Giải Pháp Bảo Vệ Endpoint Vượt Trội với Endpoint Detection & Response Optimum và Sandbox của Kaspersky

Giải Pháp Bảo Vệ Thiết Bị Vượt Trội với Endpoint Detection & Response Optimum và Sandbox của Kaspersky

Hiện nay, các giải pháp phát hiện và phản hồi sự cố – Endpoint Detection & Response là một xu thế tất yếu, để bắt kịp và ngăn chặn lại các mối đe dọa ngày càng nâng cao. Cùng với sự phát triển của ngành công nghệ thông tin, số lượng các vụ tấn công nhắm vào các cơ quan, doanh nghiệp ngày càng gia tăng, với các kỹ thuật tấn công đa dạng và phức tạp. Các mối đe dọa tiên tiến hiện nay rất khó bị phát hiện, khó khăn hơn để xử lý và loại bỏ. Vì vậy các doanh nghiệp cần có một chiến lược an ninh toàn diện để thích nghi. Giải pháp Endpoint Detection & Response của Kaspersky ra đời để đáp ứng nhu cầu này.

1. Mô hình giải pháp bảo vệ Endpoint nâng cao của Kaspersky

Giải pháp bảo vệ Endpoint nâng cao bao gồm các thành phần sau:

• Thành phần bảo vệ Endpoint: Endpoint Security + Endpoint Detection and Respond Optimum (EDRO)
• Thành phần Quản trị tập trung: Security Center
• Thành phần phân tích: Sandbox

Bộ giải pháp được xây dựng trên nền tảng sản phẩm bảo vệ điểm cuối của Kaspersky. Các thành phần bổ sung là Sandbox và EDRO cũng được tích hợp chặt chẽ vào hệ thống quản trị chung Kaspersky security center (KSC), tạo thành cơ chế bảo vệ đầy đủ cho hệ thống, bao gồm:

• Endpoint Security: Giải pháp bảo vệ nền tảng, cung cấp khả năng bảo vệ tức thời trước sự lây nhiễm mã độc.
• EDRO: Phòng chống các kỹ thuật tấn công nâng cao, phản ứng lại với các sự cố, cung cấp tầm nhìn và các công cụ hiệu quả cho quản trị.
• Sandbox: Mô phỏng và phân tích các mã độc chưa được biết đến, từ đó đưa ra quyết định chính xác để xử lý các mã độc chưa được biết đến.

2. Cơ chế hoạt động của Kaspersky Sandbox

Sandbox được thiết kế để chống lại các mối đe dọa phức tạp và các cuộc tấn công cấp độ APT và được tích hợp chặt chẽ với Endpoint Security. Nó được quản lý từ một Trung tâm bảo mật (Security Center), dựa trên một chính sách thống nhất từ Bảng điều khiển quản lý.

Các Agent từ Endpoint Security yêu cầu dữ liệu về một đối tượng đáng ngờ từ bộ đệm hoạt động được chia sẻ của các phán quyết từ máy chủ cài đặt Sandbox. Nếu đối tượng đã được quét, Endpoint Security sẽ nhận các phán quyết này và áp dụng các tùy chọn khắc phục như sau:

• Hủy bỏ (Remove) và cách ly (Quarantine)
• Thông báo cho người dùng (Notify user)
• Quét các khu vực quan trọng
• Tìm kiếm đối tượng được phát hiện trên các máy khác trong mạng được quản lý.

Sandbox hoạt động như thế nào?

Bộ nhớ đệm của Sandbox lưu trữ những thông tin về đối tượng đã được quét, giúp tránh khỏi việc quét các đối tượng giống nhau, ảnh hưởng hiệu suất hoạt động của Sandbox.

Việc quét tệp tin được thực hiện trong các máy ảo được trang bị các công cụ mô phỏng môi trường làm việc điển hình (hệ điều hành / ứng dụng đã cài đặt). Để phát hiện mục đích xấu của đối tượng, sử dụng công nghệ phân tích hành vi, các tiến trình, hành động của file đang phân tích đều được thu thập và phân tích. Nếu đối tượng thực hiện các hành động độc hại, Sandbox sẽ nhận diện ra đó là phần mềm độc hại.

