Đã đến lúc trang bị Symantec Endpoint Security bảo vệ môi trường IT cho doanh nghiệp. Khả năng phòng chống các cuộc tấn công kiểu mới hiệu quả.
Tất tần tật những điều cần biết khi mua Symantec Endpoint Security 2024
Đối phó với sự thay đổi kỹ thuật tấn công IT mới, cần thiết nâng cấp giải pháp bảo vệ Endpoint trong doanh nghiệp. Trước đây chúng ta có SEP đã tốt, nay SES sẽ bảo vệ tốt hơn.
Sự phát triển của doanh nghiệp và hạ tầng IT
Trong những loạt bài trước về SES, khai niệm các thiết bị IT trong môi trường DN có nhiều thay đổi.
Không chỉ khái niệm về thiết bị – máy tính bàn chạy Windows.
Sử dụng thiết bị di động trong công việc như Laptop, Macbook, Phone & Tablet.
Sử dụng thiết bị nhân viên tự trang bị BYOD, hoặc DN trang bị cho nhân viên.
Bối cảnh các hacker nâng cấp kỹ thuật tấn công mới xuất hiện liên tục.
Vì sao DN cần trang bị giải pháp mới – Symantec Endpoint Security?
Khiến cho môi trường IT trở nên phức tạp hơn, vì các thiết bị có khả năng truy cập mọi lúc mọi nơi. Tăng thêm thách thức cho bộ phận IT không chỉ là Anti-Malware. Hay xu hướng ransomware nhắm mục tiêu vào doanh nghiệp ngày càng tăng. Do khả năng đòi hỏi tiền ransome là động lực. Điều đó làm gia tăng các hoạt động khai thác lỗ hổng iOS và Android, khi ngày càng có nhiều nhân viên sử dụng các thiết bị đó cho công việc.
Hoặc trước đây, hầu hết dùng kỹ thuật tấn công theo email, nay nâng cấp lên Kỹ thuật tấn công “Living Off The Land” hay “Dual Use”.
Chính những điều này khiến SEP không chưa đủ, mà cần SES với các gói SESE và SESC toàn diện. Giúp bảo vệ môi trường doanh nghiệp theo kịp thời đại.
Các công nghệ bảo mật cần thiết và phù hợp cho doanh nghiệp hiện nay
Những năm 2016 đến nay, hầu hết DN đều chú trọng đến công nghệ EDR, là phương án bảo vệ hiệu quả. Nhưng sẽ là chưa đủ khi không kể đến công nghệ Active Directory Defense, Adaptive Protection.v.v
Quan điểm mới khi mua Symantec Endpoint Security
Công nghệ Symantec – Adaptive Protection là gì?
Đây là công nghệ phân tích và phát hiện hành vì bất thường ngay cả với các ứng dụng được phép. Đưa ra những cảnh báo chính xác hơn và hạn chế các lổ hỏng bị khai thác thuận tiện hơn. Giải pháp này kết hợp EDR để cho những cảnh báo tối ưu hơn.
Công nghệ Symantec – Active Directory Protection là gì?
Để phòng thủ việc bị tấn công vào máy chủ Active Directory (AD). Symantec Active Directory là công nghệ giúp phát hiện kẻ tấn công ẩn nấp và đánh lừa chúng bằng thông tin sai lệch.
Xem thêm bài viết về công nghệ Symantec Active Directory Defense tại đây
Công nghệ Symantec – EDR là gì?
Đây là công nghệ tìm kiếm và xử lý các hành vi gây hại tìm ẩn xâm nhập trong mạng & hệ thống. Các bản ghi trên thiết bị sẽ được quản lý chặt để phát hiện manh mối và nguồn xâm nhập. Xử lý gọn các mối de doạ khi phát hiện. Thật vui khi biêt, EDR khi mua SES sẽ triển khai đơn giản hơn nhiều so với trước đây EDR + SEP.
Xem thêm bài viết về công nghệ Symantec EDR tại đây
Công nghệ Symantec – Location Awareness là gì?
Đây là công nghệ giúp bảo vệ endpoint giúp an toàn truy cập internet bất kỳ ở đâu. Quản lý linh hoạt thiết bị truy cập bên ngoài mạng khi truy cập vào nguồn dữ liệu trong DN.
