Trend Micro NDR [LT] Chapter 01 - Kiến trúc và cơ chế hoạt động của giải pháp NDR Trend Micro Vision One

H

Hoàng Doanh

Intern
Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi, việc chỉ dựa vào các giải pháp bảo vệ endpoint hoặc firewall truyền thống có thể chưa đủ để phát hiện toàn bộ hành vi bất thường trong hệ thống. Nhiều kỹ thuật tấn công hiện nay diễn ra trực tiếp trên lưu lượng mạng, chẳng hạn như Command and Control, lateral movement, khai thác dịch vụ nội bộ hoặc truyền tải dữ liệu bất thường.

Network Detection and Response (NDR) là một hướng tiếp cận tập trung vào việc giám sát, phân tích và phản hồi dựa trên lưu lượng mạng. Thay vì chỉ kiểm tra từng thiết bị riêng lẻ, NDR giúp cung cấp góc nhìn tổng thể hơn về các kết nối, hành vi và mối quan hệ giữa các tài sản trong hệ thống.

Bài viết này trình bày quá trình tìm hiểu kiến trúc và cơ chế hoạt động của giải pháp NDR trong hệ sinh thái Trend Micro Vision One, tập trung vào các thành phần cảm biến mạng, cơ chế thu thập telemetry, phân tích hành vi, tương quan dữ liệu XDR và khả năng phản ứng khi phát hiện mối đe dọa.

1) Kiến trúc Giải pháp
Ở góc nhìn tổng quan, Trend Micro NDR không hoạt động như một thành phần độc lập hoàn toàn, mà là một phần trong nền tảng Trend Vision One. Điều này cho phép dữ liệu mạng được kết hợp với dữ liệu từ endpoint, email, cloud và các nguồn telemetry khác để phục vụ phát hiện và điều tra bảo mật. Giải pháp NDR của Trend Micro, được biết đến dưới tên gọi Trend Vision One™ – XDR for Networks, là một thành phần cốt lõi trong nền tảng bảo mật hợp nhất Trend Vision One™. Kiến trúc này được thiết kế để loại bỏ các điểm mù trên bề mặt tấn công bằng cách hợp nhất khả năng hiển thị mạng với dữ liệu từ các lớp bảo mật khác như điểm cuối (endpoint), email, và đám mây.​
1779115973262.png
Các thành phần cấu trúc chính bao gồm:​
  • Nền tảng Trung tâm (Trend Vision One Platform): Đóng vai trò là trung tâm chỉ huy, nơi tập hợp và xử lý dữ liệu telemetry từ toàn bộ hệ thống. Nền tảng này tích hợp AI, máy học (ML) và các công cụ phân tích nâng cao để biến dữ liệu thô thành các sự cố có cấu trúc và có thể ưu tiên xử lý.
1779116055954.png
  • Các loại Cảm biến Mạng (Network Sensors):Giải pháp cung cấp ba phương thức triển khai linh hoạt để thu thập dữ liệu mạng phù hợp với mọi môi trường:
    • Inline NDR (Trong luồng): Sử dụng thiết bị Trend Micro™ TippingPoint™ TPS (TXE Series). Đây là hệ thống ngăn chặn xâm nhập (IPS) hiệu suất cao, thực hiện kiểm tra trực tiếp dòng lưu lượng để phản ứng ngay lập tức.
    • Out-of-band NDR (Ngoài luồng): Sử dụng Trend Micro™ Deep Discovery™ Inspector (DDI). Thiết bị này hoạt động thụ động, giám sát tất cả các cổng mạng và hơn 100 giao thức mà không làm gián đoạn vận hành mạng.
    • Cảm biến ảo độc lập (Standalone Virtual Network Sensor): Được thiết kế để bảo vệ các tài sản trên môi trường đám mây công cộng (AWS, Azure, GCP) hoặc các nền tảng ảo hóa như VMware vSphere và Nutanix AHV.
1779116073533.png
  • Hệ thống Phân tích Sandbox (Deep Discovery Analyzer/Sandbox Analysis): Một máy chủ phân tích sandbox tùy chỉnh giúp thực thi các tệp tin hoặc URL nghi ngờ trong môi trường ảo hóa an toàn. Nó sử dụng các hình ảnh ảo được tinh chỉnh để khớp chính xác với cấu hình hệ thống thực tế của tổ chức (driver, ứng dụng, ngôn ngữ), giúp phát hiện các mã độc được thiết kế để né tránh sandbox tiêu chuẩn.
  • Hệ thống Trí tuệ Mối đe dọa (Threat Intelligence): Tận dụng dữ liệu từ Trend Zero Day Initiative™ (ZDI) – chương trình bug bounty lớn nhất thế giới – giúp bảo vệ hệ thống khỏi các lỗ hổng chưa được công bố sớm hơn trung bình 96 ngày trước khi có bản vá từ nhà cung cấp.

