Giải pháp bảo mật máy chủ Sophos Intercept X Advanced for Server with XDR and MDR

I. Giới thiệu

1.1. Giới thiệu về Sophos

Ngày nay, các doanh nghiệp đang phát triển theo xu hướng vận hành hệ thống dựa trên công nghệ và các dịch vụ cloud để dễ dàng triển khai hệ thống cũng như tối ưu hóa chi phí. Vì vậy việc bảo mật hệ thống cũng trở nên phức tạp hơn vì hacker có thể tấn công hệ thống từ nhiều hướng khác nhau. Việc trang bị nhiều hệ thống để bảo vệ doanh nghiệp tạo ra sự phức tạp trong công tác quản lý và chi phí vận hành.

Với cách tiếp cận nhằm giải quyết bài toán này, các sản phẩm của Sophos được thiết kế theo hướng đơn giản cho việc quản lý và có hiệu quả cao trong công tác bảo vệ an ninh an toàn thông tin.

Sophos là công ty chuyên về bảo mật hệ thống ra đời tại UK vào năm 1985. Trong 31 năm, Sophos đã được biết đến là người đi đầu trong bảo vệ hệ thống an ninh thông tin. Các sản phẩm của chúng tôi hiện đang được sử dụng bởi 100 triệu người dùng trên toàn cầu và hơn 100.000 doanh nghiệp như Pixar, Under Armor, Northrop Grumman, Xerox, Ford, Avis và Toshiba…

• Thành lập năm 1985 tại Oxford
• 4,000 nhân viên toàn cầu
• 327,000 khách hàng toàn cầu
• 100 triệu người dùng ở 150 nước trên thế giới
• 45,000 đối tác phân phối sản phẩm
• Phòng nghiên cứu Sophos Labs nổi tiếng thế giới

1.2. Sophos Labs

Sophos Labs là mạng lưới kết nối toàn cầu của các chuyên gia kỹ thuật cao, được đào tạo chuyên nghiệp trong mảng bảo mật tại Châu Á, Châu Âu và Bắc Mỹ. Sophos Labs là sự kết hợp 500 năm kinh nghiệm bảo mật của toàn thế giới trước các mối nguy cơ.

Đội phân tích Sophos Labs có nhiệm vụ nghiên cứu tất cả các mảng liên quan đến bảo mật công nghệ thông tin như phân tích mã độc, các lỗ hổng bảo mật hệ thống, phòng chống xâm nhập, thư rác, độ tin tưởng ứng dụng, Website ,dữ liệu người dùng và các thiết bị ngoại vi….

Các kết quả nghiên cứu của Sophos Labs được cập nhật ngay đến người dùng sản phẩm của Sophos thông qua tính năng Bảo vệ thời gian thực ( Live Active Protection).

1.3. Dịch vụ hỗ trợ kỹ thuật tại Việt Nam

Dịch vụ hỗ trợ kỹ thuật của Sophos là 24/7. Khách hàng có thể liên hệ với đội hỗ trợ kỹ thuật của Sophos bất kỳ lúc nào để được hỗ trợ trực tiếp thông qua điện thoại hoặc email. Sophos còn có cộng đồng hỗ trợ kỹ thuật trên Website. Người dùng có thể tìm kiếm các thông tin mình cần một cách nhanh chóng.

Các trung tâm hỗ trợ kỹ thuật của Sophos : Australia, Canada, France, Germany, Japan, Italy, Spain, UK và USA.

Tại Việt Nam, Sophos hỗ trợ số hotline miễn phí 24/24 cho khách hàng: 1800400530

II. Giải pháp bảo vệ thế hệ mới cho máy trạm

2.1. Sophos Intercept X Advanced for Endpoint with EDR

Sophos Intercept X Advanced for Endpoint là giải pháp bảo vệ thế hệ mới dành cho máy trạm, giúp bảo vệ máy trạm khỏi các dòng virus chưa từng xuất hiện trên thế giới, các cuộc tấn công có chủ đích và virus mã hóa dữ liệu. Tính năng EDR (Endpoint Detection & Response) sẽ giúp người quản trị dễ dàng quản lý hệ thống với khả năng truy vết các cuộc tấn công và kiểm tra các sự kiện đã và đang xảy ra trên các máy trạm. Ngoài ra Sophos Intercept X Advanced cũng giúp doanh nghiệp tiết kiệm về mặt nhân sự với khả năng ngăn chặn phát hiện và ngăn chặn các mối đe dọa thông tin và tự động hóa.

Các tính năng nổi bật của sản phẩm

2.1.1. Bảo vệ đa nền tảng máy trạm

Hỗ trợ cả Windows và MacOS

2.1.2. Tính năng bảo mật thế hệ mới

Deep Learning: Ngăn chặn các mối nguy chưa được biết đến bằng AI

Deep Learning là công nghệ trí tuệ nhân tạo được huấn luyện ra bởi Sophos Lab, bằng cách sử dụng hàng trăm triệu mẫu virus để đào tạo. Sophos Deep Learning có thể nhận dạng một cách chính xác các mẫu virus mới và các file hợp lệ mà không dựa vào database virus như các sản phẩm antivirus khác.

Ưu điểm của Deep Learning

• Hiệu suất cao: Đánh giá các mẫu file trong thời gian bé hơn 20 mili giây
• Tốc độ cao: Mẫu học chỉ có dung lượng < 20MB không chiếm tài nguyên máy trạm
• Không dựa vào database: Công nghệ phỏng đoán không dựa vào database, không cần internet để hoạt động.

