EDR, EPP và MTD: Giải pháp An ninh Mạng Tối Ưu từ TEHTRIS

EDR, EPP và MTD: Giải pháp An ninh Mạng Tối Ưu từ TEHTRIS

Giải pháp EDR (Endpoint Detection and Response)

TEHTRIS EDR là một tác nhân chuyên về an ninh mạng có khả năng tự động phát hiện và khắc phục các mối đe dọa đã biết và chưa biết. Nó cũng có khả năng củng cố cấu hình của máy trạm và máy chủ của khách hàng bằng cách cho phép hoặc cấm một số hoạt động sử dụng.

Nguyên tắc hoạt động

EDR là một chương trình có sẵn dưới dạng một tác nhân có thể được cài đặt trên các hệ điều hành khác nhau. Tại TEHTRIS, EDR có thể được triển khai trên các hệ điều hành Windows, Linux và Mac OS.

Tác nhân TEHTRIS EDR được trang bị một số module cho phép nó tăng khả năng ngăn chặn các mã độc hại hoặc người dùng lạm dụng hệ thống thông tin. Điều này được gọi là phòng thủ theo chiều sâu. Nếu một mối đe dọa vượt qua được một trong các lớp bảo vệ (ở đây là một module), lớp bảo vệ tiếp theo sẽ chặn mối đe dọa đó.

Để tăng khả năng sử dụng, EDR sẽ được kết nối với máy chủ XDR. Do đó, tác nhân có thể chạy các kiểm tra và hành động ở từng cấp độ của nó (thông qua các module), nhưng cũng có thể sử dụng XDR mà nó được kết nối để tăng sức mạnh tính toán của nó, đồng thời cho phép sử dụng đầy đủ tất cả các dịch vụ gốc được cung cấp bởi Nền tảng XDR.

Nền tảng XDR cung cấp các dịch vụ sau:

• Phân tích chống vi-rút (bởi 12 phần mềm chống vi-rút bị ngắt kết nối khỏi Internet)

• Phát hiện các chủng độc hại bằng Trí tuệ nhân tạo

• Phân tích động trong TEHTRIS Sandbox

• Tính năng tìm kiếm trong cơ sở dữ liệu định hướng an ninh mạng: TEHTRIS CTI

Sự kết hợp giữa Nền tảng XDR và EDR cho phép kiểm tra việc thực thi các chương trình và tập lệnh để có thể ngăn chặn chúng nếu chúng được coi là độc hại. Đây là khả năng khắc phục tự động. Ví dụ: một ransomware mã hóa dữ liệu, EDR sẽ ngăn chặn nó trước giai đoạn mã hóa.

Công việc được thực hiện bởi các tác nhân EDR và Nền tảng XDR mà chúng được kết nối cho phép tự động hóa một số quy trình, đồng thời tiết kiệm:

• Nguồn nhân lực cần thiết cho việc phân tích các sự kiện được thu thập;

• Tài nguyên của các máy trạm được bảo vệ bằng cách chuyển các phân tích trên Nền tảng XDR.

Kiến trúc TEHTRIS EDR

* Kiến trúc On-premise 

Các ưu điểm của phương án triển khai On-premise có thể kể đến có thể đảm bảo mức độ bảo mật trong trường hợp mất mạng, các Log của EDR vẫn còn trên mạng nội bộ của tổ chức và sử dụng ít băng thông hơn.

* Kiến trúc Cloud

Các ưu điểm của phương án triển khai trên Cloud có thể kể đến việc cài đặt được triển khai dễ dàng khi các công đoạn đều bởi TEHTRIS, có thể bảo vệ các thiết bị di động đơn giản và it kết nối mạng cần mở hơn.

* Kiến trúc Hybrid

Ngoài hai phương án triển khai trên, các tổ chức có thể kết hợp hai kiến trúc trên thành chế độ Hybrid; trong đó, các thiết bị On-Premise được sử dụng bởi các máy trạm nội bộ, và thiết bị Cloud được sử dụng bởi các máy trạm bên ngoài. Khi EDR được triển khai, tổ chức có thể chỉ định một số máy chủ và điều đó sẽ xác định thứ tự các nỗ lực kết nối của nó.

Chương trình Chẩn đoán Điểm cuối TEHTRIS

Chương trình Chẩn đoán Điểm cuối TEHTRIS, còn được gọi là TED, được tích hợp sẵn trong TEHTRIS EDR và giúp xác định nguồn gốc của các vấn đề kết nối giữa EDR và máy chủ chính của nó.

Các module của TEHTRIS EDR

• Access Log: module này cho phép EDR ghi lại tất cả những người dùng đã đăng nhập vào thiết bị (tên, IP nguồn, LogonType, v.v.).

