Những vấn đề trong việc bảo vệ máy tính người dùng trong thời đại 4.0
Trong thời gian gần đây, những thông tin về các cuộc xâm phạm an ninh mạng cũng tần xuất của các cuộc tấn công công nghệ cao đang ngày càng gia tăng. Điều này đã dẫn đến việc các doanh nghiệp và tổ chức chú ý hơn đến việc bảo vệ hệ thống của mình và bỏ ra những khoản đầu tư không nhỏ dành cho các thiết bị bảo mật.
Tuy nhiên, do chưa có nhiều kinh nghiệm quản lý cũng như tư vấn đúng cách nên việc tích hợp và vận hành các giải pháp bảo mật vẫn đang gặp rất nhiều vấn đề. Cụ thể là sự không thống nhất giữa khả năng tích hợp các giải pháp với nhau đã làm cho hệ thống bị “phân mảnh” và gây ra những xung đột trong việc quản trị hệ thống và ảnh hưởng rất lớn đến end-users.
Thực tế cho thấy việc các thiết bị bảo mật không được tích hợp tốt dẫn đến toàn bộ hệ thống trở nên công kềnh, trùng lặp tính năng và tạo ra những phức tạp không cần thiết. Những rắc rối trên làm cho việc bảo vệ hệ thống trở nên khó khăn ngày cả khi hệ thống được trang bị rất nhiều thiết bị bảo mật đắt tiền.
Một biện pháp mà các doanh nghiệp hay dùng để xử lý tình trạng trên là giảm số lượng thiết bị bảo mật và chỉ sử dụng các thiết bị đến từ một vài vender quen thuộc. Cách này đem lại khả năng quản trị dễ dàng hơn này lại đem đến một nguy cơ lớn về mặt bảo mật khi hacker nắm được một thông tin về thành phần nào đó trong hệ thống không được bảo vệ rồi tấn công vào đó.
Giải pháp của McAfee cho vấn đề phân mảnh trong bảo mật hệ thống
Hiểu được việc vận hành một hệ thống bảo mật hiệu quả chỉ có thể đến từ việc tất cả các thông tin đều phải hiển thị trên một giao diện duy nhất, McAfee đã đem đến cho doanh nghiệp một cách tiếp cận thông minh, tích hợp đầy đủ các tính năng bảo vệ trên một màn hình quản trị tập trung giúp đem lại khả năng hiện thị và kiểm soát toàn bộ các thiết bị và sự kiện bảo mật vượt trội.
Bảo vệ end-user với McAfee MVISION Endpoint
Để triển khai giải pháp của McAfee, người dùng có thể bắt đầu từ việc bảo vệ người dùng với McAfee MVISION Endpoint. Đây là một cách tiếp cận hoàn toàn mới nhằm tiếp kiệm chi phí nhưng lại mang đến một khả năng bảo vệ người dùng vượt trội bởi lẽ, các cuộc tấn công của hacker của thường có điểm xuất phát từ một máy tính nào đó trong hệ thống không được bảo vệ nên với việc sử dụng McAfee MVISION Endpoint, người quản trị có thể có một cái nhìn tổng quan và kiểm soát chặt chẽ những hành vi bất thường nhằm ngăn chặn sớm các mối nguy hại có thể xảy ra.
McAfee MVISION Endpoint là một giải pháp quản lý và tự động hóa việc kiểm soát máy tính người dùng, giúp tăng cường khả năng bảo vệ bằng việc tích hợp sâu với Windows 10 để từ đó có thể chống lại các mối đe dọa tinh vi từ bên ngoài cũng như bên trong.
Để làm được điều này, MVISION Endpoint đã được tích hợp machine learning đi kèm khả năng giám sát các hành vi đánh cắp thông tin cá nhân và khôi phục hệ thống nhằm ngăn chặn các hiểm họa đã biết, các mối nguy hại thế hệ mới và zero-day.
Cũng như những thành phần khác trong giải pháp của McAfee, MVISION Endpoint được quản trị bởi McAfee ePolicy Orchestrator (McAfee ePO) cho phép quản lý và phối hợp chặt chẽ giữa nền tảng bảo mật có sẵn của Microsoft và nền tảng bảo mật của McAfee.
MVISION Endpoint có thể được triển khai và quản lý theo nhiều phương án khác nhau như trên server McAfee ePO đặt tại site của khách hàng, trên nền tảng Amazon Web Services (AWS) hoặc lựa chọn MVISION ePO SaaS dành riêng cho những khách hàng không muốn mất công sức dành cho việc đầu tư hạ tầng cũng như bảo trì hệ thống.
