Endpoint Security Protection là gì?

Việc bảo mật một điểm cuối không còn đơn giản như trước vì nó không thể chỉ dựa vào phần mềm chống virus. Chúng ta cũng cần nhận ra rằng các mối đe dọa mà chúng ta phải đối mặt hàng ngày, chẳng hạn như lừa đảo hoặc ransomware, đã có những thay đổi căn bản trong kỷ nguyên mới.

Câu hỏi đặt ra là: sử dụng cái gì thay vì (hoặc bổ sung) cho việc bảo vệ chống virus?

Người dùng và thiết bị đầu cuối của họ được coi là những nơi dễ bị tấn công mạng nhất. Trong khi đó, thay vì tăng cường bảo vệ tại các điểm cuối bị xâm phạm và tránh lây nhiễm ngay từ đầu. Giải pháp mới được thiết kế để khiến các doanh nghiệp thay đổi cách nhìn rằng việc lây nhiễm có thể xảy ra bất kể họ làm gì và cách thoát khỏi tình huống này là đầu tư vào một tư duy mới, cụ thể là tập trung vào việc cải thiện khả năng phát hiện và phản ứng với các cuộc tấn công.

Đúng vậy, giám sát và tự phản hồi là những công cụ có giá trị trong việc truy vết, nhưng những giải pháp này hoạt động chỉ thực sự hữu dụng trong các tập đoàn lớn với đội ngũ chuyên gia bảo mật có thời gian và kiến thức để phân tích nhật ký mối đe dọa cũng như sự lây nhiễm. Đôi khi, mặc dù có một đội ngũ chuyên gia, nhưng dù sao thì cũng đã quá muộn.

Ransomware là một ví dụ rất điển hình. Mã độc TeslaCrypt mã hóa và khóa hệ thống tệp trong vòng chưa đầy một phút. Điều này hầu như không có thời gian cho phản ứng. Vì vậy, nên tập trung vào việc ngăn chặn và chống các cuộc tấn công càng nhanh sẽ càng tốt.

Chính xác thì điểm cuối có nghĩa là gì?

Theo ngôn ngữ của an ninh mạng, điểm cuối có thể là bất kỳ thiết bị nào có khả năng kết nối với mạng. Có thể là máy tính để bàn, máy tính xách tay, điện thoại thông minh, máy tính bảng, máy in, thiết bị đầu cuối, v.v.

“Bảo mật điểm cuối” làm gì?

Nó bao gồm tất cả các biện pháp bảo vệ để ngăn ngừa và hạn chế các tác động xấu đến thiết bị đầu cuối. Ngày nay, bảo mật điểm cuối không chỉ là một phần mềm chống virus thông thường.

 

Các mối đe dọa lớn nhất đối với điểm cuối

  • Phishing: Tấn công để lừa người dùng nhấp vào các liên kết độc hại và tệp đính kèm trong email
  • Spear phishing: các cuộc tấn công lừa đảo có chủ đích dường như đến từ các nguồn mà bạn biết và tin tưởng
  • Vulnerabilities: Lỗi hoặc lỗ hổng bảo mật được phát hiện trong phần mềm có thể dẫn đến các vấn đề bảo mật và khai thác khác
  • Malvertising: Một chiến dịch tấn công độc hại cung cấp vô số phần mềm độc hại bằng cách giả vờ đang quảng cáo
  • Drive-by-downloads: các cuộc tấn công thường sẽ cài đặt phần mềm độc hại hoặc phần mềm gián điệp trên một điểm cuối

Kịch bản của các cuộc tấn công 

Mỗi cuộc tấn công có thể rất khác nhau. Để có cái nhìn rõ hơn về cách chúng có thể xảy ra, hãy xem các ví dụ:

VirLock Ransomware:

VirLock là một ransomware hoạt động như một loại virus ký sinh, lây nhiễm vào các tập tin và lây lan sang các hệ thống khác, tạo ra các phiên bản mới, riêng biệt của chính nó.

