Các nhà phân tích bảo mật có thể điều tra an toàn các mối đe dọa từ web như lừa đảo, nội dung không mong muốn với SEP Mobile’s Web Isolation integration.
Lướt web ngày nay giống như đi vào một bãi bom mìn: người dùng không nghi ngờ , dễ bị tấn công từ các kĩ thuật xã hội(được xem là một mối đe dọa trên mạng), vô tình truy cập vào các trang web có chứa mã độc được thiết kế sẵn gây nguy hiểm cho thiết bị của họ, đánh cắp thông tin của họ, và phát tán phần mềm độc hại. Các mối đe doạn từ web thì nguy hiểm cho tất cả các thiết bị điểm cuối, nhưng đặc biệt là các mối đe dọa mới.
Hơn một nữa số người dùng sử dụng internet chỉ truy cập web bằng thiết bị động của họ, làm cho điện thoại của họ trở thành một mục tiêu hấp dẫn. Đối với nhân viên doanh nghiệp, điện thoại di động đang nhanh chóng trở thành một nền tảng làm việc ưa thích nơi việc trao đổi dữ liệu của công ty diễn ra thường xuyên (nếu không phải hàng ngày). Một lần vô tình truy cập vào một trang web độc hại thông qua trình duyệt của thiết bị di động thì dễ bị tấn công và mã độc hại có thể lây nhiễm các thiết bị của nhân viên, lây lan sang các điểm cuối khác và khiến dữ liệu nhạy cảm của công ty gặp rủi ro.
Symantec Endpoint Protection Mobile(SEP Mobile) tích hợp Symantec Web Isolation để cho phép các nhóm SOC(trung tâm điều hành an ninh) nghiên cứu, theo cách hoàn toàn là vô hại, các trang web rủi ro thông qua các thiết bị điểm cuối di động. Web Isolation thực thi từ xa các phiên web, chỉ gửi thông tin kết xuất an toàn tới các nhà phân tích do đó ngăn chặn lưu lượng độc hại đến máy của họ. SEP Mobile là nhà cung cấp bảo mật duy nhất cung cấp công nghệ này như là một phần của kho công cụ phát hiện và phản hồi điểm cuối di động (EDR), cho phép quản trị viên điều hướng nội dung độc hại hoặc không mong muốn mà không để lộ các mối đe dọa.
Trước đây, chúng tôi đã thảo luận chi tiết về việc sử dụng EDR di động để chống lại các mối đe dọa tiên tiến và liên tục khai thác các lỗ hổng hệ điều hành di động. SEP Mobile’s EDR cung cấp tầm nhìn tất cả các chỉ số mối đe dọa qua các giai đoạn khác nhau của chuỗi tấn công, cũng như phân tích sâu pháp y để giúp các nhóm bảo mật nhìn thấy mối liên kết giữa các sự cố đã biết và hiểu các luồng tấn công. Kết nối các dấu chấm giữa các mối đe dọa từ xa giúp giúp quản trị viên tự tin hơn khi xác định nguy cơ bị tấn công và quyết định xử lý tốt nhất.
Hãy nói rằng bạn đang theo dõi các nguồn cấp dữ liệu sự cố bảo mật trong Bảng điều khiển quản lý di động SEP hoặc trong SIEM tổ chức của bạn. Bạn thấy rằng một người dùng thiết bị điểm cuối di động đã truy cập vào một trang web độc hại, gây ra cảnh báo nguy cơ rủi ro cao. Trang web độc hại đang được đề cập cũng có thể gây rủi ro khi mở trên thiết bị điểm điểm cuối truyền thống, do đó, bạn có thể tiến hành điều tra thêm về trang web vì bạn có thể cảnh giác khi mở nó trên máy tính của mình. Từ bảng điều khiển SEP Mobile, bạn có thể truy cập bất kỳ trang web rủi ro hoặc vi phạm chính sách nào trong chế độ cách ly web và xem những mối đe dọa nào mà người dùng di động đang phải đối mặt, trong khi vẫn hoàn toàn an toàn trước phần mềm độc hại.
