Sophos XDR tích hợp các tính năng Trí tuệ nhân tạo (AI) trực tiếp trong nền tảng Sophos Central, nhằm hỗ trợ quản trị viên và đội ngũ SOC phân tích, điều tra và hiểu rõ sự cố bảo mật một cách nhanh chóng và chính xác hơn.

Các tính năng AI trong Sophos XDR được thiết kế để:

• Chuyển dữ liệu kỹ thuật phức tạp thành ngôn ngữ dễ hiểu
• Giảm thời gian điều tra sự cố
• Hỗ trợ cả người dùng không chuyên sâu về SOC/SQL
• Chuẩn hóa quá trình phân tích và báo cáo sự cố

Tài liệu này nhằm:

• Hướng dẫn sử dụng các tính năng AI trong Sophos XDR
• Đánh giá khả năng hỗ trợ vận hành bảo mật thực tế
• Giúp quản trị viên khai thác hiệu quả AI trong Sophos Central
• Làm tài liệu tham khảo cho vận hành, đào tạo và báo cáo

AI Search là tính năng cho phép tìm kiếm dữ liệu trong Sophos Data Lake bằng ngôn ngữ tự nhiên, không cần viết các câu truy vấn SQL.

AI Search có thể tìm kiếm:

• Detection (cảnh báo bảo mật)
• Dữ liệu endpoint
• Indicators of Compromise (IOC) như:
  • Địa chỉ IP
  • Tên người dùng
  • File
  • Hoạt động trên endpoint

A. Yêu cầu license
Để sử dụng AI Search, tài khoản phải có một trong các license sau:

• Sophos EDR
• Sophos XDR
• Sophos MDR

B. Giới hạn hệ điều hành

• Tìm kiếm Endpoint Data hiện chỉ hỗ trợ Windows devices

Đăng nhập Sophos Central → Threat Analysis Center → Chọn AI Search

Chọn loại dữ liệu cần tìm:

• Detections
• Endpoint Data (Windows only)

Người dùng có thể tìm kiếm theo hai cách:

Cách 1: Sử dụng truy vấn gợi ý

• Khi mở AI Search, hệ thống hiển thị các truy vấn gợi ý
• Nhấn chọn một truy vấn
• Có thể chỉnh sửa nội dung hoặc thêm khoảng thời gian (ví dụ: last 7 day)
• Nhấn Search để chạy truy vấn

AI Search sẽ tự động phân tích câu hỏi và truy vấn dữ liệu phù hợp trong Data Lake.

Cách 2: Nhập câu hỏi tùy chỉnh

• Nhập câu hỏi bằng ngôn ngữ tự nhiên, ví dụ:
  • Show detections where hostname = “PHONG-VACIF” in the last 7 days
• Nhấn Search

AI Search sẽ tự động phân tích câu hỏi và truy vấn dữ liệu phù hợp trong Data Lake.

• Kết quả hiển thị dạng bảng, tối đa 1.000 bản ghi
• Dữ liệu được lưu trữ:
  • 90 ngày (mặc định)
  • 1 năm nếu có license Central Data 1-Year Storage Pack
• Có thể:
  • Nhấn vào Detection Rule để xem chi tiết detection

Người dùng có thể xem Generated Query để tham khảo truy vấn SQL mà AI Search tạo ra.

Lưu truy vấn để sử dụng lại trong Live Discover

Xuất kết quả ra file CSV

Sao chép truy vấn SQL cho mục đích phân tích nâng cao

AI Assistant là trợ lý AI trung tâm trong Sophos Central, cho phép người dùng tương tác bằng hội thoại để hỗ trợ điều tra sự cố và threat hunting.

AI Assistant giúp người dùng phân tích dữ liệu bảo mật, hiểu ngữ cảnh sự cố và xác định hướng xử lý tiếp theo mà không cần thực hiện các thao tác thủ công phức tạp.

AI Assistant không tự động thực hiện hành động xử lý, mà đóng vai trò hỗ trợ phân tích, giải thích và định hướng điều tra.

Người dùng truy cập AI Assistant theo các bước sau:

1. Đăng nhập Sophos Central
2. Trên thanh menu, chọn AI
3. Chọn Assistant
4. Nhấn New để bắt đầu một phiên làm việc mới

Ngoài ra, khi đang điều tra một Case, người dùng có thể khởi động AI Assistant trực tiếp từ Threat Analysis → Cases → Ask Sophos AI.

Sau khi khởi động, người dùng nhập câu hỏi vào cửa sổ chat để tương tác với AI.
AI Assistant hỗ trợ hỏi–đáp nhiều lượt và ghi nhớ ngữ cảnh của phiên làm việc hiện tại.

Trong quá trình sử dụng, tùy theo mục đích, AI Assistant sẽ hoạt động dưới hai chế độ khác nhau:

Chọn Security Analyst

Hệ thống hiển thị danh sách các Case hiện có

• Bao gồm cả Sophos‑managed cases và Self‑managed cases

Nhấn chọn Case ID để bắt đầu phiên làm việc

Khi Case được chọn, AI Assistant sẽ tự động thu thập thông tin Case và Detection liên quan để xác định ngữ cảnh của phiên chat.

Tại trang chat, người dùng có thể nhập câu hỏi theo các cách sau:

• Chọn prompt có sẵn để tự động điền vào ô nhập (ví dụ: What actions can I perform?).
• Chỉnh sửa nội dung prompt trước khi gửi nếu cần.
• Nhập ký tự / để xem thêm danh sách prompt gợi ý.
• Nhập prompt tùy chỉnh bằng ngôn ngữ tự nhiên, ví dụ:
  Check for processes communicating with IP address 10.0.1.108 in the past 24 hours.
• Nhấn Send để gửi câu hỏi.

Khi phản hồi sẵn sàng, AI Assistant sẽ hiển thị kết quả trực tiếp trên trang chat và lưu phiên trò chuyện ở khung bên trái.

Người dùng có thể tiếp tục đặt câu hỏi trong cùng phiên chat để tinh chỉnh điều tra. AI Assistant ghi nhớ ngữ cảnh để trả lời chính xác các câu hỏi tiếp theo.

Để kết thúc, đóng trang Sophos AI hoặc chọn New để tạo phiên chat mới. Phiên cũ vẫn được lưu trong danh sách bên trái.

Threat Hunter Assistant được sử dụng cho threat hunting chủ động, cho phép tìm kiếm các tác nhân độc hại và Indicators of Compromise (IOC) trong dữ liệu Sophos Data Lake.
Assistant này không giới hạn trong một Case cụ thể và hỗ trợ mở rộng điều tra trong toàn bộ môi trường.

***Lưu ý: Threat Hunter Assistant chỉ hỗ trợ Self-managed threat cases.

Nhấn Threat Hunter để bắt đầu phiên threat hunting.

Tại trang chat, người dùng có thể nhập câu hỏi theo các cách sau:

• Nhấn chọn prompt có sẵn để tự động thêm vào ô nhập (ví dụ: What actions can I perform?).
• Chỉnh sửa nội dung prompt trong ô nhập nếu cần.
• Nhập ký tự / để xem thêm danh sách prompt gợi ý.
• Nhập prompt tùy chỉnh bằng ngôn ngữ tự nhiên, ví dụ:
  Check for processes communicating with IP address 10.0.1.108 on any endpoint in the past 24 hours.
• Nhấn Send để gửi câu hỏi.

Khi phản hồi sẵn sàng, AI Assistant sẽ hiển thị kết quả trên trang chat.
Phiên trò chuyện đồng thời được lưu và hiển thị trong danh sách bên trái.

Người dùng có thể tiếp tục nhập thêm prompt trong cùng phiên chat để tinh chỉnh quá trình hunting, ví dụ:

• Is that device online?
• Who was logged in at that time?

AI Assistant ghi nhớ các prompt trước đó trong phiên chat hiện tại để duy trì ngữ cảnh cho các câu hỏi tiếp theo.

Để kết thúc phiên, đóng trang Sophos AI hoặc nhấn New để bắt đầu phiên chat mới.
Phiên chat kết thúc sẽ được xóa khỏi trang hiển thị chính nhưng vẫn còn trong danh sách bên trái.

Chỉ người tạo hội thoại mới xem được nội dung chat. Các phản hồi được lưu vào Case Notebook sẽ hiển thị cho những admin có quyền truy cập Case đó. Người dùng có thể mở lại hoặc xóa các phiên hội thoại đã tạo.

AI Case Summary là tính năng AI trong Sophos Central giúp tự động tóm tắt nội dung của một Case bảo mật.

Tính năng này phân tích các detection liên quan để cung cấp cái nhìn tổng quan, giúp người dùng nhanh chóng hiểu được bản chất sự cố và hướng xử lý.

Cách sử dụng AI Case Summary

1. Đăng nhập Sophos Central
2. Vào Threat Analysis → Cases
3. Mở Case cần điều tra
4. Chọn AI Case Summary

Hệ thống sẽ tự động phân tích Case và tạo bản tóm tắt.

AI Case Summary thường bao gồm:

• Tổng quan sự cố: mô tả ngắn gọn những gì đã xảy ra
• Đối tượng liên quan: endpoint và user bị ảnh hưởng
• Chuỗi detection: các sự kiện chính trong Case
• MITRE ATT&CK: tactics và techniques được xác định (nếu có)
• Gợi ý bước tiếp theo: hướng điều tra hoặc xử lý bổ sung

AI Command Analysis là tính năng AI dùng để phân tích các command line nghi vấn trong detection.

