Trong thời gian gần đây, những thông tin về các cuộc xâm phạm an ninh mạng cùng tần xuất của các cuộc tấn công công nghệ cao đang ngày càng gia tăng. Điều này đã dẫn đến việc các doanh nghiệp và tổ chức chú ý hơn đến việc bảo vệ hệ thống của mình và bỏ ra những khoản đầu tư không nhỏ dành cho các thiết bị bảo mật.
Tuy nhiên, do chưa có nhiều kinh nghiệm quản lý cũng như tư vấn đúng cách nên việc tích hợp và vận hành các giải pháp bảo mật vẫn đang gặp rất nhiều vấn đề. Cụ thể là sự không thống nhất giữa khả năng tích hợp các giải pháp với nhau đã làm cho hệ thống bị “phân mảnh” và gây ra những xung đột trong việc quản trị hệ thống và ảnh hưởng rất lớn đến end-users.
Thực tế cho thấy việc các thiết bị bảo mật không được tích hợp tốt dẫn đến toàn bộ hệ thống trở nên công kềnh, trùng lặp tính năng và tạo ra những phức tạp không cần thiết. Những rắc rối trên làm cho việc bảo vệ hệ thống trở nên khó khăn ngày cả khi hệ thống được trang bị rất nhiều thiết bị bảo mật đắt tiền.
Một biện pháp mà các doanh nghiệp hay dùng để xử lý tình trạng trên là giảm số lượng thiết bị bảo mật và chỉ sử dụng các thiết bị đến từ một vài vender quen thuộc. Cách này đem lại khả năng quản trị dễ dàng hơn này lại đem đến một nguy cơ lớn về mặt bảo mật khi hacker nắm được một thông tin về thành phần nào đó trong hệ thống không được bảo vệ rồi tấn công vào đó.
Giải pháp của McAfee cho vấn đề phân mảnh trong bảo mật hệ thống
Hiểu được việc vận hành một hệ thống bảo mật hiệu quả chỉ có thể đến từ việc tất cả các thông tin đều phải hiển thị trên một giao diện duy nhất, McAfee đã đem đến cho doanh nghiệp một cách tiếp cận thông minh, tích hợp đầy đủ các tính năng bảo vệ trên một màn hình quản trị tập trung giúp đem lại khả năng hiện thị và kiểm soát toàn bộ các thiết bị và sự kiện bảo mật vượt trội.
Bảo vệ end-user với McAfee MVISION Endpoint
Để triển khai giải pháp của McAfee, người dùng có thể bắt đầu từ việc bảo vệ người dùng với McAfee MVISION Endpoint. Đây là một cách tiếp cận hoàn toàn mới nhằm tiếp kiệm chi phí nhưng lại mang đến một khả năng bảo vệ người dùng vượt trội bởi lẽ, các cuộc tấn công của hacker của thường có điểm xuất phát từ một máy tính nào đó trong hệ thống không được bảo vệ nên với việc sử dụng McAfee MVISION Endpoint, người quản trị có thể có một cái nhìn tổng quan và kiểm soát chặt chẽ những hành vi bất thường nhằm ngăn chặn sớm các mối nguy hại có thể xảy ra.
McAfee MVISION Endpoint là một giải pháp quản lý và tự động hóa việc kiểm soát máy tính người dùng, giúp tăng cường khả năng bảo vệ bằng việc tích hợp sâu với Windows 10 để từ đó có thể chống lại các mối đe dọa tinh vi từ bên ngoài cũng như bên trong.
Để làm được điều này, MVISION Endpoint đã được tích hợp machine learning đi kèm khả năng giám sát các hành vi đánh cắp thông tin cá nhân và khôi phục hệ thống nhằm ngăn chặn các hiểm họa đã biết, các mối nguy hại thế hệ mới và zero-day.
Cũng như những thành phần khác trong giải pháp của McAfee, MVISION Endpoint được quản trị bởi McAfee ePolicy Orchestrator (McAfee ePO) cho phép quản lý và phối hợp chặt chẽ giữa nền tảng bảo mật có sẵn của Microsoft và nền tảng bảo mật của McAfee.