Những thành phần của gói McAfee MVISION Endpoint
1. MVISION ePolicy Orchestrator (On Prem/ePO on AWS)
Nền tảng quản trị tập trung McAfee ePO là 1 thành phần không thể thiếu đối với một giải pháp Endpoint Protection – ePO là nền tảng quản trị tập trung nổi tiếng của McAfee đem đến cho tổ chức khả năng quản trị, vận hành, giám sát và điều phối hoạt động toàn hệ thống:
– Quản lý các tài sản của tổ chức (thông tin và trạng thái máy tính người dùng, server…)
– Quản lý việc triển khai và tuân thủ các chính sách bảo mật
– Quản lý, triển khai các phần mềm, thành phần bảo mật, cập nhật cơ sở dữ liệu cũng như các bản nâng cấp, …
– Giám sát toàn bộ hoạt động: các sự kiện, trạng thái, thông tin mã độc, tình báo mối nguy, …
– Tổng hợp thông tin, báo cáo chi tiết về tình hình an toàn bảo mật.
– Với phiên bản McAfee ePO được triển khai trên nền tảng cloud của AWS ( Amazon Web Services), doanh nghiệp có thể giảm thiểu thời gian và công sức bảo trì cơ sở hạ tầng tại chỗ, thay vào đó là thể tập trung hoàn toàn vào công tác quản trị bảo mật hệ thống.
2. McAfee MVISION Endpoint
Endpoint Security 10 được tích hợp rất nhiều mô đun cải tiến ở trong đó, tiêu biểu như: threat prevention, web control, Integrated firewall…
Application Control:
- Ngăn chặn việc cài đặt, khởi chạy những ứng dụng không mong muốn.
- Ngăn chặn việc tác động của malware dù là nhỏ nhất tới hiệu năng của thiết bị, người dùng và cả người quản trị.
Theat Prevention:
Bảo vệ toàn diện bằng cách tìm ra, đóng bang và xử lý các mã độc một cách nhanh chóng với nhiều lớp bảo vệ:
- Ngăn chặn mã độc đã biết và chưa biết bằng dựa trên kinh nghiệm, phân tích hành vi và các kỹ thuật dò quét.
- Đơn giản trong triển khai và thiết lập chính sách bằng cơ chế bảo vệ cho desktop và server trên các nền tảng Windows, Linux và Mac.
- Tăng hiệu năng bằng việc xác định mức độ đáng tin cậy của các tiến trình kèm theo đó là đặt ra mức độ ưu tiên để xử lý các hành vi đáng nghi.
Intergrated Firewall:
Bảo vệ endpoint khỏi botnet, tấn công DDoS (distributed denial-of-service), các thực thi không đáng tin cậy, tấn công có chủ đích và các kết nối tới các website chứa nhiều rủi ro.
- Bảo vệ người dùng bằng cách thắt chặt các chính sách.
- Kiểm soát băng thông bằng cách chặn các kết nối không mong muốn theo chiều vào và kiểm soát các yêu cầu truy cập ra bên ngoài.
- Thông báo cho người dùng về mức độ tin cậy của mạng và các thực thi, mức độ rủi ro của các file hay các kết nối trên máy tính của họ.
Web Control
Đảm bảo việc trải nghiệp web của người dùng với cơ chế bảo vệ web và chặn lọc các website độc hại:
- Giảm thiểu rủi ro đến từ các kết nối web, thiết chặt hơn sự tuân thủ chính sách bằng cách cảnh báo cho người dùng trước khi họ kết nối tới một website độc hại.
- Giảm thiểu rủi ro từ việc download bằng cách phát hiện các file độc hại và ngăn chặn tiến trình download này.
3. McAfee Endpoint Security
Real Protect
- Phát hiện và phân loại những hành vi bất thường bằng machine-learning nhằm nhằm xác định những mỗi nguy hại zero-day trong thời gian thực.
- Tự động thêm và phân loại các hành vi mới nhằm xác định sớm những cuộc tấn công trong tương lai.
- Khôi phục Endpoint về trạng thái trước khi bị tấn công nhằn ngăn chặn ngay lập tức sự lây lan của mã độc và giảm gánh nặng xử lý cho quản trị viên.
Endpoint protection for targeted attacks
- Rút ngắn khoảng thời gian từ lúc phát hiện tới lúc cô lập mối nguy hại từ nhiều ngày về chỉ còn milliseconds.
- McAfee Threat Intelligence Exchange thu thấp thông tin từ các nguồn khác nhau, cho phép các thành phần của hệ thống bảo mật có thể trao đổi thông tin về các phương thức tấn công kiểu mới và tiên tiến một cách tức thời.
Intelligent, adaptive scanning
- Tối ưu hiệu năng và tài nguyên hệ thống bằng việc bỏ qua những tiến trình tin cậy và thay vào đó sẽ scan các tiến trình và ứng dụng đáng ngờ.
- Quét linh hoạt thích ứng với các hoạt động đáng ngờ mới bằng việc scan monitor, scan đối tượng cụ thể.
Advanced anti-malware protection
- Bảo vệ, phát hiện và ngăn ngừa malware một cách nhanh chóng với engine anti-malware mới có khả năng hoạt động hiệu quả trên nhiều thiết bị và các nền tảng hệ điều hành khác nhau.
Proactive web security
- Bảo vệ và lọc nội dung khi duyệt web cho các Endpoint.
Dynamic Application Containment
- Phòng chống mối nguy hại từ ransomeware, grayware và cách ly ngay lập tức các thiết bị phát hiện nhiễm ransomeware, grayware đầu tiên (Patient zero) nhằm đảm bảo an toàn cho các thiết bị còn lại.