2) Cơ chế Hoạt động của Giải pháp NDR
Cơ chế hoạt động của Trend Micro NDR tuân theo một chu trình khép kín từ thu thập đến phản ứng tự động, cụ thể như sau:​
A. Thu thập và Trích xuất Metadata Mạng Các cảm biến mạng (DDI, TippingPoint hoặc Virtual Sensor) liên tục quét và trích xuất metadata từ lưu lượng mạng di chuyển theo chiều Bắc-Nam (vào/ra mạng) và Đông-Tây (giữa các phân đoạn mạng nội bộ). Hệ thống có khả năng giám sát hơn 100 giao thức mạng khác nhau để đảm bảo không có ngóc ngách nào bị bỏ sót.​
B. Giải mã và Kiểm tra Lưu lượng Mã hóa Kẻ tấn công thường sử dụng mã hóa để che giấu hành vi. Giải pháp cung cấp khả năng giải mã SSL/TLS ngay trên thiết bị (on-box inspection) để kiểm tra các mối đe dọa ẩn nấp bên trong lưu lượng đã mã hóa mà vẫn duy trì hiệu suất mạng cao.​
C. Phát hiện dựa trên Hành vi và AI Thay vì chỉ dựa vào các dấu hiệu nhận dạng (signatures) truyền thống, NDR của Trend Micro sử dụng máy học và phân tích nâng cao để mô hình hóa hành vi mạng bình thường. Điều này cho phép hệ thống phát hiện các bất thường như:​
  • Các kết nối điều khiển (Command and Control - C&C).
  • Hành vi di chuyển ngang (Lateral movement) của kẻ tấn công bên trong mạng.
  • Các nỗ lực đăng nhập đáng ngờ hoặc truyền tải tệp tin lớn bất thường.
  • Phát hiện các thiết bị "vô hình" (unmanaged devices) như IoT, IIoT, BYOD không được cài đặt đại diện bảo mật.
D. Tương quan Dữ liệu XDR (Cross-Layer Correlation) Dữ liệu mạng sau khi thu thập được gửi về Trend Vision One để thực hiện tương quan với dữ liệu từ điểm cuối, danh tính (identity), và đám mây. Hệ thống sử dụng cơ sở dữ liệu đồ thị để kết nối các sự kiện rời rạc thành một chuỗi tấn công hoàn chỉnh, giúp đội ngũ SOC xác định được nguồn gốc ban đầu (patient zero), phạm vi ảnh hưởng và mức độ nghiêm trọng của sự cố.​
E. Phân tích Sandbox Tùy chỉnh Các nội dung nghi ngờ (tệp tin, URL) trích xuất từ lưu lượng mạng sẽ được tự động gửi đến hệ thống Sandbox để thực thi thử nghiệm. Kết quả phân tích (IOCs) sau đó được chia sẻ lại cho tất cả các lớp bảo mật khác trong hệ thống để chặn đứng các mối đe dọa tương tự trong tương lai.​
F. Phản ứng và Ngăn chặn Tự động Sau khi xác nhận mối đe dọa, giải pháp cho phép thực hiện các hành động phản ứng nhanh chóng thông qua các quy trình tự động (playbooks) hoặc thao tác trực tiếp:​
  • Chặn Inline: Tự động chặn các địa chỉ IP, tên miền (FQDN) hoặc URL độc hại ngay tại tầng mạng thông qua TippingPoint.
  • Vá lỗi ảo (Virtual Patching): Sử dụng các bộ lọc IPS để bảo vệ các hệ thống cũ hoặc chưa kịp vá lỗi trước khi mã khai thác lỗ hổng có thể tiếp cận mục tiêu.
  • Cách ly hệ thống: Phối hợp với lớp bảo mật điểm cuối để cách ly các máy tính đã bị nhiễm mã độc.
G. Khả năng Truy vết và Tái hiện Cuộc tấn công Hệ thống lưu trữ telemetry mạng trong ít nhất 6 tháng, cho phép đội ngũ bảo mật có thể "xem lại" toàn bộ quá trình tấn công thông qua sơ đồ Sankey trực quan. Người dùng có thể quan sát từng bước di chuyển của kẻ tấn công theo trình tự thời gian để hiểu rõ phương thức chúng xâm nhập và lan rộng.​
3) Hiệu suất và Khả năng Mở rộng
Kiến trúc NDR của Trend Micro hỗ trợ khả năng kiểm tra mạng với tổng dung lượng lên tới 300 Gbps. Đối với các thiết bị phần cứng cụ thể, dòng TippingPoint TXE có thể đạt hiệu suất lên tới 500 Gbps khi được ghép tầng (stacking), trong khi dòng DDI hardware (Series 9000) hỗ trợ thông lượng lên đến 40 Gbps trên mỗi thiết bị.​
4) Tài liệu tham khảo
 
Bài viết liên quan
Nghiên cứu giải pháp Sophos Endpoint bởi Thanh Phương,
Hiểu các cơ chế hoạt động của giải pháp bởi Thanh Phương,
Nghiên cứu kiến trúc giải pháp NDR Trendmicro bởi Thanh Phương,
[LT] Chapter 02 - Nghiên cứu giải pháp Sophos Endpoint bởi Hoàng Doanh,
[LT] Chapter 04 - Cơ chế phát hiện mối đe dọa bởi Nhật Thành,
[LT] Chapter 03 - Kiến trúc của Trend Micro NDR bởi Nhật Thành,
Được quan tâm
Thực hiện thiết kế mô hình bởi Thanh Phương,
Nghiên cứu giải pháp Sophos Endpoint bởi Thanh Phương,
Nghiên cứu kiến trúc giải pháp NDR Trendmicro bởi Thanh Phương,
Hiểu các cơ chế hoạt động của giải pháp bởi Thanh Phương,
[LT] Chapter 02 - Nghiên cứu giải pháp Sophos Endpoint bởi Hoàng Doanh,
Bài viết mới
Thực hiện thiết kế mô hình bởi Thanh Phương,
Nghiên cứu giải pháp Sophos Endpoint bởi Thanh Phương,
Hiểu các cơ chế hoạt động của giải pháp bởi Thanh Phương,
Nghiên cứu kiến trúc giải pháp NDR Trendmicro bởi Thanh Phương,
[LT] Chapter 02 - Nghiên cứu giải pháp Sophos Endpoint bởi Hoàng Doanh,
[LT] Chapter 04 - Cơ chế phát hiện mối đe dọa bởi Nhật Thành,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top