 

Giai đoạn 1. Khởi đầu

Nạn nhân nhận được một email có vẻ là từ một nguồn đáng tin cậy. Thông điệp trong đó chứa một liên kết mà nhân viên nhấp vào. Liên kết chuyển hướng đến một trang web trông quen thuộc đối với nạn nhân. Trước khi anh ta nhận ra, mã độc đã khai thác một lỗ hổng trong trình duyệt web và tải một bản sao của VirLock vào máy tính của mình. Tiếp theo khi nạn nhân đóng cửa sổ trình duyệt, VirLock đã được cài đặt.

 

Giai đoạn 2. Thâm nhập vào toàn bộ máy tính

VirLock thâm nhập tài nguyên của máy tính trên các loại tệp cụ thể như tệp thực thi, tệp tài liệu, tệp hình ảnh, tệp lưu trữ, v.v. Khi được tìm thấy, VirLock sẽ mã hóa các tệp máy chủ, khiến chúng không còn khả dụng và đó chưa phải là kết thúc. Nó cũng lây nhiễm bằng cách sử dụng các kết nối trên mạng nội bộ, lây nhiễm thêm các máy cùng mạng. Sau đó, nó sẽ khóa màn hình của người dùng, hiển thị thông báo vi phạm bản quyền và đề xuất thanh toán tiền chuộc để mở khóa thiết bị cũng như các tệp được mã hóa. Sau đó, cách duy nhất là trả tiền chuộc bằng bitcoin hoặc chấp nhận thực tế rằng dữ liệu sẽ bị mất mà không thể khôi phục.

 

Giai đoạn 3. Lây nhiễm các điểm cuối khác

Do bản chất ký sinh của VirLock, sự hiện diện của nhiều tệp bị nhiễm làm tăng khả năng lây lan của nó trong hạ tầng mạng của doanh nghiệp. Về căn bản, các nhân viên sẽ vô tình gửi các tệp bị nhiễm cho chính đồng nghiệp của mình. Điều này làm cho sự lây nhiễm nhân lên và khóa được nhiều máy hơn nữa.

 

Giai đoạn 4. Lây nhiễm trên toàn bộ mạng

Bởi vì sự lây nhiễm VirLock xảy ra trên toàn bộ thiết bị, đến một lúc nào đó nó sẽ đến tay một nhân viên có quyền truy cập vào tài nguyên của ổ đĩa mạng. Đó chính là cách VirLock muốn đạt được, rồi từ đó chúng lây nhiễm cho cả tập đoàn một cách dễ dàng. VirLock chỉ là một ví dụ về phần mềm độc hại mà tin tặc sử dụng để vượt qua hàng rào bảo mật. Các doanh nghiệp có thể sử dụng hàng loạt các phương thức để phát hiện các nỗ lực tấn công, phản ứng lại một cuộc tấn công hoặc cố gắng khôi phục dữ liệu sau khi bị lây nhiễm, nhưng cách tốt nhất để giảm thiểu thiệt hại là ngăn chặn sự lây nhiễm từ đầu, điều này cần được quan tâm trước tiên.

Bảo vệ điểm cuối

Lừa đảo là một trong những phương pháp phổ biến nhất để phát tán phần mềm độc hại, một trong những phương án phòng chống là hướng dẫn người dùng cách phát hiện lừa đảo và tìm hiểu thói quen bảo mật của họ.
Thật không may, điều này tiêu tốn rất nhiều thời gian và phát sinh chi phí mà không phải lúc nào cũng mang lại kết quả tương xứng. Bên cạnh đó, chúng ta đừng quên rằng ngay cả một nhân viên có kiến thức cũng có thể mắc sai lầm. Do đó, bảo vệ điểm cuối phải được trang bị, được thiết kế để phát hiện nỗ lực tấn công ngay trước khi các phần mềm độc hại thực thi.