Exploit Prevention: Bảo vệ các lỗ hổng bảo mật chưa được vá trên máy trạm

Sophos Exploit Prevention ngăn chặn hacker khai thác vào các lỗ hổng bảo mật chưa được vá trên máy trạm. Bằng các ngăn chặn các kỹ thuật khai thác, nên Anti-exploit có thể ngăn chặn toàn bộ các dòng virus hoặc cuộc tấn công sử dụng các kỹ thuật này, bao gồm cả các dòng virus chưa từng xuất hiện trước đây.

Sophos Anti-exploit hiện hỗ trợ ngăn chặn hơn 26 kỹ thuật khai thác. Nhiều nhất khi so sánh với các giải pháp khác.

CryptoGuard: Ngăn ngừa virus mã hóa dữ liệu và khôi phục dữ liệu bị mã hóa

Virus mã hóa hiện vẫn là vấn đề khó giải quyết do ngày càng nhiều các virus mã hóa được tạo ra, Với tính năng CryptoGuard nó sẽ theo dõi các tệp dữ liệu và nếu phát hiện các tiến trình mã hóa các tệp tin nó sẽ tiến hành kiểm tra xem các tiến trình này có hợp lệ không nếu không thì sẽ tiến hành ngăn chặn và chấm dứt các tiến trình này. Đồng thời các tệp tin bị mã hóa cũng sẽ được khôi phục trở lại.

2.1.3. Tích hợp tính năng Endpoint Detection & Response (EDR)

EDR là xu hướng bắt buộc phải có trong các giải pháp bảo vệ máy trạm. Giải pháp EDR của Sophos là sự kết hợp giữa công nghệ máy học và con người, là những chuyên gia trong lĩnh vực security, sẽ giúp người quản trị có tầm nhìn về tất cả những sự kiện xảy ra trên máy trạm, để từ đó dễ dàng phân tích, truy vết và điều tra về các sự cố an toàn thông tin trên máy trạm. Sophos Intercept X tích hợp tính năng EDR và chỉ sử dụng 1 agent, giúp đơn giản trong việc triển khai và quản lý hệ thống.

Các tính năng nổi bật của Sophos EDR

Trung tâm phân tích mối đe doạ

Trung tâm phân tích mối đe dọa trong giao diện quản trị sẽ thống kê tất cả các mối nguy trên máy trạm và máy trạm trong toàn hệ thống. Giúp dễ dàng phân loại và đánh giá rủi ro từ các mối nguy từ đó đưa ra hành động xử lý phù hợp.

Đánh giá chỉ số mối nguy

Tính năng đánh giá chỉ số mối nguy của Sophos Intercept X with EDR sẽ tự động phân tích các mối nguy và đánh giá nguy cơ theo các thang điểm và tạo thành một danh sách. Quản trị viên có thể dễ dàng nhìn vào danh sách này và biết được ảnh hưởng của từng mối nguy đến hệ thống và nên ưu tiên xử lý mối nguy nào trước.

Quản trị viên có thể dễ dàng truy cập vào tính năng này theo đường dẫn: Sophos Central Admin > Threat Analysis Center > Threat Indicators.

Phát hiện các đe doạ nâng cao và tìm nguyên nhân gốc rễ

Khi phát hiện một sự cố. Sophos EDR sẽ nhanh chóng tạo một hồ sơ chi tiết về virus đồng thời cung cấp cho quản trị viên thông tin về nguyên nhân gốc rễ của vấn đề.

Giao diện báo cáo nguyên nhân gốc rễ

Thông tin chi tiết về loại virus

Sơ đồ di chuyển của Virus

Chủ động đánh giá các mẫu virus mới bằng Deep Learning

Khi phát hiện mẫu virus mới, quản trị viên có thể dễ dàng gửi mẫu này lên hệ thống sandbox để đánh giá chỉ bằng 1 cú click chuột mà không cần phải liên hệ hãng để hỗ trợ. Giảm thời gian phân tích từ 1 tuần xuống còn 10 phút.

Phân tích bằng Machine Learning và gửi mẫu đánh giá cho chuyên gia ngay giao diện quản trị

Tìm kiếm mọi thứ trên hệ thống với tính năng Live Discover

Live Discover cho phép quản trị viên tìm kiếm thông tin trên máy trạm thông qua SQL Query. Khi có một yêu cầu kiểm tra thông tin trên máy trạm, ví dụ: Kiểm tra các bản patch cập nhật, các cổng đang mở trên máy trạm, số lần đăng nhập trong ngày… quản trị viên có thể dễ dàng truy vấn thông qua các tập lệnh có sẵn hoặc tự viết ra một tập lệnh theo nhu cầu của mình.

Phản hồi ngay lập tức với tính năng Live Response

Live Response cho phép quản trị viên kết nối từ xa với các thiết bị thông qua giao diện command line ngay trên trang quản trị Sophos Central. Trong trường hợp máy trạm xảy ra sự cố, quản trị viên có thể khác phục ngay lập tức dù đang ở nhà hay bên ngoài.

Sử dụng Live Response, quản trị viên có thể

• Khởi động lại thiết bị
• Xem danh sách các tiến trình đang chạy, và ngăn chặn các tiến trình đáng nghi
• Cài đặt và xóa các ứng dụng, tạo người dùng mới, tùy chỉnh thông số hệ thống
• Kiểm tra Log trên máy trạm

2.2. Sophos Intercept X Advanced for Endpoint with MTR

Sophos Managed Threat Response (MTR) là một dịch vụ giám sát hệ thống của Sophos. Với đội ngũ chuyên gia bảo mật hàng đầu, Sophos MTR cung cấp dịch vụ giám sát, săn lùng, phát hiện và phản hồi các mối đe dọa 24/7 cho khách hàng.

