Microsoft Defender ATP là gì?
Microsoft Defender ATP là một giải pháp chống phần mềm độc hại dành cho doanh nghiệp cung cấp cho khả năng hiển thị đầy đủ về tất cả các thiết bị được kết nối với môi trường và quản trị viên có thể tận dụng các phân tích và các khả năng nâng cao để bảo vệ khỏi các mối đe dọa nhắm vào các điểm cuối.
Cách các mối đe dọa nâng cao nhắm mục tiêu và thỏa hiệp với doanh nghiệp
Khi các biện pháp phòng thủ an ninh mạng triển khai trong doanh nghiệp càng được gia tăng, thì các mối đe dọa sẽ càng phát triển để bắt kịp và vượt qua các hàng rào phòng thủ này. Không có gì lạ khi các tổ chức doanh nghiệp mặc dù đã có các biện pháp giám sát và phòng thủ mối đe dọa nâng cao ở vành đai mạng, nhưng vẫn bị xâm nhập. Và cuộc tấn công chủ yếu này từ phía môi trường người dùng, những người không có kiến thức hay chuyên môn về an ninh mạng, và dễ bị kẻ xấu lôi kéo truy cập vào những tệp hay link gửi đến có chứa mã độc. Nắm bắt được tâm lý tò mò và cả tin của người dùng cuối, những kẻ tấn công đã thay đổi trọng tâm xâm nhập từ máy chủ và thiết bị mạng của doanh nghiệp sang thiết bị và ứng dụng của người dùng cuối.
Hai mối đe dọa nâng cao thường được sử dụng để lợi dụng người dùng: Phishing và ransomware. Cả hai phương thức tấn công này có tỉ lệ thành công rất cao, chống lại sự phòng thủ của doanh nghiệp và giám sát mối đe dọa. Hậu quả là cuộc tấn công đã gây ra thiệt hại lớn (lên đến hàng triệu đô) do gián đoạn mọi hoạt động của doanh nghiệp trong thời gian dài, hay đánh cắp và và tham nhũng dữ liệu kinh doanh. Cả hai cuộc tấn công đều lợi dụng lỗi của con người, đây là một trong những rủi ro hàng đầu đối với bất kỳ tổ chức nào và tiếp tục là mối quan tâm lớn trên toàn cầu.
Ransomware: Chiếm đoạt dữ liệu của doanh nghiệp
Ransomware thường bắt đầu bằng lừa đảo. Với đại dịch toàn cầu buộc người dùng phải làm việc tại nhà, các cuộc tấn công lừa đảo đã tăng đột biến vào năm 2020 và tiếp tục tăng vào năm 2021. Từ tháng 8 năm 2020 đến tháng 1 năm 2021, các cuộc tấn công lừa đảo tăng gấp bốn lần và các cuộc tấn công lừa đảo là mục tiêu chính. Việc nhắm mục tiêu vào những người dùng có đặc quyền cao cụ thể có thể cấp cho kẻ tấn công quyền truy cập vào các tệp quan trọng được lưu trữ trên mạng. Điều này có nghĩa là ransomware cũng có quyền truy cập vào các tệp này nếu người dùng thực thi nó.
Mục tiêu của kẻ đe dọa trong cuộc tấn công bằng ransomware là lừa người dùng tải xuống và thực thi phần mềm độc hại. Phần mềm độc hại có thể là tệp đính kèm thực thi (ví dụ: tệp exe) hoặc tài liệu Microsoft có vẻ vô hại với macro tải tệp thực thi ransomware. Liên kết đến các trang web do kẻ tấn công kiểm soát, thuyết phục người dùng tải xuống phần mềm tống tiền cũng là một vấn đề và trong một số trường hợp, hành vi trộm cắp thông tin xác thực là một mục tiêu bổ sung.