Lợi ích của bảo vệ điểm cuối

  • Ngăn chặn các cuộc tấn công khi chúng bắt đầu: bằng cách cắt bỏ sự lây nhiễm trước khi nó có cơ hội lây lan mạnh, điều này sẽ làm giảm chi phí và sự phức tạp của các quy trình liên quan đến việc khôi phục dữ liệu bị mất
  • Củng cố “liên kết yếu nhất” của bạn: vì các điểm cuối là liên kết yếu nhất trong cấu trúc an ninh mạng doanh nghiệp, việc sử dụng bảo mật ở phần cuối này sẽ tăng cường đáng kể cho toàn bộ hệ thống phòng thủ
  • Đảm bảo sự an toàn của người dùng mạng: mọi người đều có khả năng lỗi khi một người dùng bị nhiễm, khi đó bảo vệ điểm cuối được thiết kế để bảo vệ phần còn lại của doanh nghiệp khỏi một thảm họa trái phép
  • Tạm dừng thiết bị: Ngay cả khi chỉ một thiết bị không thể hoạt động, nó có thể gây tốn kém cho doanh nghiệp của bạn. Bảo vệ điểm cuối mạnh mẽ tránh thời gian chết và duy trì quyền truy cập vào các máy chủ và tệp quan trọng trong hạ tầng doanh nghiệp của bạn. Bảo vệ điểm cuối là tuyến phòng thủ đầu tiên. Điều này cho phép bạn ngăn chặn các cuộc tấn công và giảm nguy cơ vi phạm hoặc lây nhiễm dữ liệu trong doanh nghiệp của mình. Huấn luyện an toàn kết hợp với mức độ bảo vệ điểm cuối cao là điều cần thiết để bảo vệ dữ liệu và toàn bộ tổ chức.

Sự phát triển của bảo mật điểm cuối

Bảo vệ điểm cuối đã trải qua một chặng đường dài từ một chương trình chống virus đơn giản đến một cấu trúc rất phức tạp. Nếu bạn ngay lập tức nghĩ về chống virus sau khi nghe thuật ngữ “bảo vệ điểm cuối“, đừng lo lắng, bạn không phải là người duy nhất. Chúng có mối quan hệ chặt chẽ với nhau, nhưng chỉ dựa trên lý thuyết rằng bảo mật của bảo mật điểm cuối bao gồm việc quét hệ thống và cài đặt các bản cập nhật trên đó.
Trước khi xem xét những phát triển mới nhất về bảo vệ điểm cuối, hãy xem công nghệ này đã phát triển như thế nào.

Sự gia tăng và sụp đổ của Bảo vệ điểm cuối dựa trên nền tảng signature

Gần đây, bảo vệ điểm cuối là cài đặt phần mềm được thiết kế để quét tệp và so sánh chúng trong cơ sở dữ liệu của chúng trên nguyên tắc xem tệp có độc hại hay không. Vậy phản ứng của kẻ tấn công là gì? Trong một thời gian đầu, điều này đã đúng với các doanh nhgieejp bảo mật khi đi trước những kẻ tấn công một bước. Đó là lý do tại sao bọn tội phạm mạng đã bắt đầu tạo ra phần mềm độc hại mới được thiết kế để lây nhiễm càng nhiều máy càng tốt trước khi chúng bị phát hiện. Khi đó các doanh nghiệp an ninh mạng bắt đầu tranh giành các mẫu nhận diện phần mềm tương tự để tạo dấu ấn (chữ ký) và thêm nó vào cơ sở dữ liệu của họ. Đổi lại, những kẻ tấn công bắt đầu tạo ra các phiên bản khác chưa có trong các cơ sở dữ liệu đó.

Kết quả là: bọn tội phạm bắt đầu phát triển các cơ chế mã hóa mới và thực hiện nhiều thay đổi nhỏ nhưng nguy hiểm với mã phần mềm độc hại. Điều này cho phép tạo ra vô số bản sao và biến thể của các chương trình, mỗi chương trình đều có một chữ ký duy nhất.
Để người dùng dễ bị tấn công bởi các biến thể phần mềm độc hại mới, các công ty bảo mật gặp thách thức lớn khi cập nhật cơ sở dữ liệu chữ ký phát triển rất nhanh. Tình huống này buộc phải có một cách tiếp cận hoàn toàn khác để phát hiện phần mềm độc hại.

Làm cách nào để bảo vệ các điểm cuối của doanh nghiệp khỏi các cuộc tấn công mới và nâng cao?