Admins có thể mở bất kì website chứa rủi ro trong chế độ “web isolation” từ SEP Mobile Management Console.
Web Isolation hoạt động bằng cách tạo một môi trường thực thi an toàn giữa người dùng thiết bị điểm cuối và web, do đó, không có mã độc hại nào có thể được tải xuống hoặc thực thi trên các máy phân tích. Các đội bảo mật có thể xâm nhập vào môi trường an toàn này và về cơ bản là diễn lại” các cuộc tấn công mà người dùng của họ dễ bị tấn công.
Tại sao phải dùng giải pháp Endpoint Protection? Đây là câu hỏi rất nhiều bạn đang quan tâm. Đừng lo lắng, bài viết dưới đây sẽ giúp bạn hiểu rõ hơn về Endpoint Protection và tại sao phải dùng.
Endpoint Protection là gì?
Endpoint Protection hay giải pháp bảo vệ điểm cuối là một thuật ngữ thường được sử dụng cùng với với endpoint security – bảo mật điểm cuối. Endpoint Protection thường được sử dụng để mô tả các giải pháp an ninh mạng giúp giải quyết các vấn đề bảo vệ điểm cuối, bảo mật và bảo vệ endpoint chống lại việc khai thác, tấn công và rò rỉ dữ liệu vô tình do lỗi của con người.
Các cuộc tấn công nhắm mục tiêu và các mối đe dọa tiến tiến (APT attack) không thể được ngăn chặn thông qua nếu chỉ có các giải pháp chống virus, điều này khiến cho endpoint protection là một giải pháp không thể thiếu trong các doanh nghiệp. Các giải pháp bảo vệ điểm cuối cung cấp các giải pháp bảo mật được quản lý tập trung nhằm bảo vệ các điểm cuối như máy chủ, máy trạm và thiết bị di động được sử dụng để kết nối với mạng doanh nghiệp.
Nền tảng bảo vệ điểm cuối làm tăng sức mạnh cho bảo mật doanh nghiệp
Gartner định nghĩa Nền tảng bảo vệ điểm cuối (Endpoint Protection Platform – EPP) ” là một sự hội tụ các chức năng bảo mật thiết bị đầu cuối vào một sản phẩm duy nhất cung cấp phần mềm chống vi-rút, chống phần mềm gián điệp, tường lửa cá nhân, kiểm soát ứng dụng và các kiểu ngăn chặn xâm nhập máy chủ khác (ví dụ: chặn hành vi) khả năng thành một giải pháp duy nhất và gắn kết.”
Nền tảng bảo vệ điểm cuối toàn diện nhất tích hợp với các biện pháp bảo mật khác như lỗ hổng, bản vá và khả năng quản lý cấu hình, dẫn đến bảo vệ chủ động hơn, được coi rộng rãi là tiêu chuẩn vàng trên các giải pháp bảo mật phản ứng trước đây. Nền tảng bảo vệ điểm cuối không chỉ đơn thuần là ngăn chặn các cuộc tấn công phần mềm độc hại, với các khả năng bảo vệ dữ liệu như mã hóa đĩa và tệp, ngăn ngừa mất dữ liệu và thậm chí kiểm soát thiết bị để bảo vệ điểm cuối toàn diện nhất có thể.
Cơ chế hoạt động của Endpoint Protection
Khi các chương trình BYOD (Bring Your Own Device) đang ngày càng được các doanh nghiệp áp dụng, bảo vệ điểm cuối đang thích nghi để cung cấp bảo vệ cho các điểm cuối di động như máy tính xách tay, điện thoại thông minh và máy tính bảng bên cạnh các điểm cuối truyền thống hơn như máy chủ và máy tính để bàn. Bằng cách tạo và thực thi các quy tắc cho điểm cuối, các giải pháp bảo vệ điểm cuối có thể xác định dữ liệu nhạy cảm và mã hóa dữ liệu hoặc chặn sao chép hoặc chuyển một số tệp hoặc dữ liệu nhạy cảm dựa trên phân loại doanh nghiệp.