Tác động tiền tệ từ một cuộc tấn công ransomware có thể được nhìn thấy trong bất kỳ một trong những sự cố mạng gần đây liên quan đến phần mềm độc hại. Ví dụ, học khu Broward County Public Schools là mục tiêu của ransomware Conti vào tháng 3 năm 2021. Những kẻ tấn công đã lấy cắp 26.000 tệp và yêu cầu 40 triệu đô la cho các tệp và khóa cá nhân để giải mã dữ liệu của khu học. Nhà trường đã cố gắng thương lượng với những kẻ tấn công để giảm số tiền chuộc xuống còn 500.000 đô la nhưng đã vấp phải việc tiết lộ dữ liệu nhạy cảm cho công chúng.
Ransomware là một mối đe dọa duy nhất và hiệu quả không thể khắc phục bằng các công cụ diệt vi-rút tiêu chuẩn. Mã hóa được sử dụng trong ransomware được bảo mật bằng mật mã, vì vậy cách duy nhất để khôi phục tệp và dữ liệu là sử dụng bản sao lưu. Tuy nhiên, ransomware cũng tìm kiếm trên mạng các tệp sao lưu và mã hóa các tệp đó, khiến tổ chức bị tê liệt nếu tìm thấy chúng thành công. Nó ngăn chặn năng suất và tạo ra thời gian ngừng hoạt động ảnh hưởng đến doanh thu, ngăn cản nhân viên làm công việc của họ. Nếu tổ chức từ chối trả tiền chuộc, kẻ tấn công có thể đe dọa tống tiền doanh nghiệp bằng cách tiết lộ công khai dữ liệu nhạy cảm hoặc tài sản trí tuệ.
Phishing: Một vectơ tấn công phổ biến có khả năng gây sát thương cao
Chỉ cần một người dùng trở thành nạn nhân của một cuộc tấn công Phishing và ransomware có thể quét mạng của bạn và mã hóa các tệp với trọng tải không thể thay đổi được. Lừa đảo là một trong những vectơ phổ biến nhất trong các cuộc tấn công an ninh mạng. Nó dẫn đến lạm dụng đặc quyền, đánh cắp dữ liệu, ransomware và nhiều cuộc tấn công khác. Trong Báo cáo điều tra vi phạm dữ liệu của Verizon , nghiên cứu cho thấy lừa đảo là phương tiện được sử dụng trong 36% các cuộc tấn công . Những kẻ đe dọa sử dụng email độc hại sử dụng nhiều phương pháp khác nhau để thuyết phục người dùng chạy phần mềm độc hại hoặc tiết lộ thông tin đăng nhập mạng của họ.
Điều đáng lo ngại hơn nữa là lừa đảo trực tuyến , nhắm mục tiêu đến những người dùng cụ thể trong một tổ chức, thường là những người có tài khoản đặc quyền cao. Kết hợp với ransomware, lừa đảo trực tuyến có thể làm tê liệt một tổ chức. Trong các tình huống nghiêm trọng mà tổ chức không có bản sao lưu tốt, ransomware buộc các công ty phải trả một khoản tiền chuộc có thể lên tới hàng trăm nghìn đô la.
Phishing cũng được sử dụng trong các cuộc tấn công phần mềm độc hại khác. Nó có thể được sử dụng để chèn trojan và phần mềm rootkit trên thiết bị người dùng được nhắm mục tiêu để kẻ tấn công có quyền điều khiển thiết bị từ xa. Với điều khiển từ xa thiết bị, kẻ tấn công sau đó có thể truy cập các tệp và tài nguyên mạng bằng tài khoản người dùng đã được xác thực.
Giải pháp bảo mật tiên tiến Microsoft Defender Endpoint Anti-Malware
Mặc dù phishing và ransomware là những mối đe dọa phổ biến nhưng chúng không phải là những phương pháp tiên tiến duy nhất mà những kẻ tấn công sử dụng để xâm phạm hệ thống. Báo cáo điều tra vi phạm dữ liệu của Verizon liệt kê các hành động đe dọa khác nhau nhắm vào doanh nghiệp bao gồm từ chối dịch vụ (DoS), đánh cắp thông tin xác thực, định cấu hình sai, lạm dụng đặc quyền, đưa phần mềm độc hại, kỹ thuật xã hội và khai thác trên phần mềm dễ bị tấn công.