2.2.1. Dịch vụ giám sát đi kèm “Hành động”

Ưu điểm của giải pháp Sophos MTR chính là ở khả năng “phản hồi”. So với các dịch vụ khác chỉ cung cấp khả năng cảnh báo cho khách hàng. Sophos MTR có nhiều cách làm việc để giúp khách hàng chủ động hơn trong việc phản ứng với các sự cố.

• Notify: Sophos MTR sẽ thông báo các mối nguy cho người quản trị
• Collaborate: Sophos MTR sẽ phối hợp với đối tác tin tưởng của khách hàng để xử lý sự cố
• Authorize: Sophos MTR sẽ tự xử lý các mối nguy trong quyền hạn và báo cáo chi tiết đến người quản trị.

2.2.2. Các tính năng nổi bật của Sophos MTR

• Chủ động phản hồi các nguy cơ
• Truy tìm các mối nguy 24/7
• Phát hiện các cuộc tấn công chủ đích ATP
• Kiểm tra bảo mật toàn hệ thống
• Chủ động báo cáo
• Truy tìm các cuộc tấn công fileless
• Có đội phản ứng với sự cố riêng biệt
• Hỗ trợ số điện thoại gọi trực tiếp đến đội hỗ trợ
• Đánh giá hệ thống định kỳ
• Dò quét toàn bộ thiết bị bảo mật hệ thống
• Nâng cao khả năng do lường bảo mật cho hệ thống

2.2.3. Khả năng triển khai nhanh chóng

Dịch vụ MTR sử dụng Sophos Intercept X Advanced with EDR làm agent. Chính vì vậy khách hàng sẽ dễ dàng triển khai dịch vụ ngay trong ngày mà không cần cài thêm bất kì phần mềm nào lên máy trạm.

2.3. Các gói sản phẩm cách tính bản quyền cho máy trạm

2.3.1. Tổng hợp các gói license dành cho máy trạm

Bản quyền cho Endpoint được tính theo thiết bị. Mỗi user tính 1 bản quyền

Thông tin các phiên bản dành cho Endpoint và tính năng

2.3.2. Chi tiết tính năng gói MTR Standard và MTR Advanced

2.3.3. Dùng thử sản phẩm

Link đăng ký dùng thử sản phẩm 30 ngày full tính năng: https://secure2.sophos.com/en-us/products/endpoint-antivirus/free-trial.aspx

III. Chi tiết các tính năng kỹ thuật của giải pháp

3.1. Tính năng kỹ thuật của sản phẩm Sophos Intercept X Advanced for Endpoint

3.1.1. Threat Protection – Bảo vệ trước các mối nguy

Là một thành phần quan trọng của Sophos Endpoint. Tính năng Threat Protection đảm bảo rằng các máy có cài đặt Sophos Agents được bảo vệ khỏi các mối đe dọa từ Internet và trong mạng nội bộ.

Tính năng Threat Protection giúp bảo vệ chống lại virus, phần mềm gián điệp, trojan, rootkit và sâu trên máy trạm, máy trạm và máy tính xách tay. Ngoài ra Threat Protection còn quét các tập tin thực thi, cũng như các tài liệu có chứa các script hoặc marco độc hại, bảo vệ chống lại các khai thác lỗ hổng bảo mật trong các hệ thống hoặc phần mềm.

Tính năng quét virus có thể cấu hình để chạy tự động hoặc thủ công theo yêu cầu người dùng để quét các thư mục được chỉ định.

Live Protection.

Khi phát hiện các mối nguy không có trong cơ sở dữ liệu. Sophos Antivirus nhanh chóng ngăn chặn các mối đe dọa này bằng cách kiểm tra ngay lập tức thông tin các tập tin đáng ngờ dựa trên cơ sở dữ liệu rộng lớn về Virus Sophos cloud – thời gian phản hồi chỉ trong vài giây để đánh giá tập tin tin có phải là virus hay không, giúp giảm nhu cầu cập nhật cơ sở dữ liệu trên máy trạm.

Real-time Scanning – Local Files và Networks Shares

Quét thời gian thực sẽ kiểm tra các tập tin tại thời điểm người dùng cố gắng truy cập chúng. Nếu các tập tin an toàn, truy cập sẽ được cho phép. Và nếu tập tin chứa mã độc, truy cập sẽ bị ngăn chặn. Bạn có thể chọn các tùy chọn này để thực hiện giám sát cục bộ các tập tin và thư mục chia sẻ tập tin.

Real-time Scanning – Internet

Một thực tế ai cũng nhận thấy đó là web đã trở thành nguồn lây nhiễm chính cho người dùng. Khi người dùng vô tình truy cập các trang web có hại hoặc tải xuống các tập tin độc hại.

SophosLabs hợp tác với nhiều công ty, bao gồm các công cụ tìm kiếm và đã phân loại các trang web trong nhiều năm theo mức độ rủi ro. Có thể phát hiện và bảo vệ cho người dùng khi họ truy cập Web.

• SophosLabs liên tục cập nhật với 20.000 đến 40.000 trang web mới được xác định mỗi ngày.
• Người dùng được bảo vệ khỏi các mối đe dọa này cho dù họ làm việc trong công ty hay bên ngoài mạng của công ty – tại nhà hoặc thông qua WIFI công cộng.
• Hỗ trợ tất cả các trình duyệt thông dụng (Internet Explorer, Firefox, Safari, Opera, Chrome, v.v.).

3.1.2. Tamper Protection – Password hệ thống

Tính năng đặt password cho ứng dụng. Giúp người quản trị dễ dàng áp đặt các chính sách bảo mật của công ty và loại trừ các tình huống người dùng cố tình tắt tính năng bảo vệ của Sophos Endpoint.

