Tổng quan về EDR

EDR là gì?​

EDR (Endpoint Detection and Response) được dùng để chỉ một loại giải pháp bảo vệ an ninh điểm cuối. Nó ghi lại hành vi trên các điểm cuối, phân tích dữ liệu và phát hiện dựa trên ngữ cảnh để phát hiện các hoạt động bất thường và độc hại, đồng thời ghi lại dữ liệu về các hoạt động độc hại được phát hiện, giúp nhóm bảo mật điều tra và ứng phó với các sự kiện bảo mật. Điểm cuối có thể là PC hoặc máy tính xách tay của nhân viên, máy chủ, hệ thống đám mây, thiết bị di động, thiết bị Internet of Things (IoT) hoặc tương tự. Các giải pháp EDR thường cung cấp các chức năng săn lùng, phát hiện, phân tích và ứng phó với mối đe dọa.

EDR hoạt động như thế nào?​

Mặc dù các giải pháp EDR khác nhau tùy theo nhà cung cấp, nhưng một giải pháp EDR điển hình bao gồm năm bước sau:

1. Liên tục thu thập dữ liệu điểm cuối

Hầu hết các giải pháp EDR đều thu thập dữ liệu bằng cách cài đặt các công cụ hoặc tác nhân thu thập dữ liệu (agent) trên mỗi điểm cuối. Dữ liệu được thu thập bao gồm thông tin đăng nhập, các process được tạo/đang chạy, nhật ký truy cập thư mục/tệp và thông tin yêu cầu DNS, đồng thời chúng được lưu trữ trong cơ sở dữ liệu trung tâm.

2. Phân tích và phát hiện các mối đe dọa trong thời gian thực

Đám mây liên kết và khớp dữ liệu được thu thập bởi các công cụ hoặc tác nhân thu thập dữ liệu (agent) với dữ liệu trong cơ sở dữ liệu mối đe dọa trong thời gian thực để xác định các mối đe dọa đã biết. Các công nghệ như thuật toán phát hiện thông minh, Phân tích hành vi người dùng và thực thể (UEBA) cũng như phân tích tương quan sự kiện được sử dụng để xác định các hoạt động đáng ngờ cũng như các mối đe dọa chưa xác định hoặc biến thể.

3. Tự động phản ứng với các mối đe dọa

Dựa trên các quy tắc do nhóm bảo mật xác định trước hoặc học tập liên tục bằng thuật toán học máy, giải pháp EDR có thể tự động triển khai những điều sau:

• Nhắc nhở các nhóm bảo mật về các mối đe dọa cụ thể hoặc các hoạt động đáng ngờ.
• Phân loại hoặc ưu tiên các sự kiện dựa trên mức độ nghiêm trọng.
• Ngắt kết nối điểm cuối hoặc cách ly người dùng cuối khỏi mạng.
• Kết thúc process trên điểm cuối.
• Ngăn chặn các điểm cuối thực thi các tệp hoặc tệp đính kèm email đáng ngờ.
• Kích hoạt phần mềm chống mã độc để quét các điểm cuối khác trên mạng để phát hiện mối đe dọa tương tự.

Tất cả các phản hồi tự động này giúp nhóm bảo mật phản hồi nhanh hơn trước các sự kiện và mối đe dọa, giảm thiểu thiệt hại mạng do các mối đe dọa gây ra.

4. Thực hiện truy tìm nguồn gốc và xử lý chuyên sâu

Truy tìm nguồn và điều tra giúp các nhóm bảo mật xác định nguyên nhân gốc rễ của các mối đe dọa, xác định các tệp khác nhau bị ảnh hưởng bởi các mối đe dọa, theo dõi cách kẻ tấn công khai thác lỗ hổng để truy cập mạng và lấy thông tin xác thực danh tính cũng như xác định các hoạt động độc hại khác.
Với những thông tin như vậy, đội ngũ bảo mật có thể thực hiện xử lý chuyên sâu để loại bỏ các mối đe dọa:

• Xóa các tệp độc hại khỏi điểm cuối.
• Khôi phục cấu hình, cài đặt registry, dữ liệu và tệp ứng dụng bị hỏng.
• Áp dụng các bản cập nhật hoặc bản vá để loại bỏ các lỗ hổng.
• Cập nhật các quy tắc phát hiện để ngăn chặn các mối đe dọa tái diễn.

5. Hỗ trợ săn lùng mối đe dọa và tăng cường bảo mật

Săn lùng mối đe dọa và tăng cường bảo mật là các hoạt động bảo mật chủ động. Săn tìm mối đe dọa là một quá trình trong đó nhóm bảo mật trong một tổ chức tìm kiếm trên mạng các mối đe dọa chưa xác định hoặc các mối đe dọa đã biết mà các công cụ bảo mật mạng tự động của tổ chức chưa phát hiện hoặc khắc phục. Việc tìm kiếm mối đe dọa là cần thiết vì các mối đe dọa nâng cao có thể đã ẩn nấp và thu thập thông tin hệ thống cũng như thông tin xác thực của người dùng để xâm nhập quy mô lớn vài tháng trước khi chúng bị phát hiện.

Tăng cường bảo mật bao gồm vô hiệu hóa dịch vụ RDP, thay đổi mật khẩu, cung cấp đào tạo về bảo mật doanh nghiệp, vô hiệu hóa dịch vụ chia sẻ và cấu hình chính sách tường lửa. Việc săn lùng mối đe dọa và tăng cường bảo mật hiệu quả và kịp thời có thể giảm thời gian cần thiết để phát hiện và khắc phục các mối đe dọa này, đồng thời hạn chế hoặc tránh thiệt hại do các cuộc tấn công gây ra.

Làm thế nào để chọn giải pháp EDR phù hợp?​

Hiểu rõ các khả năng chính của EDR sẽ giúp bạn lựa chọn được giải pháp EDR phù hợp nhất cho tổ chức. Dưới đây là năm yếu tố cần xem xét:

1. Trực quan hóa thông tin thiết bị đầu cuối

Tự động xác định thông tin thiết bị đầu cuối, phát hiện trạng thái tài sản trong thời gian thực, đánh giá rủi ro tài sản trên toàn bộ mạng và theo dõi lịch sử các địa chỉ IP.

2. Nhận thức mối đe dọa toàn diện

Bao gồm tất cả các điểm thu thập và cung cấp các phương pháp phát hiện toàn diện để phát hiện các hành vi bất thường trong thời gian thực và triển khai trực quan hóa cuộc tấn công và truy xuất nguồn gốc.

3. Xác định mối đe dọa chính xác

Dựa trên cơ sở dữ liệu mối đe dọa, cập nhật thông tin về mối đe dọa theo thời gian thực và sử dụng nhiều công nghệ, chẳng hạn như thuật toán phát hiện thông minh, UEBA và phân tích tương quan sự kiện, để đạt được độ chính xác cao trong việc nhận dạng mối đe dọa.

4. Phản ứng nhanh với các mối đe dọa

Sau khi xác định mối đe dọa, nhanh chóng ngăn chặn các cuộc tấn công, chẳng hạn như tự động dừng hoặc ngắt kết nối máy chủ bị đe dọa khỏi các máy chủ khác và nhắc nhở người dùng xử lý mối đe dọa kịp thời để khôi phục dịch vụ nhanh chóng.

5. Chi phí thực hiện

Xem xét chi phí triển khai và vận hành EDR trong hệ thống doanh nghiệp của bạn và chọn giải pháp trên đám mây hoặc ngoài đám mây phù hợp.