MVISION Endpoint có thể được triển khai và quản lý theo nhiều phương án khác nhau như trên server McAfee ePO đặt tại site của khách hàng, trên nền tảng Amazon Web Services (AWS) hoặc lựa chọn MVISION ePO SaaS dành riêng cho những khách hàng không muốn mất công sức dành cho việc đầu tư hạ tầng cũng như bảo trì hệ thống.
Những thành phần của gói McAfee MVISION Endpoint
1. MVISION ePolicy Orchestrator (On Prem/ePO on AWS)
Nền tảng quản trị tập trung McAfee ePO là 1 thành phần không thể thiếu đối với một giải pháp Endpoint Protection – ePO là nền tảng quản trị tập trung nổi tiếng của McAfee đem đến cho tổ chức khả năng quản trị, vận hành, giám sát và điều phối hoạt động toàn hệ thống:
– Quản lý các tài sản của tổ chức (thông tin và trạng thái máy tính người dùng, server…)
– Quản lý việc triển khai và tuân thủ các chính sách bảo mật
– Quản lý, triển khai các phần mềm, thành phần bảo mật, cập nhật cơ sở dữ liệu cũng như các bản nâng cấp, …
– Giám sát toàn bộ hoạt động: các sự kiện, trạng thái, thông tin mã độc, tình báo mối nguy, …
– Tổng hợp thông tin, báo cáo chi tiết về tình hình an toàn bảo mật.
– Với phiên bản McAfee ePO được triển khai trên nền tảng cloud của AWS ( Amazon Web Services), doanh nghiệp có thể giảm thiểu thời gian và công sức bảo trì cơ sở hạ tầng tại chỗ, thay vào đó là thể tập trung hoàn toàn vào công tác quản trị bảo mật hệ thống.
2. McAfee MVISION Endpoint
Endpoint Security 10 được tích hợp rất nhiều mô đun cải tiến ở trong đó, tiêu biểu như: threat prevention, web control, Integrated firewall…
Application Control:
- Ngăn chặn việc cài đặt, khởi chạy những ứng dụng không mong muốn.
- Ngăn chặn việc tác động của malware dù là nhỏ nhất tới hiệu năng của thiết bị, người dùng và cả người quản trị.
Theat Prevention:
Bảo vệ toàn diện bằng cách tìm ra, đóng bang và xử lý các mã độc một cách nhanh chóng với nhiều lớp bảo vệ:
- Ngăn chặn mã độc đã biết và chưa biết bằng dựa trên kinh nghiệm, phân tích hành vi và các kỹ thuật dò quét.
- Đơn giản trong triển khai và thiết lập chính sách bằng cơ chế bảo vệ cho desktop và server trên các nền tảng Windows, Linux và Mac.
- Tăng hiệu năng bằng việc xác định mức độ đáng tin cậy của các tiến trình kèm theo đó là đặt ra mức độ ưu tiên để xử lý các hành vi đáng nghi.
Intergrated Firewall:
Bảo vệ endpoint khỏi botnet, tấn công DDoS (distributed denial-of-service), các thực thi không đáng tin cậy, tấn công có chủ đích và các kết nối tới các website chứa nhiều rủi ro.
- Bảo vệ người dùng bằng cách thắt chặt các chính sách.
- Kiểm soát băng thông bằng cách chặn các kết nối không mong muốn theo chiều vào và kiểm soát các yêu cầu truy cập ra bên ngoài.
- Thông báo cho người dùng về mức độ tin cậy của mạng và các thực thi, mức độ rủi ro của các file hay các kết nối trên máy tính của họ.
Web Control
Đảm bảo việc trải nghiệp web của người dùng với cơ chế bảo vệ web và chặn lọc các website độc hại:
- Giảm thiểu rủi ro đến từ các kết nối web, thiết chặt hơn sự tuân thủ chính sách bằng cách cảnh báo cho người dùng trước khi họ kết nối tới một website độc hại.