Các hành động sau có thể bị chặn bởi tính năng Tamper Protection

• Dừng các dịch vụ đang chạy của Sophos từ giao diện Windows Service
• Dừng các dịch vụ đang chạy của Sophos từ Task Manager
• Gỡ phần mềm diệt Virus Sophos Endpoint
• Tắt phần mềm diệt Virus Sophos Endpoint
• Xóa hoặc sửa đổi các tập tin hoặc thư mục cài đặt
• Xóa hoặc sửa đổi các khóa registry

3.1.3. Anti-Rootkit Detection – Nhận dạng rootkit

Sophos Antivirus có thể xác định rootkit khi quét mà không chiếm tài nguyên của hệ thống. Rootkit được phát hiện chủ động và Sophos có thể cung cấp các dấu hiệu vi phạm cụ thể cho rootkit theo định dạng, tích hợp và minh bạch giống với định nghĩa của virus.

Trong trường hợp cần loại bỏ rootkit, Sophos cung cấp một công cụ độc lập được thiết kế đặc biệt cho mục đích này. Sophos Anti-Rootkits sẽ phân tích máy và loại bỏ chúng nếu cần thiết.

3.1.3. Malicious Traffic Detection – Nhận dạng lưu lượng độc hại

Tính năng “Phát hiện lưu lượng truy cập độc hại” là một thành phần của Sophos Central Endpoint for Endpoint Protection.

Tính năng MTD hỗ trợ phát hiện các lưu lượng HTTP đang truy cập ra bên ngoài mà không phải từ xuất phát trình duyệt Web, điều này cảnh báo cho thấy mã độc có thể đang chạy trên máy trạm. MTD sẽ phân tích lưu lượng và ngăn chặn truy cập nếu địa chỉ đích của truy cập này là đến các Endpoint C&C bên ngoài.

3.1.5. Genotype Detection – Nhận dạng theo mẫu Gen virus

Các dòng virus mới phần lớn là biến thể của các dòng Virus cũ. Tính năng Genotype Detection giúp Sophos có thể phân tích được mã code tương đồng giữa các dòng virus cũ và virus mới. Hỗ trợ nhận diện nhanh và chính xác các dòng virus mới.

3.1.6. Zero-day Protection: HIPS – Phòng chống tấn công

Tính năng Host IPS giúp phân tích hành vi của các file. Có 3 giai đoạn chính.

Phân tích trước khi file thực thi

Công nghệ Sophos Behavioural Genotype Protection là một hệ thống ngăn chặn xâm nhập (HIPS).  Phần mềm sẽ quét tập tin trước khi nó được khởi chạy bởi người dùng. Nó xác định và chặn các chương trình độc hại trước khi chúng thực thi, không giống như tính năng IPS của các hãng khác chỉ giám sát các tiến trình đang chạy và chỉ can thiệp sau khi tiến trình này thực hiện hành vi đáng ngờ.

Trong khi thực thi (trong thời gian chạy)

Không giống như các giải pháp HIPS khác đòi hỏi kiến thức chuyên sâu về kỹ thuật bảo vệ và quản lý hàng ngày. Tính năng HIPS đảm bảo tính chủ động và khả năng kiểm soát hiệu quả hành vi của các ứng dụng của bạn trong khi ứng dụng đang chạy.

Hiệu suất cao nhờ tính năng Decision Caching.

Decision Caching, công nghệ quét truy cập của Sophos Endpoint Protection cho Windows tối ưu hóa hiệu suất bằng cách chỉ phân tích các thư mục mới hoặc thay đổi. Ngoài ra, công nghệ nhận dạng tập tin thông minh chỉ phân tích các tập tin có khả năng mang mã độc.

Giai đoạn Start và Stop

Người dùng không thích làm việc trên các máy bị làm chậm bởi các thành phần bảo mật được cài đặt trên máy. Do đó, cần phải tính đến tham số này khi thiết kế giải pháp bảo vệ được cài đặt trên máy người dùng. Giải pháp tốt phải bảo vệ hiệu quả mà không làm gián đoạn việc sử dụng máy tính của người dùng.

Trong khi một số nhà cung cấp khác làm giảm hoặc thậm chí hủy kích hoạt bảo vệ trong các giai đoạn khởi động máy để không gây ra sự chậm chạp cho trải nghiệm người dùng. Sophos đã chọn bảo vệ máy càng sớm càng tốt bằng cách tải các cơ chế bảo vệ (trình điều khiển và khởi động trong số các dịch vụ cần thiết) càng sớm càng tốt khi khởi động hệ thống và bằng cách tắt nó càng muộn càng tốt khi người dùng tắt máy tính, bảo vệ hiệu quả trong các giai đoạn khởi động và tắt máy.

Để không làm giảm hiệu suất của các máy trong các giai đoạn sử dụng nhiều tài nguyên này, một số cơ chế được tích hợp để đảm bảo tính toàn vẹn của hệ thống. Thật vậy, SophosLabs giám sát sự phát triển của các thành phần hệ thống rất đều đặn, đặc biệt là khi cung cấp các bản vá của hệ điều hành. Các thành phần này được biết và được tham chiếu trong Central Endpoint Protection, xác định rằng tập tin hệ thống được tải hoặc sử dụng khớp với phiên bản của trình chỉnh sửa và không phải là phiên bản sửa đổi.

Việc kiểm soát này được thực hiện bằng nhiều phương pháp khác nhau bao gồm xác minh tính toàn vẹn của tập tin (checksum calculator), danh sách trắng và kiểm tra hành vi. Khi các hoạt động được thực hiện khớp với các kho lưu trữ đã biết, không cần phải phân tích chống vi-rút cho các yếu tố này và giúp khởi động hoặc dừng máy dễ dàng hơn. Vì Sophos không thỏa hiệp về bảo mật, nếu không có sự tương ứng đã biết, các yếu tố sẽ được phân tích để đảm bảo an ninh cho hệ thống trong các giai đoạn này.

3.1.7. SafeStore – Quản lý các tập tin cách ly

Với Quarantine Manager, quản trị viên có thể cho phép một số tài khoản người dùng tự quản lý các mối đe dọa và do đó tiết kiệm đáng kể thời gian. Người dùng cuối có thể di chuyển hoặc xóa các tập tin bị nhiễm và ủy quyền có chọn lọc các ứng dụng không mong muốn. Để làm điều này, họ phải thêm các ứng dụng vào danh sách loại trừ để chúng không bị chặn sau đó.

3.1.8. Peripheral Control – Quản lý thiết bị ngoại vi

“Phòng bệnh tốt hơn chữa bệnh” là nguyên tắc số 1 cho an ninh mạng. Vì phần mềm độc hại cũng có thể lây lan qua các thiết bị ngoại vi, bạn có thể cấu quản lý hình quyền truy cập cho các thiết bị này thông qua Sophos Central.

Peripheral Control cho phép bạn tăng khả năng kiểm soát các thiết bị có nguy cơ. Kiểm soát các thiết bị này bao gồm hạn chế các thiết bị lưu trữ dung lượng lớn có thể tháo rời (USB, CD Rom, ổ cứng ngoài USB, iPod, máy nghe nhạc MP3, v.v.) và các thiết bị kết nối (Wi-Fi, Bluetooth, Modem, v.v.).

Nếu mục đích của bạn là chỉ chặn một thiết bị cụ thể và cho phép phần còn lại, điều này cũng có thể cấu hình đơn giản bằng cách thêm thiết bị đó vào mục Peripheral Exemptions.

Sophos Central cho phép bạn quy định một chính sách quản lý thiết bị cơ bản nhưng cũng có các chính sách khác nhau cho mỗi người dùng hoặc nhóm người dùng để ủy quyền hoặc cấm tất cả hoặc một phần của các thiết bị này.

Các hành vi cố gắng sử dụng thiết bị ngoại vi sẽ được log lại và thông báo đến người quản trị.

3.1.9. Application Control – Quản lý ứng dụng

Tính năng kiểm soát ứng dụng cho phép bạn phát hiện và chặn các ứng dụng không gây ra mối đe dọa bảo mật nhưng có thể không phù hợp để sử dụng trong môi trường doanh nghiệp.

Sophos có cơ sở dữ liệu của hàng ngàn ứng dụng được phân loại theo 50 nhóm khác nhau. Giúp bạn dễ dàng tuy chọn việc quản lý ứng dụng theo mục đích của doanh nghiệp.

3.1.10. Web Control – Bảo vệ truy cập Web

Tính năng bảo vệ truy cập Web cho phép quản lý việc truy cập Web của người dụng. Ngoài ra Sophos còn quét các tiến trình quảng cáo hay đánh giá mức độ nguy hiểm của các tập tin do người dùng tải xuống khi duyệt Web.

Danh sách các trang Web và các hành động bảo vệ được Sophos phân loại sẵn cho từng nhóm Website. Bạn cũng có thể tạo ra danh sách các trang Web và hành động bảo vệ riêng cho từng người dùng.

3.1.11. Data Loss Prevention (DLP) – Ngăn ngừa thất thoát dữ liệu

Tính năng DLP giúp ngăn ngừa việc thất thoát dữ liệu của người dùng do vô tình hoặc cố ý.

DLP cho phép bạn giám sát và hạn chế việc chuyển các tập tin chứa thông tin nhạy cảm. Ví dụ: bạn có thể ngăn người dùng gửi tập tin chứa dữ liệu nhạy cảm về nhà bằng email.

Chính sách DLP chứa một số quy tắc, một tập tin khớp với bất kỳ quy tắc nào trong chính sách DLP sẽ vi phạm chính sách. Một quy tắc có thể được bao gồm trong nhiều chính sách. Bạn có thể thêm văn bản vào các thông báo hiển thị trên các endpoint hoặc máy trạm Windows khi quy tắc được kích hoạt. Có hai loại tin nhắn:

• Thông báo xác nhận yêu cầu người dùng xác nhận chuyển tập tin.
• Một thông báo khóa thông báo cho người dùng rằng họ không thể chuyển tập tin.

Sophos DLP có 2 tính năng chính:

• Tạo các chính sách giám sát dữ liệu theo định dạng file: doc, docx, pdf, png….
• Tạo chính sách giám sát dữ liệu dựa theo từ khóa trong tài liệu: Content control list. Bạn có thể quy định từ khóa này và phần mềm Sophos sẽ quét trong tài liệu hoặc nội dung email.

Bạn có thể tạo chính sách cho người dùng và máy tính hoặc cho máy trạm. Bạn có thể sử dụng các mẫu hoặc tạo một chính sách tùy chỉnh. Lưu ý để sử dụng tính năng DLP cần bản quyền Sophos Intercept X Advanced.

3.1.12. Server Lockdown – Khoá máy chủ

Server Lockdown sử dụng công nghệ chỉ cho phép các ứng dụng được phê duyệt chạy trên máy chủ của bạn. Kiểm soát những gì có thể chạy khiến kẻ tấn công hack máy chủ khó hơn. Cũng như các file virus cũng sẽ không thực thi được trên máy chủ có bật Server Lockdown.