Tính năng này giúp xác định mục đích thực thi, hành vi của command và đánh giá tác động tiềm ẩn đối với hệ thống. Trong trường hợp command bị obfuscate, hệ thống có thể tự động giải mã để hỗ trợ phân tích.

Cách sử dụng AI Command Analysis

1. Mở Threat Analysis → Cases hoặc Detections
2. Chọn detection cần phân tích
3. Tại phần Command Line, chọn AI Command Analysis

AI sẽ tự động phân tích command và hiển thị kết quả.

AI Command Analysis thường hiển thị:

• Giải thích command bằng ngôn ngữ tự nhiên
• Nội dung command đã được giải mã (nếu có)
• Các hành vi chính của command (tải file, thực thi, kết nối mạng…)
• Đánh giá tác động bảo mật tiềm ẩn đối với hệ thống

Các tính năng AI trong Sophos XDR đóng vai trò hỗ trợ mạnh mẽ cho quá trình điều tra và phân tích sự cố bảo mật, giúp:

• Rút ngắn thời gian nắm bắt sự cố
• Giảm thao tác thủ công và đọc log phức tạp
• Chuẩn hóa cách phân tích giữa các thành viên trong đội vận hành
• Hỗ trợ tốt cho cả người mới lẫn người có kinh nghiệm

Khi được sử dụng đúng cách và thường xuyên, AI trong Sophos XDR giúp nâng cao hiệu quả vận hành bảo mật, đồng thời giảm áp lực cho đội IT và SOC trong việc xử lý các mối đe dọa ngày càng phức tạp.

Sophos Account Health Check là một tính năng được tích hợp trong nền tảng Sophos Central, giúp quản trị viên nhanh chóng đánh giá và tối ưu tình trạng bảo mật tổng thể của các endpoint và server đang được bảo vệ bởi Sophos.

Các giải pháp bảo mật endpoint và server của Sophos (như Sophos Intercept X và Sophos Intercept X for Server) bao gồm nhiều công nghệ phòng chống mối đe dọa tinh vi. Tuy nhiên, để các công nghệ này hoạt động hiệu quả nhất, hệ thống cần được cấu hình và triển khai đúng cách. Account Health Check được thiết kế để hỗ trợ mục tiêu này.

Tính năng này có sẵn cho tất cả khách hàng đang quản lý bảo mật endpoint và server thông qua Sophos Central.

Sophos Account Health Check giúp:

• Phát hiện nhanh các vấn đề cấu hình ảnh hưởng đến mức độ an toàn của hệ thống
• Đảm bảo các thiết bị được gán phần mềm và chính sách phù hợp
• Giảm thiểu các rủi ro tiềm ẩn do cấu hình sai hoặc vô tình tắt các tính năng bảo mật quan trọng
• Hỗ trợ quản trị viên duy trì môi trường bảo mật “healthy” theo khuyến nghị của Sophos

Các hạng mục kiểm tra chính:

Account Health Check thực hiện các kiểm tra quan trọng sau:

1. Software Assignment
   • Kiểm tra các thiết bị đã được gán đầy đủ phần mềm bảo mật theo license hay chưa
2. Threat Protection Policy
   • Đánh giá xem các chính sách bảo vệ mối đe dọa có đang sử dụng thiết lập khuyến nghị của Sophos hay không
3. Exclusions
   • Phát hiện các exclusion có thể tạo ra lỗ hổng bảo mật nghiêm trọng
4. Tamper Protection
   • Kiểm tra xem tính năng Tamper Protection có bị tắt trên thiết bị hay ở mức global hay không

**Khuyến nghị: Sophos đề xuất khách hàng nên thực hiện Account Health Check ít nhất 3 tháng một lần để duy trì môi trường bảo mật tối ưu.

Để truy cập tính năng Account Health Check, thực hiện các bước sau:

1. Đăng nhập vào Sophos Central Admin
2. Trên thanh menu chính, chọn My Environment
3. Chọn Account Health Check

Sau khi truy cập, hệ thống sẽ hiển thị Account Health Check Dashboard, cung cấp cái nhìn tổng thể về mức độ “khỏe mạnh” của toàn bộ môi trường bảo mật Sophos đang triển khai.

Dashboard cung cấp các thông tin chính sau:

• Overall Health Score:
  Điểm sức khỏe tổng thể của tài khoản (thang điểm 0–100).

• Health Summary Chart:
  Biểu đồ hiển thị:
  • Good health (màu xanh)
  • Issues (màu vàng)
  • Snoozed issues (màu xám – các lỗi đã tạm hoãn xử lý)

• Xu hướng 4 tuần gần nhất:  
  Cho biết tình trạng bảo mật đang cải thiện hay suy giảm.

V Account Health Check được chia thành nhiều nhóm kiểm tra theo từng tính năng bảo mật. Mỗi nhóm hiển thị:

• Điểm tổng của nhóm
• Các kiểm tra chi tiết bên trong nhóm
• Trạng thái từng kiểm tra (100 = không có vấn đề )

Kiểm tra xem endpoint và server đã được cài đặt đầy đủ các thành phần bảo mật theo license hay chưa.

Nếu thiết bị thiếu thành phần bảo vệ, điểm số sẽ giảm tương ứng với tỷ lệ thiết bị không đạt

• Kiểm tra các Threat Protection Policy (Endpoint và Server)
• Đánh giá việc sử dụng:
  • Sophos Recommended Settings
  • Các cấu hình có thể làm giảm mức độ bảo vệ

Nếu chính sách không sử dụng cấu hình khuyến nghị, kiểm tra sẽ hiển thị cảnh báo và đề xuất khắc phục.

• Đánh giá các exclusion (loại trừ) đang áp dụng trong hệ thống
• Phát hiện các exclusion có nguy cơ:
  • Bỏ qua quá nhiều hành vi
  • Làm lộ endpoint trước các mối đe dọa nâng cao

Các exclusion không an toàn sẽ bị đánh dấu là Issue.

• Kiểm tra tình trạng Tamper Protection trên endpoint và server
• Điểm được tính dựa trên tỷ lệ thiết bị đang bật Tamper Protection

Nếu Tamper Protection:

• Bị tắt trên từng thiết bị → hiển thị danh sách thiết bị
• Bị tắt ở mức Global → yêu cầu bật lại trong Global Settings trước khi xử lý từng máy

• Nhấp vào check có điểm < 100
• Hệ thống hiển thị:
  • Nguyên nhân
  • Ảnh hưởng

Đối với một số kiểm tra, Sophos Central cho phép:

• Nhấn Fix automatically
• Hệ thống tự động cấu hình lại theo Sophos Recommended Settings

Tính năng này giúp giảm sai sót thao tác thủ công và đảm bảo tuân thủ best practice.

Snooze Issue cho phép tạm thời hoãn xử lý một cảnh báo trong Account Health Check khi chưa thể khắc phục ngay. Trong thời gian snooze, issue được đánh dấu màu xám (Snoozed) thay vì cảnh báo màu vàng.

• Tại issue có cảnh báo, chọn Snooze options

• Chọn Reason for snooze
• Nhập Comments (lý do/ghi chú)
• Nhấn Snooze

Sau khi snooze, trạng thái hiển thị Issue snoozed và health score chuyển sang màu xám.

• Sophos vẫn tiếp tục theo dõi issue trong thời gian snooze
• Nếu issue được khắc phục trong thời gian này, hệ thống tự động bỏ snooze
• Thời gian snooze tối đa là 6 tháng
• Hết 6 tháng mà chưa xử lý, issue sẽ tự động quay lại Warning (màu vàng)

• Edit Snooze: chỉnh sửa Reason hoặc Comments của issue đã snooze
• End Snooze: kết thúc snooze trước thời hạn; nếu issue chưa được khắc phục, trạng thái quay lại Warning

Quản trị viên có thể xuất báo cáo để lưu trữ hoặc gửi khách hàng:

• Vào My Environment > Account Health Check
• Nhấn biểu tượng Download

• Hệ thống tạo file PDF Report chứa:
  • Health Summary
  • Điểm từng nhóm bảo mật
  • Danh sách tất cả health check và ghi chú (nếu có)

Sophos Account Health Check là một công cụ đơn giản nhưng cực kỳ hiệu quả giúp quản trị viên:

• Kiểm soát tình trạng bảo mật tổng thể
• Phát hiện sớm các vấn đề cấu hình
• Duy trì môi trường endpoint & server an toàn theo chuẩn Sophos

Với việc kiểm tra định kỳ (3 tháng/lần), kết hợp cùng các chức năng mới như Click-to-Fix, Account Health Check đóng vai trò quan trọng trong việc nâng cao khả năng phòng thủ trước các mối đe dọa hiện đại.

Adaptive Attack Protection (AAP) là một cơ chế phòng thủ nâng cao của Sophos Endpoint, được thiết kế để đối phó với các cuộc tấn công “hands-on-keyboard”, khi kẻ tấn công đã xâm nhập và đang trực tiếp thao tác trên máy nạn nhân.

Không giống antivirus truyền thống hoặc cơ chế “block từng lệnh”, Adaptive Attack Protection hoạt động theo nguyên tắc: “Phân tích chuỗi hành vi tấn công và chủ động phá vỡ chuỗi đó trước khi attacker đạt được mục tiêu.”