- Giảm thiểu rủi ro từ việc download bằng cách phát hiện các file độc hại và ngăn chặn tiến trình download này.
3. McAfee Endpoint Security·
Real Protect
- Phát hiện và phân loại những hành vi bất thường bằng machine-learning nhằm nhằm xác định những mỗi nguy hại zero-day trong thời gian thực.
- Tự động thêm và phân loại các hành vi mới nhằm xác định sớm những cuộc tấn công trong tương lai.
- Khôi phục Endpoint về trạng thái trước khi bị tấn công nhằn ngăn chặn ngay lập tức sự lây lan của mã độc và giảm gánh nặng xử lý cho quản trị viên.
Endpoint protection for targeted attacks
- Rút ngắn khoảng thời gian từ lúc phát hiện tới lúc cô lập mối nguy hại từ nhiều ngày về chỉ còn milliseconds.
- McAfee Threat Intelligence Exchange thu thấp thông tin từ các nguồn khác nhau, cho phép các thành phần của hệ thống bảo mật có thể trao đổi thông tin về các phương thức tấn công kiểu mới và tiên tiến một cách tức thời.
Intelligent, adaptive scanning
- Tối ưu hiệu năng và tài nguyên hệ thống bằng việc bỏ qua những tiến trình tin cậy và thay vào đó sẽ scan các tiến trình và ứng dụng đáng ngờ.
- Quét linh hoạt thích ứng với các hoạt động đáng ngờ mới bằng việc scan monitor, scan đối tượng cụ thể.
Advanced anti-malware protection
- Bảo vệ, phát hiện và ngăn ngừa malware một cách nhanh chóng với engine anti-malware mới có khả năng hoạt động hiệu quả trên nhiều thiết bị và các nền tảng hệ điều hành khác nhau.
Proactive web security
- Bảo vệ và lọc nội dung khi duyệt web cho các Endpoint.
Dynamic Application Containment
- Phòng chống mối nguy hại từ ransomeware, grayware và cách ly ngay lập tức các thiết bị phát hiện nhiễm ransomeware, grayware đầu tiên (Patient zero) nhằm đảm bảo an toàn cho các thiết bị còn lại.
Blocks hostile network attacks
- McAfee Endpoint được tích hợp firewall với cơ chế hoạt động bằng cách kiểm tra mức độ tín nhiệm của từng đối tượng dựa trên dữ liệu từ McAfee GTI nhằm bảo vệ các Endpoint trước botnet, DDoS và các kết nối web đáng ngờ…
- Firewal chỉ cho phép duy nhất các traffic outbound trong quá trình hệ thống khỏi động, đồng thời cũng bảo vệ các Endpoint khi người dùng mang thiết bị ra sử dụng bên ngoài hệ thống mạng của doang nghiệp.
Actionable threat forensics
- Người quản trị có thể nhanh chóng nhìn thấy các thiết bị hiện đang bị lây nhiễm, lý do và thời gian xảy ra trong bao lâu để có một cái nhìn đúng về mối nguy hại và có phương án xử lý một cách nhanh chóng.
· Centralized management (McAfee ePO platform) with multiple deployment choices
- Mcafee ePO cho phép quản trị tập trung trên một giao diện duy nhất giúp cung cấp một cái nhìn toàn diện, đơn giản hóa việc điều hành hệ thống, tăng cường hiệu suất làm việc của nhân viên IT và từ đó giảm chi phí vận hành.
Open, extensible endpoint security framework
- Kiến trúc tích hợp của McAfee cho phép Endpoint có thể trao đổi thông tin với các thành phần khác của hệ thống giúp nâng cao khả năng bảo vệ trước các mối nguy hại.
- Tiết kiệm chi phí bằng việc giảm thiểu các công đoạn không quá quan trọng và tối ưu hóa quy trình vận hành.
- Tích hợp sâu với các sản phẩm khác của McAfee và bên thứ ba nhằm đém đến khả năng bảo vệ hiệu quả nhất.
