I. TỔNG QUAN
Dựa theo các báo cáo phân tích của các hãng Gartner, IDG hay Frost& Sullivan thì các thiết bị đầu cuối ―Endpoint luôn là điểm yếu nhất về an ninh bảo mật, dễ bị tấn công cũng như bị tấn nhiều nhất trong hầu hết các doanh nghiệp. Do vậy việc cần phải có một giải pháp an ninh bảo mật để bảo vệ điểm yếu nhất bên trong hệ thống này.
Nếu xét về khía cạnh người dùng thì thiết bị đầu cuối sẽ bao gồm máy tính để bàn, máy tính xách tay/ultrabook và các thiết bị lưu trữ di động – đây cũng là những điểm cần được bảo vệ vì thường có rất nhiều điểm yếu cũng như là hay bị tấn công nhất.
Ngoài ra, trong một trung tâm dữ liệu thì từ máy chủ cho tới cơ sở dữ liệu, thiết bị lưu trữ đều được xem là ―thiết bị đầu cuối và cần được giám sat, bảo vệ. Đây đều là những thiết bị có chữa nhưng thông tin có giá trị liên quan đến hạ tầng mạng của doanh nghiệp nói riêng hay công việc kinh doanh của doanh nghiệp nói chung nên cần có các phương pháp để đảm bảo an toàn.
Việc ngày càng có nhiều thiết bị đầu cuối kết nối vào hệ thống, các doanh nghiệp/tổ chức bắt đầu phải tìm kiếm các phương pháp mới để bảo vệ tất cả các thiết bị này theo hướng phải bảo vệ mọi thông tin đồng thời phải có khả năng tối ưu một cách mềm dẻo, linh hoạt nhất.
II. THÔNG TIN GIẢI PHÁP
1. Giới thiệu
Giải pháp Endpoint Security của McAfee cung cấp một nền tảng bảo mật với nhiều thành phần hoạt động chặt chẽ với nhau không những giúp giảm thiểu sự phức tạp trong môi trường endpoint mà còn tăng được hiệu quả bảo mật cũng như đem đến một cái nhìn trực quan về các mối đe dọa đối với hệ thống diễn ra hàng ngày giúp người quản trị có thể dễ dàng và nhanh chóng đưa ra các phản ứng để chống lại những mối đe dọa này một cách chủ động. Đây là giải pháp an ninh tất cả trong một để bảo vệ các thiết bị đầu cuối với các tính năng như:
- Mã hóa để bảo vệ các dữ liệu quan trọng.
- Khả năng phát hiện các dạng tấn công xâm nhập dạng zero-day.
- Tăng cường khả năng bảo vệ phần cứng trước các dạng mã độc chuyên đánh cắp dữ liệu trên email, website và các thiết bị di động.
- Ngăn chặn và loại bỏ các dạng tấn công giả mạo (phising).
- Phát hiện và ngăn chặn cuộc tấn công nhiều tầng (multistage attacks).
- Được tích hợp nhiều mô đun bảo mật tạo nên lớp phòng thủ đa lớp mà vẫn giữ được sự đồng nhất.
- Có cơ chế phát hiện dựa trên đánh giá hành vi và machine learning mang lại sự bảo vệ toàn diện hơn so với kỹ thuật phát hiện dựa trên signature.
- Bảo vệ người dùng khỏi mã độc với với tính năng Dynamic Application Containment, phát hiện và ngăn chặn các mối đe dọa dựa trên hành vi của chúng, từ đó ngăn chặn việc lây lan mã độc ra toàn hệ thống trong đó ransomeware là 1 ví dụ.
- Sử dụng trung tâm dữ liệu thông mình chứa thông tin về các mối đe dọa mà các mô đun có thể kết nối tới đây để lấy thông tin giúp gia tăng tốc độ phát hiện.
- Ngoài ra, giải pháp còn có thể tích hợp với giải pháp EDR của McAfee để tăng khả năng khắc phục và thích nghi, giúp loại bỏ tận gốc các mối đe dọa ra khỏi hệ thống.
1. Application Control:
- Ngăn chặn việc cài đặt, khởi chạy những ứng dụng không mong muốn.
- Ngăn chặn việc tác động của malware dù là nhỏ nhất tới hiệu năng của thiết bị, người dùng và cả người quản trị.
2. Theat Prevention:
Bảo vệ toàn diện bằng cách tìm ra, đóng bang và xử lý các mã độc một cách nhanh chóng với nhiều lớp bảo vệ.