Xem thêm bài viết về ccôngngheej Symantec Location Awareness tại đây
Quan điểm trước đây khi mua SEP thường chỉ quan tâm Anti-Malware. Cần phải bổ sung thêm các công nghệ mới có trên SES. Mua Symantec Endpoint Security bao gồm mua SESE vs SESC chống lại các dạng tấn công tìm ẩn để không bị Ramsome ảnh hưởng.
Đây là bài viết tổng hợp về các công nghệ của SES giúp DN dễ dàng đưa ra quyết định mua mới hoặc gia hạn hoặc nâng cấp SEP hiện có.
So sánh mua Symantec Endpoint Security vs Protection
Nhìn vào bảng so sánh dưới đây để có lựa chọn trang bị SES vs SEP phù hợp cho doanh nghiệp. Với các gói SES, giúp mở rộng thêm khả năng bảo vệ như Attack Surface mở rộng đến Breach Prevention, bên cạnh EDR.
Chọn mua Symantec Endpoint Security theo tính năng
Bài viết được phát hành vào năm 2024, được viết bởi VinSEP.com. Chúng tôi chuyên cung cấp bản quyền phần mềm Microsoft, Autodesk, Adobe, Foxit, Symantec chính hãng.
Symantec Endpoint Security là gì? Endpoint là gì? Security hay Cyber Security là gì? Tổng hợp những khái niệm cơ bản theo quan điểm Symantec/Broadcom.
Tất tần tật các khái niệm Symantec Cyber Security Fundamental
Symantec Endpoint Security (SES) được phát triển dựa trên Symantec Endpoint Protection. Mang đến khả năng bảo vệ toàn diện môi trường IT cho doanh nghiệp trong thời đại mới.
Symantec Endpoint Security là gì?
Tìm hiểu các khái niệm của Symantec về Endpoint và khái niệm về các cuộc tấn công bảo mật vào doanh nghiệp.
Khái niệm mới về Endpoint
Endpoint không hẳn là điểm cuối, cần được đặt trong mối quan hệ giữa máy chủ và máy trạm. Đấy là mô hình Server-Client, cho đến khi client được quản lý tập trung bởi server thì gọi là Endpoint. Endpoint là một danh từ hay một cách gọi khác thay thế và cũng để hiểu rằng có sự quản lý từ máy chủ. Như vậy, endpoint có thể xem là những nút được kết nối hệ thống với mạng, nhằm trao đổi thông tin với các endpoint khác, hệ thống khác.
Nhận diện Endpoint thường là máy tính để bàn trước đây. Ngày nay còn là máy tính xách tay, máy tính bảng, điện thoại di động, máy chủ và thậm chí cả thiết bị ioT.
Từ sau khi đại dịch Covid-19, theo SES khái niệm endpoint thay đổi theo thuộc tính sở hữu. Xuất hiện khái niệm thiết bị của riêng nhân viên (BYOD hay UYOD) bên cạnh thiết bị của Doanh Nghiệp (Corporate Owned).
Thế nào là tấn công bảo mật?
Để hình dung được một cuộc tấn công bảo mật hiện nay, có thể dự theo MITRE ATT&CK framework. Giúp chia nhỏ các giai đoạn cụ thể của kẻ xấu kế hoạch tấn công vào môi trường doanh nghiệp.
Giai đoạn đầu tiên là trinh sát và đó là giai đoạn Pre-Attack. Kẻ tấn công đang lấy thông tin về mạng, về endpoint mà chúng có mặt trên đó. Tìm vị trí tốt nhất để về sau tiến hành cuộc tấn công.
Giai đoạn Initial Accesss tìm các cách có thể truy cập tệp từ vị trí ban đầu. Hoặc sẽ tiếp tục dùng thủ thuật lừa đảo trực tuyến để lấy thêm thông tin khác.
Giai đoạn Infection, thực thi liên tục các nhiệm vụ đánh cắp, lấy căp mã để thực thi trên hệ thống. Tìm cách để có thể ở lại mạng và không bị đuổi ra ngoài và tìm cách để có được những đặc quyền lớn hơn để có thể truy cập vào nhiều thứ hơn.