- ung tâm nghiên cứu.
4. McAfee Endpoint Security ATP (RP/DAC)
Real Protect (RP)
Real Protect ngăn chặn mã độc zero-day trước khi chúng thực thi bất kì hành động gì bằng cách phân tích động và tĩnh các giá hành vi dựa trên cơ chế machine learning của cloud.
Giúp phát hiện được nhiều mã độc “zero-day” hơn dựa trên cơ chế phân tích nhị phân tĩnh trước khi mã độc thực thi bằng cách so sánh cấu trúc và đặc tính với các file thực sự nhiễm mã độc mà đã bị phát hiện trước đó:
- Phát hiện các mã độc một cách chủ động.
- Giảm thiểu nguồn nhân lực sử dụng cho phân tích bằng cách sử dụng cơ chế machine learning giúp học nhanh hơn, thích nghi với nhiều biến thể của mã độc.
- Công nghệ lõi cũng có thể được sử dụng để phát hiện các chuyển động ngang hàng, tìm ra các lỗi hổng mới, hay các biểu hiện đáng nghi ngờ.
Real Protect Dynamic (sau khi thực thi):
Các hành vi được đánh giá dựa trên cơ chế machine learning của cloud bằng cách so sánh chúng với các hành vi thực sự độc hại dựa trên signature hay cơ chế phân tích thủ công:
- Mã độc thường lẩn chốn trong các file của hệ thống, nhưng chúng luôn ngầm thực thi các hành động độc hại giống như 1 tiến trình.
- Bằng cách phân tích các hành vi độc hại, một tiến trình sẽ được thực hiện để chống lại những hành vi độc hại đã được biết đến sử dụng thuật toán tự động thích nghi.
- Là cách hiệu quả nhất để phát hiện ra các hành vi khai thác hay các ứng dụng hợp phát chứa các hành vi độc hại – điều mà cơ chế phân tích thủ công khó có thể làm được.
Dynamic Application Containment (DAC)
DAC giảm thiểu tối đa tác động của greyware tới hệ thống bằng cách theo dõi hành vi của các ứng dụng đang tác động tới hệ thống mà không cần dùng tới công nghệ sandbox khiến mã độc không thể hoạt động và tất cả các động thái đáng nghi sẽ được ghi lại.
- Các lợi ích mà DAC mang lại cho người dùng:
- Bảo vệ người dùng bằng cách giảm thiểu, thậm chí là loại bỏ các ứng dụng có các hành vi độc hại đối với endpoint.
- Có thể thay thế thiết bị “Sandbox” trong việc phát hiện mã độc nên đơn giản trong việc triển khai và giảm giá thành đầu tư vì không cần sử dụng đến Sandbox hay các giải pháp ảo hóa.
- Người quản trị có thể tự tinh chỉnh các chính sách ngăn chặn một cách linh hoạt.
- Có thể hoạt động ngay cả khi offline.
5. McAfee Threat Intelligence Exchange Server
McAfee® Threat Intelligence Exchange ( TIE ) hoạt động dựa trên việc xác định mức độ tin cậy cho phép xác định và phản hồi lại các mối nguy hại tiềm ẩn. McAfee TIE kết hợp thông tin lấy từ các giải pháp bảo mật khác nhau trong hệ thống để trao đổi, đối chiếu với với các database khác trên toàn cầu rồi ngay lập tức gửi lại kết quả chung này tới các các thiết bị nằm trong hệ sinh thái bảo mật của doanh nghiêp. Điều này cho phép các giải pháp khác nhau có thể trao đổi thông tin và đưa ra những hành động phản ứng lại trong thời gian ngắn nhất.
Data Exchange Layer (DXL) cho phép kết nối, truyền tải thông tin và tối ưu hóa các hoạt động bảo mật hệ thống giữa nhiều nền tảng của các vendor khác nhau với những giải pháp mã nguồn mở và giải pháp nội bộ của doanh nghiệp.
