FORTIEDR – GIẢI PHÁP BẢO VỆ ENDPOINT NÂNG CAO

FORTIEDR – GIẢI PHÁP BẢO VỆ ENDPOINT NÂNG CAO

1. Những thách thức, khó khăn trong bảo mật Endpoint:

  • Hiện tại, malware (hay phần mềm độc hại) đã tăng trưởng rất mạnh cùng với đó là sự bùng nổ của rất nhiều hình thức hình thức tấn công vào máy tính người dùng, chúng có thể mã hóa dữ liệu người dùng, đòi tiền chuộc, hay lợi dụng máy tính để đào tiền ảo, thực hiện các chức năng nguy hiểm khác…
  • Malware thường được lây lan thông qua các email lừa đảo và chủ yếu được ẩn trong các file đính kèm email như .zip, .pdf, .doc, .exe, .js…Chúng rất khó để xác định và có khả năng tự lan rộng, nhân bản, hoạt động tinh vi, phần mềm Antivirus truyền thống có thể không phát hiện được các loại phần mềm độc hại mới thế hệ mới này.

  • Số lượng tấn công và hình thức tấn công vào thiết bị đầu cuối (Endpoint) ngày càng phát triển, đặc biệt trong thời điểm dịch Covid-19 đang hoành hành thì đa phần nhân viên sẽ được làm việc tại nhà, làm việc từ xa, đây cũng là rủi ro về bảo mật, điểm yếu nhất, do không áp dụng được các chính sách truy cập, kiểm soát bảo mật cho những kết nối ra dịch vụ Internet bên ngoài. Việc này khiến máy tính người dùng rất dễ bị lây lan malware và phát tán nhanh chóng. 

  • Theo thống kê, có khoảng 350000 phần mềm độc hại và các ứng dụng không mong muốn được phát hiện bởi tổ chức AV-Test.
  • Bên cạnh đó sự phát triển của malware là thách thức về lỗ hỏng bảo mật của các thiết bị. Một số thiết bị ở Doanh nghiệp có hệ điều hành cũ kỹ, không thể nâng cấp hay cập nhật được những bản vá lỗi đã biết nên chứa rất nhiều lỗ hỏng mà malware có thể khai thác một cách dễ dàng.

Bảo mật ở mức phòng ngừa là chưa đủ, các nhà quản lý cần phải có suy nghĩ xa hơn, ngoài việc phòng ngừa còn có thể bảo vệ được người dùng ngay cả khi malware lây nhiễm thành công.

Những thách thức trong việc bảo mật Endpoint:

  • Thiết bị đầu cuối rất dễ bị xâm phạm và bảo mật Endpoint theo kiểu truyến thống không thể ngăn chặn 100% các cuộc tấn công, điều này làm Endpoint dễ dàng bị lây nhiễm, gây gián đoạn hoạt động.
  • Thậm chí khi phát hiện hệ thống bị xâm phạm, thì Doanh nghiệp cũng mất nhiều thời gian để xử lý và khắc phục sự số, làm giảm năng suất kinh doanh, người dùng phàn nàn.

2. Giải pháp bảo mật điểm cuối FortiEDR của Fortinet:

2.1 Giới thiệu:

  • FortiEDR là giải pháp bảo mật Endpoint toàn diện của Fortinet một cách tự động theo thời gian thực, phản ứng với bất kỳ sự cố trên bất kỳ thiết bị nào - bao gồm máy trạm và máy chủ với mọi hệ điều hành cũng như hệ thống sản xuất và hệ thống OT - tất cả được tích hợp trong một nền tảng duy nhất, với các tùy chọn triển khai linh hoạt và chi phí vận hành tối ưu.
  • Giải pháp FortiEDR có các đặc điểm cơ bản như sau:
    • Bảo vệ: Cung cấp tính năng bảo vệ trước (Pre-lnfection) và sau (Post-lnfection) khi lây nhiễm, giúp ngăn chặn các tiến trình độc hại.
    • Quản trị:  Giao diện quản trị hợp nhất cho toàn hệ thống, tạo ra các chính sách truy cập
    • Linh hoạt: Lightweight agent - Hỗ trợ khả năng triển khai trên mọi loại hình doanh nghiệp, mọi cấu hình máy tính của Endpoint với một phần mềm gọn nhẹ mà không tốn nhiều tài nguyên hệ thống.
    • Hỗ trợ đa nền tảng: Khả năng triền khai trên nhiều hệ điều hành, cung cấp cơ chế bảo vệ cho Endpoint không chỉ theo thời gian thực và còn bảo vệ tiếp tục khi Endpoint ở dạng offline.