AAP không chặn mọi thao tác ngay lập tức, mà:

• Cho phép một số hành động hợp lệ diễn ra
• Sau đó kích hoạt Disrupt mode khi nhận diện attacker thật sự
• Ngăn chặn các hành vi có giá trị tấn công như persistence, privilege abuse, remote access, post‑exploitation

• Hướng dẫn kiểm thử Adaptive Attack Protection đúng bản chất hoạt động
• Tránh hiểu sai rằng AAP phải “block mọi lệnh”
• Minh họa rõ:
  • Hành vi nào attacker vẫn thực hiện được
  • Hành vi nào bị Adaptive Attack Protection ngăn chặn hoặc làm vô hiệu
• Giúp quản trị viên hiểu đúng để demo, đào tạo hoặc đánh giá hệ thống

1. Đăng nhập Sophos Central Admin
2. Truy cập: Endpoint Protection → Policies → Threat Protection
3. Mở policy đang áp dụng cho endpoint
4. Đảm bảo mục Adaptive Attack Protection được bật với các tùy chọn sau:
   • Turn on extra protections automatically when a device is under attack
   • Block safe mode abuse
   • Enable protection in safe mode
   • Block devices from communicating with compromised IP addresses

Adaptive Attack Protection không luôn ở trạng thái active. Tính năng này chỉ được kích hoạt tự động khi Sophos phát hiện endpoint có dấu hiệu của một cuộc tấn công đang diễn ra. Khi đó, Sophos tạm thời harden endpoint để ngăn kẻ tấn công tiếp tục hoạt động.

Việc bật Adaptive Attack Protection thủ công không làm tăng mức phát hiện hay bảo vệ, mà chỉ dùng để harden thiết bị tạm thời trong quá trình điều tra hoặc giám sát.

Để kích hoạt Adaptive Attack Protection theo kịch bản kiểm thử, trên máy đã cài Sophos Endpoint, truy cập trang sophostest.com và chọn mục Adaptive Attack Protection trong phần Recommended Tests. Tại đây, tải gói kiểm thử về máy.

Sau khi tải xong, giải nén thư mục kiểm thử. Trong thư mục tải về sẽ xuất hiện các file thực thi, bao gồm sophostest-aap.exe và sophostest-aap-rule.exe

Thực thi file sophostest-aap.exe. Sau khi chạy file sophostest-aap.exe, Sophos Endpoint lập tức chặn thực thi và hiển thị cảnh báo Threat detected trên giao diện máy người dùng.

Thực hiện lệnh PowerShell với cơ chế bypass để mô phỏng hành vi attacker tải dữ liệu từ bên ngoài:

Ngay khi lệnh được thực thi, PowerShell trả về lỗi Access is denied, cho thấy thao tác đã bị chặn. Đồng thời, Sophos Endpoint Agent sinh cảnh báo Threat detected trên giao diện người dùng.

Trong popup thông báo, Sophos ghi nhận sự kiện Disrupt_7f (T1105) liên quan tới tiến trình powershell.exe, cho thấy hành vi PowerShell bị đánh giá là nguy hiểm và bị ngăn chặn.

Sau khi thực hiện kiểm thử hành vi PowerShell bất thường trên endpoint, Sophos Central ghi nhận sự kiện tương ứng trong mục Detections thuộc Threat Analysis Center.

Trong danh sách detections, sự kiện được hiển thị với mức độ High, loại Threat, và rule WIN‑PROT‑BEHAVIORAL‑MALWARE‑DISRUPT‑7F‑T1105, thuộc nhóm Command and Control.

Khi mở chi tiết detection, Sophos Central hiển thị thông tin cho thấy tiến trình powershell.exe (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe) đã thực thi lệnh tải nội dung từ mạng ngoài. Trường Process Command Line ghi nhận lệnh PowerShell sử dụng ExecutionPolicy Bypass và Invoke‑WebRequest, phản ánh chính xác hành vi PowerShell bất thường đã được thực hiện trên endpoint.

Sự kiện này được Sophos phân loại theo kỹ thuật T1105 (Ingress Tool Transfer), cho thấy nỗ lực sử dụng PowerShell để tải nội dung từ bên ngoài hệ thống đã bị phát hiện và xử lý ở mức độ hành vi.

Sau khi endpoint đã ở trong trạng thái bị giám sát, tiếp tục mô phỏng hành vi leo thang đặc quyền – kỹ thuật thường được attacker sử dụng để duy trì và mở rộng quyền kiểm soát hệ thống.

Thực hiện tạo một tài khoản cục bộ mới:

net user phongattack Password /add

Lệnh tạo user được Windows thực thi thành công. Tuy nhiên, khi attacker cố gắng thêm user này vào nhóm Administrators để chiếm quyền quản trị hệ thống:

net localgroup administrators phongattack /add

Hệ thống trả về lỗi Access is denied, cho thấy thao tác leo thang đặc quyền đã bị chặn. Đồng thời, Sophos Endpoint Agent ghi nhận hành vi này và phát sinh cảnh báo Disrupt_5a (T1136) liên quan đến kỹ thuật tạo tài khoản với mục đích leo thang đặc quyền.

Sau khi thực hiện kiểm thử hành vi leo thang đặc quyền trên endpoint, Sophos Central ghi nhận sự kiện tương ứng trong mục Detections thuộc Threat Analysis Center.

Trong danh sách detections, sự kiện được hiển thị với mức độ Medium, loại Threat, và rule WIN‑PROT‑BEHAVIORAL‑MALWARE‑DISRUPT‑5A‑T1136‑001.

Khi mở chi tiết detection, Sophos Central hiển thị thông tin cho thấy tiến trình C:\Windows\System32\net.exe đã thực hiện lệnh thêm tài khoản vào nhóm quản trị. Trường Process Command Line ghi nhận lệnh net localgroup administrators phongattack /add, phản ánh chính xác thao tác leo thang đặc quyền đã được thực hiện trên endpoint.

Sự kiện này được Sophos phân loại theo kỹ thuật T1136 (Create Account), cho thấy hành vi leo thang đặc quyền đã bị nhận diện và xử lý ở mức độ hành vi, ngay cả khi lệnh được thực thi bởi thành phần hệ thống hợp lệ

Trong một số kịch bản tấn công, attacker cố gắng cấu hình hệ thống khởi động vào Safe Mode với mục đích làm suy giảm hoặc né tránh các giải pháp bảo mật đang hoạt động. Để mô phỏng hành vi này, attacker sử dụng công cụ System Configuration (msconfig.exe) và bật tùy chọn Safe boot cho hệ điều hành hiện tại.

Khi thao tác áp dụng cấu hình Safe Mode được thực hiện, Sophos Endpoint phát hiện hành vi bất thường liên quan đến việc thay đổi cơ chế khởi động. Trên máy người dùng, Sophos Endpoint Agent hiển thị cảnh báo với thông báo Disrupt_4a (T1562.009) đối với tiến trình C:\Windows\System32\msconfig.exe, cho thấy hành vi lạm dụng Safe Mode đã bị nhận diện và ngăn chặn.

Kết quả là hệ thống không cho phép áp dụng cấu hình khởi động vào Safe Mode, đảm bảo các thành phần bảo mật vẫn hoạt động đầy đủ và attacker không thể sử dụng Safe Mode để bypass cơ chế bảo vệ.

Sau khi thực hiện kiểm thử hành vi lạm dụng Safe Mode trên endpoint, Sophos Central ghi nhận sự kiện tương ứng trong mục Detections thuộc Threat Analysis Center.

Trong danh sách detections, sự kiện được hiển thị với mức độ Medium, loại Threat, và rule WIN‑PROT‑BEHAVIORAL‑MALWARE‑DISRUPT‑4A‑T1562.009, phản ánh hành vi cố gắng làm suy yếu cơ chế bảo vệ hệ thống thông qua thay đổi cấu hình khởi động.

Khi mở chi tiết detection, Sophos Central hiển thị thông tin cho thấy tiến trình msconfig.exe (C:\Windows\System32\msconfig.exe) đã thực hiện thao tác thay đổi cấu hình boot. Trường Process Command Line ghi nhận trực tiếp việc gọi msconfig.exe, trong khi Parent Process Path là C:\Windows\System32\svchost.exe. Detection được ghi nhận trên endpoint PHONG‑VACIF và gắn với người dùng PHONG YANG LAKE.

Sophos phân loại hành vi này theo kỹ thuật T1562.009, cho thấy nỗ lực vô hiệu hóa hoặc né tránh các biện pháp bảo vệ thông qua Safe Mode đã bị phát hiện và xử lý ở mức độ hành vi

1. Truy cập: Endpoint → chọn thiết bị
2. Mở menu Actions
3. Các tùy chọn liên quan đến Adaptive Attack Protection:
   • Extend Adaptive Attack Protection
   • Turn off Adaptive Attack Protection

**Lưu ý: chỉ tắt Adaptive Attack Protection sau khi đã điều tra và xử lý xong sự cố.

Qua các kịch bản kiểm thử PowerShell bất thường, leo thang đặc quyền và Safe Mode abuse, có thể xác nhận Adaptive Attack Protection trên Sophos Endpoint đã hoạt động đúng. Các hành vi hậu khai thác quan trọng đều bị phát hiện và ghi log đầy đủ trên Sophos Central dưới dạng Behavioral Disrupt.

Adaptive Attack Protection không chặn từng lệnh riêng lẻ, mà tập trung ngăn attacker tiếp tục mở rộng và hoàn tất chuỗi tấn công, đồng thời cung cấp đầy đủ log phục vụ điều tra và xử lý sau sự cố.

Sophos XDR hỗ trợ tích hợp (Third‑Party Integrations) nhằm thu thập log và dữ liệu bảo mật từ các hệ thống không thuộc hệ sinh thái Sophos, thông qua API hoặc Syslog.
Dữ liệu sau khi thu thập được đồng bộ vào Sophos Data Lake và hiển thị tập trung trong Sophos Central – Threat Analysis Center.

