5 vấn đề cần xem xét trước khi trang bị Endpoint Security cho DN

[Hieulx]

​

Trong thập kỷ qua, các công nghệ để phát hiện và ngăn chặn các mối đe dọa trên mạng đã không theo kịp các công cụ và kỹ thuật ngày càng tinh vi của tội phạm mạng toàn cầu. Do đó, việc bảo vệ hiệu quả các điểm cuối (endpoint) trở nên khó khăn hơn bao giờ hết. Trong khi tiến bộ kỹ thuật đã có, một số giải pháp hiện tại vẫn còn nhiều thiếu sót:

• Các giải pháp truyền thống, dựa trên signature như các công cụ antivirus (AV) thực hiện tốt công việc phát hiện và ngăn chặn các mối đe dọa đã thấy trước đây. Tuy nhiên, chúng không thể chủ động xác định và chặn những người chưa biết hoặc chưa từng thấy trước đây.
• Các giải pháp kế thừa (Legacy) không cung cấp chi tiết về các hoạt động đe dọa, cũng không được tích hợp vào một nền tảng tổng thể nơi dữ liệu nhật ký có thể được phân tích để có được sự hiểu biết sâu sắc hơn về các mối đe dọa mới.
• Các nền tảng kế thừa cung cấp rất ít tầm nhìn vào bối cảnh bảo mật, vì vậy các nhà phân tích kỹ thuật của bạn thường bị bỏ lại trong bóng tối, với thông tin ít ỏi để hướng dẫn họ can thiệp chủ động hoặc ứng phó hiệu quả với các sự cố bảo mật.