  • Giảm thiểu rủi ro chủ động theo thời gian thực & Bảo mật hệ thống IoT
    • FortiEDR giảm các cuộc tấn công bề mặt (attack surface), bao gồm đánh giá lỗ hổng và các chính sách chủ động giảm thiểu rủi ro cho phép kiểm soát giao tiếp của bất kỳ ứng dụng nào được phát hiện có lỗ hổng.
  • Pre-Infection Protection (Bảo vệ trước khi lây nhiễm)
    • FortiEDR cung cấp lớp bảo vệ đầu tiên thông qua công cụ NGAV (Next Generation machine-learning-based Anti-Virus) được xây dựng tùy chỉnh, dựa trên máy học để ngăn chặn sự lây nhiễm từ phần mềm độc hại dựa trên các tập tin.
  • Post-Infection Protection (Bảo vệ sau lây nhiễm)
    • FortiEDR là giải pháp duy nhất phát hiện và ngăn chặn các cuộc tấn công nâng cao trong thời gian thực, ngay cả khi Endpoint đã bị xâm nhập.
    • Không vi phạm, không mất dữ liệu, không có vấn đề, FortiEDR loại bỏ thời gian dừng và cung cấp một bộ các tính năng Phát hiện và Phản hồi Điểm cuối (Endpoint Detection and Response - EDR) tự động phát hiện, ngăn chặn, điều tra, phản hồi và khắc phục sự cố.
  • Nền tảng bảo mật điểm cuối toàn diện
    • FortiEDR là giải pháp bảo mật điểm cuối duy nhất được xây dựng từ đầu để phát hiện các mối đe dọa nâng cao và ngăn chặn vi phạm cũng như thiệt hại do ransomware gây ra trong thời gian thực ngay cả trên một thiết bị đã bị xâm nhập, cho phép phản hồi và khắc phục sự cố một cách tự động để bảo vệ dữ liệu, đảm bảo thời gian hoạt động của hệ thống và duy trì hoạt động liên tục của doanh nghiệp.
    • FortiEDR bảo vệ mọi thứ từ máy trạm và máy chủ với hệ điều hành hiện tại và tương lai cho đến bộ điều khiển sản xuất và các POS. Xây dựng với cơ sở hạ tầng đám mây, FortiEDR có thể được triển khai trên cloud, On-Premise.

2.2 Các tính năng chính:

  • B1. PREVENTION
    • Cung cấp khả năng chống virus thế hệ mới, sử dụng Machine Learning Engine để phát hiện các malware đã biết rồi thông qua cơ chế đánh điểm và kiểm soát quá trình hoạt động của ứng dụng ở mức Kemel.
    • Các Engine Machine Learning được cập nhật liên tục từ hệ thống Cloud.
  • B2. DISCOVERY & PREDICT:
    • Phát hiện và giám sát kết nối các ứng dụng qua mạng
    • Làm giàu thông tin với khả năng liên kết với danh sách CVE (Common Vulnerabilities and Exposures) và đánh giá ứng dụng với những lỗ hỏng bảo mật có khả năng rủi co cao.
    • Tạo các chính sách kiểm soát truy cập dựa theo phiên bản ứng dụng làm giảm thiểu tất công bề mặt.
  • B3. DETECTION & DEFUSION
    • Tự động phát hiện và ngăn chặn sau khi bị lây nhiễm
    • Phân tích dựa theo lịch sử và nhật ký (OS Metadata), phân tích, ghi nhận tiến trình đang chạy có phải là độc hại hay không.
    • Tự động ngăn chặn tiến trình mã hóa của Ransomware theo thời gian thực.
  • B4. RESPOND & REMEDIATION
    • Tự động phân loại sự kiện bảo mật, sau khi biết được mối đe dọa đang có trên Endpoint.
    • Tự động phản hồi sau khi bị lây nhiễm (thông báo, cách ly, ngăn chặn các tiến trình, xóa file độc hại...)
    • Cung cấp giao diện hỗ trợ việc điều tra và kiểm soát cho sự kiện bảo mật