Tài liệu này hướng dẫn chi tiết cách:

• Cấu hình Third‑Party Integration
• Triển khai Integration Appliance
• Thu thập log từ thiết bị bên thứ ba (ví dụ: Firewall, Identity, Cloud)
• Kiểm tra dữ liệu đã được đưa vào Sophos Data Lake

Tài liệu hướng dẫn nhằm đảm bảo người quản trị có thể:

• Cấu hình thu thập log từ các hệ thống bên thứ ba vào Sophos XDR
• Hợp nhất dữ liệu bảo mật từ nhiều nguồn trong một nền tảng quản lý tập trung
• Kiểm tra, theo dõi các sự kiện bảo mật phát sinh từ thiết bị không phải Sophos
• Vận hành và giám sát hệ thống sau khi tích hợp mà không ảnh hưởng đến hạ tầng hiện hữ

Truy cập: Threat Analysis Center → Integrations → Marketplace

Chọn giải pháp cần tích hợp Fortinet FortiGate

Chọn Add Configuration

1. Nhập thông tin cho integration:

• Integration Name: Fortinet-40F

2. Chọn Create new appliance và khai báo thông tin appliance:

• Appliance Name: Sophos-FGT-Collector
• Virtualization Platform: VMware ESXi

3. Cấu hình mạng cho appliance:

• DHCP: Tự động cấp phát IP
• Manual: Cấu hình thủ công (Tùy nhu cầu)

4. Cấu hình thông tin tiếp nhận syslog:

• Syslog IP version (IPv4 hoặc IPv6)
• Syslog IP address (địa chỉ appliance dùng để nhận log)

Protocol: UDP

** Lưu ý: protocol này phải trùng với cấu hình trên FortiGate

Click Save để hoàn tất tạo integration và appliance.

Sophos Central cung cấp thông tin đăng nhập để quản trị appliance, bao gồm:

• Username
• Password

Thông tin này chỉ hiển thị một lần, không thể xem lại sau đó (chỉ có thể reset mới)

Sau khi nhấn Save, đợi một lúc thì ta có thể download image để cài đặt cho VMWare

Đăng nhập vào giao diện VMware ESXi Web Client, chọn Virtual Machines và nhấn Create / Register VM.
Tại màn hình Select creation type, chọn Deploy a virtual machine from an OVF or OVA file và nhấn Next.

Nhập tên máy ảo, ví dụ Sophos Integration Appliance.
Tải lên file ndr-Sophos-FGT-Collector.ova, sau đó nhấn Next.

Chọn datastore phù hợp để lưu trữ máy ảo, ví dụ VM Storage 3, rồi tiếp tục Next

Tại màn hình Deployment options, thực hiện cấu hình network mapping và disk provisioning cho Sophos Appliance.

Card mạng được gán như sau:

Disk provisioning cấu hình ở chế độ Thin. Bật tùy chọn Power on automatically để appliance tự khởi động sau khi triển khai

Kiểm tra lại thông tin tại màn hình Ready to complete và nhấn Finish để bắt đầu import appliance.

Theo dõi tiến trình trong mục Recent tasks, đảm bảo tất cả các bước hoàn tất với trạng thái Completed successfully.

Tiến hành Power On máy ảo và theo dõi quá trình khởi động.

Khi quá trình cài đặt hoàn tất, hệ thống sẽ hiển thị bảng thông báo thông tin truy cập

Sử dụng địa chỉ IP được hiển thị để truy cập vào giao diện quản lý và đăng nhập bằng credential được Sophos Central cấp phía trên.

config log syslogd setting

set status enable

set server 172.31.31.22

set port 10514

set format cef

set facility user

end

config log syslogd filter

set severity information

set forward-traffic enable

set local-traffic enable

set anomaly enable

end

Truy cập giao diện Sophos Appliance Manager của Integration Appliance vừa tạo.

Tại tab Status, kiểm tra tình trạng tài nguyên hệ thống:

• CPU Usage
• Memory Usage
• HDD Root Usage
• HDD Data Usage

Các thông số nằm trong ngưỡng cho phép, xác nhận appliance hoạt động ổn định.

Tại tab Integrations, kiểm tra trạng thái Integration:

• Trạng thái hiển thị Running
• Các chỉ số Received và Filtered có giá trị > 0, xác nhận appliance đang nhận và xử lý dữ liệu từ thiết bị nguồn

Tại tab Advanced, kiểm tra trạng thái container:

• Các container liên quan đến syslog, collector và NDR đều ở trạng thái Running
• Không có container lỗi hoặc restart bất thường

Truy cập: Threat Analysis Center → Configured → Integration Appliances

Chọn Integration Appliance đã tạo và kiểm tra mục Telemetry Journey:

Data Collection – Integration Appliance
Input > 0
Output > 0

Data Processing – Sophos Central
Input có dữ liệu

Các chỉ số này xác nhận dữ liệu đã được thu thập từ Integration Appliance và gửi thành công về Sophos Central để xử lý.

Truy cập: Threat Analysis Center → Detections

Cấu hình bộ lọc: Vendor / Source: thiết bị đã tích hợp

Sophos Central hiển thị các sự kiện đã được phân tích và đánh giá.

Lưu ý: Sophos Central không hiển thị raw syslog, chỉ hiển thị các sự kiện có giá trị bảo mật.

Việc cấu hình Third‑Party Integrations cho Sophos XDR cho phép thu thập và quản lý log tập trung từ các hệ thống bên thứ ba thông qua Sophos Data Lake.
Khi hoàn tất cấu hình, quản trị viên có thể theo dõi và phân tích các sự kiện bảo mật phát sinh từ nhiều nguồn trên cùng một giao diện quản lý, giúp nâng cao khả năng giám sát và vận hành hệ thống.

Trong quá trình vận hành và sử dụng các sản phẩm bảo mật của Sophos, đôi khi người quản trị có thể gặp phải những sự cố hoặc tình huống cần được hỗ trợ chuyên sâu từ đội ngũ kỹ thuật của hãng. Để chẩn đoán chính xác nguyên nhân, Sophos thường yêu cầu người dùng thu thập và gửi bộ log hệ thống.

Thay vì phải thao tác trực tiếp trên từng thiết bị, Sophos đã cung cấp Sophos Diagnostic Utility (SDU) – một công cụ hỗ trợ tự động thu thập thông tin cần thiết. Khi được kích hoạt thông qua bảng điều khiển Sophos Central, SDU có thể chạy từ xa trên các thiết bị Windows, macOS hoặc Linux, tổng hợp log và gửi thẳng về hệ thống của Sophos.

Điều này giúp tiết kiệm thời gian, giảm thiểu sai sót khi thao tác thủ công, đồng thời mang lại sự thuận tiện cho cả quản trị viên lẫn đội ngũ hỗ trợ của Sophos trong quá trình xử lý sự cố.

Đăng nhập vào Sophos Central Admin.

Vào My Products -> chọn mục Endpoint hoặc mục Server, sau đó chọn thiết bị mà bạn muốn chạy công cụ SDU

Nhấp More actions → Diagnose.

Trong cửa sổ pop-up Diagnose, nhấp Run.

Sau đó kiểm tra trạng thái SDU

Ở cuối trang SUMMARY của thiết bị, bạn sẽ thấy:

• Status: Hiển thị công cụ SDU đang chạy hay không.
• Last Run: Hiển thị lệnh chạy công cụ đã được gửi đến thiết bị hay chưa.
• File Name: Hiển thị tên của tệp log chẩn đoán được tạo trên thiết bị và tải lên Sophos. Tên file bao gồm ID thiết bị và ngày hoặc timestamp.

Trạng thái khi SDU tool đang chạy

Trạng thái khi SDU tool hoàn tất. Sau đó bạn sẽ cần cung cấp File Name này để cung cấp cho Sophos Support

Khi công cụ SDU được sử dụng, hành động này sẽ được ghi lại trong Reports > General Logs > Audit Logs và sẽ hiển thị các cột sau:

• DATE: Ngày
• MODIFIED BY: Người thực hiện thay đổi
• ITEM TYPE: Loại mục
• ITEM MODIFIED: Mục đã thay đổi
• DESCRIPTION: Mô tả
• IP ADDRESS: Địa chỉ IP

Chúng tôi sẽ lưu trữ lệnh chạy Sophos Diagnostic Utility trong tối đa 14 ngày. Trong khoảng thời gian này, nếu thiết bị được bật, lệnh sẽ tự động chạy khi thiết bị giao tiếp với Sophos Central. Nếu thiết bị bị tắt lâu hơn 14 ngày, lệnh chạy SDU sẽ bị xóa.

Tệp .zip được tạo ra trong quá trình này sẽ được tải lên tên miền sophos.com qua giao thức HTTPS (cổng 443). Việc truy cập vào tên miền và cổng này đã được yêu cầu sẵn để cài đặt thành công, đăng ký và duy trì giao tiếp giữa thiết bị Sophos Central và Sophos Central Admin, như đã nêu chi tiết trong tài liệu:
Sophos Central Admin: Domains and ports to allow.

Do đó, bạn không cần thực hiện thêm thay đổi nào để việc tải log được thành công.

Trong quá trình triển khai và vận hành các sản phẩm bảo mật của Sophos, đôi khi chúng ta sẽ gặp phải những sự cố phức tạp như lỗi cài đặt, trục trặc khi update, hay vấn đề hiệu năng và xung đột với ứng dụng khác. Không phải lúc nào quản trị viên cũng có đủ dữ liệu để tự phân tích nguyên nhân.

