Giải pháp bảo vệ máy chủ MISA với Sophos Intercept X Advanced for Server with XDR

1. Yêu cầu: Bảo vệ máy chủ MISA

1.1. Lý do các máy chủ MISA của doanh nghiệp cần phải được bảo vệ ?
  • Phần mềm kế toán MISA kiểm soát toàn bộ lượng tiền trong công ty, doanh nghiệp
  • Phần mềm hỗ trợ trong việc quản lý bán hàng, mua hàng, quản lý quỹ,…
  • Phần mềm hỗ trợ cho những tổ chức lớn như ngân hàng, kho bạc,…
  • Phần mềm hỗ trợ rất lớn trong việc quản lý tiền lương, giá thành, hợp đồng, ngân sách,…
1.2. Giải pháp có thể bảo vệ máy chủ MISA của bạn
1.2.1. Sophos Intercept X Advanced for Server with EDR

Sophos Intercept X Advanced for Server là giải pháp bảo vệ thế hệ mới dành cho máy chủ, giúp bảo vệ máy chủ khỏi các dòng virus chưa từng xuất hiện trên thế giới, các cuộc tấn công có chủ đích và virus mã hóa dữ liệu. Tính năng EDR (Endpoint Detection & Response ) sẽ giúp người quản trị dễ dàng quản lý hệ thống với khả năng truy vết các cuộc tấn công và kiểm tra các sự kiện đã và đang xảy ra trên các máy chủ.

Bảo vệ đa nền tảng máy chủ

  • Bảo vệ các máy chủ Cloud, On-Premise, máy chủ ảo hóa
  • Hỗ trợ Windows và Linux
1.2.2. Tính năng bảo mật thế hệ mới

Deep Learning: Ngăn chặn các mối nguy chưa được biết đến bằng AI

Deep Learning là công nghệ trí tuệ nhân tạo, sử dụng hàng trăm triệu mẫu virus để đào tạo.

Ưu điểm của Deep Learning

  • Hiệu suất cao: Đánh giá các mẫu file trong thời gian bé hơn 20 mili giây
  • Tốc độ cao: Mẫu học chỉ có dung lượng < 20MB không chiếm tài nguyên máy chủ
  • Không dựa vào database: Công nghệ phỏng đoán không dựa vào database, không cần internet để hoạt động.

Exploit Prevention: Bảo vệ các lỗ hổng bảo mật chưa được vá trên máy chủ

Sophos Exploit Prevention ngăn chặn hacker khai thác vào các lỗ hổng bảo mật chưa được vá trên máy chủ MISA bằng cách ngăn chặn các kỹ thuật khai thác

CryptoGuard: Ngăn ngừa virus mã hóa dữ liệu và khôi phục dữ liệu bị mã hóa

Virus mã hóa hiện vẫn là vấn đề khó giải quyết, tính năng CryptoGuard sẽ liên tục giám sát trạng thái dữ liệu, khi phát hiện hành vi mã hóa, CryptoGuard sẽ ngay lập tức ngăn chặn quá trình này đồng thời khôi phục lại các dữ liệu đã bị mã hóa trước đó. Tính năng này còn hỗ trợ cho các thư mục chia sẻ file trên các máy chủ File Server.

1.2.3. Tích hợp tính năng Endpoint Detection & Response (EDR)

EDR là xu hướng bắt buộc phải có trong các giải pháp bảo vệ máy chủ. Giải pháp EDR của Sophos là sự kết hợp giữa công nghệ máy học và con người, là những chuyên gia trong lĩnh vực security, sẽ giúp người quản trị có tầm nhìn về tất cả những sự kiện xảy ra trên máy chủ, để từ đó dễ dàng phân tích, truy vết và điều tra về các sự cố an toàn thông tin trên máy chủ. Sophos Intercept X tích hợp tính năng EDR và chỉ sử dụng 1 agent, giúp đơn giản trong việc triển khai và quản lý hệ thống.

Các tính năng nổi bật của Sophos EDR

  • Trung tâm phân tích mối đe dọa
  • Đánh giá chỉ số mối nguy
  • Phát hiện các đe dọa nâng cao và tìm nguyên nhân gốc rễ
  • Chủ động đánh giá các mẫu virus mới bằng Deep Learning
  • Tìm kiếm mọi thứ trên hệ thống với tính năng Live Discover
  • Phản hồi ngay lập tức với tính năng Live Response

2. Chi tiết các tính năng kỹ thuật của giải pháp bảo vệ máy chủ MISA

2.1. Khả năng bảo vệ trước các mối nguy trên máy chủ MISA
2.1.1. Threat Protection – Bảo vệ máy chủ MISA trước các mối nguy

Là một thành phần quan trọng của Sophos Endpoint. Tính năng Threat Protection đảm bảo rằng các máy chủ MISA có cài đặt Sophos Agents được bảo vệ khỏi các mối đe dọa từ Internet và trong mạng nội bộ.

