Endpoint Detection and Response (EDR)
Giải pháp Endpoint Detection and Response và mức độ quan trọng
Trong những năm gần đây các cuộc tấn công mạng ngày càng trở lên đa dạng về quy mô cũng như được thực hiện bằng rất nhiều hình thức khác nhau. Kèm theo đó là các mối đe dọa nâng cao liên tục biến đổi, thích nghi để vượt qua các hệ thống phòng thủ truyền thống chỉ dựa vào các mẫu đã biết (signature) hay một số hành vi đặc trưng cụ thể, sau đó xâm nhập vào hệ thống của tổ chức/ doanh nghiệp từ đó âm thầm thực hiện các hành vi nguy hiểm như chiếm quyền điều khiển, đánh cắp dữ liệu hay mã hóa đòi tiền chuộc… sau đó chúng tự động xóa dấu vết gây rất nhiều khó khăn cho quá trình điều tra. Do không nắm bắt được toàn bộ diễn biến của cuộc tấn công khiến tổ chức/doanh nghiệp không có phương án ngăn chặn nếu những cuộc tấn công tương tự diễn ra trong tương lai.
Trong bối cảnh các kẻ tấn công ngày càng sử dụng các hình thức tấn công tinh vi hơn đòi hỏi các tổ chức, doanh nghiệp cần trang bị cho mình các giải pháp có khả năng phát hiện và phản hồi cao hơn. Liên tục theo dõi, rà soát các mối đe dọa để cung cấp tầm nhìn và bối cảnh hóa để không bỏ lỡ những sự kiện quan trọng là một yêu cầu vô cùng quan trọng phục vụ cho việc phát hiện và phản ứng sự cố.
Để đáp ứng được yêu cầu khắt khe trong bối cảnh các hình thức tấn công ngày càng trở lên khắt khe như hiện nay, giải pháp Endpoint Detection and Response (EDR) có khả năng phát hiện ra các mối đe dọa tiên tiến, khả năng điều tra chi tiết, và phản ứng nhanh chóng. Liên tục theo dõi và phân tích chuyên sâu để sớm phát hiện ra các hành vi đáng nghi trong hệ thống. Sử dụng các phương thức xếp hạng cảnh báo và trực quan hóa dữ liệu giúp người quản trị nhanh chóng xác định được mối đe dọa và lên phương án phản ứng.
Ngoài ra giải pháp EDR có khả năng hỗ trợ tổ chức/ doanh nghiệp trong việc giảm thiểu nhân lực và công sức trong quá trình điều tra, tăng tốc độ phân tích để nhanh chóng xác định được nguyên nhân gốc và rủi ro của sự cố.
Những tính năng chính của giải pháp Endpoint Detection and Response
No | Policy/Task | Mô tả tính năng |
1 | Continuous real-time monitoring | Các thông tin sự kiện từ các thiết bi người dùng được liên tục thu thập và theo dõi trong thời gian thực. |
2 | Cloud-based analytics | Bộ máy phân tích liên tục kiểm tra các hoạt động trên thiết bị để săn lùng các hành vi đáng nghi và các mối đe dọa – từ tấn công dạng file đến tấn công dạng file-less. |
3 | MITRE ATT&CK™ mapping | Kết quả phân tích cần được ánh xạ với MITRE ATT&CK™ framwork, hỗ trợ các tiến trình thích hợp cho việc phát hiện từng phiên của mối đe dọa, các nguy cơ liên quan và ưu tiên phản ứng. |
4 | Artificial intelligence guided investigation | Hướng dẫn điều tra được kết hợp dựa trên chuyên môn, kinh nghiệm của các chuyên gia phân tích mã độc hàng đầu với trí tuệ nhân tạo (AI). Những hướng dẫn điều tra này sử dụng đồng thời các tiến trình điều tra và khám phá theo nhiều giả thuyết để có thể phát hiện nhanh và chuẩn xác. |
5 | Broad data collection and local relevancy | Bộ máy điều tra kết hợp kí tuệ nhân tạo (AI) tập hợp và xử lý các dữ liệu thu thập được để hợp thức hóa thành các cảnh báo. Các dữ liệu này được thu thập từ nhiều thiết bị, hệ thống SIEM… Giải pháp EDR so sánh các bằng chứng với các hoạt động thông thường của mỗi tổ chức/doanh nghiệp kèm theo việc đối chiếu với các kênh chia sẻ thông tin tình báo (Threat Intelligence) khác. |
6 | Flexible data display | Người quản trị có thể lựa chọn giữa nhiều hình thức theo dõi của cùng một dữ liệu, từ việc hiển thị theo hình ảnh tới việc phân loại và hiển thị theo bảng. |
7 | Search | Historical search: khả năng tìm kiếm toàn bộ luồng dữ liệu được thu thập từ các thiết bị. Người phân tích có khả năng tìm kiếm các dữ liệu này để xem các chỉ số vi phạm (IoC) và chỉ số tấn công (IoA) của các file kể cả các file này đã bị xóa. |
Real-time search: khả năng tìm kiếm chủ động cho phép người quản trị có thể truy vấn các thông tin trong thời gian thực. | ||
On-demand data collection: để hỗ trợ tốt hơn cho việc điều tra, giải pháp có khả năng tạo 1 bản snapshot của thiết bị, thu thập một cách toàn diện các tiến trình đang hoạt động, các kết nối mạng, các dịch vụ, và các trường autorun. |
THÔNG TIN VỀ HÃNG CUNG CẤP GIẢI PHÁP