Trong những trường hợp này, khi liên hệ với Sophos Support, đội ngũ kỹ thuật thường sẽ yêu cầu cung cấp log hệ thống để họ có thể phân tích chuyên sâu. Các log này chứa toàn bộ thông tin về cấu hình, hoạt động và lỗi phát sinh trên thiết bị hoặc phần mềm, giúp kỹ sư Sophos nhanh chóng khoanh vùng sự cố và đưa ra hướng xử lý chính xác.

Sophos Diagnostic Utility (SDU) là công cụ được Sophos cung cấp để hỗ trợ quá trình này. SDU cho phép quản trị viên dễ dàng thu thập đầy đủ log cần thiết chỉ trong vài thao tác, thay vì phải tìm kiếm thủ công ở nhiều vị trí khác nhau. Nhờ vậy, việc gửi log cho Sophos Support trở nên nhanh chóng, chính xác và tiết kiệm thời gian hơn.

Mở Sophos Endpoint Agent

Nhấn About ở góc phải dưới cùng

Nhấn Open Endpoint Self Help Tool

Nhấn Launch SDU

Chấp nhận thỏa thuận và nhấn Start

Quá trình đang diễn ra

Sau khi hoàn tất, công cụ hiển thị các nút:

• Exit: Thoát công cụ.
• View log: Xem chi tiết các file đã thu thập.
• Open folder: Mở thư mục chứa file sdu.log và các bản nén.
• Submit: Gửi log đã thu thập.

Ta nhấn Submit

Sau đó chọn Upload to Sophos và nhấn Submit lần nữa

• Upload to Sophos (khuyến nghị): Log sẽ được tải tự động lên Sophos. Công cụ sẽ hiện trạng thái và URL upload (URL này không thể truy cập trực tiếp, cần gửi cho Sophos Support).
• Submit manually in a browser: Mở trình duyệt đến trang gửi case online của Sophos, có thể mở case mới hoặc cập nhật case cũ. Tại đây có thể upload file log hoặc dán URL.

Rồi sao chép đường link được tạo ra và chia sẻ qua email. Lưu ý đường link này đã được sao chép vào clipboard

Sophos Endpoint 100 là gói bảo vệ thiết bị đầu cuối được thiết kế riêng cho doanh nghiệp vừa và nhỏ, mang toàn bộ sức mạnh của giải pháp bảo mật đạt giải thưởng quốc tế Sophos Endpoint vào một gói đơn giản, giá cố định. Với khả năng triển khai nhanh, quản lý dễ dàng và mức chi phí minh bạch, Sophos Endpoint 100 giúp doanh nghiệp rút ngắn thời gian ra quyết định, giảm thiểu rào cản đầu tư và tối ưu hiệu quả bảo vệ.

Tên gọi “Sophos Endpoint 100” thể hiện rõ đối tượng sử dụng: gói dịch vụ này phù hợp cho tổ chức có tối đa 100 nhân viên, cung cấp bảo mật toàn diện, đáng tin cậy và hỗ trợ dự đoán chi phí chính xác. Nếu quý doanh nghiệp đang tìm kiếm giải pháp bảo mật thiết bị đầu cuối nhanh chóng – đơn giản – hiệu quả, Sophos Endpoint 100 chính là lựa chọn lý tưởng để an tâm vận hành và phát triển.

• Phòng chống mã độc
• Bảo vệ thời gian thực
• Hỗ trợ đa nền tảng ( Windows/Mac)
• Bảo vệ truy cập Website, Quản lý thiết bị ngoại vi
• Phát hiện các luồng dữ liệu độc hại truy cập ra ngoài
• Phần mềm chống xâm nhập cho máy trạm ( HIPS )
• Tính năng chống thất thoát dữ liệu ( DLP )
• Kiểm tra việc tải dữ liệu, Phát hiện các luồng dữ liệu nguy hiểm
• Ngăn chặn tấn công khai thác từ hacker
• Chống virus mã hóa ransomware
• Phân tích nguyên nhân gốc của các tấn công
• Đồng bộ hóa với tường lửa để nâng cao khả năng tự động đáp trả, cách ly
• Quản trị qua Sophos Cloud

• Phòng chống mã độc công nghệ Trí tuệ nhân tạo Deep Learning
• Bảo vệ thời gian thực
• Hỗ trợ đa nền tảng ( Windows/Linux)
• Bảo vệ truy cập Website, Quản lý thiết bị ngoại vi, Quản lý ứng dụng
• Phát hiện các luồng dữ liệu độc hại truy cập ra ngoài
• Phần mềm chống xâm nhập cho máy chủ ( HIPS )
• Tính năng chống thất thoát dữ liệu ( DLP )
• Kiểm tra việc tải dữ liệu, Phát hiện các luồng dữ liệu nguy hiểm
• Ngăn chặn tấn công khai thác từ hacker
• Chống virus mã hóa ransomware
• Phân tích nguyên nhân gốc của các tấn công
• Đồng bộ hóa với tường lửa để nâng cao khả năng tự động đáp trả, cách ly
• Tính năng Server Lockdown, chỉ cho phép các ứng dụng thuộc danh sách định sẵn hoạt động
• Tính năng kiểm tra sự thay đổi file trên máy chủ File Integrity Monitoring
• Tính năng bảo vệ chủ động tích cực – Active Adversary Protection
• Quản trị qua Sophos Cloud

Với gói Sophos Endpoint 100 sẽ giúp quý khách luôn đi trước các cuộc tấn công ransomware, cùng khả năng tích hợp XDR và ​​MDR, Sophos sẽ bảo vệ doanh nghiệp khỏi các mối đe dọa hiện đại, đồng thời thúc đẩy chu kỳ bán hàng.

• Quý khách có thể tham khảo giải pháp Sophos Endpoint 100 ngay tại Website Sophos: tham khảo ngay tại đây hoặc liên hệ ngay cho VACIF để được tư vấn nhanh nhất!

• Sophos Endpoint từng đoạt giải thưởng, được công nhận là Nhà dẫn đầu trong Gartner Magic Quadrant 16 lần.

Một lỗ hổng trong giao thức HTTP/2, được đặt tên là “Rapid Reset,” đã gây ra các cuộc tấn công DDoS kỷ lục vào các máy chủ web trong vài tháng gần đây. Google, AWS và Cloudflare đã cùng tiết lộ về các cuộc tấn công và lỗ hổng này vào ngày hôm nay, nhưng lưu ý rằng mọi máy chủ web hiện đại đều còn tiềm năng mắc phải kỹ thuật tấn công này. Các nhà cung cấp máy chủ web và các dự án cũng đã thông báo các biện pháp hạn chế và kế hoạch vá lỗi.

Google cho biết các cuộc tấn công đã đạt đỉnh 398 triệu yêu cầu mỗi giây (rps), lớn hơn hơn năm lần so với kỷ lục trước đó được thiết lập vào tháng 2 năm 2023, và tạo ra lưu lượng web trong hai phút nhiều hơn lưu lượng truy cập mà Wikipedia nhận được trong cả tháng Tháng Chín. Cloudflare cho biết họ đã thấy cuộc tấn công đạt đỉnh hơn 201 triệu yêu cầu mỗi giây.

Google, AWS và Cloudflare cho biết họ đã khả năng hạn chế thiệt hại từ các cuộc tấn công. “Ban đầu, chúng tôi đã thấy tác động đối với lưu lượng của khách hàng, ảnh hưởng đến khoảng 1% yêu cầu trong lần tấn công ban đầu. Tuy nhiên, hôm nay, chúng tôi đã thể hiện sự hoàn thiện trong các biện pháp hạn chế của chúng tôi để ngăn chặn cuộc tấn công đối với bất kỳ khách hàng Cloudflare nào mà không ảnh hưởng đến hệ thống của chúng tôi,” Cloudflare cho biết.

Nội dung bài viết :

1. Giao thức HTTP/2 là?

HTTP/2 là một phiên bản cập nhật của giao thức HTTP (Hypertext Transfer Protocol), được thiết kế để cải thiện hiệu suất và tốc độ tải trang web. Nó là phiên bản kế nhiệm của HTTP/1.1 và đã được công bố là tiêu chuẩn vào năm 2015. Dưới đây là một số điểm quan trọng về giao thức HTTP/2:

• Tối ưu hóa tốc độ: Một trong những mục tiêu chính của HTTP/2 là tối ưu hóa tốc độ tải trang web. Nó sử dụng việc nén dữ liệu và đa luồng (multiplexing) để giúp tải trang web nhanh hơn và tiết kiệm băng thông.
• Đa luồng (Multiplexing): HTTP/2 cho phép nhiều yêu cầu và phản hồi được gửi trên cùng một kết nối mạng. Điều này giúp tận dụng tối đa khả năng sử dụng kết nối mạng và giảm thời gian tải trang.
• Nén Header: Giao thức HTTP/2 cho phép nén dữ liệu header của các yêu cầu và phản hồi. Điều này giúp giảm băng thông được sử dụng và tăng tốc độ tải trang.
• Ưu tiên luồng (Stream Prioritization): HTTP/2 cho phép ưu tiên hóa các yêu cầu, giúp trang web hiển thị nội dung quan trọng trước.
• Thích ứng với kết nối mạng: HTTP/2 làm việc tốt trên kết nối mạng không ổn định hoặc kết nối di động, giúp cải thiện trải nghiệm người dùng trên mọi loại thiết bị.
• Bảo mật: Mặc dù không bắt buộc, HTTP/2 thường được sử dụng kết hợp với SSL/TLS để mã hóa dữ liệu trên Internet, bảo vệ thông tin cá nhân và đảm bảo tính toàn vẹn dữ liệu.
• Hỗ trợ ngược (Backward Compatibility): HTTP/2 được thiết kế để làm việc với các trình duyệt và máy chủ web hiện có, điều này đồng nghĩa rằng các trang web vẫn có thể được truy cập bởi trình duyệt không hỗ trợ HTTP/2 mà không gặp vấn đề.

HTTP/2 đã giúp cải thiện tốc độ tải trang web và tối ưu hóa hiệu suất trực tuyến, và nó được sử dụng rộng rãi trên Internet ngày nay để cải thiện trải nghiệm người dùng và tiết kiệm tài nguyên mạng.

2. Cách hoạt động các cuộc tấn công “rapid reset” trong giao thức HTTP/2

Các cuộc tấn công “Rapid Reset” trong giao thức HTTP/2 hoạt động như sau:

Bước 1: Khởi tạo nhiều luồng (streams)

Kẻ tấn công mở một lượng lớn luồng cùng một lúc, giống như trong cuộc tấn công HTTP/2 tiêu chuẩn. Mục tiêu của việc này là tạo ra một số lượng lớn yêu cầu gửi đến máy chủ web đích.

Bước 2: Gửi yêu cầu

Sau khi mở các luồng, kẻ tấn công gửi yêu cầu HTTP thông qua từng luồng riêng lẻ. Điều này tạo ra một tải lượng yêu cầu đáng kể đối với máy chủ web.

Bước 3: Hủy bỏ yêu cầu

Ngay sau khi gửi mỗi yêu cầu, kẻ tấn công ngay lập tức hủy bỏ yêu cầu đó bằng cách sử dụng một khung RST_STREAM. Khung này cho phép kẻ tấn công thông báo cho máy chủ web rằng luồng đó đã bị hủy bỏ.

Bước 4: Lặp lại quy trình

Kẻ tấn công lặp lại quy trình này cho mỗi luồng và yêu cầu mà họ đã mở. Kết quả là một tải lượng lớn yêu cầu được gửi đến máy chủ web và sau đó ngay lập tức bị hủy bỏ.

Kết quả: Tạo bất kỳ lúc nào

Do tính chất của giao thức HTTP/2, yêu cầu bị hủy bỏ ngay lập tức, nhưng kết nối HTTP/2 vẫn được duy trì. Điều này tạo ra một tải lượng yêu cầu không xác định đang chờ xử lý trong kết nối, mà không còn phụ thuộc vào thời gian trễ đòi hỏi (RTT) mà chỉ phụ thuộc vào băng thông mạng có sẵn.

3. Phương pháp phòng chống tấn công

Các biện pháp ngăn chặn cuộc tấn công “Rapid Reset” trong giao thức HTTP/2 có thể được triển khai tại cả hai mặt của giao thức, cả ở phía máy chủ và tại mạng tường lửa. Dưới đây là các biện pháp chi tiết:

Tại Máy Chủ HTTP/2:

• Đóng kết nối vượt quá giới hạn luồng: Máy chủ HTTP/2 có thể cấu hình để đóng kết nối khi số lượng luồng vượt quá giới hạn cố định. Điều này ngăn chặn kẻ tấn công tạo ra quá nhiều luồng và yêu cầu, làm giảm khả năng tấn công.
• Giám sát thống kết nối: Máy chủ có thể theo dõi thống kê kết nối để xác định các kết nối có quá nhiều yêu cầu bị hủy bỏ. Nếu một kết nối được xác định có hành vi đáng ngờ, máy chủ có thể thực hiện biện pháp như đóng kết nối hoặc tắt luồng.
• Thực hiện các chiến lược tùy chỉnh: để xác định cách xử lý các kết nối và yêu cầu. Ví dụ, nếu một kết nối có quá nhiều yêu cầu bị hủy bỏ, máy chủ có thể tự động đóng kết nối hoặc thông báo cho tường lửa.
• Cập nhật triển khai máy chủ: Các triển khai máy chủ HTTP/2 có thể cải thiện khả năng chống cuộc tấn công bằng cách giảm thiểu công việc xử lý cho yêu cầu bị hủy bỏ. Các bản cập nhật máy chủ có thể giảm tải cho máy chủ khi xử lý các yêu cầu bị hủy bỏ.
• Cài phần mềm Endpoint : một số hãng nổi tiếng về security giúp bảo vệ máy chủ : Sophos, Kaspersky, AVG.

Thiết lập tường lửa hoặc endpoint một số tính năng sau :

• Cấu hình tường lửa: Tường lửa có thể cấu hình để theo dõi lưu lượng mạng và phát hiện các mẫu lưu lượng gian lận dựa trên quy tắc và chữ ký của cuộc tấn công “Rapid Reset”. Nếu tường lửa phát hiện các mẫu tấn công này, nó có thể ngăn chặn các yêu cầu từ đến máy chủ.
• Kiểm tra SSL/TLS kết nối: Một phần của cuộc tấn công “Rapid Reset” có thể sử dụng kết nối SSL/TLS. Tường lửa có thể kiểm tra nội dung của gói dữ liệu SSL/TLS để phát hiện các yêu cầu bị hủy bỏ và ngăn chặn chúng.
• Quản lý quyền truy cập: Tường lửa có thể quản lý quyền truy cập vào mạng dựa trên các nguyên tắc cụ thể. Nó có thể kiểm soát quyền truy cập của các máy chủ hoặc máy khách có khả năng gây ra cuộc tấn công.

Lưu ý rằng việc ngăn chặn cuộc tấn công “Rapid Reset” đòi hỏi sự hỗ trợ từ các nhà phát triển giao thức và triển khai máy chủ HTTP/2, cùng với việc thực hiện các biện pháp bảo mật phù hợp tại cả phía máy chủ và tường lửa. Tuy nhiên, việc kết hợp các biện pháp này có thể giúp bảo vệ mạng và máy chủ của bạn khỏi cuộc tấn công “Rapid Reset” trong giao thức HTTP/2.

Nếu bạn không giám sát lưu lượng mạng của mình, bạn có thể bỏ lỡ thông tin quan trọng có thể giúp bạn cải thiện tình hình bảo mật của mình. Giám sát mạng là việc phân tích dữ liệu từ các nguồn khác nhau để xác định các mối đe dọa hoặc lỗ hổng tiềm năng, và mục tiêu là phát hiện các cuộc tấn công trước khi chúng xảy ra.

Việc giám sát lưu lượng mạng của bạn là rất quan trọng để bảo vệ tổ chức của bạn khỏi các cuộc tấn công mạng. Ngoài việc phát hiện các hoạt động độc hại, Giám sát Mạng cũng giúp bạn quản lý cơ sở hạ tầng công nghệ thông tin của bạn một cách hiệu quả.

Mục lục :

1. Giám sát mạng là gì?

2. Giám sát mạng hoạt động như thế nào?

3. Các loại giải pháp giám sát mạng

4. Tại sao Giám sát mạng lại quan trọng?

5. Lợi ích hàng đầu của giám sát mạng

6. Chương trình giám sát mạng

Nội dung bài viết :

1. Giám sát mạng là gì?

Giám sát mạng là quá trình quan sát và phân tích một mạng máy tính. Các công cụ giám sát mạng được sử dụng để theo dõi các khía cạnh khác nhau của mạng máy tính, chẳng hạn như mô hình lưu lượng, tính sẵn có của dịch vụ, các chỉ số hiệu suất, v.v. Thuật ngữ “giám sát mạng” đề cập đến bất kỳ hoạt động nào theo dõi mạng máy tính để phát hiện xâm nhập hoặc các biểu hiện bất thường khác.

Một quản trị mạng sử dụng phần mềm giám sát mạng để thực hiện các nhiệm vụ quản lý mạng. Các nhiệm vụ này bao gồm:

• Phát hiện các vấn đề trong mạng
• Xác định các mối đe dọa tiềm năng
• Xác định xem một cuộc tấn công có đang diễn ra hay không
• Đánh giá tác động của cuộc tấn công
• Theo dõi các thay đổi trên mạng
• Phân tích xu hướng sử dụng
• Sao lưu các bản ghi (logs)
• Cảnh báo về hoạt động bất thường

2. Giám sát mạng hoạt động như thế nào?

Giám sát mạng liên quan đến việc sử dụng phần mềm để quan sát và phân tích hoạt động của các máy tính kết nối vào mạng. Phần mềm này ghi lại thông tin từ mỗi thiết bị, bao gồm hoạt động của nó, người nó giao tiếp với, và đích đến của nó. Quản trị mạng sau đó phân tích thông tin này để xác định xem có vấn đề nào tồn tại hay không.

Có hai loại chính của các giải pháp Giám sát Mạng: chế độ bám theo (passive) và chế độ hoạt động (active). Các giải pháp chế độ bám theo thu thập dữ liệu mà không can thiệp trực tiếp vào các thiết bị. Các giải pháp chế độ hoạt động sử dụng các bộ điều tra để giám sát mạng và gửi dữ liệu trở lại. Các giải pháp chế độ bám theo thường rẻ hơn so với chế độ hoạt động vì chúng không đòi hỏi phần cứng bổ sung . Chúng cũng can thiệp vào hoạt động bình thường của mạng.

3. Các loại giải pháp giám sát mạng

• Hệ thống phát hiện xâm nhập (IDS)
• Hệ thống ngăn chặn xâm nhập dựa trên máy chủ (HIPS)
• Máy chủ tường lửa/Proxy (Sophos)
• Tầng ứng dụng (Application layer gateways)
• Tường lửa ứng dụng web (Web application firewalls)
• Phân tích hành vi mạng (NBA – Network behavior analysis)
• Hệ thống quản lý nhật ký (Log management systems)
• Giám sát trải nghiệm người dùng (User experience monitoring)
• Giám sát hiệu suất (Performance monitoring)
• Quản lý sự kiện bảo mật (Security event management)
• Giám sát tích hợp tệp tin (File integrity monitoring)
• Bảo vệ khỏi phần mềm độc hại (Malware protection)

4. Tại sao Giám sát mạng lại quan trọng?

Các giải pháp giám sát mạng quan sát các mạng trong thời gian thực. Việc giảm thời gian phát hiện vấn đề là rất quan trọng trong việc khắc phục các vấn đề về hiệu suất. Bạn sẽ cũng biết về mọi vấn đề liên quan đến hiệu suất trên mạng của bạn, đặc biệt là những vấn đề không thể phát hiện bởi các nhóm quản trị mạng. Bạn nên cũng nắm rõ về mọi vấn đề về hiệu suất. Bạn nên nhận thấy bất kỳ vấn đề hiệu suất nào đang làm giảm hiệu suất của mạng của bạn.

Các loại phần mềm độc hại phổ biến bao gồm virus, spyware, adware, trojans, rootkits, dialers, keyloggers, worms, tiện ích mở rộng trình duyệt độc hại và phần mềm bảo mật giả mạo. Các trang web độc hại có thể cố gắng lừa người dùng để tải xuống các chương trình hoặc mở các tệp. Những chương trình này thường chứa mã độc hại có thể gây hỏng hệ thống hoạt động của máy tính, lấy thông tin cá nhân hoặc cho phép hacker truy cập vào tài khoản ngân hàng của bạn.

5. Lợi ích hàng đầu của giám sát mạng

Giám sát mạng cung cấp khả năng quan sát mạng của bạn, cho phép bạn xác định các mối đe dọa tiềm năng trước khi chúng xảy ra. Bạn có thể sử dụng thông tin này để thực hiện các biện pháp để giảm thiểu bất kỳ rủi ro nào có thể xuất hiện. Ví dụ, nếu có dấu hiệu cho thấy một cuộc tấn công đang diễn ra, bạn có thể tắt các dịch vụ bị ảnh hưởng cho đến khi an toàn để tiếp tục hoạt động.

5.1 Phát hiện sự xâm nhập trong thời gian thực

Giám sát mạng giúp phát hiện xâm nhập trong thời gian thực. Khi có mối đe dọa xảy ra, bạn có thể ngay lập tức phản ứng bằng cách thực hiện các biện pháp để ngăn chặn hoạt động độc hại. Giám sát cũng cho phép bạn xác định nguồn tấn công để xác định những biện pháp cần được thực hiện để bảo vệ khỏi các sự cố trong tương lai.

5.2 Giảm thời gian ngừng hoạt động bằng cách phát hiện sự cố trước khi chúng xảy ra

Sự gián đoạn do sự cố máy tính gây ra không chỉ tốn kém mà còn mất thời gian. Sử dụng công nghệ Giám sát mạng có thể giảm thiểu thời gian gián đoạn do sự cố máy tính gây ra. Nếu xảy ra vấn đề, bạn có thể nhanh chóng xác định nguyên nhân, khắc phục sự cố và khôi phục hoạt động càng sớm càng tốt.

5.3 Cải thiện hiệu suất và năng suất

Giám sát mạng cải thiện hiệu suất và năng suất bằng cách cung cấp khả năng nhìn thấy hoạt động kinh doanh của bạn. Bạn có thể dễ dàng xem xét nơi mà tài nguyên được sử dụng hiệu quả nhất thông qua các báo cáo chi tiết. Hơn nữa, bạn có thể giám sát mạng của mình 24/7 mà không cần kiểm tra từng thiết bị thủ công.

5.4 Bảo vệ tổ chức của bạn khỏi các cuộc tấn công mạng

Các việc xâm nhập vào hệ thống bảo mật mạng đã trở nên phổ biến hơn bao giờ hết. Các hacker mục tiêu đến các công ty hàng ngày, tìm kiếm các điểm yếu để tiến hành xâm nhập. Bằng cách sử dụng các công cụ Giám sát Mạng, bạn có thể xác định bất kỳ điểm yếu nào trong mạng của bạn, làm cho việc hacker tiến hành truy cập trái phép trở nên khó khăn hơn.

5.5 Kiểm soát tốt hơn hệ thống mạng của bạn

Với giám sát mạng, bạn có thể có kiểm soát tốt hơn đối với mạng của bạn. Bạn có thể xem lưu lượng trên mạng của bạn, theo dõi hoạt động của người dùng và thậm chí có thể chặn các địa chỉ IP cụ thể khỏi truy cập vào các dịch vụ cụ thể.

5.6 Giảm chi phí vận hành

Giám sát mạng giảm thiểu chi phí vận hành bằng cách giúp bạn phát hiện vấn đề trước khi chúng xảy ra. Ví dụ, nếu một nhân viên vô tình xóa các tệp quan trọng, bạn có thể ngay lập tức tìm hiểu người làm và thực hiện các biện pháp để ngăn chặn thêm hỏng hóc.

5.7 Ngăn ngừa mất dữ liệu do các cuộc tấn công độc hại

Giám sát Mạng giúp bảo vệ dữ liệu của bạn khỏi các cuộc tấn công độc hại. Khi một hacker truy cập mạng của bạn mà không được phép, họ có thể cố gắng lấy đi thông tin quý báu. Bạn cần đảm bảo rằng mạng của bạn luôn được cập nhật và an toàn. Phần mềm Giám sát Mạng cho phép bạn kiểm tra mạng của mình.

6. Chương trình giám sát mạng

Nhiều thương hiệu nổi tiếng thế giới như Sophos, kaspersky , AVG

Sophos nổi trội với nhiều giải pháp security toàn diện tạo nên một hệ sinh thái đa dạng và rất đáng tin cậy bao gồm : phần cứng thiết bị Sophos firewall , phần mềm Endpoint , giải pháp giám sát trong thời gian thực NDR, Sophos Central giải pháp trên Cloud nơi quản lý tập trung các giải pháp thiết bị trên.

Giải pháp bảo vệ theo thời gian thực của NDR Sophos

Mạng Wi-Fi không dây hiện nay đã trở thành một phần không thể thiếu trong hệ thống kết nối của doanh nghiệp, đem lại sự tiện lợi và linh hoạt cho cả nhân viên và khách hàng. Tuy nhiên, với sự tiến bộ không ngừng của công nghệ và sự gia tăng của làm việc từ xa trong môi trường kinh doanh, mạng Wi-Fi không dây cũng đã trở thành một mục tiêu quan trọng cho các cuộc tấn công và các vấn đề liên quan đến bảo mật.

Mục lục :

1. Mạng Wi-Fi không bảo mật tạo ra rủi ro như thế nào?

2. Các ví dụ về các mối đe dọa và rủi ro về bảo mật không dây

3. Top 10 biện pháp bảo mật WiFi cho doanh nghiệp

3.1 Sử dụng mạng riêng ảo (VPN)

3.2 Để đặt thiết bị Wi-Fi ở một vị trí an toàn

3.3 Hãy luôn cập nhật phần mềm

3.4 Sử dụng mật khẩu WiFi mạnh và phương pháp xác thực mạnh mẽ

3.5 Sử dụng tường lửa

3.6 Tách riêng mạng cho khách và nội bộ công ty

3.7 Giám sát mạng

3.8 Xác thực 2 lớp (2FA)

3.9 Sử dụng bộ lọc địa chỉ MAC

3.10 Kích hoạt bảo mật WPA3

Nội dung bài viết :

1. Mạng Wi-Fi không bảo mật tạo ra rủi ro như thế nào?

Mạng Wi-Fi không bảo mật tạo ra nhiều rủi ro cho người sử dụng và hệ thống mạng. Dưới đây là một số rủi ro chính:

• Tiến hành đánh cắp thông tin: Người tấn công có thể dễ dàng theo dõi hoặc bắt gói dữ liệu gửi qua mạng Wi-Fi không bảo mật. Điều này có thể dẫn đến việc đánh cắp thông tin cá nhân, như tên đăng nhập, mật khẩu, thông tin tài khoản ngân hàng hoặc thẻ tín dụng.
• Tấn công “Man-in-the-Middle” (MITM): Khi mạng Wi-Fi không được mã hóa, người tấn công có thể thực hiện cuộc tấn công MITM, trong đó họ có thể theo dõi và can thiệp vào giao tiếp giữa người dùng và máy chủ, thậm chí là thay thế thông tin trên đường truyền.
• Sử dụng băng thông trái phép: Người khác có thể sử dụng mạng Wi-Fi không bảo mật của bạn mà không cần mật khẩu. Điều này có thể dẫn đến tình trạng tắc nghẽn băng thông và làm giảm hiệu suất mạng của bạn.
• Phát tán mã độc: Khi mạng Wi-Fi không được bảo vệ, người tấn công có thể truy cập vào mạng và phát tán phần mềm độc hại hoặc virus trên các thiết bị kết nối vào mạng.
• Quản lý thiết bị từ xa: Một kẻ tấn công có thể dễ dàng truy cập vào các thiết bị kết nối vào mạng không bảo mật và kiểm soát chúng từ xa.
• Theo dõi hoạt động trực tuyến: Mạng Wi-Fi không bảo mật cho phép người khác theo dõi hoạt động trực tuyến của bạn, bao gồm việc xem các trang web bạn truy cập và thu thập thông tin cá nhân.