Tính năng Threat Protection giúp bảo vệ chống lại virus, phần mềm gián điệp, trojan, rootkit và sâu trên máy trạm, máy chủ và máy tính xách tay. Ngoài ra Threat Protection còn quét các tập tin thực thi, cũng như các tài liệu có chứa các script hoặc marco độc hại, bảo vệ chống lại các khai thác lỗ hổng bảo mật trong các hệ thống hoặc phần mềm.

Tính năng quét virus có thể cấu hình để chạy tự động hoặc thủ công theo yêu cầu người dùng để quét các thư mục được chỉ định.

Live Protection.

Khi phát hiện các mối nguy không có trong cơ sở dữ liệu. Sophos Antivirus nhanh chóng ngăn chặn các mối đe dọa này bằng cách kiểm tra ngay lập tức thông tin các tập tin đáng ngờ dựa trên cơ sở dữ liệu rộng lớn về Virus Sophos cloud – thời gian phản hồi chỉ trong vài giây để đánh giá tập tin tin có phải là virus hay không, giúp giảm nhu cầu cập nhật cơ sở dữ liệu trên máy trạm.

Real-time Scanning – Local Files và Networks Shares

Quét thời gian thực sẽ kiểm tra các tập tin tại thời điểm người dùng cố gắng truy cập chúng. Nếu các tập tin an toàn, truy cập sẽ được cho phép. Và nếu tập tin chứa mã độc, truy cập sẽ bị ngăn chặn. Bạn có thể chọn các tùy chọn này để thực hiện giám sát cục bộ các tập tin và thư mục chia sẻ tập tin.

Real-time Scanning – Internet

Một thực tế ai cũng nhận thấy đó là web đã trở thành nguồn lây nhiễm chính cho người dùng. Khi người dùng vô tình truy cập các trang web có hại hoặc tải xuống các tập tin độc hại.

SophosLabs hợp tác với nhiều công ty, bao gồm các công cụ tìm kiếm và đã phân loại các trang web trong nhiều năm theo mức độ rủi ro. Có thể phát hiện và bảo vệ cho người dùng khi họ truy cập Web.

  • SophosLabs liên tục cập nhật với 20.000 đến 40.000 trang web mới được xác định mỗi ngày.
  • Người dùng được bảo vệ khỏi các mối đe dọa này cho dù họ làm việc trong công ty hay bên ngoài mạng của công ty – tại nhà hoặc thông qua WIFI công cộng.
  • Hỗ trợ tất cả các trình duyệt thông dụng (Internet Explorer, Firefox, Safari, Opera, Chrome, v.v.).
2.1.2. Anti-Exploit – Phòng chống khai thác vào máy chủ MISA chưa cập nhật bản vá

Sophos Anti-Exploit là tính năng ngăn chặn các cuộc tấn công có chủ đích  (signatureless), ngăn chặn khai thác do lỗ hổng phần mềm. Các khai thác như Stack Pivot và Caller/Stack-based ROP Stack được theo dõi. Nó ngăn chặn các cuộc tấn công zero-day, các biến thể đe dọa và các cuộc tấn công thường trú trong bộ nhớ ngay cả khi không thực hiện quét tập tin.

2.1.3. CryptoGuard – Ngăn ngừa virus mã hoá dữ liệu trên máy chủ MISA

CryptoGuard là tính năng của Intercept X. Giám sát ở cấp hệ thống tập tin, nó liên tục bảo vệ các máy trạm và giám sát các hành vi cố gắng thay đổi tập tin. Khi phát hiện hành vi mã hóa dữ liệu, nó sẽ dừng tiến trình mã hóa và quay ngược lại tập tin về trạng thái an toàn mặc định ban đầu. Nó ngăn chặn mã hóa hàng loạt các tập tin cả trên thư mục nội bộ và cả thư mục chia sẻ file.

Khi CryptoGuard nghi ngờ rằng một tiến trình thực thi không phù hợp với quy trình dự định của nó, ví dụ như vừa mở file vừa tạo lệnh copy và delete. Sophos Data Recorder bắt đầu lưu trữ file dữ liệu mà tiến trình đó đang thực thi. Kích thước tối đa hiện tại của trình ghi dữ liệu CryptoGuard là 300MB và kích thước tập tin tối đa riêng lẻ mà nó sẽ ghi là 75 MB. Bộ nhớ cache sẽ ghi đè lên các tập tin cũ hơn.