Các giải pháp bảo vệ điểm cuối thường bao gồm các chức năng kiểm soát truy cập mạng. Về cơ bản, chúng mô tả các quy trình và giao thức khác nhau được sử dụng để ngăn chặn truy cập trái phép vào mạng doanh nghiệp cũng như dữ liệu nhạy cảm có trong mạng hoặc trên các điểm cuối được kết nối. Bảo vệ điểm cuối thường đánh giá điểm cuối trước khi cho phép truy cập, chẳng hạn như hệ điều hành, trình duyệt và các ứng dụng khác, đảm bảo rằng chúng được cập nhật và đáp ứng các tiêu chuẩn bảo mật doanh nghiệp đã xác định trước khi điểm cuối (như thiết bị di động) được cấp quyền truy cập . Khi làm như vậy, bảo vệ điểm cuối ngăn chặn việc lộ ra các lỗ hổng bảo mật thông qua các thiết bị không tuân theo các quy tắc bảo mật được xác định trước.
Bảo vệ điểm cuối trong môi trường doanh nghiệp được quản lý tập trung, thông qua một máy chủ quản trị trung tâm quản lý và giám sát các điểm cuối được kết nối với mạng doanh nghiệp. Trong môi trường tiêu dùng, bảo vệ điểm cuối có thể được sử dụng để mô tả phần mềm chống vi-rút và các giải pháp bảo mật khác, được quản lý và giám sát trên các điểm cuối riêng lẻ, vì thường không cần quản trị trung tâm.
Bảo vệ điểm cuối là rất quan trọng trong việc mở rộng vành đai bảo mật của doanh nghiệp
Sự trỗi dậy của BYOD và việc sử dụng các thiết bị lưu trữ bên ngoài đã tạo ra một vành đai bảo mật luôn thay đổi cho các tổ chức hiện đại mà gần như không thể xác định được. Với một loạt các điểm cuối có khả năng kết nối với mạng doanh nghiệp tại bất kỳ thời điểm nào, khả năng hiển thị và kiểm soát lớn hơn là cần thiết. Điểm cuối là điểm truy cập chung cho phần mềm độc hại và các cuộc tấn công khác, vì chúng cung cấp một điểm truy cập dễ dàng vào các mạng vi phạm và thỏa hiệp hoặc đánh cắp dữ liệu nhạy cảm.
Nếu không có bảo vệ điểm cuối đầy đủ, doanh nghiệp sẽ mất quyền kiểm soát dữ liệu nhạy cảm ngay khi được sao chép vào thiết bị bên ngoài hoặc truy cập mạng thời điểm có được thông qua điểm cuối không bảo mật. Bảo vệ điểm cuối là một thành phần quan trọng của bảo mật doanh nghiệp hiện đại, bổ sung các giải pháp bảo mật khác để cung cấp bảo vệ cho dữ liệu có thể dễ dàng thoát khỏi sự kiểm soát của công ty.
Symantec Endpoint Protection
Giải pháp bảo mật điểm cuối hàng đầu thế giới với việc ngăn chặn, phát hiện và phản ứng trước các cuộc tấn công.
Symantec Endpoint Protection bảo vệ 175 triệu điểm cuối trên khắp thế giới. Chỉ Symantec mới có thể bảo mật các điểm cuối của bạn thông qua một tác nhân duy nhất để:
Đánh bại các ransomware và các cuộc tấn công chưa biết với sự bảo vệ nhiều lớp.
Tối đa hóa bảo vệ và giảm thiểu sai sót với phân tích hành vi và học máy (machine learning) tiên tiến.
Chặn các cuộc tấn công zero-day.
Tinh chỉnh các công cụ phát hiện của bạn một cách nhanh chóng để tối ưu hóa tư thế bảo mật của bạn.
Một cuộc tấn công ransomware đã nhắc nhở tôi về những bài học rất giá trị mà mọi tổ chức cần phải kết hợp.
Đầu năm nay, khi một giám đốc điều hành tại một bệnh viện gọi là nhóm Incident Response (IR) của chúng tôi, anh ta vẫn chưa nhận ra rằng tổ chức của mình đang đối mặt với một cuộc tấn công ransomware đang hoạt động. Symantec Endpoint Protection (SEP) và nhóm nội bộ của anh ta đã đánh dấu là đáng ngờ một số dữ liệu được đánh dấu bằng tên tệp gồm bốn chữ cái, anh ta giải thích và nhiều lần thử để xóa nó đã thất bại.
Anh nói cho tôi biết tên tập tin và trái tim tôi thắt lại. Chưa đầy một tuần trước, tôi đã thấy một nửa tá công ty trong các ngành công nghiệp khác nhau trở thành nạn nhân của các tập tin ransomware bao gồm bốn chữ cái giống nhau. Tuy nhiên, trong trường hợp này, phần lớn là do giám đốc điều hành đã liên hệ với nhóm ứng phó sự cố của chúng tôi ngay lập tức, chúng tôi đã thành công trong việc ngăn chặn cuộc tấn công trong khi nó đang được tiến hành.
Tôi đã khuyên nên tắt Internet tạm thời và triển khai Symantec Endpoint Protection 15, dựa trên nền tảng đám mây Symantec, giúp định vị nhanh chóng và dễ dàng các máy chủ và các mối đe dọa. Họ là những hacker không xác định, hoạt động ở Nam Mỹ và chúng tôi đã loại bỏ chúng trước khi họ có thể truy cập hoặc mã hóa bất kỳ tập tin hoặc bản sao lưu nào của bệnh viện. Nếu giám đốc điều hành do dự trong việc cảnh báo chúng tôi, hậu quả đối với công ty của anh ta có thể đã tàn phá, đặc biệt khi xem xét rằng ransomware được coi là vi phạm HIPAA và các công ty bị phạt nặng vì những vi phạm đó.
Thật vậy, ngay cả sau khi nhóm của chúng tôi đã thử nghiệm và đưa ra một hệ thống bảo vệ điểm cuối mới cho bệnh viện, việc tuân thủ HIPAA yêu cầu luật sư của mình chạy kiểm tra toàn bộ đĩa trên hàng chục máy trạm của bệnh viện, tiêu tốn 9 tháng làm việc. Tôi biết về một công ty có vị trí tương tự đã thất bại trong cuộc tấn công mạng không được đề cập.
Nó đã gần ba tháng kể từ khi sự cố này xảy ra, và khi tôi suy nghĩ về nó, tôi đã bị tấn công bởi cách nó chứng minh ba cách thực hành tốt nhất của Symantec đối với an ninh mạng:
Có kế hoạch ứng phó sự cố chi tiết và chủ động kiểm tra. Chưa đầy hai tuần trước cuộc tấn công ransomware đã cố gắng, bệnh viện đã thực hiện kế hoạch luyện tập ứng phó sự cố trong một cuộc tập trận. Tôi tự tin rằng giải thích một phần lý do tại sao giám đốc điều hành mà tôi đã giải quyết vừa nhanh nhẹn vừa thông thạo trong việc đối phó với mối đe dọa. Ngoài ra, đảm bảo rằng doanh nghiệp của bạn có sẵn nhiều bản sao, cũng như các bản sao lưu cập nhật của tất cả dữ liệu, được lưu trữ ngoại tuyến.
