Symantec Endpoint Security Adaptive Protection phát hiện và phòng chống hành vi nguy hại thế nào?

Symantec (SES) Adaptive Protection phát hiện hành vi gây hại. Phân tích mã độc tiềm ẩn trong ứng dụng phổ biến. Đề xuất hướng xử lý an toàn vẫn đảo bảo năng suất làm việc.

Bài viết được phát hành vào năm 2023, được viết bởi VinSEP.com. Chúng tôi chuyên cung cấp bản quyền phần mềm Microsoft, Autodesk, Adobe, Foxit, Symantec chính hãng.

Tất tần tật khả năng Symantec Endpoint Security Adaptive Protection

Tính năng Adaptive Protection của Symantec Endpoint Security chống lại các dạng kỹ thuật tấn công thế hệ mới. Giúp phân tích hành vi phân biệt hành vi gây hại cho doanh nghiệp. Đề xuất cách xử lý tốt nhất theo tiêu chuẩn bảo mật.

Các thuật ngữ bảo mật liên quan tính năng Symantec Adaptive Protection

Bao gồm các khái niệm về Symantec Endpoint Security Adaptive Protection và các khái niệm bảo mật khác. “Living off the land”,”Dual use Tool”, “Attack Surface” hay MITRE ATT&CK.

Symantec Adaptive Protection là gì?

Đây là tính năng giúp Doanh nghiệp phòng chống các dạng tấn công chủ đích targeted attack.

• Trước hết, Adaptive Protection sử dụng engine kết hợp dữ liệu bảo mật và chuyên gia của Symantec. Nhằm phân tích hành vi phổ biến, các công cụ, kỹ thuật thông thường trong Doanh .
• Tiếp theo, giúp thiết lập các quy tắccho từng môi trường làm việc cụ thể. Ra quyết định chặn hay cho phép thực thi dựa trên phân loại hoặc hành vi cụ thể. Từ đó có thể xác định công cụ và hành vi của kẻ tấn công.
• Xác định rõ các hành vi bất thường trong môi trường làm việc và tự động phát hiện các hành vi đe dọa.

Symantec Endpoint Security Adaptive Protection giúp tự động hóa và điều chỉnh các biện pháp bảo mật dựa trên kinh nghiệm bảo mật. Cung cấp cách ngăn chặn các cuộc tấn công và bảo vệ các endpoint một cách hiệu quả.

Các khái niệm bảo mật khác

• Living off the land (LOTL). Đây là một chiến lược tấn công sử dụng các công cụ có sẵn của thiết bị để xâm nhập. Kỹ thuật này sẽ không cần phải triển khai các phần mềm độc hại nào từ bên ngoài. Các công cụ có sẵn là các phần mềm được phép cài trên thiết bị trong doanh nghiệp. Rất khó để phát hiện chúng, chỉ có thể nhận thấy các hành vi bất thường của chúng.
• Dual use Tool. Thường là các phần mềm dùng cho mục đích tốt các việc hệ thống như PowerShell, Command Line hay WMI. Hay những phần mềm văn phòng thông dụng bị lỗ hổng bảo mật. Khi đó, kẻ tấn công sử dụng hoặc tận dụng thực thi hành vi gây hại.
• Attack Surface. Đó là những điểm yếu mà kẻ tấn công có thể tận dụng để xâm nhập hoặc tấn công. Các phần mềm thường có lỗ hổng bảo mật trong mã nguồn, cổng giao tiếp, hoặc lỗ hổng quản trị. Hoặc các lỗ hổng trong phân quyền, mật khẩu yếu cũng được xem là Attack Surface.
• MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge). Đây là một bảng dạng khung mô tả và phân loại các kỹ thuật và thủ thuật tấn công. Giúp xác định kẻ tấn công sử dụng phương thức thế nào trong quá trình tấn công mạng. Dựa theo mục tiêu “tactics” và kỹ thuật “techniques”, để xác định cách thức tấn công. Kết hợp với kết quả thu thập của Symantec Adaptive Protection giúp dễ dàng đưa ra các quyết định chính xác.