- Ngăn chặn mã độc đã biết và chưa biết bằng dựa trên kinh nghiệm, phân tích hành vi và các kỹ thuật dò quét.
- Đơn giản trong triển khai và thiết lập chính sách bằng cơ chế bảo vệ cho desktop và server trên các nền tảng Windows, Linux và Mac.
- Tăng hiệu năng bằng việc xác định mức độ đáng tin cậy của các tiến trình kèm theo đó là đặt ra mức độ ưu tiên để xử lý các hành vi đáng nghi.
3. Intergrated Firewall:
Bảo vệ endpoint khỏi botnet, tấn công DDoS (distributed denial-of-service), các thực thi không đáng tin cậy, tấn công có chủ đích và các kết nối tới các website chứa nhiều rủi ro.
- Bảo vệ người dùng bằng cách thắt chặt các chính sách.
- Kiểm soát băng thông bằng cách chặn các kết nối không mong muốn theo chiều vào và kiểm soát các yêu cầu truy cập ra bên ngoài.
- Thông báo cho người dùng về mức độ tin cậy của mạng và các thực thi, mức độ rủi ro của các file hay các kết nối trên máy tính của họ.
4. Web Control
Đảm bảo việc trải nghiệp web của người dùng với cơ chế bảo vệ web và chặn lọc các website độc hại:
- Giảm thiểu rủi ro đến từ các kết nối web, thiết chặt hơn sự tuân thủ chính sách bằng cách cảnh báo cho người dùng trước khi họ kết nối tới một website độc hại.
- Giảm thiểu rủi ro từ việc download bằng cách phát hiện các file độc hại và ngăn chặn tiến trình download này.
2.2 Dynamic Application Containment (DAC)
DAC giảm thiểu tối đa tác động của greyware tới hệ thống bằng cách theo dõi hành vi của các ứng dụng đang tác động tới hệ thống mà không cần dùng tới công nghệ sandbox khiến mã độc không thể hoạt động và tất cả các động thái đáng nghi sẽ được ghi lại.
- Bảo vệ người dùng bằng cách giảm thiểu, thậm chí là loại bỏ các ứng dụng có các hành vi độc hại đối với endpoint.
- Có thể thay thế thiết bị “Sandbox” trong việc phát hiện mã độc nên đơn giản trong việc triển khai và giảm giá thành đầu tư vì không cần sử dụng đến Sandbox hay các giải pháp ảo hóa.
- Người quản trị có thể tự tinh chỉnh các chính sách ngăn chặn một cách linh hoạt.
- Có thể hoạt động ngay cả khi offline.
2.3 Real Protect (RP)
Real Protect ngăn chặn mã độc zero-day trước khi chúng thực thi bất kì hành động gì bằng cách phân tích động và tĩnh các giá hành vi dựa trên cơ chế machine learning của cloud.
Giúp phát hiện được nhiều mã độc “zero-day” hơn dựa trên cơ chế phân tích nhị phân tĩnh trước khi mã độc thực thi bằng cách so sánh cấu trúc và đặc tính với các file thực sự nhiễm mã độc mà đã bị phát hiện trước đó:
- Phát hiện các mã độc một cách chủ động.
- Giảm thiểu nguồn nhân lực sử dụng cho phân tích bằng cách sử dụng cơ chế machine learning giúp học nhanh hơn, thích nghi với nhiều biến thể của mã độc.
- Công nghệ lõi cũng có thể được sử dụng để phát hiện các chuyển động ngang hàng, tìm ra các lỗi hổng mới, hay các biểu hiện đáng nghi ngờ.
Real Protect Dynamic (sau khi thực thi):
Các hành vi được đánh giá dựa trên cơ chế machine learning của cloud bằng cách so sánh chúng với các hành vi thực sự độc hại dựa trên signature hay cơ chế phân tích thủ công:
- Mã độc thường lẩn chốn trong các file của hệ thống, nhưng chúng luôn ngầm thực thi các hành động độc hại giống như 1 tiến trình.
- Bằng cách phân tích các hành vi độc hại, một tiến trình sẽ được thực hiện để chống lại những hành vi độc hại đã được biết đến sử dụng thuật toán tự động thích nghi.
- Là cách hiệu quả nhất để phát hiện ra các hành vi khai thác hay các ứng dụng hợp phát chứa các hành vi độc hại – điều mà cơ chế phân tích thủ công khó có thể làm được.
2.4 Device Control
Cung cấp khả năng nhận biết nội dung cũng như hoàn cảnh, khả năng ngăn chặn viếc sử dụng các thiết bị ngoại vi trên máy tính người dùng.