CryptoGuard chạy như trình điều khiển bộ lọc tập tin và tạo các bản sao của 1 các tập tin đó trong thư mục c: \ windows \ cryptoguard.

Khi Sophos Safeguard phát hiện và dừng tiến trình mã hóa lại, một phân tích sẽ được thực hiện giữa tập tin hiện tại và bản sao thu được trước đó. Nếu tập tin được coi là mã hóa độc hại, CryptoGuard đánh dấu địa chỉ IP hoặc quá trình gây ra nó và duy trì bản sao và khôi phục bản sao về vị trí ban đầu của chúng.

2.1.4. Zero-day Protection: HIPS – Phòng chống tấn công trên máy chủ MISA

Tính năng Host IPS giúp phân tích hành vi của các file. Có 3 giai đoạn chính.

Phân tích trước khi file thực thi

Công nghệ Sophos Behavioural Genotype Protection là một hệ thống ngăn chặn xâm nhập (HIPS).  Phần mềm sẽ quét tập tin trước khi nó được khởi chạy bởi người dùng. Nó xác định và chặn các chương trình độc hại trước khi chúng thực thi, không giống như tính năng IPS của các hãng khác chỉ giám sát các tiến trình đang chạy và chỉ can thiệp sau khi tiến trình này thực hiện hành vi đáng ngờ.

Trong khi thực thi (trong thời gian chạy)

Không giống như các giải pháp HIPS khác đòi hỏi kiến thức chuyên sâu về kỹ thuật bảo vệ và quản lý hàng ngày. Tính năng HIPS đảm bảo tính chủ động và khả năng kiểm soát hiệu quả hành vi của các ứng dụng của bạn trong khi ứng dụng đang chạy.

Hiệu suất cao nhờ tính năng Decision Caching.

Decision Caching, công nghệ quét truy cập của Sophos Endpoint Protection cho Windows tối ưu hóa hiệu suất bằng cách chỉ phân tích các thư mục mới hoặc thay đổi. Ngoài ra, công nghệ nhận dạng tập tin thông minh chỉ phân tích các tập tin có khả năng mang mã độc.

Giai đoạn Start và Stop

Người dùng không thích làm việc trên các máy bị làm chậm bởi các thành phần bảo mật được cài đặt trên máy. Do đó, cần phải tính đến tham số này khi thiết kế giải pháp bảo vệ được cài đặt trên máy người dùng. Giải pháp tốt phải bảo vệ hiệu quả mà không làm gián đoạn việc sử dụng máy tính của người dùng.

Trong khi một số nhà cung cấp khác làm giảm hoặc thậm chí hủy kích hoạt bảo vệ trong các giai đoạn khởi động máy để không gây ra sự chậm chạp cho trải nghiệm người dùng. Sophos đã chọn bảo vệ máy càng sớm càng tốt bằng cách tải các cơ chế bảo vệ (trình điều khiển và khởi động trong số các dịch vụ cần thiết) càng sớm càng tốt khi khởi động hệ thống và bằng cách tắt nó càng muộn càng tốt khi người dùng tắt máy tính, bảo vệ hiệu quả trong các giai đoạn khởi động và tắt máy.

Để không làm giảm hiệu suất của các máy trong các giai đoạn sử dụng nhiều tài nguyên này, một số cơ chế được tích hợp để đảm bảo tính toàn vẹn của hệ thống. Thật vậy, SophosLabs giám sát sự phát triển của các thành phần hệ thống rất đều đặn, đặc biệt là khi cung cấp các bản vá của hệ điều hành. Các thành phần này được biết và được tham chiếu trong Central Endpoint Protection, xác định rằng tập tin hệ thống được tải hoặc sử dụng khớp với phiên bản của trình chỉnh sửa và không phải là phiên bản sửa đổi.

Việc kiểm soát này được thực hiện bằng nhiều phương pháp khác nhau bao gồm xác minh tính toàn vẹn của tập tin (checksum calculator), danh sách trắng và kiểm tra hành vi. Khi các hoạt động được thực hiện khớp với các kho lưu trữ đã biết, không cần phải phân tích chống vi-rút cho các yếu tố này và giúp khởi động hoặc dừng máy dễ dàng hơn. Vì Sophos không thỏa hiệp về bảo mật, nếu không có sự tương ứng đã biết, các yếu tố sẽ được phân tích để đảm bảo an ninh cho hệ thống trong các giai đoạn này.