Tiếp theo, giai đoạn Infestation, chúng sẽ né tránh lớp phòng thủ để không bị nhìn thấy cũng như không bị phát hiện và trong khi chờ đợi. Sau khi có Discovery thêm được thông tin, chúng sẽ tiến hành hoạt động lây lan lateral .
Cuối cùng giai đoạn Exfiltration. Chúng muốn thu thập dữ liệu mà từ thiết bị này có thể giao tiếp với các máy mục tiêu và có thể trao đổi thông tin. Từ đó, chúng có thể lấy dữ liệu đó hoặc có thể làm gián đoạn và xâm phạm dữ liệu đó .
Để hiểu thế nào là Endpoint Security, cần xem xét các giải pháp bảo vệ trong phần sau.
Công thức mới của Symantec Endpoint Protection (SEP)
Một giải pháp dùng để triển khai trên các thiết bị endpoint/đầu cuối nhằm:
Ngăn chặn các cuộc tấn công của phần mềm độc hại.
Phát hiện hoạt động độc hại và cung cấp khả năng điều tra.
Đưa ra hướng khắc phục cần thiết để ứng phó với các sự cố và chủ động cảnh báo bảo mật.
Endpoint Security chính là Protection bao gồm:
Protection = Prevention + Detection & Response
Prevention: ngăn chặn các mối đe dọa và các cuộc tấn công gây ra sự thỏa hiệp hơn nữa.
Detection: tìm thông tin về các mối đe dọa và các cuộc tấn công sau khi chúng xảy ra.
Response:sử dụng thông tin để giải quyết tình huống và tăng cường bảo mật.
Detection & Resepnse chính là giải pháp EDR, cần thiết trong công tác bảo mật ngày nay. Được mở rộng lên tầm cao mới XDR trong phần tiếp theo.
XDR là gì?
Là cụm từ viết tắt của Extended Detection and Response – Phát hiện và phản hồi mở rộng từ EDR.
Thêm khả năng hiển thị ngoài EDR, giúp bao quát các điểm cuối managed/unmanaged Endpoint.
Thể hiện các tương quan dữ liệu bảo mật giữa các control point trên toàn mạng. Control point có thể là e-mail thông tin mạng,…
Cung cấp khả năng hiển quan sát sự cố từ một bảng/trang điều khiển duy nhất. Giúp dễ quản lý hơn và dễ giải quyết các vấn đề phát sinh hơn. Cũng như bằng cách thực hiện mọi việc trong một thứ tự ưu tiên.
Loại bỏ yếu tố gây nhiễu để tập trung vào các mối đe dọa ảnh hưởng nghiêm trọng đến doanh nghiệp.
Như vậy, Symantec Endpoint Security là một giải pháp không chỉ ngăn chặn mà còn dò tìm và đưa ra hướng xử lý. Ngăn các tấn công vào các thiết bị endpoint kết nối và sử dụng dữ liệu của Doanh Nghiệp. Trước khi khép lại, xin gửi đến quý doanh nghiệp một góc nhìn toàn cảnh về việc đầu tư cho SES.
Đầu tư càng sớm, tổn thất càng thấp
Bài viết được phát hành vào năm 2023, được viết bởi VinSEP.com. Chúng tôi chuyên cung cấp bản quyền phần mềm Microsoft, Autodesk, Adobe, Foxit, Symantec chính hãng.
Khi nào cần tính năng Symantec Location Awareness? Tính năng nhận biết vị trí hoạt động trong tình huống nào? Sẽ được tóm tắt để doanh nghiệp có thể tìm hiểu và áp dụng khi cần thiết.
Tính năng nhận biết vị trí của Symantec là gì?
Symantec Location Awareness là gì?
Đây là một tính năng cho phép tạo Policy Target Rules được trang bị sẵn trên SES. Thuộc nhóm tính năng quản lý chính sách thiết bị và nhóm thiết bị. Sử dụng target rules để tạo ra các chính sách cần thiết trong đó có Symantec Location Awareness (SLA). Các Rule được thiết lập theo dạng điều kiện IF bao gồm AND và OR. Với chính sách SLA nhắm đến vị trí kết nối của thiết bị/endpoint khi truy cập về tài nguyên doanh nghiệp. Các điểm Wifi gia đình, Cafe, sân bay, hay điểm truy cập bên ngoài khi công tác. Giúp nhân viên tránh bị đánh cắp thông tin tài khoản khi truy cập nhầm hoặc wifi không an toàn.