- Kiểm soát dữ liệu cũng như các thiết bị lưu trữ ngoại vi một cách toàn diện: định danh và kiểm soát việc người dung copy dữ liệu ra các thiết bị lưu trữ ngoại vi như USB, đĩa CD hay DVD, các ổ cứng di động hay những thiết bị bloetooth…
- Kiểm soát một cách chi tiết, cụ thể những thiết bị ngoại vi nào được phép hay không được phép sử dụng, người dung hay nhóm người dung nào được phép sử dụng các thiết bị đó…
- Tính năng hoạt động một cách đa dạng trên cả 2 hệ điều hành Microsoft Windows cũng như Mac OX S.
2.5 File and Removable media Encryption
Removable media encryption:
- Tự động mã hõa ảo cho các thiết bị lưu trữ di động.
- Mã hóa hoặc chặn ghi đối với các thiết bị di động kết nối tới máy người dùng.
- Cho phép mã hóa tất cả dữ liệu mà không cần phản cài đặt thêm phần mềm hay phân quyền admin trên thiết bị.
File encryption:
Giữ cho các file và folder được an toàn ở mọi nơi mà chúng được lưu bao gồm: ổ đĩa cứng, server lưu trữ file, các thiết bị di động (ổ cứng, usb…), và các lưu trữ trên cloud (dropbox, one drive…)…
- Cho phép tổ chức định danh và kiểm soát các ứng dụng được phép và không được phép sử dụng trên hệ thống hàng nghìn người dùng.
- Đem đến khả năng kiểm kê tự động cho phép dễ dàng phân loại các ứng dụng theo các tiêu chí như thông dụng, chưa xác định hay không tốt.
- Tính năng còn sử dụng cơ sở dữ liệu từ McAfee Global Threat Intelligence để nhận biết mức độ đáng tin cậy của file cũng như ứng dụng.
- Ngoài ra tính năng còn cung cấp khả năng tự động cập nhật của ứng dụng thông qua danh sách bảo mật whitelist và bảo vệ bộ nhớ một cách toàn diện hơn.
2.7 ePolicy Orchestrator
Ngoài các tính năng bảo vệ máy tính người dùng mạnh mẽ ra thì nền tảng quạn trị tập trung cũng là 1 thành phần không thể thiếu đối với một giải pháp Endpoint Protection – ePO là nền tảng quản trị tập trung nổi tiếng của McAfee đem đến cho tổ chức khả năng quản trị, vận hành, giám sát và điều phối hoạt động toàn hệ thống:
- Quản lý các tài sản của tổ chức (thông tin và trạng thái máy tính người dùng, server…)
- Quản lý việc triển khai và tuân thủ các chính sách bảo mật
- Quản lý, triển khai các phần mềm, thành phần bảo mật, cập nhật cơ sở dữ liệu cũng như các bản nâng cấp, …
- Giám sát toàn bộ hoạt động: các sự kiện, trạng thái, thông tin mã độc, tình báo mối nguy, …
- Tổng hợp thông tin, báo cáo chi tiết về tình hình an toàn bảo mật
3. Lợi ích đem lại
McAfee, leader về nhóm giải pháp EndPoint Security trên thị trường đề xuất gói Endpoint Protection giải pháp bảo mật toàn diện kết hợp giữa việc bảo vệ mạnh mẽ và quản lý hiệu quả:
- Giải pháp bảo vệ người dùng khỏi những mối đe dọa bằng cách kết hợp giữa viêc phòng thủ chắc chắn với một hệ thống hoạt động đơn giản nhưng vô cùng linh hoạt.
- Việc dò quét diễn ra gần như trong suốt đối với người dùng, giúp tăng năng suất cũng như hiệu quả làm việc của người dùng.
- Kết hợp các tính năng bảo mật mạnh mẽ với nhau giúp đánh bại các mối đe dọa một cách nhanh chóng.
- Ngoài ra giải pháp còn được trang bị các tính năng kiểm soát thiết bị ngoại vi và mã hóa file/dữ liệu giúp tổ chức phần nào giảm thiểu được nguy cơ thất thoát dữ liệu cũng như lấy nhiễm virus qua những con đường như kết nối vật lý.
- Việc quản trị dễ dàng kèm theo khả năng theo dõi dữ liệu mạnh mẽ giúp người quản trị dễ dàng hơn trong việc thiết chặt chính sách cũng như giảm nguồn nhân lực và chi phí điều hành.