Phát hiện phần mềm độc hại chống lại sự lây nhiễm

Cần có thời gian để xác định mẫu mới, tạo chữ ký và thêm nó vào danh sách chặn. Trong giai đoạn này, các doanh nghiệp luôn gặp rủi ro. Có một cách để giảm thiểu một cuộc tấn công là thu thập dữ kiện về các mối đe dọa từ nhiều nguồn và tìm kiếm các sự kiện tấn công và bảo mật mới. Điều này được thực hiện gần như trong thời gian thực, cho phép bạn theo dõi tình hình an ninh. Tuy nhiên, vấn đề không thực sự được giải quyết, cũng như bảo vệ dựa trên chữ ký. Thật không may: để phát hiện một cuộc tấn công, phải có một cuộc tấn công thành công vào ít nhất một nạn nhân.

 

Phân tích hành vi. Phát hiện phần mềm độc hại khi cố gắng thực thi

Mặc dù chữ ký nhận dạng của một phần mềm độc hại cụ thể có thể thay đổi thường xuyên, nhưng bản chất của phần mềm độc hại thường hoạt động theo cùng một cách. Do đó, bằng cách theo dõi các chương trình độc hại trong thời gian thực, sử dụng cái gọi là phương pháp hành vi, chúng ta có thể phát hiện các biểu hiện của phần mềm độc hại và chặn chúng ngay lập tức trước khi chúng cố gắng gây hại. Thay vì theo đuổi các mẫu mềm độc hại vào danh sách đen, nó đủ đơn giản để tạo một nhóm của một hành vi, điều này sẽ cung cấp cho bạn khả năng chặn nhiều chương trình độc hại trong hiện tại và cả trong tương lai.

 

Danh sách trắng và đen

Để quản trị, bạn nên tạo danh sách các chương trình và ứng dụng mà người dùng cuối có thể sử dụng. Điều này hạn chế khả năng kích hoạt các chương trình trái phép. Hệ thống danh sách đen và danh sách trắng hoạt động tốt trong các doanh nghiệp nhỏ. Mặt khác, việc xây dựng cấu trúc danh sách này trong các tập đoàn lớn khá phức tạp và tốn nhiều thời gian.

 

Sandboxing

Cách tốt nhất để xác định rõ ràng một chương trình cụ thể có phải là phần mềm độc hại hay không là kích hoạt nó và xem nó sẽ làm gì. Tốt nhất bạn nên tránh xa những thứ mà bạn không muốn đánh mất.

Đây là những gì các  chương trình sandbox – hộp cát – đôi khi được gọi là vùng chứa an toàn. Chúng tạo ra một môi trường biệt lập trong đó các tệp không xác định có thể được kích hoạt mà không làm hỏng hệ thống chính, tức là kiểm tra chúng. Khi kiểm tra tệp, chúng tôi có thể cho bạn biết tệp sẽ hoạt động như thế nào. Vấn đề với hộp cát là phần mềm độc hại có thể sẽ không tự biểu hiện trong môi trường ảo. Bạn cần lưu ý rằng nằm trong hộp cát có thể ẩn các thuộc tính độc hại của nó. Giải pháp hộp cát không có yêu cầu quá nhiều tài nguyên hệ thống. Thay vào đó, nó yêu cầu phân tích liên tục và nhân viên sẵn sàng để chạy nó.

Đừng quên những điều cơ bản về các nguyên tắc an ninh mạng

Các nguyên tắc nhận thức cơ bản về bảo mật, cấu hình bảo mật, cũng như quản lý tài sản và lỗ hổng bảo mật là nền tảng của một chương trình an ninh mạng hiệu quả và khả thi.

 

Các tổ chức phải thường xuyên xem xét và cải tiến các biện pháp an ninh mạng tiêu chuẩn hiện có, chẳng hạn như:

  • Các chiến dịch nâng cao nhận thức về an ninh mạng và các chương trình người dùng. Các chiến thuật tấn công mạng mới như ransomware, lừa đảo và leo thang đặc quyền được phát hiện hàng năm. Tuy nhiên, bằng cách thường xuyên đào tạo và nâng cao nhận thức của người dùng về các loại thủ đoạn lừa đảo và kỹ thuật mạng xã hội mới, người dùng có thể nhận thức được các mối đe dọa mạng hiện đại và có thể tự phát hiện chúng.
  • Quản lý tài sản hiệu quả và kiểm soát phần mềm là rất quan trọng để hiểu cách thức và thời điểm tổ chức của bạn phải đối mặt với các mối đe dọa cụ thể và những dấu vết kỹ thuật số mà nó để lại. Quản lý lỗ hổng bảo mật và quản lý bản vá thích hợp giúp bạn xác minh đúng các lỗ hổng đã biết và xác định, ưu tiên và sửa các cài đặt không an toàn
  • Xác thực nhiều bước nên được giới thiệu cho tất cả người dùng. Tội phạm mạng lần nào cũng cho thấy chúng có thể truy cập dữ liệu nhạy cảm một cách thông minh và nhanh chóng. Điều này nhanh chóng dẫn đến các hình thức tấn công nghiêm trọng hơn. Với MFA (Multi-factor authentication), việc truy cập các hệ thống sẽ khó khăn hơn nhiều đối với tội phạm mạng.
  • Các quy trình về quản lý đặc quyền truy cập cũng cần thiết. Điều này hạn chế mức độ thiệt hại có thể gây ra nếu người ngoài truy cập. Cơ hội lây lan virus và / hoặc phần mềm độc hại sang các hệ thống khác cũng từ đó giảm theo
  • Thiết lập bảo vệ bằng mật khẩu cho thiết bị đầu cuối. Các giải pháp tốt nhất đảm bảo các kết quả có giá trị tích cực và các biện pháp phòng ngừa cần thiết. Điều này sẽ ngăn chặn tội phạm mạng xâm nhập vào lớp bảo vệ của các thiết bị đầu cuối nhằm xóa sạch dấu vết của chúng

 

 

Khai thác tối đa tất cả các công cụ bảo mật của bạn

Thông thường, bảo mật điểm cuối và các tính năng bảo mật khác được đặt ở chế độ “giám sát”. Điều này được thực hiện thường xuyên bởi vì các quản trị viên sợ rằng một số giải pháp có thể không tương thích với các ứng dụng doanh nghiệp đang chạy hoặc họ sợ có quá nhiều kết quả sai tiềm ẩn.

Kết quả là, nhiều cuộc tấn công xảy ra có thể dễ dàng bị chặn. Vì vậy, hãy đảm bảo rằng tất cả các công cụ bảo mật ngăn chặn đã được bật. Các chức năng cơ bản nhất như học máy, chức năng phòng ngừa được kích hoạt và cách ly ngày càng hiệu quả trong việc ngăn chặn các kỹ thuật phổ biến được các tội phạm sử dụng. Bằng cách này, các phần mềm độc hại phổ biến như TrickBot (phần mềm độc hại) và Ryuk (phần mềm tống tiền) sẽ bị chặn một cách hiệu quả bởi các sản phẩm bảo mật có sẵn. Ngoài ra, các lỗ hổng đã biết (“Các chỉ số thỏa hiệp đã biết”)  sẽ chặn các kỹ thuật chung cơ bản để kết nối với C2s và truy xuất như các giai đoạn tiếp theo của một cuộc tấn công ở cấp độ mạng.

 

Bảo vệ điểm cuối – Không chỉ tập trung vào phần mềm độc hại: tăng cường bảo mật chống lại các cuộc tấn công mạng hiện đại

Các cuộc tấn công càng tinh vi, các doanh nghiệp càng thường xuyên phải đối mặt với các vấn đề khác ngoài phần mềm độc hại. Nhóm bảo mật phải tìm kiếm các tín hiệu ban đầu để chỉ ra dấu hiệu một cuộc tấn công, chẳng hạn như thực thi mã, sự khác thường, lén lút, lệnh thực thi, và sự di chuyển trên mạng ngang hàng. Các công nghệ bảo vệ “theo chiều sâu” thông thường có thể không bắt được hoặc không phản hồi đầy đủ các dấu hiệu này.

Bằng cách giới thiệu công nghệ phân tích hành vi và ngữ cảnh trong các giải pháp bảo mật, thường được đưa ra trong thời gian thực thông qua học máy và trí tuệ nhân tạo, nó đã cho phép phát hiện và ngăn chặn nhanh chóng các cuộc tấn công tương tự. Khả năng thực hiện phân tích hành vi dựa trên ngữ cảnh là rất quan trọng khi lựa chọn các giải pháp bảo mật.