Đầu tư vào các công cụ phòng thủ tốt nhất. Là khách hàng của Symantec, bệnh viện được hưởng lợi từ sự tham gia của cả đội giám sát mối đe dọa và đội ứng phó sự cố. Như Symantec đã quan sát trong Báo cáo bảo mật đe dọa Internet năm 2019, các công cụ phân mảnh không còn đủ và các nền tảng tích hợp là tương lai. Được cấp, không giống như phần mềm phân tán thông thường được thiết kế để phát hiện các lỗ hổng trên mạng, bộ sản phẩm và dịch vụ được hỗ trợ của chúng tôi không phải là miễn phí, nhưng nghiên cứu trường hợp này minh họa giá trị to lớn mà doanh nghiệp đạt được khi hợp tác với chúng tôi. Trong năm năm làm người phản ứng sự cố chính của Symantec, tôi đã thấy vô số ví dụ khác về cách bảo vệ mà chúng tôi chi trả cho khách hàng vượt xa chi phí.
Khi chuông báo thức bắt đầu reo. đừng ngại gọi giúp đỡ. Cho rằng tội phạm mạng bị kỳ thị rất cao (và đặc biệt là ransomware), điều đó hoàn toàn dễ hiểu khi các doanh nghiệp có ý thức thương hiệu thường xem nhẹ sự tiếp xúc của họ với các cuộc xâm nhập trực tuyến. Nhưng trong hơn 20 năm hoạt động trong lĩnh vực bảo mật, tôi đã học được nó, luôn luôn tốt hơn để an toàn hơn là xin lỗi. Một người phản ứng sự cố dày dạn sẽ không có thời gian cũng như không quan tâm đến việc chỉ trích doanh nghiệp của bạn vì đã trở thành nạn nhân của một cuộc tấn công. Công việc của chúng tôi là nói chuyện với bạn về tình huống, chống lại cuộc tấn công và hỗ trợ bạn trong việc đưa doanh nghiệp trở lại đúng hướng.
Một lưu ý cuối cùng ở đây về các xu hướng mà chúng tôi thấy trong ransomware: Cho đến năm 2017, người tiêu dùng là người chịu ảnh hưởng nặng nề nhất, nhưng sự cân bằng đã nghiêng về phía các doanh nghiệp. Theo ISTR gần đây nhất của chúng tôi, năm 2018, sự thay đổi đó đã tăng tốc và các doanh nghiệp chiếm 81 phần trăm tất cả các trường hợp nhiễm ransomware.
Symantec đã đạt được hiệu quả cải thiện trong việc ngăn chặn ransomware, cả thông qua bảo vệ email nâng cao và phân tích hành vi và các công cụ máy học. Đây là những tiến bộ đáng kể, một số trong đó tôi đã triển khai để ngăn chặn mối đe dọa chống lại bệnh viện. Đó là một câu chuyện thành công thực sự, và một câu chuyện chứng minh giá trị của việc tiếp cận với các đội phản ứng sự cố như chúng ta từ rất sớm.
Symantec được các nhà đánh giá bên thứ ba đặt tên là một nhà lãnh đạo trong bảo mật email
Trong Symantec, chúng tôi từ lâu đã hiểu rằng email là phương tiện chính được tin tặc và các tội phạm mạng khác sử dụng để phân phối tất cả các dạng phần mềm độc hại, để lừa người dùng thực hiện các hành động không an toàn và thu thập dữ liệu nhạy cảm và kinh doanh. Chúng tôi xây dựng và cung cấp các biện pháp bảo vệ email mạnh mẽ và toàn diện nhất.
Giải pháp Bảo mật Email Symantec gần đây đã nhận được sự công nhận từ cả Tạp chí Forrester Research và SC. Trước đó chúng tôi đã viết về cách các giải pháp bảo mật email của chúng tôi đứng đầu trong thử nghiệm hiệu quả bảo mật gần đây từ SE Labs và Tolly, và chúng tôi cũng được đặt tên là người dẫn đầu trong báo cáo Quadrant Market Email Gateway Quadrant vào tháng 10 năm 2018.
Forrester đã đánh giá Symantec Email Security cùng với 11 giải pháp bảo mật email doanh nghiệp khác. Trong báo cáo của mình, nhóm The Forrester Wave ™: Enterprise Email Security, quý 2 năm 2019, công ty tư vấn và nghiên cứu thị trường đã xếp hạng hàng chục ứng cử viên sử dụng 32 tiêu chí riêng biệt và đặt tên Symantec là người dẫn đầu trong đánh giá.