Server Lockdown sử dụng các trình điều khiển nằm trong nhân hệ điều hành và chỉ cho phép các ứng dụng đáng tin cậy và các tập tin liên quan của chúng thực thi và sửa đổi các tập tin.

Khi khóa máy chủ, mọi ứng dụng hiện đang chạy đều đáng tin cậy. Các ứng dụng mới được thêm vào sau khi lockdown sẽ không thể chạy trừ khi được quản trị viên Sophos Central cho phép.

3.1.13 – Anti-Exploit – Phòng chống khai thác vào máy trạm chưa cập nhật bản vá

Sophos Anti-Exploit là tính năng ngăn chặn các cuộc tấn công có chủ đích  (signatureless), ngăn chặn khai thác do lỗ hổng phần mềm. Các khai thác như Stack Pivot và Caller/Stack-based ROP Stack được theo dõi. Nó ngăn chặn các cuộc tấn công zero-day, các biến thể đe dọa và các cuộc tấn công thường trú trong bộ nhớ ngay cả khi không thực hiện quét tập tin.

3.1.14. CryptoGuard – Ngăn ngừa virus mã hoá

CryptoGuard là tính năng của Intercept X. Giám sát ở cấp hệ thống tập tin, nó liên tục bảo vệ các máy trạm và giám sát các hành vi cố gắng thay đổi tập tin. Khi phát hiện hành vi mã hóa dữ liệu, nó sẽ dừng tiến trình mã hóa và quay ngược lại tập tin về trạng thái an toàn mặc định ban đầu. Nó ngăn chặn mã hóa hàng loạt các tập tin cả trên thư mục nội bộ và cả thư mục chia sẻ file.

Khi CryptoGuard nghi ngờ rằng một tiến trình thực thi không phù hợp với quy trình dự định của nó, ví dụ như vừa mở file vừa tạo lệnh copy và delete. Sophos Data Recorder bắt đầu lưu trữ file dữ liệu mà tiến trình đó đang thực thi. Kích thước tối đa hiện tại của trình ghi dữ liệu CryptoGuard là 300MB và kích thước tập tin tối đa riêng lẻ mà nó sẽ ghi là 75 MB. Bộ nhớ cache sẽ ghi đè lên các tập tin cũ hơn.

CryptoGuard chạy như trình điều khiển bộ lọc tập tin và tạo các bản sao của 1 các tập tin đó trong thư mục c: \ windows \ cryptoguard.

Khi Sophos Safeguard phát hiện và dừng tiến trình mã hóa lại, một phân tích sẽ được thực hiện giữa tập tin hiện tại và bản sao thu được trước đó. Nếu tập tin được coi là mã hóa độc hại, CryptoGuard đánh dấu địa chỉ IP hoặc quá trình gây ra nó và duy trì bản sao và khôi phục bản sao về vị trí ban đầu của chúng.

3.1.15. Deep Learning – Công nghệ máy học

Trí thông minh nhân tạo được tích hợp trong Intercept X sử dụng công nghe Deep Learning, một hình thức học máy tiên tiến, phát hiện cả phần mềm độc hại đã biết và chưa biết mà không cần dựa vào cơ sở dữ liệu (signatures).

Deep Learning giúp Intercept X thông minh hơn, có khả năng mở rộng hơn và hiệu suất cao hơn các giải pháp bảo mật chỉ sử dụng phương pháp học máy truyền thống hoặc phát hiện dựa trên các dấu hiệu vi phạm.

Ưu điểm của Deep Learning so với Machine Learning:

Nhanh hơn

• Deep Learning phát hiện trong 20-100 mili giây mỗi tập tin
• Machine Learning cần 100-500 mili giây trên mỗi tập tin

Mẫu học nhỏ hơn

• Dung lượng mẫu học của Deep Learning khoảng 10-20 MB
• Dung lượng mẫu học Machine Learning khoảng 500 MB-10 GB

Thông minh hơn

• Deep Learning cung cấp tỷ lệ phát hiện cao hơn 10% so với Machine Learning

3.1.16. Root Cause Analysis – Phân tích nguyên nhân gốc rễ của sự cố

Tính năng phân tích chi tiết làm sáng tỏ nguyên nhân gốc rễ của các cuộc tấn công và đường lây nhiễm của chúng. RCA hiển thị đầy đủ về cách thức tấn công, nơi virus đã đi qua, đã tác động vào những file nào và đề xuất cách xử lý cho bạn.

3.1.17. File Integrity – Giám sát thay đổi trên máy chủ

Tính năng File Integrity giúp khách hàng tuân thủ theo quy trình PCI DSS. Sophos sẽ giám sát toàn bộ các dữ liệu quan trọng trên máy chủ và cảnh báo ngay khi có bất kì sự thay đổi gì trên các dữ liệu, khóa registry.

Ngoài ra bạn còn có thể tùy chọn giám sát sự thay đổi trên các folder được chỉ định.

3.1.18. Sophos Clean – Tự động xoá mã độc hại khỏi dữ liệu bị nhiễm

Trong khi các phần mềm diệt virus khác chỉ đơn giản là loại bỏ các tập tin bị dính mã độc. Sophos Clean cung cấp khả năng loại bỏ mã độc ra khỏi các tập tin và khôi phục tập tin cho người dùng.

3.2. Tính năng kỹ thuật sản phẩm Endpoint Detection and Response (EDR) for Endpoint

EDR là tính năng cao cấp. Sophos EDR sẽ thu thập tất cả các event trên máy trạm và sử dụng trí thông minh nhân tạo để phân tích, giúp tìm ra các cuộc tấn công đã xảy ra mà người quản trị không biết đến. Cũng như phán đoán trước các mối nguy có thể xảy ra trong hệ thống từ sớm. Giúp làm giảm thiểu tối đa rủi ro cho hệ thống.