Symantec Policy target rules là gì?
Đây là tính năng cho phép tạo những chính sách cho nhóm thiết bị dựa trên một tập hợp nhiều điều kiện. Theo mặc định luôn luôn có 2 target rule được tạo sẵn bao gồm Quarantine và Default. Quarantine là tự động cách ly, không cho thực thi, còn Default là rule không chứa điều kiện nào.
Location Awareness bảo vệ endpoint thế nào?
Bên cạnh Adaptive Protection và Active Directory Security, Location Awareness là một công cụ mạnh mẽ giúp bảo vệ endpoint.
Thay vì phải thay đổi thiết lập Firewall, thì tạo ra các Location để quản lý thiết bị đang online từ văn phòng đến ở nhà. Trên các “kết nối không dây/Wireless” hoặc khi bật “cả Wi-Fi và Ethernet” lúc work from home.
Thiết lập location với các thuộc tính điều kiện, cho đến khi các điều kiện được đáp ứng. Giúp cho thiết bị truy cập ở nơi less secure to more secure.
Khả năng thiết tập các target rule, giúp định nghĩa các trường hợp theo người dùng, nơi họ nhập thông tin đăng nhập mạng. Kết hợp host integrity, cho khả năng linh hoạt để thay đổi cấu hình chính sách cho bất kỳ thiết bị nào trong môi trường.
Tính năng nhận biết vị trí của Symantec
Cách tạo policy target rule
Để chuẩn bị cho thiết lập chính sách Symantec Location Awareness hay nhận biết vị trí của Symantec. Cần tìm qua cách tạo policy như sau:
Từ thanh menu Policies (bên trái), chọn thẻ Policy Target Rules , chọn Add.
Vào trang Add Policy Target Rule điền tên cho Rule. Có thể thêm mô tả.
Xuống Policy Targeting Conditions, chọn Add.
Lựa chọn một trong các Condition Type, như là Users hoặc Computer IP address.
Nhập giá trị cần thiết.
Nhấp vào Create.
Vậy là hoàn thành tạo một Rule dạng target policies. Khi rule được kích hoạt/triggered, các chính sách policy sẽ thực thi đến user hoặc group thiết bị. Xem thêm hướng dẫn tạo Target Rule
Symantec Endpoint Security Enterprise: How to set up policies in your console
Với Target Policy Rule, dễ dàng giúp tạo các chính sách quản lý thiết bị theo địa chỉ IP máy tính đang kết nối. Từ đó dễ dàng thực thi tính năng Symantec Location Awareness nhận biết vị trí các thiết bị. (SLA là tính năng có từ phiên bản SEP, và hiện được thay đổi khi ở SES)
Bật thông báo thay đổi Location
Cài đặt cấu hình thông báo xuất hiện trên thiết bị người dùng khi thay đổi vị trí sẽ kích hoạt một quy tắc khác.
Trong ô Notification Message, nhập nội dung cho tin nhắn xuất hiện trên thiết bị của người dùng. Đôi khi nó màu xám nên nghĩ là không thể đổi. Có thể nhập số lượng tần suất Symantec Location Awareness kiểm tra việc khớp quy tắc.
Bài viết được phát hành vào năm 2023, được viết bởi VinSEP.com. Chúng tôi chuyên cung cấp bản quyền phần mềm Microsoft, Autodesk, Adobe, Foxit, Symantec chính hãng.
Một số chủ đề liên quan Symantec Endpoint Security – Symantec Location Awareness:
Vì sao chỉ một máy bị tấn công mà hack được cả doanh nghiệp? Với Symantec Endpoint Security bảo vệ Active Directory sẽ ngăn điều đó xảy ra thế nào?
Bài viết được phát hành vào năm 2023, được viết bởi VinSEP.com. Chúng tôi chuyên cung cấp bản quyền phần mềm Microsoft, Autodesk, Adobe, Foxit, Symantec chính hãng.
Symantec Endpoint Security chặn đứng các tấn công vào Active Directory
Đây là một dạng tấn công chiếm quyền 1 thiết bị để tiếp tục tấn công lan các thiết bị còn lại.
Symantec Active Directory Security là gì?