2.3 Các thành phần chính:

  • Collector: Software cài đặt trên Endpoint
    • Thu thập thông tin về OS behavior và gửi về Core
    • Nhận lệnh thực thi từ Core
  • Core: Triển khai theo hình thức VM:
    • Kiểm tra thông tin gửi từ Collector là hợp lệ hay là bất thường.
  • Central Manager (VM):
    • Cung cấp cơ chế quản lý tâp trung qua giao diện web.
    • Quản trị viên đưa ra các chính sách để kiểm soát và thực thi các chính sách bảo mật, các chính sách tự động.
  • Aggregator (VM):
    • Thực hiện cung cấp, tối ưu các process kết nối với Collector và Core, giúp giảm tải cho Central Manager. Aggregator đóng vai trò như proxy thay mặt Central Manager trao đổi với các thành phần khác trong hệ thống.
  • Threat Hunting (VM):
    • Ghi nhận thông tin các fìle thực thi được ghi nhận từ Collector và Core. Qua đó, xóa các dạng malware thực thi đã biết trên mọi thiết bị trong hệ thống.
  • FortiEDR Cloud Service:
    • Là trung tâm cập nhật những thông tin liên quan đến Engine, cung cấp cơ chế đánh giá lại đối với một số các process, các ứng dụng.
    • Tăng cường bảo mật cho hệ thống bảng cách thực hiện phân tích sâu chi tiết và phân loại sự kiện.

3. Ưu điểm của giải pháp FortiEDR với những giải pháp khác có trên thị trường:

  • FortiEDR được thực hiện trên nhiều hệ thống của các tổ chức khác nhau và có kết quả rất tốt:
  • AV-Comparatitive:
    • 100% tỉ lệ chặn Malware
    • Tỉ lệ chặn nhầm thấp:

  • Phản ứng lại với những sự cố bảo mật tự động, nhanh chóng:
    • Với những giải pháp bảo mật Endpoint truyền thống, sau khi bị malware tấn công, Doanh nghiệp cần rất nhiều thời gian và nhân sự để khắc phục sự cố: Cách ly, rà soát chi tiết các Endpoint, kiểm tra các process các ứng dụng đang chạy để thực thi các process độc hại đó, tiến hành gỡ bỏ các process này.
    • Với FortiEDR tấ cả các quá trình từ phát hiện, ghi nhận, phân tích, đưa ra các hành động một cách tự động sẽ diễn ra hoàn toàn độc lập và xuyên suốt mà không cần IT phải can thiệp trong quá trình xử lý. IT chỉ cần tạo ra các chính sách, các hình thức tự động phản hồi cho hệ thống
  • Tích hợp với các giải pháp Security Fabric Foritnet:
    • Các thiết bị trong giải pháp này có thể liên lạc, trao đổi thông tin cho nhau.
    • Khi một thiết bị trong giải pháp này phát hiện một mối đe dọa, thì nó sẽ chia sẽ thông tin cho các thiết bị khác cập nhật, đưa ra cơ chế bảo vệ toàn diện.
    • Các thiết bị tích hợp gồm có:
      • FortiGate: Thiết bị tường lửa Fortinet, tự động chặn IP đích độc hại.
      • FortiNAC: Nhìn thấy thị các thiết bị kết nối trong mạng, kiểm soát, điều khiển thiết bị và người dùng, đưa ra phản hồi tự động về các mối đe dọa trên hệ thống.
      • FortiSandbox: Phát hiện mối đe dọa bằng cách chủ động phân tích để phát hiện phần mềm độc hại, tự động bảo vệ hệ thống mạng khỏi các cuộc tấn công.
      • FortiAnalyzer / FortiSIEM: Alert và Log
      • FortiSOAR: Tự động hóa quy trình làm việc mở rộng.

4. Tổng kết:

  • FortiEDR là một trong những giải pháp bảo mật EDR duy nhất cung cấp khả năng thực thi chống phần mềm độc hại toàn diện bằng machine-learning và bảo vệ sau lây nhiễm theo thời gian thực.
  • Giải pháp bảo mật EDR tự động phát hiện và xóa bỏ các mối đe dọa tiềm ẩn trong thời gian thực ngay cả trên các máy chủ đã bị nhiễm.

Để biết thêm thông tin chi tiết về giải pháp, Quý khách vui lòng liên hệ với chúng tôi qua Hotline: 0358.22.3136 để được tư vấn.

EmeraldETL