Các lợi ích của EDR

Add Expertise and not Headcount – Có khả năng như chuyên gia mà không cần thêm nhân sự

• Malware expertise:

Hầu hết các tổ chức đều dựa vào các chuyên gia phân tích mã độc để phân tích các tập tin đáng ngờ. Cách tiếp cận này không chỉ tốn thời gian và nhân lực mà còn khó đạt được hiệu quả vì khả năng của một người là giới hạn trong khi Virus thì phát triển liên tục mới hàng trăm ngàn biến thể mỗi ngày. Intercept X Advanced với EDR cung cấp cách tiếp cận tốt hơn bằng cách tận dụng Deep Learning Malware Analysis, tự động phân tích phần mềm độc hại cực kỳ chi tiết, kiểm tra các thuộc tính tập tin và so sánh chúng với hàng triệu tập tin khác từ đó có thể dễ dàng xem các thuộc tính và phân đoạn mã nào tương tự như các tập tin xấu hay tập tin tốt được biết đến và để có thể xác định xem một tập tin nên bị chặn hoặc cho phép.

• Threat intelligence expertise:

Khi Intercept X Advanced với EDR thấy một tập tin đáng ngờ, các quản trị viên có thể thu thập thêm thông tin của tập tin này bằng cách gửi thông tin đến Sophos Labs, nơi nhận và xử lý khoảng 400.000 mẫu phần mềm độc hại chưa từng thấy trước đây mỗi ngày. Với việc này thông tin về mối đe dọa khác được thu thập, tổng hợp và tóm tắt để phân tích dễ dàng. Điều này có nghĩa là các doanh nghiệp không có chuyên gia phân tích các mối đe dọa vẫn có thể lấy được thông tin từ một trong những nhóm nghiên cứu khoa học dữ liệu và an ninh mạng hàng đầu trên thế giới.

• Security expertise*:

Intercept X Advanced với EDR nâng cao chuyên môn bảo mật của cán bộ CNTT bằng cách tự động phát hiện và ưu tiên cảnh báo các mối đe dọa tiềm ẩn.

Sử dụng trí tuệ nhân tạo, các sự kiện đáng ngờ được xác định và thông báo ngay đến người quản trị để được chú ý ngay lập tức. Người quản trị có thể nhanh chóng nhìn thấy nơi nào họ cần tập trung sự chú ý và hiểu được máy tính nào có thể bị ảnh hưởng bởi các mối nguy này.

3.2.1. Guided Incident Response – Hướng dẫn ứng phó sự cố

Quy trình của EDR

• Detect – Phát hiện

Khi một hồ sơ của Virus được xác định trên EDR. Người quản trị có thể ngay lập tức tìm hiểu nguyên nhân và con đường lây lan của Virus thông qua giao diện đồ họa RCA

Người quản trị có thể tìm kiếm thông tin về mối nguy đó trên toàn hệ thống với tính năng Threat Search.

• Investigate – Điều tra

Sau khi xác định mối đe dọa tiềm ẩn, yêu cầu phân tích có thể được gửi đến Sophos Labs để điều tra thêm về vụ việc. Tại các phòng thí nghiệm, các tập tin đáng ngờ được phân tích và dựa trên kết quả từ Sophos Labs, quản trị viên có thể đưa ra quyết định.

• Response – Phản hồi

Khi xác định mối đe dọa, quản trị viên có thể chọn các hành động như Clean & Block, cách ly thiết bị ngay từ trên giao diện quản trị

3.2.2. Client Isolation – Cách ly máy trạm

Người quản trị có thể cách ly máy tính bị nghi ngờ ra khỏi mạng bằng nhiều cách khác nhau:

Cách ly ngay trên giao diện Threat Case

Cách ly từ trang quản lý máy trạm

3.2.3. Live Discover – Tìm kiếm thông tin theo thời gian thực

Live Discover cho phép quản trị viên tìm kiếm thông tin trên máy trạm thông qua SQL Query. Khi có một yêu cầu kiểm tra thông tin trên máy trạm, ví dụ: Kiểm tra các bản patch cập nhật, các cổng đang mở trên máy trạm, số lần đăng nhập trong ngày… quản trị viên có thể dễ dàng truy vấn thông qua các tập lệnh có sẵn hoặc tự viết ra một tập lệnh theo nhu cầu của mình.

3.2.4. Live Response – Xử lý sự cố từ xa

Live Response cho phép quản trị viên kết nối từ xa với các thiết bị thông qua giao diện command line ngay trên trang quản trị Sophos Central. Trong trường hợp máy trạm xảy ra sự cố, quản trị viên có thể khác phục ngay lập tức dù đang ở nhà hay bên ngoài.