Nói tóm lại, các giải pháp truyền thống và thậm chí còn được gọi là AV thế hệ tiếp theo không cung cấp bảo vệ tích hợp. Điều này đặt nhân viên an ninh của bạn vào vị trí cố gắng tích hợp và tương quan một bản vá của nhiều tác nhân điểm cuối cùng với thông tin liên quan của họ, có thể khiến doanh nghiệp tiếp xúc với các lỗ hổng và tấn công mới. Trong môi trường bảo mật hiện tại của chúng ta, những gì cần thiết là các giải pháp bảo vệ điểm cuối tiên tiến cho phép nhân viên an ninh kiểm tra, phát hiện và khắc phục phổ các mối đe dọa rộng lớn hơn bao giờ hết - các giải pháp toàn diện cung cấp cả khả năng bảo vệ tự động vượt trội và khả năng giám sát mối đe dọa mạnh mẽ. Đó là, các giải pháp nắm bắt những nền tảng di sản nào nắm bắt được - cũng như những gì họ bỏ lỡ - và có khả năng trả lời các "ai, những gì, khi nào, ở đâu và như thế nào" liên quan đến sự kiện bảo mật.
Rõ ràng, một cách tiếp cận mới là cần thiết để cung cấp sự bảo vệ khỏi các mối đe dọa liên tục phát triển ngày nay. Nhưng làm thế nào bạn có thể biết là một giải pháp nào đó sẽ cung cấp các khả năng cần thiết để bảo vệ tổ chức của bạn trong bối cảnh môi trường ngày càng phức tạp và thay đổi?
Buyer’s Guide này bao gồm một danh sách kiểm tra các câu hỏi thích hợp để đánh giá các đề xuất bảo mật điểm cuối và được thiết kế để giúp bạn đưa ra quyết định sáng suốt.
Capability 1: Bảo vệ chống lại các mối đe dọa đã biết và những mối đe dọa chưa được xác định
Ngày nay, để ngăn chặn các cuộc tấn công sáng tạo và liên tục, các tổ chức cần phải hiểu cách những kẻ tấn công nghĩ, cách chúng hoạt động và những gì chúng tấn công sau đó. Hầu hết các sản phẩm bảo vệ điểm cuối cũ đều dựa vào nguồn cấp dữ liệu dựa trên signature và chỉ có thể phản ứng dựa trên các đặc điểm của các cuộc tấn công trong quá khứ. Nó không thể lường trước hoặc chặn các mối đe dọa chưa biết trước đây được đưa vào thông qua tệp đính kèm email độc hại, tải xuống trang web hoặc các vectơ đe dọa khác. Cơ sở dữ liệu signature của họ phải được cập nhật liên tục, gần với thời gian thực, để theo kịp các mối đe dọa đã biết. Đây là một thách thức mang tính liên tục vì có rất nhiều mối đe dọa và chúng không ngừng phát triển. Ví dụ, Viện AV-TEST đã xác định gần một tỷ signatures threat đã biết và đăng ký hơn 390.000 signatures mới mỗi ngày.
Để theo kịp điều này, ngành công nghiệp theo thời gian đã mở rộng khả năng của các dịch vụ bảo mật điểm cuối ngoài khả năng bảo vệ AV cốt lõi của họ. Rất may, các sản phẩm AV phần lớn có hiệu quả để giải quyết các mối đe dọa đã biết, cho dù bằng phương pháp signature hoặc khả năng học máy. Nhưng để chống lại các mối đe dọa chưa biết mới nhất và phản ứng chủ động đòi hỏi một cách tiên tiến để phát hiện và chặn phần mềm độc hại mới; bao gồm học máy dựa trên và phân tích hành vi. Để duy trì bảo vệ, khả năng hiển thị điểm cuối và bảo vệ dựa trên Intelligencebided, giải pháp phải được hỗ trợ bởi các nhà phân tích toàn cầu, những người có thể cung cấp hiểu biết theo ngữ cảnh về bản chất của mối đe dọa và những kẻ tấn công đằng sau nó.
Capability 2: Nâng cao hiệu quả của nhân viên và chuyển từ phát hiện sang khắc phục nhanh chóng
Khi nói đến an ninh mạng, các doanh nghiệp phải có được nó nhưng bằng nguồn lực hạn chế. Đối mặt với những hạn chế như vậy, các tổ chức tìm kiếm các giải pháp cho phép nhân viên an ninh CNTT mở rộng khả năng của chúng. Tuy nhiên, hầu hết các phòng thủ điểm cuối có trọng tâm hẹp, khiến chúng khó phát hiện các mối đe dọa bên ngoài các tham số bảo vệ đã xác định. Họ không thể có được thông tin có liên quan, đó là: ai, cái gì, khi nào, ở đâu và làm thế nào để phát hiện và ngăn chặn các mối đe dọa trong tương lai mang những đặc điểm tương tự. Do đó, các nỗ lực khắc phục bị đình trệ và nhân viên an ninh của bạn sẽ phải cố gắng tìm hiểu điều gì đã xảy ra.
Để tăng tốc quá trình này, yêu cầu các công cụ tự động để phát hiện và ngăn chặn các mối đe dọa cộng với intelligence và khả năng hiển thị tích hợp để phân tích và phản ứng nhanh. Tự động hóa, intelligence và khả năng hiển thị cung cấp một con đường dẫn đến hiệu quả cao hơn, cho phép nhân viên của bạn giảm tải các nhiệm vụ, khắc phục các hạn chế tài nguyên và làm nhiều hơn với ít hơn.
Capability 3: Giảm rủi ro tổng thể với quy trình workflows tích hợp
Ngày nay, các cuộc tấn công mạng trên mạng là nhiều giai đoạn và đa vector, thường kết hợp các email lừa đảo, virus và các phần mềm độc hại khác. Thật không may, cơ sở hạ tầng bảo mật bao gồm các sản phẩm rời rạc không được tích hợp vào tổng thể toàn diện thường bỏ lỡ các cuộc tấn công nhiều giai đoạn vì thiếu mối tương quan giữa các vectơ tấn công. Một giải pháp rời rạc cũng khiến các nhà phân tích không thể tận dụng một quy trình làm việc tích hợp có thể giảm đáng kể thời gian cần thiết để từ phát hiện đến điều tra và phản hồi. Kết quả là khả năng rủ ro mà doanh nghiệp bạn có thể gặp phải là lớn hơn rất nhiều.
Việc tích hợp các công nghệ và thông tin bảo vệ điểm cuối vào một giải pháp tự động cho phép nhân viên an ninh của bạn kiểm tra các sự cố trong một quy trình làm việc duy nhất và kết nối. Mọi hoạt động đáng ngờ, ngay cả khi không có cảnh báo bảo mật, có thể tương quan và đánh giá trong thời gian thực để tìm ra và sau đó chặn một mối đe dọa trước khi nó gây hại.
Capability 4: Tăng khả năng hiển thị với khả năng phát hiện và phản hồi điểm cuối
Để hiểu đầy đủ bản chất của một cuộc tấn công, các nhà phân tích cần có tầm nhìn hoàn toàn về hoạt động điểm cuối, các quy trình và mốc thời gian, cũng như khả năng tương quan hoạt động đe dọa có liên quan trên mọi điểm cuối. Không thể kiểm tra các điểm cuối và thu thập thông tin chi tiết, họ không thể thay đổi chiến lược bảo vệ để giải quyết hoạt động đe dọa hiện tại hoặc chuẩn bị tốt hơn cho các sự kiện trong tương lai.
Các giải pháp AV truyền thống hoặc thế hệ tiếp theo không cung cấp khả năng hiển thị cho các điểm cuối, do đó, các nhà phân tích không thể áp dụng trí thông tin (intelligence) thời gian thực để bảo vệ chống lại các mối đe dọa chưa biết trước. Và ngay cả khi một sản phẩm AV ngăn chặn thành công mối đe dọa, nó sẽ chỉ cung cấp một vài chi tiết và không phải là loại nhà phân tích thông tin cần để xác định về các thông tin xung quanh mối đe dọa và chuẩn bị một phản ứng hiệu quả. Đó là lý do tại sao Gartner và các công ty phân tích khác hiện coi khả năng hiển thị điểm cuối là một thành phần thiết yếu của hệ thống phát hiện và phản hồi điểm cuối (endpoint detection and response) hiệu quả.
Capability 5: Tăng sự hiệu quả với giải pháp single-agent
Khi các cuộc tấn công trở nên tinh vi hơn, ngành công nghiệp đã phản ứng bằng cách xếp lớp các công nghệ mới phía trên các tính năng AV. Thêm tường lửa, phát hiện và bảo vệ xâm nhập (IDS/IPS), ngăn ngừa mất dữ liệu (DLP) và các tính năng để bảo vệ chống lại các key logger, phần mềm gián điệp. Trojans, phần mềm quảng cáo, lừa đảo, ransomware và nhiều hơn nữa đã tạo ra một bộ silo sản phẩm riêng lẻ thường được gọi là một nền tảng bảo vệ điểm cuối. Trong hầu hết các trường hợp, kết quả là độ phức tạp cao hơn mà không có sự bảo vệ lớn hơn. Nhiều tiện ích bổ sung này "nằm trên kệ" không được sử dụng, làm tăng phí bản quyền và khiến quản trị viên phải lo lắng.
Magic Quadrant for Endpoint Protection Platforms của Gartner lưu ý rằng việc bổ sung các khả năng như mã hóa, đánh giá lỗ hổng và DLP, vẫn chưa giải quyết được phát hiện và phản ứng chủ động đối với các mối đe dọa chưa biết. Nguyên nhân? Thiếu sự liên kết.
Mặc dù không có sự kết hợp công nghệ nào có thể phát hiện và ngăn chặn mọi mối đe dọa mọi lúc, một giải pháp tích hợp mỗi công cụ bảo vệ vào một tác nhân điểm cuối duy nhất gắn liền với các công nghệ phát hiện và ngăn chặn tự động, trí thông minh và khả năng hiển thị có thể giải quyết hiệu quả phạm vi đe dọa rộng. Và cho phép một phản ứng kịp thời và hiệu quả hơn nhiều.
Tổng kết
Trong những năm qua, ngành công nghiệp bảo mật đã tinh chỉnh các sản phẩm bảo vệ điểm cuối của mình với các khả năng bổ sung để theo kịp với bối cảnh an ninh không ngừng phát triển. Mặc dù các khả năng AV vẫn là một chức năng cốt lõi, khả năng có được tầm nhìn sâu vào cơ sở hạ tầng doanh nghiệp hiện được xem là rất quan trọng để thiết lập một hệ thống phát hiện, ngăn chặn và phản ứng điểm cuối hiệu quả.
Với số lượng ngày càng tăng của các cuộc tấn công liên tục, thông tin theo ngữ cảnh, học máy, phân tích hành vi và tự động hóa được coi là cần thiết để giải quyết môi trường mối đe dọa ngày nay. Intelligence cung cấp cái nhìn sâu sắc về chiến thuật của các tác nhân đe dọa. Phân tích hành vi giúp phân biệt tốt hơn các mối đe dọa thực sự với các dương tính giả và cung cấp đường cơ sở để xác định và ngăn chặn một loạt các cuộc tấn công rộng hơn. Và tự động hóa giảm tải các hoạt động phòng ngừa thông thường cho các hệ thống an ninh, cho phép các nhà phân tích xử lý nhanh chóng và hiệu quả các mối đe dọa có thể bỏ qua các biện pháp phòng vệ ban đầu. Khi được tích hợp vào một tác nhân duy nhất, các thành phần này tạo thành một giải pháp bảo vệ điểm cuối toàn diện và có thể thích ứng, cho phép bạn nhanh chóng từ phát hiện mối đe dọa từ điều tra đến phòng ngừa và ứng phó - tất cả trong thời gian thực.
Cả bảo vệ điểm cuối tiêu chuẩn lẫn sản phẩm chống vi-rút thế hệ tiếp theo đều không thể cung cấp giải pháp phát hiện và phản hồi điểm cuối toàn diện. Bạn cần một giải pháp endpoint security với:

• Bảo vệ chống lại các mối đe dọa đã biết trước đây và mới nhất và thu thập thông tin tình báo thời gian thực từ nhiều nguồn.
• Cải thiện sự hiệu quả của nhân viên và cho phép các nhà phân tích bảo mật chuyển từ phát hiện sang khắc phục nhanh hơn với nhiều công cụ phát hiện và phòng ngừa.
• Giảm rủi ro tổng thể với các quy trình công việc tích hợp cho phép bạn nhanh chóng xác định mối đe dọa trên bất kỳ điểm cuối nào và dễ dàng phản ứng với nó.
• Tăng khả năng hiển thị với khả năng phát hiện và phản hồi điểm cuối đó là rất quan trọng cho một giải pháp toàn diện.
• Tăng sự hiệu quả với một giải pháp tác nhân duy (single-agent) nhất thực hiện mọi thứ cần thiết để phát hiện và ứng phó với các mối đe dọa đã biết và chưa biết.

Về giải pháp Endpoint Security của FireEye
FireEye Endpoint Security cung cấp các khả năng phát hiện và ngăn chặn tiên tiến để giúp đối phó với các mối đe dọa có thể vượt qua hệ thống phòng thủ điểm cuối truyền thống. Với việc bổ sung khả năng chống vi-rút (AV) và phần mềm độc hại cho các mối đe dọa đã biết, học máy và phân tích hành vi cho các mối đe dọa chưa biết cùng với khả năng phát hiện và phản hồi điểm cuối (endpoint detection and response - EDR), các nhà phân tích giờ đây có thể dựa vào một tác nhân điểm cuối duy nhất để mở rộng khả năng hiển thị phạm vi và mức độ chính xác của các hoạt động tấn công liên quan đến cả các mối đe dọa đã biết và chưa biết. Với bối cảnh chi tiết về các mối đe dọa, các nhà phân tích có thể điều chỉnh hệ thống phòng thủ cho tất cả các cuộc tấn công mạng.
VietSunshine là nhà phân phối chính thức các giải pháp và sản phẩm của FireEye tại Việt Nam, xem thêm về FireEye tại đây.
Nguồn: 5 vấn đề cần xem xét trước khi trang bị Endpoint Security cho DN