Doanh nghiệp cần nhiều hơn biện pháp bảo vệ chống vi-rút cơ bản để chống lại nhiều mối đe dọa nhắm vào thiết bị người dùng cuối. Môi trường hiện đại hóa ngày nay cũng cho phép người dùng mang theo thiết bị của riêng họ để có thể làm việc mọi lúc mọi nơi và những thiết bị này thậm chí còn gây ra nhiều rủi ro hơn. Các ứng dụng đám mây như Microsoft 365 bản quyền cũng phổ biến khi dữ liệu công việc và email trở nên dễ dàng truy cập và sử dụng cho mọi nhân viên. Chính sự thuận tiện này đã bị kẻ xấu lợi dụng và triển khai các cuộc tấn công đến người dùng cuối, từ đó gây ra thiệt hại cho toàn doanh nghiệp.
McAfee Endpoint Security, Kaspersky Endpoint Security, Symantec Endpoint Protection và Trend Micro Apex đều là những lựa chọn khả thi cho an ninh mạng doanh nghiệp. Tất cả chúng đều có khả năng chống phần mềm độc hại, nhưng Microsoft Defender có một số lợi ích và tính năng khác được tích hợp trực tiếp vào Windows có thể được tận dụng mà không cần triển khai thêm phần mềm của bên thứ ba. Đối với một số ứng dụng như McAfee và Symantec, người dùng phàn nàn về sự suy giảm hiệu suất và gián đoạn năng suất. Bảo mật cấp doanh nghiệp cần được hỗ trợ và bảo vệ đầy đủ khỏi các mối đe dọa, nhưng nó không được ảnh hưởng đến năng suất của người dùng và khả năng sử dụng thiết bị.
Microsoft Defender ATP được nhúng vào hệ điều hành Windows để có thể chặn các cuộc tấn công một cách chính xác, chủ động phát hiện và ngăn chặn các quy trình bị xâm nhập tiềm ẩn và xác thực giả gây ảnh hưởng đến năng suất làm việc của hệ thống. Thay vì sử dụng một chương trình chống vi-rút đơn giản để ngăn chặn các cuộc tấn công, Microsoft Defender là một ứng dụng phòng chống mối đe dọa mạng đầy đủ bao gồm nhiều tính năng khác với bảo mật không gian mạng điểm cuối cấp doanh nghiệp tiêu chuẩn khác.
Những gì Microsoft Defender ATP có thể làm
Sử dụng ví dụ về cuộc tấn công bằng ransomware, vectơ chính là email có tệp đính kèm hoặc liên kết đến trang web độc hại lưu trữ phần mềm độc hại. Trong một cuộc tấn công thành công, người dùng chạy phần mềm độc hại trên thiết bị trực tiếp hoặc gián tiếp. Microsoft Defender sẽ chủ động phát hiện phần mềm độc hại trước khi nó truy cập vào bộ nhớ thiết bị và ngăn chặn xâm nhập. Điều này là phổ biến trong bảo vệ chống phần mềm độc hại, nhưng Microsoft Defender ATP còn làm được nhiều hơn thế đối với một doanh nghiệp. Microsoft Defender ATP cung cấp khả năng hiển thị nhiều hơn cho các quản trị viên chịu trách nhiệm giám sát tất cả các thiết bị có quyền truy cập vào môi trường mạng.
Một số tính năng doanh nghiệp khác của Defender ATP bao gồm:
Khám phá các cấu hình sai và lỗ hổng bảo mật
Để quản trị viên dễ dàng giám sát các điểm cuối và xác định các mối đe dọa, Microsoft Defender ATP có một bảng điều khiển trung tâm, nơi quản trị viên có thể xem điểm số mối đe dọa trên mạng cho tất cả các thiết bị, đồ dùng, tài khoản và các biện pháp kiểm soát khác.