Sử dụng Live Response, quản trị viên có thể

• Khởi động lại thiết bị
• Xem danh sách các tiến trình đang chạy, và ngăn chặn các tiến trình đáng nghi
• Cài đặt và xóa các ứng dụng, tạo người dùng mới, tùy chỉnh thông số hệ thống
• Kiểm tra Log trên máy trạm

3.3. Tính năng kỹ thuật sản phẩm Sophos Intercept X Advanced for Endpoint with MTR Advanced

3.3.1. Đội phân tích độc lập

MTR là dịch vụ giám sát hệ thống 24/7. Vì vậy đội ngũ nhân lực rất quan trọng. Sophos Managed Threat & Response (Rook Securities) là 1 trong 4 nhà cung cấp dịch vụ nằm trong top Gartner report và thuộc top đánh giá của Forrester

Đánh giá tư Forrester

3.3.2. Vận hành bởi các chuyên gia an ninh mạng

Với Sophos MTR, công ty của bạn được hỗ trợ bởi đội ngũ chuyên gia phản ứng 24/7. Các chuyên gia này sẽ:

• Chủ động săn lùng và xác thực các mối đe dọa và sự cố tiềm ẩn
• Sử dụng tất cả thông tin có sẵn để xác định phạm vi và mức độ nghiêm trọng của các mối đe dọa
• Áp dụng ngữ cảnh thích hợp cho các mối đe dọa
• Cung cấp lời khuyên hữu ích để giải quyết nguyên nhân gốc rễ của sự cố và tránh tái diễn
• Bắt đầu các hành động để phá vỡ, ngăn chặn và vô hiệu hóa các mối đe dọa từ xa.

3.3.3. Các gói dịch vụ MTR

	MTR Standard	MTR Advanced
24/7 Lead Driven Threat Hunting	°	°
Security Health check	°	°
Activity reporting	°	°
adversarial detection	°	°
24/7 Leadless Threat hunting		°
Enhanced Telemetry		°
Dedicated Threat response lead		°
Direct call in Support		°
Asset Discovery		°

3.3.4. Cam kết về thời gian đáp ứng và phạm vi công việc

Nội dung dịch vụ và thời gian đáp ứng được miêu tả chi tiết theo link đính kèm

IV. Kiến trúc và cập nhật – Architecture and Updates

4.1. Kiến trúc hoạt động của Sophos Central

Kiến trúc của Sophos Central rất đơn giản.

• Sophos Central là Cloud Base. Truy cập vào giao diện quản trị thông qua HTTPS trên cổng 443.
• Việc cập nhật chính sách và update từ máy trạm được thực hiện qua cổng 80 và 443
• Đối với hệ thống không có truy cập Internet. Có thể tùy chọn tính năng Update Cache và Message Relay để thực hiện update offline.

4.2. Thông tin về Update của Sophos

Chu kỳ cập nhật được thiết kế để cho phép tất cả các tổ chức thực hiện cập nhật một cách nhanh chóng cho người dùng cuối và không ảnh hưởng đến hiệu suất.

Các bản cập nhật được chia thành 3 loại: hàng ngày, hàng tháng và thư viện gốc

Cập nhật hàng ngày

Tần suất: trung bình 5 đến 10 lần một ngày

Kích thước: thay đổi theo tần suất, trung bình 150KB mỗi ngày, được chia thành nhiều lần phân phối trung bình từ 10Kb đến 30 Kb.

Khi SophosLabs xác định mối đe dọa không xác định có thể ảnh hưởng đến khách hàng, các cập nhật sẽ được công bố. Các bản cập nhật này có kích thước nhỏ để có thể được phân phối nhanh chóng và không ảnh hưởng đến cơ sở hạ tầng mạng. Việc phân phối này có thể được thực hiện bất cứ lúc nào vì chúng là một bản cập nhật khẩn cấp.

Cập nhật hàng tháng

Tần suất: một lần mỗi tháng

Kích thước: từ 0,5 đến 5 MB, bao gồm cập nhật cơ sở dữ liệu virus, các ứng dụng không mong muốn và các ứng dụng cần kiểm tra (trò chơi, v.v., tùy chọn).

Bản cập nhật tháng chính là bản tổng hợp các bản hàng ngày thành một tập tin. Giúp các máy mới cài đặt dễ dàng up-to-date nhanh nhất.

Cập nhật thư viện

Tần suất: trung bình 2 lần một năm

Kích thước: từ 5 đến 20 tháng

Cập nhật thư viện chính là tổng hợp các bản cập nhật tháng. Bản cập nhật này thường được sử dụng để nâng cấp giải pháp Endpoint Protection, chẳng hạn như chuyển từ phiên bản 10.3 sang phiên bản 10.6.

V. Bộ tiêu chuẩn tuân thủ của Sophos

Các giải pháp Sophos đều đáp ứng tuân thủ các tiêu chuẩn bảo mật quốc tế

5.1. HIPAA

Sophos đảm bảo bảo vệ dữ liệu nhạy cảm trong mọi lúc và trong mọi trường hợp. Điều này phù hợp với yêu cầu của HIPAAA để bảo vệ thông tin hệ thống. Sophos UTM, Tường lửa XG, Bảo vệ máy trạm, Mã hóa SafeGuard, Mã hóa email SPX, thiết bị di động, Wi-Fi, Bảo vệ Web, Sophos Sandstorm, Security Heartbeat và SophosLabs là những sản phẩm chính của Sophos để giúp bạn tuân thủ HIPAA

5.2. DSS PCI

Sophos cũng hỗ trợ đáp ứng tiêu chuẩn bảo mật dữ liệu thanh toán (PCI DSS)

5.3. CIS

Được phát triển bởi Center for Internet Security, CIS Critical Security Controls, đưa ra các hướng dẫn và các bước để phòng thủ không gian mạng. Sophos có nhiều kinh nghiệm và khả năng để thực hiện các tuân thủ này.

VI. Đánh giá của bên thứ 3 và so sánh

Sophos đúng vị Top 1 trong bài test thực tế khả năng nhận dạng virus của NSS Labs 2019

Sophos có 13 năm liên tục nằm trong nhóm Leader của Gartner về giải pháp Endpoint Protection

Tổng hợp các đánh giá của bên thứ 3

So sánh với các giải pháp khác ( Vui lòng liên hệ Sophos để có bảng so sánh chi tiết)