Đây là tính năng nằm trong giai đoạn thứ 3 – Breach Prevention. Với công dụng bảo vệ Active Directory (AD) không bị khai thác sau khi bị xâm nhập. Không cho lấy thông tin xác thực từ CSDL của Active Directory để không tiếp tục tấn công xâm lấn.
Vì sao hacker tấn công AD?
Do AD thường được dùng để quản lý, tổ chức và điều phối các tài nguyên IT. Quản lý Tài Khoản và Quyền Truy Cập & Đăng Nhập, Quản Lý Thiết Bị & Chính Sách Bảo Mật. Hay quản lý Tích hợp ứng dụng và hơn hết là quản lý tập trung người dùng & máy tính.
Symantec Endpoint Active Directory – Threat Defense for AD
Đây là một tính năng cần thiết và quan trọng đối với hệ thống mạng hiện nay. Symantec Active Directory còn được biết đến như là Symantec Endpoint Threat Defense for AD (TDAD). Mục đích làm gián đoạn hoạt động giám sát, để phát hiện kẻ đánh cắp thông tin xác thực. Nhờ đó, làm giảm thiểu sự xâm nhập từ người dùng hoặc thiết bị bị tấn công trước đó.
Có cần thiết bảo vệ Active Directory khỏi bị tấn công?
Doanh nghiệp thường tập trung bảo vệ ứng dung, máy chủ, mobile và network chưa quan tâm Active Directory. AD đã trở thành mục tiêu chính trong vài năm gần đây. Thực tế, chỉ mất dưới 7 phút để chiếm quyền kiểm soát một máy chủ quản lý domain controller. Chỉ với một vài truy vấn query đến AD trên breach endpoint, attacker sẽ có được thông tin dữ liệu doanh nghiệp dễ dàng.
Khi các endpoint kết nối domain có nguy cơ mất an toàn cao hơn so với các thiết bị không tham gia. Vì vậy, điều quan trọng là phải bảo vệ AD từ các endpoint để ngăn chặn kẻ tấn sớm.
Khả năng bảo vệ của Symantec Endpoint TDAD
Trước hết, TDAD Symantec bảo vệ Active Directory là là giải pháp ngăn chặn và điều tra phát hiện xâm nhập dựa trên trí tuệ nhân tạo. Bao gồm 3 chức năng chính:
Protect Active Direcory – Bảo vệ AD:
Được thiết kế đặc biệt để bảo vệ tài nguyên trong network là Active Directory. Giải pháp tự động tạo ra nhiều fake Active Directory assets để xáo trộn dữ liệu thật.
Stop Lateral Movement.
Làm gián đoạn hoạt động trinh sát và ngăn chặn các cuộc tấn công ở endpoint. .
Ngăn kẻ tấn công sử dụng và đánh cấp credential của AD và hơn nữa.
Reduce Attack Surface
Chạy các mô phỏng tấn công tự động đang diễn ra thực tế để tìm backdoor và hook vào AD. Đây là những mũi tấn công có thể chiếm dụng AD dễ dàng.
Lợi ích trang bị Active Directory
Dành cho Doanh nghiệp trang bị Symantec bảo vệ Active Directory máy trạm endpoint, máy chủ:
Ngăn mã độc ngay từ bước đầu.
Ngăn chặn sự lây lan của cuộc tấn công.
Giảm thời gian trung bình để ngăn chặn.
Tạo cảnh báo có độ trung thực cao.
Diễn giải cơ chế hoạt động của TDAD
Cơ chế hoạt động TDAD. Được tích hợp vào Symantec agent, không running process. Vì vậy, không có cách nào để biết có sự xáo trộn đang xảy ra. Khi attacker truy vấn Active Directory thì sẽ bị chặn ngay từ máy endpoint phát hiện đầu tiên.
Thực tế, user hoàn toàn có thể sử dụng command line để kiểm tra các endpoint trong network. Giải pháp EDR cũng có thể phát hiện và cảnh báo điều này. Nhưng đây không phải là một hành vi bất thường. Bằng cách xáo trộn của TDAD sẽ khác, khi ai đó nhấp vào kết quả xáo trộn để khám phá. TDAD sẽ chắc chắn rằng ai đó đang làm điều không nên làm. Người biết sẽ không chọn những điều không đúng để truy cập hoặc truy vấn.