• Autostart: Kiểm soát các quy trình được khởi chạy khi thiết bị được khởi động, còn được gọi là AutoStart (Khởi động Tự động). Điều này cũng bao gồm các tác vụ theo lịch trình và các thư mục khởi động tự động. Module này sẽ kiểm tra mọi sửa đổi khởi động tự động trên thiết bị (tác vụ theo lịch trình, dịch vụ, v.v.) và tạo cảnh báo nếu sửa đổi đó đáng ngờ.

• Compliance: module này cho phép tổ chức tìm kiếm các tham số cấu hình sai trên các thiết bị bằng cách sử dụng các chỉ thị khác nhau (STIC, USGCB, v.v.).

• Cyberia Next-Gen AntiVirus:: module này triển khai một phiên bản rút gọn của TEHTRIS AI trong tác nhân EDR, quét các tệp nhị phân được thực thi trên thiết bị. Module này sẽ cho phép TEHTRIS AI kích hoạt cảnh báo nếu nó phát hiện một tệp nhị phân đáng ngờ.

• Endpoint Firewall: Module này giúp tổ chức tạo các quy tắc tường lửa của mình bằng Chính sách Tường lửa. Các quy tắc được thêm vào sẽ tự động được gửi và tải trên các điểm cuối liên quan và được thêm vào các quy tắc Tường lửa đã có trên máy trạm (Tường lửa Windows Defender hoặc Tường lửa TEHTRIS EPP).

• Event Log: Thu thập các EventID Windows khác nhau của thiết bị. EDR sẽ tương quan các EventID này để kích hoạt các cảnh báo cụ thể (brute-force cục bộ, di chuyển ngang, v.v.). Module này chỉ khả dụng trên các máy trạm Windows.

• Ransomware monitoring: module giám sát các tệp cụ thể (honeyflies) được tạo ra bởi EDR trên thiết bị. Qua module này, giải pháp EDR có thể phát hiện, thông báo và khắc phục các tiến trình có dấu hiệu truy cập trái phép vào những honeyfiles này.

• IOC hunting: module này cho phép EDR thực hiện các tìm kiếm săn tìm IOC tự động thường xuyên.

• Registry Monitoring: module này sẽ giám sát các sửa đổi được thực hiện đối với một số khóa registry. Các khóa registry được xác định trong một tập hợp các quy tắc. Khi một khóa nhạy cảm bị sửa đổi, một cảnh báo sẽ được đưa ra. 

• Shadow IT: Module này sẽ cho phép EDR nắm bắt tất cả các gói Netbios trên TCP trong mạng con của nó. Bằng cách kiểm tra tên máy chủ của thiết bị trong các gói tin này, nó sẽ kiểm tra xem có EDR trên các thiết bị này hay không.

• Scan Disk: Module này có thể phát hiện các mối đe dọa tiềm ẩn bằng cách quét các tệp nhị phân/tập lệnh trên đĩa. Khi một lịch trình được xác định, module sẽ kiểm tra định kỳ xem có cần/có thể thực hiện quét hay không.

• USB monitoring: Module này ghi lại các thiết bị USB được kết nối với các thiết bị. Tất cả thông tin liên quan đến các thiết bị USB đều có sẵn.

• Audit: EDR sẽ thường xuyên phân tích thiết bị để tìm kiếm các CVE đã biết. Module này có thể được bật nếu tổ chức muốn kiểm tra trạng thái lỗ hổng của thiết bị.

Giải pháp EPP (Endpoint Protection Platform)

TEHTRIS EPP là một tác nhân bảo mật tự động cho máy trạm và máy chủ. Nhiệm vụ của giải pháp này là bảo vệ các tổ chức chống lại các mối đe dọa hiện tại. 

Một số lợi ích chính của giải pháp TEHTRIS EPP: 

• Với cơ sở kiến thức về mối đe dọa được tích hợp trong công cụ chống vi-rút được tự động và thường xuyên cập nhật, giải pháp EPP của TEHTRIS giúp tối ưu hóa bảo mật hệ thống của các tổ chức chống lại một số lượng lớn vi-rút trên toàn thế giới.

• Các tính năng nâng cao hoàn thiện khả năng bảo vệ chống vi-rút cục bộ bằng cách chống lại việc khai thác các lỗ hổng.

• TEHTRIS EPP chống lại các cuộc tấn công có mục tiêu khai thác từ xa các lỗ hổng của trình duyệt web và các ứng dụng phần mềm văn phòng như trình đọc PDF, v.v.

