Endpoint Security là cách thực hành để bảo vệ các điểm cuối hoặc điểm vào (entry point) của các thiết bị người dùng cuối như desktop, laptop và thiết bị di động khỏi bị khai thác bởi các tác nhân và chiến dịch/tấn công độc hại. Hệ thống phòng thủ này bảo vệ các điểm cuối trên mạng hoặc trên đám mây khỏi các mối đe dọa an toàn thông tin.
Endpoint Security đã phát triển từ phần mềm chống vi-rút (anti-virus)/độc hại (anti-malware) truyền thống để cung cấp bảo vệ toàn diện khỏi các phần mềm độc hại tinh vi cũng như các mới đe doạ zero-day.
Các tổ chức thuộc mọi quy mô đều có nguy cơ bị tấn công. Endpoint Security được xem là tiền tuyến của an ninh mạng và là một trong những nơi đầu tiên mà các tổ chức tìm cách bảo mật cho doanh nghiệp của họ.
Khi khối lượng và độ tinh vi của các mối đe dọa an ninh mạng đã tăng lên đều đặn, các giải pháp bảo vệ điểm cuối cũng trở nên tiên tiến hơn. Ngày nay, các hệ thống bảo vệ điểm cuối được thiết kế để nhanh chóng phát hiện, phân tích và ngăn chặn các cuộc tấn công đang diễn ra. Để làm điều này, cần sự cộng tác với nhau với các công nghệ bảo mật khác để cung cấp cho quản trị viên khả năng hiển thị các mối đe dọa nâng cao giúp tăng tốc độ phát hiện, khắc phục và giảm thời gian phản hồi.
Tại sao Endpoint Security quan trọng?
Endpoint Security là một phần quan trọng của an ninh mạng doanh nghiệp vì nhiều lý do.
Trước hết, trong thế giới kinh doanh ngày nay, dữ liệu thường là tài sản quý giá nhất mà công ty có được và việc mất dữ liệu, hoặc truy cập trái phép có thể khiến toàn bộ doanh nghiệp có nguy cơ mất khả năng kinh doanh.
Các doanh nghiệp cũng đã phải đối mặt với không chỉ số lượng điểm cuối ngày càng tăng mà còn cả về loại điểm cuối. Các yếu tố này làm cho việc bảo mật điểm cuối doanh nghiệp trở nên khó khăn hơn. Bối cảnh mối đe dọa cũng trở nên phức tạp hơn: Các tin tặc luôn tìm ra những cách mới để chiếm quyền truy cập, đánh cắp thông tin hoặc thao túng nhân viên đưa ra các thông tin nhạy cảm.
Endpoint Security hoạt động như thế nào?
Bảo mật điểm cuối là sự thực hành bảo vệ dữ liệu và quy trình công việc được liên kết với các thiết bị riêng lẻ kết nối với mạng. Endpoint Protection hoạt động dựa trên nền tảng bảo vệ điểm cuối hay Endpoint Protection Platform (EPP), nền tảng này hoạt động bằng cách kiểm tra các tệp khi chúng vào mạng. Các EPP hiện đại khai thác sức mạnh của đám mây để giữ một cơ sở dữ liệu thông tin về mối đe dọa ngày càng tăng, giải phóng các điểm cuối khỏi sự phình to liên quan đến việc lưu trữ tất cả thông tin này tại local cũng như việc bảo trì cần thiết cho các cơ sở dữ liệu này. Truy cập dữ liệu trong đám mây cũng cho phép tốc độ và khả năng mở rộng quy mô cao hơn.
EPP cung cấp cho quản trị viên hệ thống một bảng điều khiển tập trung, được cài đặt trên network gateway hoặc server và cho phép các chuyên gia an ninh mạng kiểm soát bảo mật cho mỗi thiết bị từ xa. Phần mềm máy khách sau đó được gán cho mỗi điểm cuối, có thể được phân phối dưới dạng SaaS và được quản lý từ xa hoặc có thể được cài đặt trực tiếp trên từng thiết bị. Khi điểm cuối đã được thiết lập, phần mềm máy khách có thể đẩy các bản cập nhật đến điểm cuối khi cần thiết, xác thực các lần đăng nhập từ mỗi thiết bị và quản lý các chính sách của công ty từ một vị trí. Các EPP bảo mật các điểm cuối thông qua kiểm soát ứng dụng, điều này ngăn chặn việc sử dụng các ứng dụng không an toàn hoặc không được ủy quyền kết hợp với thông qua mã hóa, giúp ngăn ngừa việc mất dữ liệu.