2.2. Khả năng kiểm soát toàn bộ máy chủ MISA
2.2.1. Data Loss Prevention (DLP) – Ngăn ngừa thất thoát dữ liệu trên máy chủ MISA

Tính năng DLP giúp ngăn ngừa việc thất thoát dữ liệu của người dùng do vô tình hoặc cố ý.

DLP cho phép bạn giám sát và hạn chế việc chuyển các tập tin chứa thông tin nhạy cảm. Ví dụ: bạn có thể ngăn người dùng gửi tập tin chứa dữ liệu nhạy cảm về nhà bằng email.

Chính sách DLP chứa một số quy tắc, một tập tin khớp với bất kỳ quy tắc nào trong chính sách DLP sẽ vi phạm chính sách. Một quy tắc có thể được bao gồm trong nhiều chính sách. Bạn có thể thêm văn bản vào các thông báo hiển thị trên các endpoint hoặc máy chủ Windows khi quy tắc được kích hoạt. Có hai loại tin nhắn:

  • Thông báo xác nhận yêu cầu người dùng xác nhận chuyển tập tin.
  • Một thông báo khóa thông báo cho người dùng rằng họ không thể chuyển tập tin.

Sophos DLP có 2 tính năng chính:

  • Tạo các chính sách giám sát dữ liệu theo định dạng file: doc, docx, pdf, png….
  • Tạo chính sách giám sát dữ liệu dựa theo từ khóa trong tài liệu: Content control list. Bạn có thể quy định từ khóa này và phần mềm Sophos sẽ quét trong tài liệu hoặc nội dung email.

Bạn có thể tạo chính sách cho người dùng và máy tính hoặc cho máy chủ. Bạn có thể sử dụng các mẫu hoặc tạo một chính sách tùy chỉnh. Lưu ý để sử dụng tính năng DLP cần bản quyền Sophos Intercept X Advanced.

2.2.2. Server Lockdown – Khoá máy chủ MISA

Server Lockdown sử dụng công nghệ chỉ cho phép các ứng dụng được phê duyệt chạy trên máy chủ MISA của bạn. Kiểm soát những gì có thể chạy khiến kẻ tấn công hack máy chủ khó hơn. Cũng như các file virus cũng sẽ không thực thi được trên máy chủ có bật Server Lockdown.

Server Lockdown sử dụng các trình điều khiển nằm trong nhân hệ điều hành và chỉ cho phép các ứng dụng đáng tin cậy và các tập tin liên quan của chúng thực thi và sửa đổi các tập tin.

Khi khóa máy chủ MISA, mọi ứng dụng hiện đang chạy đều đáng tin cậy. Các ứng dụng mới được thêm vào sau khi lockdown sẽ không thể chạy trừ khi được quản trị viên Sophos Central cho phép.

2.2.3. Pheripheral Control – Quản lý thiết bị ngoại vi truy cập trên máy chủ MISA

“Phòng bệnh tốt hơn chữa bệnh” là nguyên tắc số 1 cho an ninh mạng. Vì phần mềm độc hại cũng có thể lây lan qua các thiết bị ngoại vi, bạn có thể cấu quản lý hình quyền truy cập cho các thiết bị này thông qua Sophos Central.

Peripheral Control cho phép bạn tăng khả năng kiểm soát các thiết bị có nguy cơ. Kiểm soát các thiết bị này bao gồm hạn chế các thiết bị lưu trữ dung lượng lớn có thể tháo rời (USB, CD Rom, ổ cứng ngoài USB, iPod, máy nghe nhạc MP3, v.v.) và các thiết bị kết nối (Wi-Fi, Bluetooth, Modem, v.v.).

Nếu mục đích của bạn là chỉ chặn một thiết bị cụ thể và cho phép phần còn lại, điều này cũng có thể cấu hình đơn giản bằng cách thêm thiết bị đó vào mục Peripheral Exemptions.

Sophos Central cho phép bạn quy định một chính sách quản lý thiết bị cơ bản nhưng cũng có các chính sách khác nhau cho mỗi người dùng hoặc nhóm người dùng để ủy quyền hoặc cấm tất cả hoặc một phần của các thiết bị này.

Các hành vi cố gắng sử dụng thiết bị ngoại vi sẽ được log lại và thông báo đến người quản trị.

2.3. Khả năng tự động phát hiện và phản hồi với sự cố trên máy chủ MISA
2.3.1. Root Cause Analysis – Phân tích nguyên nhân gốc rễ của sự cố

Tính năng phân tích chi tiết làm sáng tỏ nguyên nhân gốc rễ của các cuộc tấn công và đường lây nhiễm của chúng. RCA hiển thị đầy đủ về cách thức tấn công, nơi virus đã đi qua, đã tác động vào những file nào và đề xuất cách xử lý cho bạn.