2. Các ví dụ về các mối đe dọa và rủi ro về bảo mật không dây

Chúng ta sẽ xem xét một số ví dụ cụ thể về các mối đe dọa và rủi ro bảo mật liên quan đến mạng Wi-Fi không dây. Chúng bao gồm IP spoofing, DNS-cache poisoning, Piggybacking và hoạt động Wardriving :

• IP Spoofing (Giả mạo địa chỉ IP): IP spoofing là một kỹ thuật trong đó một kẻ tấn công giả mạo địa chỉ IP để đánh lừa hệ thống mạng hoặc thiết bị kết nối. Bằng cách này, họ có thể che giấu danh tính thực sự và xâm nhập vào mạng hoặc thực hiện các cuộc tấn công mà không bị phát hiện. Điều này có thể dẫn đến việc truy cập trái phép vào tài khoản và dữ liệu quan trọng.
• DNS-Cache Poisoning (Lừa đảo bộ nhớ cache DNS): Một cuộc tấn công DNS-cache poisoning xảy ra khi kẻ tấn công thay đổi hoặc lừa đảo dữ liệu DNS trong bộ nhớ cache của một máy chủ DNS hoặc thiết bị đầu cuối. Điều này có thể dẫn đến việc gửi người dùng đến các trang web giả mạo hoặc độc hại, trong khi họ tin rằng họ đang truy cập trang web chính thống.
• Piggybacking (Kết nối trái phép): Piggybacking là khi một người sử dụng kết nối vào mạng Wi-Fi của người khác mà không có sự cho phép hoặc không có mật khẩu. Điều này có thể dẫn đến tắc nghẽn mạng, đánh cắp thông tin cá nhân hoặc thậm chí thực hiện các hành vi độc hại trên mạng Wi-Fi chủ nhà.
• Wardriving (Hoạt động Wardriving): Wardriving là một hoạt động nơi một cá nhân hoặc kẻ tấn công di chuyển qua các khu vực để tìm và thu thập thông tin về các mạng Wi-Fi không bảo mật. Sau đó, họ có thể sử dụng thông tin này để tiến hành các cuộc tấn công hoặc xâm nhập vào mạng. Wardriving thường được thực hiện bằng cách sử dụng các thiết bị di động hoặc phần mềm đặc biệt để phát hiện và ghi lại mạng Wi-Fi trong phạm vi của họ.

3. Top 10 biện pháp bảo mật WiFi cho doanh nghiệp

Mạng Wi-Fi đã trở thành một phần không thể thiếu đối với các doanh nghiệp, bất kể quy mô của họ. Đồng thời, sự gia tăng của làm việc từ xa và di động cho phép nhân viên tận hưởng lợi ích của kết nối không dây trong quá trình di chuyển, mua sắm và thậm chí trong lúc ăn uống. Bằng việc tuân theo những gợi ý dễ thực hiện dưới đây để bảo vệ kết nối internet qua Wi-Fi, chúng ta có thể đảm bảo rằng thông tin cá nhân và dữ liệu của công ty được bảo vệ một cách an toàn.

3.1 Sử dụng mạng riêng ảo (VPN)

Xu hướng làm việc từ xa, rời xa khỏi môi trường an toàn của văn phòng để làm việc từ các nơi công cộng, VPN trở thành một trong những công cụ quý giá nhất mà các công ty có thể cung cấp để bảo vệ nhân viên khỏi rủi ro bị đánh cắp thông tin và ngăn chặn việc can thiệp vào dữ liệu. Một VPN mã hóa toàn bộ dữ liệu đang truyền vào hoặc ra khỏi thiết bị và đưa nó qua một kênh bảo mật. Hơn nữa, VPN giúp làm cho các quá trình duyệt web trở nên riêng tư hơn bằng cách ẩn địa chỉ IP của bạn.

3.2 Để đặt thiết bị Wi-Fi ở một vị trí an toàn

Đặt bộ Wi-Fi ở một nơi an toàn, ít người qua lại đảm bảo không có ai can thiệp một cách cố ý hoặc vô tình sẽ làm mất kết nối bằng cách nhấn nút reset vào thời điểm không thích hợp. Đồng thời, hãy đảm bảo rằng vị trí bộ định tuyến phủ sóng đủ cho tất cả người dùng và không bị ảnh hưởng bởi nhiễu tín hiệu từ các thiết bị điện tử khác.

3.3 Hãy luôn cập nhật phần mềm

Các tính năng bảo mật mới thường được tích hợp trong các bản cập nhật firmware định kỳ cho các thiết bị Wi-Fi, vì vậy việc duyệt định kỳ này là vô cùng quan trọng. Tương tự, việc cập nhật phần mềm bảo mật mạng và hệ điều hành cũng cần được thực hiện, vì các hacker có thể tìm cách tận dụng các lỗ hổng trong phần cứng hoặc phần mềm chưa được vá lỗi để xâm nhập vào hệ thống một cách trái phép.

3.4 Sử dụng mật khẩu WiFi mạnh và phương pháp xác thực mạnh mẽ

Ngoài việc tạo mật khẩu WiFi mạnh, có độ dài, độ phức tạp và duy nhất, bạn cũng nên áp dụng phương pháp xác thực mạnh mẽ. WPA2-Enterprise, yêu cầu sử dụng chứng chỉ số hóa, là một lựa chọn đáng tin cậy cho các doanh nghiệp có khả năng tài chính để hỗ trợ nó. Nếu bạn sử dụng mật khẩu để bảo vệ kết nối, hãy đảm bảo rằng mật khẩu đó đủ mạnh.

3.5 Sử dụng tường lửa

Tường lửa thực hiện một nhiệm vụ an ninh mạng quan trọng bằng cách lọc dữ liệu truy cập vào và ra môi trường internet, firewall có thể ngăn chặn các cuộc tấn công từ bên ngoài. Sử dụng firewall (ví dụ như dòng Sophos và Fortigate) là chiến lược về lâu dài. Kết hợp thêm tính năng của bộ định tuyến WiFi doanh nghiệp đã tích hợp sẵn tường lửa, vì vậy việc bật tường lửa này làm gia tăng tính bảo mật. Như vậy bạn có thể triển khai tường lửa dựa trên phần cứng, phần mềm hoặc dựa trên đám mây để cung cấp thêm một lớp bảo vệ.

3.6 Tách riêng mạng cho khách và nội bộ công ty

Tách riêng mạng cho khách và mạng nội bộ công ty là một thực hành quan trọng trong việc quản lý mạng WiFi. Điều này đảm bảo tính an toàn cho mạng nội bộ của công ty và đồng thời cung cấp dịch vụ WiFi cho khách hàng mà không ảnh hưởng đến mạng nội bộ.

3.7 Giám sát mạng Wi-Fi

Theo dõi liên tục hoạt động của mạng để phát hiện sớm bất kỳ hoạt động đáng ngờ hoặc xâm nhập.

3.8 Xác thực 2 lớp (2FA)

Kích hoạt xác thực hai lớp (2FA). Nó yêu cầu người dùng phải nhập cả tên người dùng và mật khẩu, cũng như một mã được tạo bởi ứng dụng xác thực. Điều này làm cho việc truy cập trái phép vào mạng trở nên khó khăn hơn.

Để kích hoạt xác thực hai yếu tố, truy cập trang cấu hình của bộ định tuyến không dây và bật tính năng này. Hãy chắc chắn tải xuống một ứng dụng xác thực như Google Authenticator hoặc Authy.

Sử dụng bộ lọc MAC Sử dụng bộ lọc MAC là một phương pháp tốt khác để bảo vệ mạng không dây. Địa chỉ MAC là các định danh duy nhất được gán cho các thiết bị kết nối vào mạng.

Bằng cách cho phép chỉ các thiết bị có địa chỉ MAC cụ thể kết nối vào mạng, bạn có thể giúp ngăn chặn truy cập trái phép. Bộ lọc MAC có thể được triển khai bằng cách truy cập trang cấu hình của bộ định tuyến không dây và thêm địa chỉ MAC của các thiết bị được phép kết nối vào mạng.

3.9 Sử dụng bộ lọc địa chỉ MAC

Sử dụng bộ lọc MAC là một phương pháp tốt khác để bảo vệ mạng không dây. Địa chỉ MAC là các định danh duy nhất được gán cho các thiết bị kết nối vào mạng.

Bằng cách cho phép chỉ các thiết bị có địa chỉ MAC cụ thể kết nối vào mạng, bạn có thể giúp ngăn chặn truy cập trái phép. Bộ lọc MAC có thể được triển khai bằng cách truy cập trang cấu hình của bộ định tuyến không dây và thêm địa chỉ MAC của các thiết bị được phép kết nối vào mạng.

3.10 Kích hoạt bảo mật WPA3

Kích hoạt bảo mật WPA3 là một trong những biện pháp tốt nhất để bảo vệ mạng không dây. WPA3 là giao thức bảo mật không dây mới nhất và mạnh mẽ nhất hiện nay. Nó cung cấp sự bảo vệ mạnh mẽ hơn so với WPA2 và nên được sử dụng.

Khi tìm kiếm một bộ định tuyến, hãy đảm bảo tìm kiếm những bộ hỗ trợ giao thức bảo mật mới nhất hỗ trợ WPA3. Các giao thức trước đây dễ bị tấn công hơn, vì vậy việc đảm bảo WPA3 được kích hoạt là rất quan trọng.