Khi được thiết lập, EPP có thể nhanh chóng phát hiện phần mềm độc hại và các mối đe dọa khác. Một số nhà cung cấp giải pháp cũng bao gồm Endpoint Detection and Response (EDR). EDR cho phép phát hiện các mối đe dọa tiên tiến hơn, chẳng hạn như các cuộc tấn công đa hình, fileless malware, và các cuộc tấn công zero-day. Bằng cách sử dụng giám sát liên tục, giải pháp EDR có thể cung cấp khả năng hiển thị tốt hơn và nhiều tùy chọn phản hồi.
EPP thường có sẵn trong các mô hình on-premise & cloud. Trong khi các sản phẩm trên cloud có khả năng mở rộng hơn và có thể dễ dàng tích hợp hơn với kiến trúc hiện tại của bạn, một số quy tắc tuân thủ / quy định nhất định có thể yêu cầu với bảo mật on-premise.
Các thành phần của Endpoint Security
Thông thường, Endpoint Security sẽ bao gồm các thành phần:
- Machine-learning classification: phát hiện các mối đe doạ zero-day tiệm cận thời gian thực.
- Antimalware & Antivirus Protection tiên tiến: bảo vệ, phát hiện và loại bỏ phần mềm độc hại trên nhiều thiết bị đầu cuối và hệ điều hành.
- Bảo mật web chủ động: đảm bảo duyệt web an toàn.
- Data classification & data loss prevention: ngăn ngừa mất dữ liệu và tấn công exfiltration.
- Firewall (được tích hợp) để chặn các cuộc tấn công mạng.
- Email Gateway: để chặn các nỗ lực lừa đảo và kỹ thuật tấn công social engineering nhắm mục tiêu vào nhân viên.
- forensics: cho phép quản trị viên nhanh chóng cách ly các khu vực bị lây nhiễm.
- Insider threat protection: bảo vệ chống lại các hành động gây hại.
- Nền tảng quản lý điểm cuối tập trung: cải thiện khả năng hiển thị và đơn giản hóa các hoạt động.
- Endpoint, email & disk encryption: ngăn chặn việc mất/đánh cắp dữ liệu.
Thiết bị nào được tính là 1 endpoint?
Endpoint – thiết bị điểm cuối có thể là bất cứ thiết bị nào:
- Desktop, Laptop.
- Máy tính bảng.
- Smartphone, smartwatch.
- Máy in.
- Server.
- Máy ATM, v.v..
Có thể xác định rằng, nếu một thiết bị được kết nối với mạng, thiết bị đó được coi là điểm cuối – endpoint. Với sự phổ biến ngày càng tăng của việc mang thiết bị cá nhân đến văn phòng làm việc và IoT (Internet of Things), số lượng thiết bị riêng lẻ được kết nối với mạng của một tổ chức có thể nhanh chóng lên tới hàng chục, hàng trăm, thậm chí hàng ngàn.
Vì endpoint có thể là điểm khởi đầu cho các mối đe dọa và phần mềm độc hại, điểm cuối (đặc biệt là thiết bị di động và thiết bị từ xa) là mục tiêu ưa thích của các cuộc tấn công mạng. Các thiết bị đầu cuối di động đã trở nên không chỉ là các thiết bị điện thoại Android và iPhone mà còn là smartwatch, các loại thiết bị thông minh, trợ lý kỹ thuật số điều khiển bằng giọng nói và các thiết bị thông minh hỗ trợ IoT khác. Suy rộng ra theo định nghĩa vừa đề cập, endpoint có thể là các cảm biến kết nối mạng trong xe hơi, máy bay, bệnh viện và thậm chí trên các giàn khoan dầu. Khi các loại điểm cuối khác nhau đã phát triển và mở rộng, các giải pháp bảo mật bảo vệ endpoint cũng phải được phát triển.
So sánh với bảo vệ truyền thống Anti-virus
Phương diện Network Security
Các chương trình chống vi-rút (anti-virus) được thiết kế để bảo vệ một điểm cuối duy nhất và chỉ cung cấp khả năng hiển thị cho điểm cuối đó. Trong khi Endpoint Protection cho cái nhìn toàn bộ trong mạng doanh nghiệp và có thể cung cấp khả năng hiển thị của tất cả các điểm cuối được kết nối từ một vị trí.
Phương diện quản trị
Các giải pháp chống vi-rút dựa vào người dùng để cập nhật thủ công cơ sở dữ liệu hoặc cho phép cập nhật tại thời điểm đặt trước. Endpoint Security cung cấp bảo mật được kết nối với nhau để chuyển trách nhiệm quản trị an toàn thông tin cho nhóm CNTT doanh nghiệp hoặc an ninh mạng.
Phương diện bảo vệ
Anti-virus truyền thống phát hiện dựa trên chữ ký (signature-based) để tìm vi-rút. Điều này có nghĩa là nếu doanh nghiệp của bạn là nạn nhân của tấn công zero-day hoặc nếu người dùng không cập nhật phần mềm diệt virus, doanh nghiệp vẫn có thể gặp rủi ro. Bằng cách khai thác trên nền tảng đám mây, các giải pháp Endpoint Security ngày hôm nay được cập nhật tự động và với việc sử dụng các công nghệ như phân tích hành vi, các mối đe dọa chưa được xác định trước đây có thể được phát hiện dựa trên các hành vi đáng ngờ.
Từ dựa trên signature sang machine learning
Việc kinh doanh bảo mật thiết bị đầu cuối bắt đầu vào cuối những năm 1980 với phần mềm chống vi-rút có thể nhận ra các loại virus và phần mềm độc hại bằng chữ ký (signature). Cơ chế phát hiện là tìm kiếm các thay đổi trong hệ thống tệp hoặc ứng dụng và so sánh với các mẫu virus đã biết và gắn cờ hoặc chặn các chương trình đó khởi chạy. Khi internet và thương mại điện tử trở nên phổ biến, phần mềm độc hại đã trở nên phổ biến hơn, phức tạp hơn và khó phát hiện hơn. Chỉ phụ thuộc vào chữ ký (signature) là không đủ, ngành công nghiệp đang chứng kiến sự gia tăng của phần mềm độc fileless, những phần mềm độc hại trước giờ chưa được biết đến. Ngày nay, chiến đấu với phần mềm độc hại là một cuộc chiến mà phần mềm chống vi-rút/anti-virus chỉ là một trong nhiều “vũ khí” được sử dụng.
việc gia tăng “vũ khí” này mang lại sự phức tạp hơn. Sự tăng trưởng nhanh chóng của các sản phẩm bảo mật với chức năng chồng chéo và bảng điều khiển quản lý riêng biệt có thể khiến nhiều tổ chức gặp khó khăn để có được một bức tranh rõ ràng về các cuộc tấn công tiềm năng. Các nhóm bảo mật, sau nhiều năm kết hợp các sản phẩm endpoint security với nhau, thường kết thúc việc quản lý nhiều agent và không có khả năng thiết lập tự động hoá.
Nghiên cứu gần đây cho thấy các giải pháp Endpoint Security bị cô lập sẽ không thể theo kịp các mối đe dọa tinh vi mới. Để đối phó, các thế hệ thống phòng thủ đa lớp được tích hợp, thích nghi với những cuộc tấn công phức tạp. Endpoint Security mới nhất yêu cầu tìm và ngăn chặn các cuộc tấn công ẩn chỉ trong vài giây chứ không phải là vài tháng. Điều này đòi hỏi một hệ thống khép kín, tự động chia sẻ thông tin về mối đe dọa giữa các thành phần được kết nối để phát hiện, giải quyết và thích ứng với các chiến lược tấn công mới. Bảo vệ đa lớp tích hợp cho phép các tổ chức hợp tác, chia sẻ hiểu biết về mối đe dọa và hành động hiệu quả để chống lại các cuộc tấn công trong tương lai.
Bây giờ chúng ta đang ở giai đoạn mà con người không thể làm một mình và đang cần sự hợp tác với machine learning. Machine learning và trí tuệ nhân tạo AI đang cho phép Endpoint Security phát triển với tốc độ gần bằng tốc độ của các cuộc tấn công. Các khả năng truyền thống như firewall, đánh giá danh tiếng (reputation) và heuristic được kết hợp với machine learning để ngăn chặn các cuộc tấn công tiên tiến nhất.
Sự khác biệt của Endpoint Protection cho doanh nghiệp & cá nhân
| Doanh nghiệp | Cá nhân |
| Tốt hơn trong việc quản lý nhiều & đa dạng các loại điểm cuối | Quản lý chỉ một số lượng nhỏ điểm cuối người dùng |
| Khả năng quản lý trung tâm | Điểm cuối được thiết lập và định cấu hình riêng lẻ |
| Khả năng quản trị từ xa | Hiếm khi có quản lý từ xa |
| Định cấu hình bảo vệ điểm cuối trên thiết bị từ xa | Định cấu hình bảo vệ điểm cuối trực tiếp cho thiết bị |
| Triển khai các bản patch cho tất cả các điểm cuối có liên quan | Người dùng cập nhật tự động cho từng thiết bị |
| Yêu cầu cấp quyền khi thực hiện sửa đổi | Sử dụng quyền quản trị người dùng |
| Khả năng giám sát các thiết bị, hoạt động và hành vi của nhân viên | Hoạt động và hành vi giới hạn cho người dùng duy nhất |