Blocks hostile network attacks
- McAfee Endpoint được tích hợp firewall với cơ chế hoạt động bằng cách kiểm tra mức độ tín nhiệm của từng đối tượng dựa trên dữ liệu từ McAfee GTI nhằm bảo vệ các Endpoint trước botnet, DDoS và các kết nối web đáng ngờ…
- Firewal chỉ cho phép duy nhất các traffic outbound trong quá trình hệ thống khỏi động, đồng thời cũng bảo vệ các Endpoint khi người dùng mang thiết bị ra sử dụng bên ngoài hệ thống mạng của doang nghiệp.
Actionable threat forensics
- Người quản trị có thể nhanh chóng nhìn thấy các thiết bị hiện đang bị lây nhiễm, lý do và thời gian xảy ra trong bao lâu để có một cái nhìn đúng về mối nguy hại và có phương án xử lý một cách nhanh chóng.
· Centralized management (McAfee ePO platform) with multiple deployment choices
- Mcafee ePO cho phép quản trị tập trung trên một giao diện duy nhất giúp cung cấp một cái nhìn toàn diện, đơn giản hóa việc điều hành hệ thống, tăng cường hiệu suất làm việc của nhân viên IT và từ đó giảm chi phí vận hành.
Open, extensible endpoint security framework
- Kiến trúc tích hợp của McAfee cho phép Endpoint có thể trao đổi thông tin với các thành phần khác của hệ thống giúp nâng cao khả năng bảo vệ trước các mối nguy hại.
- Tiết kiệm chi phí bằng việc giảm thiểu các công đoạn không quá quan trọng và tối ưu hóa quy trình vận hành.
- Tích hợp sâu với các sản phẩm khác của McAfee và bên thứ ba nhằm đém đến khả năng bảo vệ hiệu quả nhất.
- ung tâm nghiên cứu.
4. McAfee Endpoint Security ATP (RP/DAC)
Real Protect (RP)
Real Protect ngăn chặn mã độc zero-day trước khi chúng thực thi bất kì hành động gì bằng cách phân tích động và tĩnh các giá hành vi dựa trên cơ chế machine learning của cloud.
Giúp phát hiện được nhiều mã độc “zero-day” hơn dựa trên cơ chế phân tích nhị phân tĩnh trước khi mã độc thực thi bằng cách so sánh cấu trúc và đặc tính với các file thực sự nhiễm mã độc mà đã bị phát hiện trước đó:
- Phát hiện các mã độc một cách chủ động.
- Giảm thiểu nguồn nhân lực sử dụng cho phân tích bằng cách sử dụng cơ chế machine learning giúp học nhanh hơn, thích nghi với nhiều biến thể của mã độc.
- Công nghệ lõi cũng có thể được sử dụng để phát hiện các chuyển động ngang hàng, tìm ra các lỗi hổng mới, hay các biểu hiện đáng nghi ngờ.
Real Protect Dynamic (sau khi thực thi):
Các hành vi được đánh giá dựa trên cơ chế machine learning của cloud bằng cách so sánh chúng với các hành vi thực sự độc hại dựa trên signature hay cơ chế phân tích thủ công:
- Mã độc thường lẩn chốn trong các file của hệ thống, nhưng chúng luôn ngầm thực thi các hành động độc hại giống như 1 tiến trình.
- Bằng cách phân tích các hành vi độc hại, một tiến trình sẽ được thực hiện để chống lại những hành vi độc hại đã được biết đến sử dụng thuật toán tự động thích nghi.
- Là cách hiệu quả nhất để phát hiện ra các hành vi khai thác hay các ứng dụng hợp phát chứa các hành vi độc hại – điều mà cơ chế phân tích thủ công khó có thể làm được.
Dynamic Application Containment (DAC)
DAC giảm thiểu tối đa tác động của greyware tới hệ thống bằng cách theo dõi hành vi của các ứng dụng đang tác động tới hệ thống mà không cần dùng tới công nghệ sandbox khiến mã độc không thể hoạt động và tất cả các động thái đáng nghi sẽ được ghi lại.
- Các lợi ích mà DAC mang lại cho người dùng:
- Bảo vệ người dùng bằng cách giảm thiểu, thậm chí là loại bỏ các ứng dụng có các hành vi độc hại đối với endpoint.
- Có thể thay thế thiết bị “Sandbox” trong việc phát hiện mã độc nên đơn giản trong việc triển khai và giảm giá thành đầu tư vì không cần sử dụng đến Sandbox hay các giải pháp ảo hóa.
- Người quản trị có thể tự tinh chỉnh các chính sách ngăn chặn một cách linh hoạt.
- Có thể hoạt động ngay cả khi offline.
5. Data Exchange Layer
Data Exchange Layer (DXL) cho phép kết nối, truyền tải thông tin và tối ưu hóa các hoạt động bảo mật hệ thống giữa nhiều nền tảng của các vendor khác nhau với những giải pháp mã nguồn mở và giải pháp nội bộ của doanh nghiệp.