Mã độc (malware), còn gọi chung là virus máy tính, từ lâu đã là mố́i nguy hiểm luôn rình rập người dùng máy tính. Đối với các doanh nghiệp, tổ chức, mố́i nguy này càng lớn hơn khi các thông tin quan trọng, nhạy cảm của cả tô chức có thê bị mất mát, lộ lọt bất cứ lúc nào bởi mã độc nằm trong một máy tính nào đó trong mạng.
1. Các loại Mã độc (malware) phổ biến
Để có thể tồn tại, hoạt động, các dòng mã động đã liên tục biển đổi, ngày càng trở lên tinh vi, khó bị phát hiện. Điều này đặt ra thách thức không nhỏ đối với các giải pháp phòng chống mã độc truyền thống, những phần mềm vốn chỉ tập trung nhận diện theo các mẫu đã biết (Signatures) hay dựa vào số nhỏ những hành vi đặc trưng cụ thể. Thực tế ngay lúc này vẫn đang có rất nhiều dòng mã độc âm thầm thực hiện các hành vi độc hại mà không bị phát hiện bởi bất cứ phần mềm diệt virus truyền thống nào. Không chỉ có vậy, ngay cả với những trường hợp mã độc có thể nhận diện được, thì cách xử lý thông thường của các chương trình diệt virus là cách ly/xóa tệp, những yêu cầu về điều tra nguyên nhân, hạn chế khả năng lây nhiễm trở lại, lại là những thách thức khác đối với những giải pháp phòng chống mã độc này.
2. Giải pháp CyRadar EDR
CyRadar EDR (CyRadar Endpoint Detection and Response) là giải pháp tổng thể phòng chống mã độc thế hệ mới có khả năng giám sát hệ thống, dự báo sớm, phát hiện các mối nguy, từ đó cảnh báo và xử lý phù hợp; đồng thời lưu trữ, xâu chuối và hệ thống toàn bộ các thông tin về các sự kiện liên quan để có thể điều tra, xác định con đường lây nhiễm.
CyRadar EDR ứng dụng những công nghệ mới như: Big Data, Machine Learning, Sandbox… hoạt động theo mô hình client/server, quản lý tập trung thống nhất. Sử dụng một Server đặt tại trụ sở chính. Các máy trạm sẽ cài CyRadar EDR Endpoint và kết nối với máy chủ tập trung.
CyRadar EDR Server
CyRadar EDR Server quản lý tập trung, phân tích dữ liệu để đưa ra các cảnh báo, chính sách xử lý điều tra và ra lệnh cho các CyRadar EDR Endpoint thực thi. CyRadar EDR Server thống kê báo cáo về toàn bộ tình hình lây nhiễm mã độc, phương án và các nhật ký, giúp người quản trị mạng có cái nhìn tổng quan về tình trạng lây nhiễm mã độc của hệ thống.
CyRadar EDR Endpoint
CyRadar EDR Endpoint trên máy trạm sẽ tự động phát hiện và xử lý (Auto Protect) các các loại mã độc như trojan, spyware, adware ngay khi chúng xâm nhập vào máy tính. Xử lý toàn bộ các mã độc lây lan qua USB, qua web, qua chia sẻ thư mục, mã độc lây qua lỗ hổng của phần mềm cũng như các trojan. Gửi báo cáo tình hình xử lý về cho CyRadar EDR Server.
Hiện nay, trên thị trường có nhiều giải pháp bảo mật, nhưng CyRadar EDR có những ưu điểm vượt trội so với các đối thủ khác.
Giải pháp antivirus truyền thống chỉ có thể nhận diện mã độc chủ yếu dựa trên bộ Signature Files và chỉ phát hiện các dòng mã độc đã biết. Antivirus mới bảo vệ được máy tính một cách cơ bản theo cơ chế cách ly, xóa file. Một hạn chế nữa của phần mềm này là chỉ có thông tin riêng lẻ về file mã độc và hoạt động thụ động, phát hiện chỉ khi mã độc xuất hiện.
Ngược lại CyRadar EDR có thể phát hiện mã độc dựa trên cả Signatures và công nghệ nhận diện thông minh. Đồng thời phát hiện được tất cả các loại mã độc, bao gồm cả mã độc mới, APTs, mã độc Fileless… Giải pháp của CyRadar có thể thực hiện cả quy trình: phát hiện, ngăn chặn, khắc phục. CyRadar EDR chứa đầy đủ thông tin về mã độc đã được xâu chuỗi, phục vụ điều tra truy vết. Bên cạnh đó liên tục giám sát tất cả các tiến trình để phát hiện sớm nguy cơ lây nhiễm mã độc.
3. Phương thức hoạt động
CyRadar EDR triển khai theo mô hình quản lý tập trung Client/ Server. Các CyRadar EDR Endpoint đặt ở các máy trạm (Client) kết nối tới một vài máy chủ quản trị tập trung. Các mô đun liên quan đến lưu trữ, phân tích dữ liệu kể trên sẽ vừa đặt máy trạm, vừa có phần đặt trên máy chủ để có thể tổng hợp phân tích dữ liệu lớn, giúp bao quát, phát hiện sớm các nguy cơ trong toàn mạng.
Hệ thống bao gồm các thành phần chính:
Phát hiện
Tổng hợp các mô đun nhỏ nhằm phục vụ việc giám sát, dự báo, phát hiện sớm các nguy cơ.
Xử lý
Căn cứ vào kết quả phân tích, chương trình thực hiện xử lý phù hợp và toàn vẹn (cảnh báo, ngăn chặn, cách ly, gỡ bỏ). Bước gỡ bỏ sẽ thực hiện triệt để, loại bỏ hoàn toàn khỏi máy các tàn dư của mã độc (xóa file, thành phần khởi động, registry…).
Điều tra
Tổng hợp, xâu chuỗi các thông tin sự kiện liên quan, đưa ra trực quan các luồng sự kiện, giúp người dùng dễ dàng xác định con đường lây nhiễm cũng như thời điểm mã độc vào máy.
5. Tính năng nổi bật
Ngoài việc nhận diện và xử lý virus theo mẫu nhận diện (signatures) CyRadar EDR áp dụng trí tuệ nhân tạp (AI), Malware Graph để phát hiện sớm các cuộc tấn công tinh vi (APT). Bên cạnh đó nhờ sử dụng nhiều công nghệ hiện đại (Machine Learning, Sandboxing,…), CyRadar EDR có khả năng hiển thị thông tin toàn bộ thiết bị đầu cuối giúp phản ứng nhanh, sớm phát hiện các mối nguy và nhanh chóng thực hiện các bước phân tích, xử lý gỡ bỏ mã độc hoàn toàn ra khỏi máy tính. Hệ thống có thể tổng hợp, xâu chuỗi các thông tin sự kiện liên quan, đưa ra trực quan các luồng sự kiện, giúp người dùng dễ dàng xác định con đường lây nhiễm cũng như thời điểm mã độc vào máy. Giúp quản trị dễ dàng xử lý các sự cố an toàn thông tin. Đặc biệt tổng đài dịch vụ Chăm sóc khách hàng và Hỗ trợ kỹ thuật hoạt động 24/7, đảm bảo luôn sẵn sàng hỗ trợ khi có sự cố xảy ra. Ngoài ra còn báo cáo định kỳ, theo sự kiện hoặc báo cáo về các rủi ro chuyên sâu của hệ thống.
Báo cáo định kỳ, theo sự kiện hoặc báo cáo về các rủi ro chuyên sâu của hệ thống.
Theo CyRadar