Endpoint Detection and Response

Mã độc – Mối nguy hại muôn hình vạn trạng

Mã độc (malware), còn gọi chung là Virus máy tính̀ lâu đã là ́i nguy hiểm luôn rình rập người dùng máy tính. Đối với các doanh nghiệp, ̉ chức, ́i nguy này càng lớn hơn khi các thông tin quan trọng, nhạy cảm của cả chức có thê bị mất mát, lộ lọt bất ́ lúc nào bởi mã độc nằm trong ̣t máy tính nào đó trong mạng.

Các loại Mã độc (malware) phổ biến

Để  thể tồn tạihoạt độngcác dòng  động đã liên tục biển đổingày càng trở lên tinh vi, khó bị phát hiệnĐiều này đặt ra thách thức không nhỏ đối với các giải pháp phòng chống  độc truyền thốngnhững phần mềm vốn chỉ tập trung nhận diện theo các mẫu đã biết (Signatures) hay dựa vào số nhỏ những hành vi đặc trưng cụ thể. Thực tế ngay lúc này vẫn đang rất nhiều dòng độc âm thầm thực hiện các hành vi độc hại không bị phát hiện bởi bất cứ phần mềm diệt virus truyền thống nào. Không chỉ vậy, ngay cả với những trường hợp độc thể nhận diện được, thì cách xử thông thường của các chương trình diệt virus là cách ly/ xóa tệp, những yêu cầu về điều tra nguyên nhân, hạn chế khả năng lây nhiễm trở lại, lại những thách thức khác đối với những giải pháp phòng chống độc này. 

Giải pháp CyRadar EDR

CyRadar EDR (CyRadar Endpoint Detection and Response) là giải pháp tổng thể phòng chống mã độc thế hệ mới có khả năng giám sát hệ thống, dự báo sớm, phát hiện các mối nguy, từ đó cảnh báo và xử lý phù hợp; đồng thời lưu trữ, xâu chuối và hệ thống toàn bộ các thông tin về các sự kiện liên quan để có thể điều tra, xác định con đường lây nhiễm.

CyRadar EDR ứng dụng những công nghệ mới như: Big Data, Machine Learning, Sandbox … hoạt động theo mô hình client/server, quản lý tập trung thống nhất. Sử dụng một Server đặt tại trụ sở chính. Các máy trạm sẽ cài CyRadar EDR Endpoint và kết nối với máy chủ tập trung.

CyRadar EDR Server

CyRadar EDR Server quản lý tập trung, phân tích dữ liệu để đưa ra các cảnh báo, chính sách xử lý điều tra và ra lệnh cho các CyRadar EDR Endpoint thực thi. CyRadar EDR Server thống kê báo cáo về toàn bộ tình hình lây nhiễm mã độc, phương án và các nhật ký, giúp người quản trị mạng có cái nhìn tổng quan về tình trạng lây nhiễm mã độc của hệ thống.

CyRadar EDR Endpoint

CyRadar EDR Endpoint trên máy trạm sẽ tự động phát hiện và xử lý (Auto Protect) các các loại mã độc như trojan, spyware, adware ngay khi chúng xâm nhập vào máy tính. Xử lý toàn bộ các mã độc lây lan qua USB, qua web, qua chia sẻ thư mục, mã độc lây qua lỗ hổng của phần mềm cũng như các trojan. Gửi báo cáo tình hình xử lý về cho CyRadar EDR Server.

So sánh

Antivirus

Giải pháp antivirus truyền thống

  • Nhận diện mã độc chủ yếu dựa trên bộ Signature Files
  • Chỉ phát hiện các dòng mã độc đã biết
  • Bảo vệ máy tính cơ bản  (cách ly,  xóa file)
  • Chỉ có thông tin riêng lẻ về file mã độc
  • Hoạt động thụ động, phát hiện chỉ khi mã độc xuất hiện
Better choice