2.3.2. Live Discover – Tìm kiếm thông tin theo thời gian thực

Live Discover cho phép quản trị viên tìm kiếm thông tin trên máy trạm thông qua SQL Query. Khi có một yêu cầu kiểm tra thông tin trên máy trạm, ví dụ: Kiểm tra các bản patch cập nhật, các cổng đang mở trên máy chủ, số lần đăng nhập trong ngày… quản trị viên có thể dễ dàng truy vấn thông qua các tập lệnh có sẵn hoặc tự viết ra một tập lệnh theo nhu cầu của mình.

2.3.3. Live Response – Xử lý sự cố từ xa

Live Response cho phép quản trị viên kết nối từ xa với các thiết bị thông qua giao diện command line ngay trên trang quản trị Sophos Central. Trong trường hợp máy chủ xảy ra sự cố, quản trị viên có thể khác phục ngay lập tức dù đang ở nhà hay bên ngoài.

Sử đụng Live Response, quản trị viên có thể

• Khởi động lại thiết bị

• Xem danh sách các tiến trình đang chạy, và ngăn chặn các tiến trình đáng nghi

• Cài đặt và xóa các ứng dụng, tạo người dùng mới, tùy chỉnh thông số hệ thống

• Kiểm tra Log trên máy chủ

3. Ưu điểm khi sử dụng Sophos CIXA for Server để bảo vệ máy chủ MISA

Khi sử dụng Sophos Intercept X Advanced for Server (CIXA for Server) để bảo vệ máy chủ MISA, anh chị sẽ được:

  • Bảo vệ máy chủ MISA khỏi các mối nguy đã được biết đến
  • Bảo vệ máy chủ MISA khỏi các mối nguy chưa được biết đến
  • Chống lại các cuộc tấn công của virus mã hoá dữ liệu và có thể roll-back lại dữ liệu
  • Chống lại các cuộc tấn công khai thác lỗ hổng
  • Chống lại các cuộc tấn công có chủ đích
  • Có thể nhận dạng rootkit, lưu lượng độc hại và nhận dạng theo mẫu Gen virus
  • Ngăn ngừa thất thoát dữ liệu cho máy chủ MISA
  • Có thể lockdown máy chủ
  • Có thể phân tích nguyên nhân gốc rễ của các cuộc tấn công
  • Xoá các mã độc một cách tự động khỏi máy chủ MISA
  • Khả năng giám sát các sự thay đổi trên máy chủ MISA
  • Quản lý app, web, các thiết bị ngoại vi trên máy chủ MISA

4. Bộ tiêu chuẩn tuân thủ của Sophos

Các giải pháp Sophos đều đáp ứng tuân thủ các tiêu chuẩn bảo mật quốc tế.

4.1. HIPAA

Sophos đảm bảo bảo vệ dữ liệu nhạy cảm trong mọi lúc và trong mọi trường hợp. Điều này phù hợp với yêu cầu của HIPAAA để bảo vệ thông tin hệ thống. Sophos UTM, Tường lửa XG, Bảo vệ máy trạm, Mã hóa SafeGuard, Mã hóa email SPX, thiết bị di động, Wi-Fi, Bảo vệ Web, Sophos Sandstorm, Security Heartbeat và SophosLabs là những sản phẩm chính của Sophos để giúp bạn tuân thủ HIPAA

https://www.sophos.com/en-us/medialibrary/PDFs/other/HIPAA-Compliance-Reference-Card.pdf?la=en
4.2. DSS PCI

Sophos cũng hỗ trợ đáp ứng tiêu chuẩn bảo mật dữ liệu thanh toán (PCI DSS)

https://www.sophos.com/en-us/medialibrary/PDFs/other/sophos_PCI-DSS_reference_card_na.pdf?la=en
4.3. CIS

Được phát triển bởi Center for Internet Security, CIS Critical Security Controls, đưa ra các hướng dẫn và các bước để phòng thủ không gian mạng. Sophos có nhiều kinh nghiệm và khả năng để thực hiện các tuân thủ này.

https://www.sophos.com/en-us/medialibrary/PDFs/other/CIS-critical-security-controls-Reference-Card-na.pdf?la=en

5. Đánh giá của bên thứ 3 và so sánh

Sophos đúng vị Top 1 trong bài test thực tế khả năng nhận dạng virus của NSS Labs 2019

Sophos có 13 năm liên tục nằm trong nhóm Leader của Gartner về giải pháp Endpoint Protection

Tổng hợp các đánh giá của bên thứ 3

So sánh với các giải pháp khác ( Vui lòng liên hệ Sophos để có bảng so sánh chi tiết)

6. Licensing