Ngay khi quá trình mô phỏng đối tượng hoàn tất, kết quả phán quyết được gửi theo thời gian thực tới bộ đệm hoạt động chia sẻ của các phán quyết, cho phép các máy chủ (host) khác có cài đặt Endpoint Security nhanh chóng lấy dữ liệu về danh tiếng của đối tượng được quét mà không phải phân tích cùng một tập tin thêm một lần nữa. Cách tiếp cận này đảm bảo xử lý nhanh chóng các đối tượng đáng ngờ, giảm tải cho máy chủ Sandbox và cải thiện tốc độ và hiệu quả của phản ứng trước các mối đe dọa

Sandbox là một bổ sung thiết yếu cho Endpoint Security. Nó tự động chặn các mối đe dọa tiên tiến, chưa được biết tới và phức tạp mà không cần thêm tài nguyên và giải phóng các nhà phân tích bảo mật CNTT để tập trung vào các nhiệm vụ khác.

3. Cơ chế hoạt động của Kaspersky Endpoint Detection and Response Optimum – KEDRO

KEDRO có thể tích hợp với Enpoint Protection để hoạt động như một phần mềm duy nhất. Nhiệm vụ chính của của hệ thống EDR là phát hiện cuộc tấn công và ngăn chặn sự lây lan của mã động trong hệ thống, các tính năng của EDR có thể được chia thành ba nhóm như sau:

• Quan sát:
  • Giám sát các Endpoint trong hệ thống theo thời gian thực. Quản lý qua giao diện quản trị tập trung.
  • Hiển thị toàn bộ thông tin về hoạt động của Endpoint bao gồm: các cây tiến trình, lịch sử hoạt động và các mối quan hệ giữa các Endpoint trên toàn hệ thống.
  • Thu thập các dữ kiện bảo mật để phục vụ quá trình điều tra sâu và phản ứng với các sự cố mã độc.
• Phân tích:
  • Sử dụng các kết quả từ nhiều phương pháp phân tích khác nhau để thực hiện phân tích từng sự cố và đưa ra kết luận về chiến thuật, quy trình và kỹ thuật của cuộc tấn công.
  • Phân tích quá trình lây lan của mã độc
  • Phân tích các sự kiện diễn ra giữa các đối tượng đáng tin cậy và các đối tượng chắc chắn độc hại
• Phản ứng:
  • Các hành động phản ứng trước một sự cố an toàn thông tin bao gồm: Cách ly host, Cách ly file, kích hoạt tiến trình dò quét trên host và ngăn file thực thi
  • Phản ứng ngay lập tức khi phát hiện sự cố chỉ với một click.
  • Tạo quy trình phản ứng tự động dò quét trên toàn hệ thống dựa trên các chỉ dấu xâm phạm (Indicator of compromised – IoC)

4. Lợi ích của giải pháp

• Khả năng bảo vệ máy chủ, máy trạm một cách toàn diện, bao gồm cả việc chống lại các mối đe dọa mới và tiên tiến như APT, fileless, Ransomeware, lỗ hổng Zeroday…
• Hệ thống quản trị tập trung KSC thân thiện, dễ dàng vận hành, quản trị.
• Tự động hóa các tác vụ thường ngày giúp tăng hiệu quả và năng suất vận hành hệ thống
• Triển khai dễ dàng, nhanh chóng.
• Tối ưu nguồn lực quản trị hệ thống
• Cung cấp các công cụ hiệu quả để phân tích, điều tra sự cố, từ đó nâng cao khả năng bảo mật cho toàn hệ thống.

Giải pháp phát hiện và phản hồi điểm cuối Kaspersky EDR Optimum – KEDRO và giải pháp mô phỏng, phân tích các mối đe dọa nâng cao của Kaspersky Sandbox là một phiên bản nâng cấp đầy đủ, toàn diện cho giải pháp bảo vệ điểm cuối Kaspersky Endpoint Security.

Tải thông tin chi tiết về kỹ thuật của sản phẩm tại đây: https://media.kaspersky.com/en/enterprise-security/endpoint-detection-and-responce-optimum-datasheet.pdf

Xem thêm giải pháp liên quan:

• https://sonic.com.vn/san-pham/giai-phap-bao-ve-thiet-bi-dau-cuoi-kesb/

Liên hệ tư vấn và báo giá:

CÔNG TY CỔ PHẦN GIẢI PHÁP CÔNG NGHỆ SONIC

Tầng 16, Tòa nhà Licogi 13, 164 Khuất Duy Tiến, P. Nhân Chính, Q. Thanh Xuân, TP. Hà Nội

Tel: 0915.059.850

Email: Sales@sonic.com.vn