CyRadar EDR

Giải pháp CyRadar EDR

  • Phát hiện mã độc dựa trên cả Sigatures và công nghệ nhận diện thông minh .
  • Phát hiện được tất cả các loại mã độc, bao gồm cả mã độc mới,  APTs, mã độc Fileless ...
  • Thực hiện cả quy trình: phát hiện, ngăn chặn, khắc phục. 
  • Chứa đầy đủ thông tin về mã độc đã được xâu chuỗi, phục vụ điều tra truy vết
  • Liên tục giám sát tất cả các tiến trình để phát hiện sớm nguy cơ lây nhiễm mã độc

Phương thức hoạt động

CyRadar EDR  triển khai theo  hình quản  tập trung Client/ Server: Các CyRadar EDR  Endpoint đặt ở các máy trạm (Client) kết nối tới một vài máy chủ quản trị tập trungCác  đun liên quan đến lưu trữphân tích dữ liệu kể trên sẽ vừa đặt máy trạmvừa  phần đặt trên máy chủ để  thể tổng hợp phân tích dữ liệu lớngiúp bao quátphát hiện sớm các nguy  trong toàn mạng. 

Các Công nghệ sử dụng trong mô đun phân tích thông tin

Các dữ liệukết quả phân tích trên máy chủ được bảo mật theo cấu hình của bên sử dụng vận hànhTùy theo nhu cầuđơn vị sử dụng  thể chia sẻ các dữ liệu phân tích  độc này tới những nguồn tập trung khác theo một giao thức nhất địnhTrong trường hợp giao thức chia sẻ dữ liệu  đặc thù riêng biệtnhưng  quy cách cấu trúc cụ thểCyRadar hoàn toàn  thể hỗ trợ phát triển tích hợp giao thức đó theo yêu cầu của khách hàng. 

Thành phần chính

1. Phát hiện

Tổng hợp các mô đun nhỏ nhằm phục vụ việc giám sát, dự báo, phát hiện sớm các nguy cơ. 

2. Xử lý

Căn cứ vào kết quả phân tích, chương trình thực hiện xử lý phù hợp và toàn vẹn (cảnh báo, ngăn chặn, cách ly, gỡ bỏ). Bước gỡ bỏ sẽ thực hiện triệt để, loại bỏ hoàn toàn khỏi máy các tàn dư của mã độc (xóa file, thành phần khởi động, registry…). 

3. Điều tra

Tổng hợp, xâu chuỗi các thông tin sự kiện liên quan, đưa ra trực quan các luồng sự kiện, giúp người dùng dễ dàng xác định con đường lây nhiễm cũng như thời điểm mã độc vào máy. 

Quy mô hệ thống mạng một máy chủ quản lý tập trung
Quy mô hệ thống mạng một máy chủ quản lý tập trung

Tính năng nổi bật

1. Chống tấn công tinh vi (APT)

Ngoài việc nhận diện và xử lý virus theo mẫu nhận diện (signatures) CyRadar EDR áp dụng trí tuệ nhân tạp (AI), Malware Graph để phát hiện sớm các cuộc tấn công tinh vi

2. Phản ứng nhanh

Sử dụng nhiều công nghệ hiện đại (Machine Learning, Sandboxing, ...), CyRadar EDR có khả năng hiển thị thông tin toàn bộ thiết bị đầu cuối giúp phản ứng nhanh, sớm phát hiện các mối nguy và nhanh chóng thực hiện các bước phân tích, xử lý gỡ bỏ mã độc hoàn toàn ra khỏi máy tính.

3. Phân tích dữ liệu

Tổng hợp, xâu chuỗi các thông tin sự kiện liên quan,đưa ra trực quan các luồng sự kiện, giúp người dùng dễ dàng xác định con đường lây nhiễm cũng như thời điểm mã độc vào máy. Giúp quản trị dễ dàng xử lý các sự cố ATTT.

4. Hỗ trợ 24/7

Tổng đài dịch vụ Chăm sóc khách hàng và Hỗ trợ kỹ thuật hoạt động 24/7, đảm bảo luôn sẵn sàng hỗ trợ khi có sự cố xảy ra.

5. Báo cáo

Báo cáo định kỳ, theo sự kiện hoặc báo cáo về các rủi ro chuyên sâu của hệ thống

Hình ảnh thực tế