Học máy và phân tích dữ liệu lớn
Máy học là thế hệ tiếp theo trong an ninh mạng để quản trị viên có thể đưa ra quyết định và nhận phân tích để đưa ra dự đoán từ các thuật toán nâng cao và tự phát hiện thông tin. Microsoft Defender ATP sử dụng dữ liệu lớn và phương pháp phỏng đoán để phát hiện ra các mẫu mối đe dọa có thể phát hiện hành vi đáng ngờ và xác định các cuộc tấn công đang diễn ra.
Giảm bề mặt tấn công và các quy tắc
Một phương pháp hay nhất phổ biến trong an ninh mạng trên Microsoft Defender ATP là giảm bề mặt tấn công của doanh nghiệp. Bề mặt tấn công là một khu vực ảo nơi tất cả các điểm cuối và cơ sở hạ tầng mạng làm tăng nguy cơ bị đe dọa. Càng nhiều ứng dụng và thiết bị đầu cuối được thêm vào môi trường của doanh nghiệp, thì bề mặt tấn công càng lớn. Quản trị viên bảo mật có thể giảm bề mặt tấn công bằng cách hạn chế quyền truy cập vào các thiết bị không đáng tin cậy (ví dụ: máy tính xách tay cá nhân của người dùng) và tạo quy tắc chặn các thiết bị không đáp ứng các khuyến nghị bảo mật.
Mô phỏng các kịch bản tấn công và chạy mô phỏng
Làm thế nào để bạn biết liệu thiết bị của mình có được bảo vệ hay không nếu bạn không thể mô phỏng một kịch bản trong thế giới thực? Microsoft Defender ATP mô phỏng và đánh giá cho phép các quản trị viên thâm nhập kiểm tra mạng để tìm các lỗ hổng như thể mạng đang trải qua một cuộc tấn công trong thế giới thực. Tìm lỗ hổng bảo mật và nhận đề xuất bằng cách sử dụng phòng thí nghiệm mô phỏng.
Các tính năng phản hồi và phát hiện điểm cuối
Trong một doanh nghiệp lớn, bạn có thể có hàng nghìn thiết bị kết nối với mạng. Các thiết bị này phải được tính toán và phát hiện để quản trị viên có thể chạy phân tích và đảm bảo rằng chúng đáp ứng các yêu cầu bảo mật. Defender ATP liên tục giám sát mạng để tìm các thiết bị mới, thu thập dữ liệu hành vi và thực hiện pháp y để xác định xem thiết bị có gây ra bất kỳ mối đe dọa nào đối với môi trường hay không.
Điều tra và khắc phục tự động
Cả Microsoft Defender và Azure đều có khả năng điều tra và khắc phục tự động (AIR). Công cụ này tìm các lỗ hổng và cung cấp thông tin bổ sung về bất kỳ thiết bị nào cần được cập nhật hoặc định cấu hình thêm. Quản trị viên có thể xem xét thêm, giảm thiểu và khắc phục sự cố trước khi sự cố gây ra thêm thiệt hại.
Điểm tiếp xúc để giúp tính toán khai thác tiềm năng
Bảng điều khiển bao gồm điểm số tiếp xúc để các quản trị viên không quen với rủi ro và lỗ hổng bảo mật có thể đánh giá tiềm năng khai thác của họ là các chuyên gia an ninh mạng. Đó là một cách thuận tiện để quản trị viên biết khi nào cần phải thực hiện hành động để bảo mật mạng tốt hơn. Điểm tiếp xúc cung cấp cho quản trị viên một cách thuận tiện để đánh giá an ninh mạng.
Liên hệ tư vấn
Công ty TNHH công nghệ GADITI – Chuyên cung cấp phần mềm Microsoft bản quyền và dịch vụ IT chuyên nghiệp dành cho khách hàng khối doanh nghiệp
- Địa chỉ: 161E1 Trung Mỹ Tây 13A, Phường Trung Mỹ Tây, Quận 12, Thành phố Hồ Chí Minh
- Điện thoại: 039.8686.950
- Mail: [email protected]