Trong thời đại hiện nay, việc sử dụng các thiết bị di động đã trở nên phổ biến đến mức gần như tất cả mọi người đều đang sử hữu một chiếc điện thoại, laptop, smartwatch… có kết nối internet. Điều này đặt ra những thách thức không hệ nhỏ với những người quản trị để làm sao cân bằng được giữa sự tiện lợi mà các thiết bị mobile đem lại và yếu tố an toàn trong an ninh thông tin và bảo mật hệ thống.McAfee® MVISION Mobile chính là câu trả lời cho vấn đề trên. Giải pháp này cho phép phát hiện các mối nguy hại và điểm yếu tiềm ẩn trên các thiết bị di động, mạng không dây mà các thiết bị đó kết nối cũng như ứng dụng được download và cài đặt trên hai nền tảng chính là Apple iOS và Google Android.Với MVISION Mobile, thiết bị của người dùng sẽ luôn được bảo vệ ngay cả khi có kết nối tới internet hoặc off-line. Đồng thời, machine learning của MVISION Mobile cho phép trao đổi thông tin với hàng tỷ các thiết bị bảo mật khác giúp các định các mối đe dọa và các cuộc tấn công đang hoặc sắp xảy ra, bao gồm cả những kịch bản tấn công chưa từng được ghi nhận.· Bảo vệ liên tục các thiết bị di động (Always-on defense for on-the-go devices)
Không giống như các giải pháp bảo mật di động điện toán đám mây chủ yếu dựng vào app app sandboxing và traffic tunneling ( hay còn gọi là VPN ), McAfee MVISION Mobile được cài đặt trực tiếp lên các thiết bị di động để đảm bảo khả năng bảo về liên tục cho dù thiết bị đang kết nối tới internet thông qua mạng công ty, điểm truy cập công, mạng di động và ngay cả khi ngoại tuyến.· Phân tích các cuộc tấn công nâng cao.
MVISION Mobile sử dụng các thuật toán machine learning cho phép phân tích các hành vi của thiết bị và đưa ra các thông tin về những cuộc tấn công thiết bị, tấn công vào ứng dụng và tấn công network-base.· Quản lý dễ dàng trên một giao diện duy nhất cho tất cả các thiết bị.
Là một thành phần tích hợp của giải pháp McAfee Device Security, McAfee MVISION Mobile mở rộng khả năng hiển thị và kiểm soát các thiết bị di động và cả các thiết bị OS-based bao gồm máy chủ, containers và các thiết bị IoT tích hợp.
8. McAfee Device Control
Cung cấp khả năng nhận biết nội dung cũng như hoàn cảnh, khả năng ngăn chặn viếc sử dụng các thiết bị ngoại vi trên máy tính người dùng.
- Kiểm soát dữ liệu cũng như các thiết bị lưu trữ ngoại vi một cách toàn diện: định danh và kiểm soát việc người dung copy dữ liệu ra các thiết bị lưu trữ ngoại vi như USB, đĩa CD hay DVD, các ổ cứng di động hay những thiết bị bloetooth…
- Kiểm soát một cách chi tiết, cụ thể những thiết bị ngoại vi nào được phép hay không được phép sử dụng, người dung hay nhóm người dung nào được phép sử dụng các thiết bị đó…
- Tính năng hoạt động một cách đa dạng trên cả 2 hệ điều hành Microsoft Windows cũng như Mac OX S.
9. McAfee Application Control for Desktops
• Đem đến khả năng kiểm kê tự động cho phép dễ dàng phân loại các ứng dụng theo các tiêu chí như thông dụng, chưa xác định hay không tốt.
• Tính năng còn sử dụng cơ sở dữ liệu từ McAfee Global Threat Intelligence để nhận biết mức độ đáng tin cậy của file cũng như ứng dụng.
• Ngoài ra tính năng còn cung cấp khả năng tự động cập nhật của ứng dụng thông qua danh sách bảo mật whitelist và bảo vệ bộ nhớ một cách toàn diện hơn.