Vì sao cần trang bị Adaptive Protection?

Phân tích dựa trên mối nguy hiện thời đại và các lợi ích thiết thực bảo vệ cho Doanh Nghiệp.

Mối nguy hại hiện đại

Kỹ thuật tấn công “Living Off The Land” trở nên phổ biến này từ năm 2019, và có xu hướng tăng mạnh từ 2022. Lý do chính là vì nó lợi dụng các công cụ “Dual UseTool” phổ biến trên thiết bị. Dựa vào khả năng tạo ra cuộc tấn bằng cách tận dụng Dual use Tool ngay trong môi trường doanh nghiệp.

Đứng đầu danh sách bị lợi dụng là phần mềm hữu ích PowerShell. Ngoài ra, còn có Excel, Acrobat Reader, hay phần mềm nén hoặc giải nén tệp. Tất cả đều là phần mềm phổ biến cài đặt trên các endpoint,quan trọng hơn đều có thể được sử dụng với mục đích xấu nên tăng nguy cơ tấn công.

Để giải quyết vấn đề này, thông thường là sẽ cấm hình thức Whitelist hoặc Blacklist các ứng dụng này. Nhưng sẽ làm giảm hiệu quả khi cần phần mềm để thực thi các việc hợp lệ.

Một cách giải quyết khác là sử dụng công nghệ EDR. Nhưng EDR chỉ đặt cảnh báo mỗi khi kẻ tấn công thực hiện một trong những kỹ thuật này. Cần phải xem xét xem hành vi đó có hợp lệ hay có nguy cơ hay không thường mất nhiều thời gian và công sức để xử lý. Có thể dẫn đến quá tải, mệt mỏi cho đội ngũ IT.

Đặc điểm chính của Adaptive Protection

Symantec giới thiệu một phương pháp mới là adaptive protection.

• Sử dụng khả năng Machine Learning để học và hiểu hành vi của môi trường. Adaptive Protection sẽ tự động tìm hiểu các hành vi phổ biến, xác định các công cụ, kỹ thuật thông thường trong môi trường.
• Adaptive protection của Symantec giúp giảm Attack Surface bằng cách chặn hành vi và công cụ có thể được sử dụng bởi kẻ tấn công để thâm nhập và tấn công mạng lưới.
• Phân tích hành vi (Behavior Analysis). Xác định các hành vi bất thường trong môi trường và tự động phát hiện các hành vi đe dọa.
• Cung cấp khả năng tạo và thiết lập các quy tắc tùy chỉnh cho từng doanh nghiệp cụ thể. Từ việc chặn hoặc cho phép hành vi thực thi, nhưng vẫn bảo vệ mạnh mẽ.

Lợi ích của việc triển khai Adaptive Protection

• Phát hiện và ngăn chặn. Bao gồm phát hiện hành vi bất thường và nhận diện các mã độc trong tệp không mong muốn.
• Tính linh hoạt và tự điều chỉnh. Cho khả năng thích nghi với các mô hình tấn công mới, đồng thời tăng/giảm hiệu suất giúp hệ thống hoạt động mạnh mẽ dựa trên thông tin thu thập được.
• Hệ thống bảo vệ toàn diện. Tích hợp thông tin từ nhiều nguồn để cung cấp góc nhìn rõ ràng hơn. Ap dụng kiến thức & thông tin từ Mitre ATT&CK, nhận diện các mẫu tấn công, mô hình tấn công. Giúp phát triển các cơ chế mới để phát hiện và ngăn chặn các mô hình tấn công tiềm ẩn và kỹ thuật mới của hacker.

Một số chủ đề liên quan Symantec Endpoint Security:

• Symantec Endpoint Security bảo vệ thiết bị doanh nghiệp thế nào?
• Tư vấn trang bị bản quyền Symantec cho doanh nghiệp
• Gia hạn Symantec Endpoint Protection 14
• So sánh Symantec Endpoint Security và Endpoint Protection

Cần tư vấn về tính năng Adaptive Protection, hãy liên hệ với chúng tôi: