Iworld.com.vn gửi tới độc giả khái niệm về Nền tảng phát hiện và phản hồi đầu cuối (EDR)
Phát hiện và phản hồi đầu cuối (EDR), hay còn được gọi là phát hiện và phản ứng mối đe dọa đầu cuối (ETDR), là một giải pháp bảo mật đầu cuối tích hợp, giám sát liên tục trong thời gian thực và thu thập dữ liệu đầu cuối, với khả năng phân tích và phản hồi tự động dựa trên quy tắc. Thuật ngữ này được Anton Chuvakin tại Gartner đề xuất, để mô tả các hệ thống bảo mật mới nổi phát hiện và điều tra các hoạt động đáng ngờ trên máy chủ và đầu cuối, thông qua sử dụng mức độ tự động hóa cao, cho phép các nhóm bảo mật nhanh chóng xác định và phản ứng với các mối đe dọa.
1.Giám sát và thu thập dữ liệu hoạt động từ các đầu cuối, có thể chỉ ra mối đe dọa
2.Phân tích dữ liệu này, để xác định các dạng mối đe dọa
3.Tự động phản hồi các mối đe dọa đã xác định, để loại bỏ hoặc ngăn chặn chúng và thông báo cho nhân viên an ninh
4.Sử dụng các công cụ điều tra và phân tích, để nghiên cứu các mối đe dọa đã xác định và tìm kiếm các hoạt động đáng ngờ
Việc áp dụng EDR dự kiến sẽ tăng lên đáng kể trong vài năm tới. Theo thống kế của Stratistics MRC thì nền tảng phát hiện và phản hồi đầu cuối, sẽ phát triển mạnh mẽ trên thị trường toàn cầu (giai đoạn 2017-2026), doanh số bán các giải pháp EDR cho cả tại chỗ và trên đám mây, dự kiến sẽ đạt 7,27 tỷ đô la vào năm 2026, với tốc độ tăng trưởng hàng năm gần 26%.
Một trong những yếu tố thúc đẩy sự gia tăng trong việc áp dụng EDR là sự gia tăng số lượng thiết bị đầu cuối, được gắn vào mạng. Một động lực chính khác là sự gia tăng mức độ tinh vi của các cuộc tấn công mạng, thường tập trung vào các thiết bị đầu cuối là mục tiêu dễ dàng hơn, để xâm nhập vào mạng.
Một bộ phận IT quản lý trung bình hàng nghìn đầu cuối trên toàn mạng của mình. Các thiết bị đầu cuối này, không chỉ bao gồm máy tính để bàn và máy chủ mà còn bao gồm máy tính xách tay, máy tính bảng, điện thoại thông minh, thiết bị kết nối Internet vạn vật (IoT) và thậm chí cả đồng hồ thông minh, trợ lý kỹ thuật số. Khảo sát từ Nền tảng phản hồi và bảo vệ đầu cuối của SANS, báo cáo rằng 44% nhóm IT quản lý từ 5,000 đến 500,000 đầu cuối. Mỗi đầu cuối này, có thể trở thành một cánh cửa mở cho các cuộc tấn công mạng, do đó khả năng hiển thị đầu cuối là rất quan trọng.
Trong khi các giải pháp chống vi rút ngày nay, có thể xác định và ngăn chặn nhiều loại phần mềm độc hại mới, thì tin tặc vẫn không ngừng tạo ra nhiều loại phần mềm độc hại hơn. Nhiều loại phần mềm độc hại rất khó phát hiện, bằng các phương pháp tiêu chuẩn. Ví dụ: phần mềm độc hại không lọc, một sự phát triển gần đây, nó hoạt động trong bộ nhớ của máy tính, do đó tránh được các trình quét chữ ký phần mềm độc hại.
Để tăng cường bảo mật, bộ phận IT có thể triển khai nhiều giải pháp bảo mật đầu cuối, cũng như các ứng dụng bảo mật khác theo thời gian thực. Tuy nhiên, nhiều công cụ bảo mật độc lập, có thể làm phức tạp quá trình phát hiện và ngăn chặn mối đe dọa, đặc biệt nếu chúng chồng chéo và tạo ra các cảnh báo bảo mật tương tự. Một cách tiếp cận tốt hơn là giải pháp bảo mật đầu cuối tích hợp.
EDR cung cấp một trung tâm tích hợp để thu thập, tương quan và phân tích dữ liệu đầu cuối, cũng như để phối hợp các cảnh báo và phản ứng đối với các mối đe dọa tức thời. Các công cụ EDR có ba thành phần cơ bản:
Thực hành thu thập dữ liệu đầu cuối: Phần mềm tiến hành giám sát đầu cuối và thu thập dữ liệu, chẳng hạn như quy trình, kết nối, khối lượng công việc và truyền tải dữ liệu vào cơ sở dữ liệu trung tâm.
Phản hồi tự động: Các quy tắc được định cấu hình trước trong giải pháp EDR, có thể nhận ra khi dữ liệu đến là loại vi phạm bảo mật đã biết và kích hoạt phản hồi tự động, chẳng hạn như đăng xuất người dùng cuối hoặc gửi cảnh báo cho nhân viên.
Phân tích và điều tra: Hệ thống phát hiện và phản hồi đầu cuối có thể kết hợp cả phân tích thời gian thực, để chẩn đoán nhanh các mối đe dọa, với các quy tắc được định cấu hình trước và được hỗ trợ từ công cụ điều tra, để săn tìm mối đe dọa hoặc tiến hành phân tích sau khi phát hiện một cuộc tấn công.
Công cụ phân tích thời gian thực sử dụng các thuật toán để đánh giá tổng thể khối lượng lớn dữ liệu từ nhóm dữ liệu mẫu.
Các công cụ của điều tra cho phép các chuyên gia bảo mật IT điều tra các vi phạm trong quá khứ, để hiểu rõ hơn về cách thức hoạt động của một vụ khai thác và cách nó xâm nhập vào bảo mật. Các chuyên gia bảo mật IT cũng sử dụng các công cụ điều tra, để tìm kiếm các mối đe dọa trong hệ thống, chẳng hạn như phần mềm độc hại hoặc các hành vi khai thác khác có thể ẩn nấp, mà không bị phát hiện trên một đầu cuối.
Các tính năng và dịch vụ mới đang mở rộng khả năng phát hiện và điều tra các mối đe dọa của các giải pháp EDR.
Ví dụ, các dịch vụ tình báo về mối đe dọa của bên thứ ba, chẳng hạn như McAfee Global Threat Intelligence, tăng hiệu quả của các giải pháp bảo mật đầu cuối. Các dịch vụ tình báo về mối đe dọa cung cấp cho tổ chức một nguồn thông tin toàn cầu về các mối đe dọa hiện tại và đặc điểm của chúng. Công cụ thông minh đó giúp tăng khả năng của EDR, trong việc xác định các hành vi khai thác, đặc biệt là các cuộc tấn công nhiều lớp và không có ngày kết thúc. Nhiều nhà cung cấp bảo mật EDR cung cấp thông tin tình báo về mối đe dọa, như một phần của giải pháp bảo mật đầu cuối của họ.
Ngoài ra, các khả năng điều tra mới trong một số giải pháp EDR có thể tận dụng là AI và học máy, để tự động hóa các bước trong quy trình điều tra. Những khả năng mới này có thể tìm hiểu các hành vi cơ bản của tổ chức và sử dụng thông tin này, cùng với nhiều nguồn thông tin tình báo về mối đe dọa khác, để phân tích các phát hiện.
Một nhóm nghiên cứu phi lợi nhuận, đang làm việc với chính phủ Hoa Kỳ, báo cáo rằng, có một loại thông tin tình báo về mối đe dọa khác là chiến thuật, kỹ thuật và kiến thức ma trận (ATT & CK), đang được thực hiện tại MITER. Nền tảng ATT & CK là một cơ sở kiến thức được xây dựng, dựa trên việc nghiên cứu hàng triệu cuộc tấn công mạng trong thế giới thực.
ATT & CK phân loại các mối đe dọa mạng theo nhiều yếu tố khác nhau, chẳng hạn như các chiến thuật được sử dụng để xâm nhập vào hệ thống CNTT như lỗ hổng hệ thống, mà nhóm tội phạm sử dụng các công cụ phần mềm độc hại để tấn công. Vậy, Trọng tâm của công việc là xác định các dạng đe dọa và đặc điểm của chúng có thay đổi không. Nhưng các phương pháp của kẻ tấn công hoặc “modus operandi” thường vẫn giống nhau. EDR có thể sử dụng các hành vi phổ biến này, để xác định các mối đe dọa có thể đã bị thay đổi theo những cách khác.
Khi các chuyên gia bảo mật IT phải đối mặt với các mối đe dọa mạng ngày càng phức tạp, cũng như sự đa dạng hơn về số lượng và loại thiết bị đầu cuối truy cập vào mạng, họ cần thêm trợ giúp từ công cụ phân tích và phản hồi tự động, mà các giải pháp phát hiện và phản hồi đầu cuối đang cung cấp.
Trân trọng cám ơn quý độc giả./.
Biên dịch: Lê Toản – Iworld.com.vn