Ngăn Chặn Rò Rỉ Dữ Liệu (Proactive DLP) Rà soát và
ngăn chặn nội dung nhạy cảm trong hơn 70 loại tập tin phổ biến trước khi chúng
được chuyển đi.
Công Nghệ Đánh Giá Lỗ Hổng Bảo Mật Của Tập Tin (Vulnerability
Assessment) Quét các tập tin nhị phân và trình cài đặt để phát hiện các lỗ hổng
bảo mật của ứng dụng trước khi chúng được thực thi trên các thiết bị đầu cuối, bao
gồm cả các thiết bị trong môi trường vạn vật kết nối Internet (IoT).
Tùy Chỉnh Quy Trình Bạn có thể tự thiết kế quy trình hoạt động cho
Mutilscanning và Deep CDR để phù hợp với nhu cầu của doanh nghiệp, cũng
như có thể tùy chỉnh thứ tự và quy tắc xử lý tập tin đối với từng đối tượng sử
dụng, nguồn tập tin và loại tập tin.
Giải Nén Tập Tin Công nghệ Multiscanning và công nghệ Deep CDR khả dụng
với hơn 50 loại tập tin nén phổ biến. Bạn có thể cấu hình các cách xử lý tập tin
nén, và tập tin nén với mật khẩu cũng được hỗ trợ xử lý.
Xác Minh Loại Tập Tin Xác minh hơn 4500 loại tập tin nhằm chống lại các
cuộc tấn công bằng tập tin giả mạo.
2.2. Lợi ích mang lại cho tổ chức doanh nghiệp
 Giảm thiểu rủi ro cho các cơ sở trọng yếu.
 Ngăn chặn các mã độc tinh vi có thể vượt qua các lớp phòng thủ an ninh
của doanh nghiệp.
 Ngăn chặn các dữ liệu nhạy cảm ra vào hệ thống của doanh nghiệp.
 Dễ dàng triển khai trên các máy chủ Windows hoặc Linux trong môi trường
của bạn, bao gồm khi chúng nằm trong mạng air-gapped (không kết nối trực
tiếp với mạng Internet); hoặc khách hàng có thể sử dụng phần mềm dưới
dạng Software-as-a-Service (SaaS) thông qua nền tảng MetaDefender Cloud.
 Hỗ trợ nhiều ngôn ngữ lập trình để tích hợp vào môi trường của tổ
chức doanh nghiệp bằng tập lệnh giao tiếp qua chuẩn phổ biến REST
(REST API).
 Tổng chi phí thấp với khả năng quản lý tập trung, mang lại hiệu suất
vượt trội.