Thêm nữa, TDAD còn thực hiện đánh giá lỗ hổng trong Active Directory. Cho biết đang có cấu hình đúng/sai để giảm bớt bị tấn công hơn.
Tính năng Symantec bảo vệ Active Directory hiện chỉ có khi trang bị Symantec Endpoint Security Complete. Đây là gói giải pháp cho endpoint doanh nghiệp trọn vẹn nhất của Broadcom.
Một số chủ đề liên quan Symantec Endpoint Security:
Symantec (SES) Adaptive Protection phát hiện hành vi gây hại. Phân tích mã độc tiềm ẩn trong ứng dụng phổ biến. Đề xuất hướng xử lý an toàn vẫn đảo bảo năng suất làm việc.
Bài viết được phát hành vào năm 2023, được viết bởi VinSEP.com. Chúng tôi chuyên cung cấp bản quyền phần mềm Microsoft, Autodesk, Adobe, Foxit, Symantec chính hãng.
Tất tần tật khả năng Symantec Endpoint Security Adaptive Protection
Tính năng Adaptive Protection của Symantec Endpoint Security chống lại các dạng kỹ thuật tấn công thế hệ mới. Giúp phân tích hành vi phân biệt hành vi gây hại cho doanh nghiệp. Đề xuất cách xử lý tốt nhất theo tiêu chuẩn bảo mật.
Các thuật ngữ bảo mật liên quan tính năng Symantec Adaptive Protection
Bao gồm các khái niệm về Symantec Endpoint Security Adaptive Protection và các khái niệm bảo mật khác. “Living off the land”,”Dual use Tool”, “Attack Surface” hay MITRE ATT&CK.
Symantec Adaptive Protection là gì?
Đây là tính năng giúp Doanh nghiệp phòng chống các dạng tấn công chủ đích targeted attack.
Trước hết, Adaptive Protection sử dụng engine kết hợp dữ liệu bảo mật và chuyên gia của Symantec. Nhằm phân tích hành vi phổ biến, các công cụ, kỹ thuật thông thường trong Doanh .
Tiếp theo, giúp thiết lập các quy tắccho từng môi trường làm việc cụ thể. Ra quyết định chặn hay cho phép thực thi dựa trên phân loại hoặc hành vi cụ thể. Từ đó có thể xác định công cụ và hành vi của kẻ tấn công.
Xác định rõ các hành vi bất thường trong môi trường làm việc và tự động phát hiện các hành vi đe dọa.
Symantec Endpoint Security Adaptive Protection giúp tự động hóa và điều chỉnh các biện pháp bảo mật dựa trên kinh nghiệm bảo mật. Cung cấp cách ngăn chặn các cuộc tấn công và bảo vệ các endpoint một cách hiệu quả.
Các khái niệm bảo mật khác
Living off the land (LOTL). Đây là một chiến lược tấn công sử dụng các công cụ có sẵn của thiết bị để xâm nhập. Kỹ thuật này sẽ không cần phải triển khai các phần mềm độc hại nào từ bên ngoài. Các công cụ có sẵn là các phần mềm được phép cài trên thiết bị trong doanh nghiệp. Rất khó để phát hiện chúng, chỉ có thể nhận thấy các hành vi bất thường của chúng.
Dual use Tool. Thường là các phần mềm dùng cho mục đích tốt các việc hệ thống như PowerShell, Command Line hay WMI. Hay những phần mềm văn phòng thông dụng bị lỗ hổng bảo mật. Khi đó, kẻ tấn công sử dụng hoặc tận dụng thực thi hành vi gây hại.
Attack Surface. Đó là những điểm yếu mà kẻ tấn công có thể tận dụng để xâm nhập hoặc tấn công. Các phần mềm thường có lỗ hổng bảo mật trong mã nguồn, cổng giao tiếp, hoặc lỗ hổng quản trị. Hoặc các lỗ hổng trong phân quyền, mật khẩu yếu cũng được xem là Attack Surface.
MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge). Đây là một bảng dạng khung mô tả và phân loại các kỹ thuật và thủ thuật tấn công. Giúp xác định kẻ tấn công sử dụng phương thức thế nào trong quá trình tấn công mạng. Dựa theo mục tiêu “tactics” và kỹ thuật “techniques”, để xác định cách thức tấn công. Kết hợp với kết quả thu thập của Symantec Adaptive Protection giúp dễ dàng đưa ra các quyết định chính xác.
Vì sao cần trang bị Adaptive Protection?
Phân tích dựa trên mối nguy hiện thời đại và các lợi ích thiết thực bảo vệ cho Doanh Nghiệp.
Mối nguy hại hiện đại
Kỹ thuật tấn công “Living Off The Land” trở nên phổ biến này từ năm 2019, và có xu hướng tăng mạnh từ 2022. Lý do chính là vì nó lợi dụng các công cụ “Dual UseTool” phổ biến trên thiết bị. Dựa vào khả năng tạo ra cuộc tấn bằng cách tận dụng Dual use Tool ngay trong môi trường doanh nghiệp.
Đứng đầu danh sách bị lợi dụng là phần mềm hữu ích PowerShell. Ngoài ra, còn có Excel, Acrobat Reader, hay phần mềm nén hoặc giải nén tệp. Tất cả đều là phần mềm phổ biến cài đặt trên các endpoint,quan trọng hơn đều có thể được sử dụng với mục đích xấu nên tăng nguy cơ tấn công.
Để giải quyết vấn đề này, thông thường là sẽ cấm hình thức Whitelist hoặc Blacklist các ứng dụng này. Nhưng sẽ làm giảm hiệu quả khi cần phần mềm để thực thi các việc hợp lệ.
Một cách giải quyết khác là sử dụng công nghệ EDR. Nhưng EDR chỉ đặt cảnh báo mỗi khi kẻ tấn công thực hiện một trong những kỹ thuật này. Cần phải xem xét xem hành vi đó có hợp lệ hay có nguy cơ hay không thường mất nhiều thời gian và công sức để xử lý. Có thể dẫn đến quá tải, mệt mỏi cho đội ngũ IT.
Đặc điểm chính của Adaptive Protection
Symantec giới thiệu một phương pháp mới là adaptive protection.
Sử dụng khả năng Machine Learning để học và hiểu hành vi của môi trường. Adaptive Protection sẽ tự động tìm hiểu các hành vi phổ biến, xác định các công cụ, kỹ thuật thông thường trong môi trường.
Adaptive protection của Symantec giúp giảm Attack Surface bằng cách chặn hành vi và công cụ có thể được sử dụng bởi kẻ tấn công để thâm nhập và tấn công mạng lưới.
Phân tích hành vi (Behavior Analysis). Xác định các hành vi bất thường trong môi trường và tự động phát hiện các hành vi đe dọa.
Cung cấp khả năng tạo và thiết lập các quy tắc tùy chỉnh cho từng doanh nghiệp cụ thể. Từ việc chặn hoặc cho phép hành vi thực thi, nhưng vẫn bảo vệ mạnh mẽ.
Lợi ích của việc triển khai Adaptive Protection
Phát hiện và ngăn chặn. Bao gồm phát hiện hành vi bất thường và nhận diện các mã độc trong tệp không mong muốn.
Tính linh hoạt và tự điều chỉnh. Cho khả năng thích nghi với các mô hình tấn công mới, đồng thời tăng/giảm hiệu suất giúp hệ thống hoạt động mạnh mẽ dựa trên thông tin thu thập được.
Hệ thống bảo vệ toàn diện. Tích hợp thông tin từ nhiều nguồn để cung cấp góc nhìn rõ ràng hơn. Ap dụng kiến thức & thông tin từ Mitre ATT&CK, nhận diện các mẫu tấn công, mô hình tấn công. Giúp phát triển các cơ chế mới để phát hiện và ngăn chặn các mô hình tấn công tiềm ẩn và kỹ thuật mới của hacker.
Một số chủ đề liên quan Symantec Endpoint Security:
Chúng tôi sử dụng lưu bộ nhớ tạm cookie cho thiết bị của bạn, để ghi nhớ các nội dung bạn đã xem. Đồng ý với điều này sẽ cho phép duyệt web thuận lợi hơn. Không đồng ý hoặc rút lại sự đồng ý, có thể gây chậm cho trải nghiệm khi xem bài viết.
Functional
Always active
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