If you’re looking for a solid cloud-based email security option, give Symantec a look.
Để đưa những phát hiện này vào một bối cảnh rộng lớn hơn, nó đáng để nhớ tại sao thể loại phòng thủ không gian mạng này phải là một phần trung tâm của mọi chiến lược an ninh mạng toàn diện. Hãy xem xét một số điểm dữ liệu từ 2019 Internet Security Threat Report (ISTR) của chúng tôi:
5,804 công ty mỗi tháng đã bị nhắm mục tiêu với các vụ lừa đảo thỏa thuận email doanh nghiệp (BEC) trong năm 2018
Email là phương thức phân phối chính cho ransomware trong năm 2018
Email lừa đảo phổ biến nhất cho các cuộc tấn công, vì chúng được sử dụng bởi 65% các nhóm tấn công được nhắm mục tiêu
Bởi vì chúng tôi đơn độc trong việc cung cấp công nghệ Email Threat Isolation (ETI), bảo vệ email của chúng tôi được cho là tốt nhất trong ngành. Các khả năng này tạo ra một thùng chứa cách ly để mở và chạy các phiên giữa người dùng và liên kết email, thường khởi chạy các trang web hoặc trang lừa đảo bị nghi ngờ lưu trữ ransomware. Theo cách đó, nếu một trang web nhắc người dùng về thông tin đăng nhập hoặc cố gắng tải xuống phần mềm độc hại, mối đe dọa sẽ được ngăn chặn và loại bỏ mà không gây ra tác hại gì.
Ngoài ra, chúng tôi là một trong những nhà cung cấp duy nhất giúp khách hàng tự động hóa các điều khiển xác thực người gửi như DMARC, SPF và DKIM. Được giới thiệu vào đầu năm nay, Email Fraud Protection giúp khắc phục các sự cố khi thực thi xác thực người gửi, chẳng hạn như hiển thị cho người gửi email (bao gồm cả dịch vụ của bên thứ 3), cập nhật thông tin người gửi và quản lý các kiểm soát này. Với giải pháp này, Symantec cung cấp khả năng hiển thị đầy đủ các nguồn email lừa đảo, tự động xác định người gửi bên thứ 3 và đơn giản hóa rất nhiều việc bảo trì liên tục. Điều này đảm bảo rằng người dùng sẽ tin tưởng người gửi email, bảo vệ thương hiệu và giảm các cuộc tấn công giả mạo email.
Phát hiện và khắc phục mối đe dọa, ngăn ngừa mất dữ liệu và mã hóa email là một trong nhiều thế mạnh bảo mật email khác của chúng tôi. Tất nhiên, tất cả các giải pháp bảo mật email của chúng tôi đều được tích hợp chặt chẽ với danh mục đầy đủ các sản phẩm và dịch vụ bảo mật không gian mạng Symantec. Điều đó bao gồm mọi thứ, từ Bảo vệ Điểm cuối Symantec đến Bảo mật Web và Mạng của chúng tôi đến Bảo mật Ứng dụng Đám mây của chúng tôi. Đổi lại, tất cả các thành phần bảo mật mạng này đóng góp và hưởng lợi từ Mạng thông minh toàn cầu Symantec.
Tại Symantec, chúng tôi biết rằng các sản phẩm và công nghệ bảo mật email của chúng tôi phải liên tục đẩy mạnh với những tiến bộ và khả năng mới khi tính đa dạng, tinh vi của các mối đe dọa mạng tiếp tục tăng lên. Tuy nhiên, thật tốt khi biết rằng những nỗ lực của chúng tôi nhằm cung cấp các biện pháp bảo vệ email tốt nhất hiện có, vì Symantec tiếp tục nhận được các đánh giá độc lập hàng đầu và sự công nhận khác của ngành mà chúng tôi tin rằng xác nhận vị trí dẫn đầu thị trường về bảo mật email.