 

Làm việc với đối tác là chuyên gia trong các giải pháp an ninh mạng mà bạn cần

Đối với bất kỳ tổ chức nào có xu hướng tập trung chủ yếu vào công nghệ để giúp giải quyết các thách thức an ninh mạng phổ biến. Tuy nhiên, mỗi lần tấn công mạng lại cho thấy rằng để đạt được mức độ bảo mật cao và hiệu quả, điều rất quan trọng không chỉ là phải có phần mềm và phần cứng phù hợp mà còn phải có các chuyên gia an ninh mạng hỗ trợ. Mặt khác, rất khó để tìm được các chuyên gia tận tâm, hiệu quả và giàu kinh nghiệm. Ngoài ra, các dịch vụ như vậy khá đắt.
Do đó, các doanh nghiệp thường tìm kiếm các đối tác có các chuyên gia được chứng nhận và có các dịch vụ được bổ sung bởi quản lý công ty an ninh mạng hợp tác với một tổ chức SOC. Có một đối tác an ninh mạng là điều đáng quan tâm vì nó có thể giúp bạn tiết kiệm chi phí trong việc phát hiện và chống lại các mối đe dọa trên mạng.

 

Bảo vệ mạng

 

Ngăn chặn

  • tạo các chính sách và hạn chế quyền truy cập vào các điểm cuối (tường lửa)
  • quy định về các ứng dụng chạy trên điểm cuối (danh sách đen và danh sách trắng)
  • xác định và chặn phần mềm độc hại cố gắng tấn công trên điểm cuối
  • cập nhật toàn bộ hệ thống để ngăn chặn sự xuất hiện của các lỗ hổng trong điểm cuối
  • hướng dẫn người dùng cuối để nâng cao nhận thức về rủi ro và cách phòng tránh những thói quen nguy hiểm

 

Phát hiện

Các cách để xác định xem bạn có bị xâm phạm hay không:

  • xác định hành vi bất thường (phát hiện mối đe dọa / bất thường)
  • giám sát nhật ký Logs (SIEM)
  • xác định truy cập trái phép đáng ngờ

 

Phản hồi

Cần thực hiện những bước nào để đảm bảo rằng chúng ta đã chuẩn bị cho một cuộc tấn công:

  • nêu rõ điều gì cấu thành vi phạm chính sách bảo mật và ai sẽ được thông báo trong trường hợp vi phạm
  • tạo các bản sao lưu và kịch bản phục hồi từ các bản sao lưu này
  • mở rộng các quy trình về việc liệu và trong những trường hợp nào một mối đe dọa / tấn công mạng đang nổi lên để thông báo cho khách hàng, nhân viên, cố vấn pháp lý hoặc cơ quan thực thi pháp luật về tội phạm mạng

 

 

Tổng kết

Nghiên cứu cho thấy hầu hết các doanh nghiệp đã đầu tư vào các giải pháp bảo mật không hiệu quả. Chi phí cao cho một giải pháp bảo mật điểm cuối không có nghĩa là nó sẽ là một giải pháp hiệu quả. Ngoài ra, hầu hết các giải pháp này không có giao diện quản lý dễ dàng, gây khó khăn cho việc giám sát và ứng phó hiệu quả với các mối đe dọa. Ngoài ra, các nghiên cứu cho thấy rằng các bản vá an toàn thường không được cập nhật liên tục. Các quản trị viên cũng tin rằng khả năng xảy ra vi phạm bảo mật là khá cao. Những người được hỏi cũng lo ngại rằng họ không thể xác định đầy đủ các thiết bị đầu cuối có bị lây nhiễm hay không.

Tổng chi phí cho một vụ vi phạm bảo mật là khá lớn, bao gồm cả thiệt hại về kinh doanh, sản xuất, mất dữ liệu và lòng tin và các chi phí tố tụng khác. Cuộc khảo sát cho thấy rằng các quản trị viên bảo mật CNTT cần có được một giải pháp bảo vệ điểm cuối hiệu quả và dễ quản lý để giám sát các điểm cuối cũng như bảo vệ chúng khỏi các cuộc tấn công đe dọa nguy hiểm. Do đó, cần phân tích tình hình hiện tại thật cẩn thận với một đội an ninh mạng chuyên nghiệp và sau đó đưa ra quyết định cụ thể những gì tổ chức của bạn cần được bảo vệ.