• TEHTRIS EPP có thể chặn truy cập vào các trang web độc hại đã biết.

• TEHTRIS EPP cho phép quản trị tập trung các quy tắc tường lửa trên các máy trạm của khách hàng sử dụng Windows.

• TEHTRIS EPP cung cấp khả năng giới hạn các thiết bị đầu vào - đầu ra (Wi-Fi, Bluetooth, USB, v.v.).

Kiến trúc TEHTRIS EPP

* Kiến trúc Cloud 

* Kiến trúc On-premise 

Một số tính năng của giải pháp TEHTRIS EPP

• Giảm bề mặt tấn công với các quy tắc được xác định trước để bảo vệ chống lại các kịch bản tấn công phổ biến. Thông qua module tường lửa với khả năng thêm các quy tắc tùy chỉnh của riêng tổ chức.

• Nâng cao khả năng phát hiện với trí tuệ nhân tạo TEHTRIS, bao gồm TEHTRIS CTI, Sandbox, hơn 15 công cụ phân tích khác (cơ sở dữ liệu chữ ký), mạng nơ-ron sáng tạo (Cyberia) và module phân tích hành vi.

• Ngăn chặn việc khai thác các lỗ hổng chưa được vá hoặc chưa biết. Thông qua module chống khai thác (tràn bộ đệm, ROP, v.v.).

• Phát hiện các cuộc tấn công mạng. Bảo vệ chức năng, hiệu quả và tự động với các cấu hình sẵn và API của TEHTRIS.

• Bảo vệ được cung cấp trên tất cả các hệ điều hành bao gồm: Windows, Linux và Mac.

Giải Pháp MTD (Mobile Threat Defense)

TEHTRIS MTD là một tác nhân chuyên về an ninh mạng và có khả năng tự động phát hiện và khắc phục các mối đe dọa đã biết hoặc chưa biết.

Nó mở rộng khả năng bảo vệ, trước đây chỉ dành riêng cho máy tính, sang các thiết bị di động như điện thoại thông minh và máy tính bảng chạy Android, iOS và iPadOS.

Nó bảo vệ, quản lý, tập trung và cho phép trực quan hóa đội thiết bị di động trong Nền tảng TEHTRIS XDR.

MTD là một chương trình có sẵn dưới dạng một tác nhân được cài đặt trên các hệ điều hành di động phổ biến gồm: Android, iOS và iPadOS.

Tác nhân TEHTRIS MTD có một số mô-đun giúp tăng khả năng ngăn chặn các mã độc hại hoặc người dùng lạm dụng hệ thống thông tin. Đó là những gì được gọi là phòng thủ theo chiều sâu. Nếu một mối đe dọa vượt qua được một trong các lớp bảo vệ (ở đây là một trong các mô-đun), lớp bảo vệ tiếp theo chắc chắn sẽ chặn được mối đe dọa đó.

Để tăng cường khả năng của MTD, giải pháp được kết nối với Nền tảng XDR. Do đó, tác nhân có thể thực hiện các xác minh và hành động ở cấp độ của nó, thông qua các mô-đun của nó, và yêu cầu XDR mà nó được kết nối, để tăng cường sức mạnh xử lý, đồng thời sử dụng đầy đủ các dịch vụ gốc do Nền tảng XDR cung cấp.

Trong bối cảnh phân tích từ các tác nhân MTD, Nền tảng XDR cung cấp các dịch vụ sau: 

• Tìm kiếm trong cơ sở dữ liệu hướng an ninh mạng TEHTRIS CTI, 

• Phân tích và chặn các truy vấn DNS tới các tên miền được biết là nguy hiểm 

• Giám sát tuân thủ bằng cách kiểm tra trạng thái của các cài đặt bảo mật 

Các tác nhân MTD được phát triển bởi TEHTRIS cung cấp các tính năng bổ sung: 

• Phát hiện các cuộc tấn công tinh vi (bao gồm zero-day) được thực hiện bởi một thư viện iOS cụ thể

• Xóa từ xa các thiết bị di động Android

• Phát hiện các cuộc tấn công "bruteforce" trên Android

• Xác minh quyền và ủy quyền của các ứng dụng Android

• Gỡ bỏ các ứng dụng Android từ bảng điều khiển XDR

• Định vị GPS của các thiết bị iOS.

Kiến trúc TEHTRIS MTD

Liên hệ tư vấn:

Công ty cổ phần Nam Trường Sơn Hà Nội

Tầng 15 tòa Licogi13, 164 đường Khuất Duy Tiến, Phường Nhân Chính, Quận Thanh Xuân, Hà Nội

Tel: 02462.818.045

Email: info@ntshanoi.com.vn