Reading Time: 10 minutes

Endpoint Security là gì?

Endpoint Security (bảo mật điểm cuối, hay bảo mật thiết bị đầu cuối) là hoạt động bảo vệ điểm cuối hoặc điểm vào của các thiết bị đầu cuối như máy tính để bàn, laptop và điện thoại khỏi việc bị tấn công và khai thác bởi kẻ xấu. Hệ thống bảo mật đầu cuối bảo vệ các thiết bị này trên hệ thống mạng hoặc các hệ thống đám mây khỏi các mối đe dọa an ninh mạng. Bảo mật đầu cuối đã được phát triển từ phần mềm diệt virus truyền thống để có thể cung cấp sự bảo vệ từ các mã độc phức tạp và các lỗ hổng chưa được phát hiện (zero-day threats).

Các tổ chức thuộc mọi quy mô đều gặp những rủi ro từ các quốc gia, tin tặc, tội phạm có tổ chức và thậm chí là mối đe dọa từ bên trong tổ chức, bao gồm cả nội gián lẫn tai nạn ngoài ý muốn. Bảo mật đầu cuối thường được coi là tiền tuyến của an ninh mạng và thường là thứ các tổ chức tìm đến đầu tiên để bảo vệ mạng lưới của họ.

Khi mà số lượng và độ phức tạp của các mối đe dọa an ninh mạng ngày càng tăng, nhu cầu dành cho các giải pháp bảo mật đầu cuối cũng tăng theo. Hệ thống bảo mật đầu cuối ngày nay được thiết kế để có thể nhanh chóng phát hiện, phân tích, ngăn chặn và phong tỏa các cuộc tấn công. Để làm được điều này, họ cần cộng tác với nhau sử dụng các công nghệ bảo mật khác nhau nhằm giúp quản trị viên gia tăng khả năng phát hiện và tốc độ phản ứng với các mối nguy hại.

Vì sao Endpoint Security quan trọng?

Nền tảng Endpoint Security là một phần quan trọng của bảo mật an ninh mạng dành cho các doanh nghiệp vì một vài lý do sau.

• Đầu tiên, trong thế giới kinh doanh ngày nay, dữ liệu thường là tài sản giá trị nhất của một công ty. Việc đánh mất hoặc mất quyền truy cập vào dữ liệu đó có thể đẩy công ty vào cảnh phá sản.
• Các công ty không chỉ phải đương đầu với số lượng thiết bị đầu cuối gia tăng mà còn cả về các loại thiết bị đầu cuối. Những yếu tố này khiến cho việc bảo mật đầu cuối của các doanh nghiệp thêm khó khăn, ngoài ra họ còn phải đối mặt với vấn đề làm việc từ xa và chính sách tự mang thiết bị cá nhân đi làm (BYOD policies), điều này khiến cho vành đai an ninh trở nên không đủ và tạo ra các lỗ hổng.
• Các mối đe dọa cũng đang trở nên phức tạp hơn, tin tặc luôn tìm những cách mới để xâm nhập, đánh cắp thông tin hoặc lợi dụng nhân viên để làm rò rỉ các thông tin nhạy cảm.
• Thêm vào đó chi phí của việc phân bổ lại nguồn lực việc kinh doanh sang giải quyết các mối đe dọa, thiệt hại về danh tiếng khi bị tấn công quy mô lớn và thiệt hại về tài chính khi vi phạm các quy định khiến cho việc nền tảng bảo mật đầu cuối trở thành một phần phải có nhằm bảo vệ các doanh nghiệp hiện đại là điều dễ hiểu.

Endpoint Security hoạt động như thế nào 

Bảo mật đầu cuối là việc thực hiện bảo vệ dữ liệu và quy trình làm việc liên kết với các thiết bị cá nhân kết nối tới mạng lưới của bạn. Nền tảng bảo mật đầu cuối (Endpoint Protection Platform) hoạt động bằng cách kiểm tra các thư mục khi chúng đi vào mạng. Nền tảng EPP hiện đại khai thác sức mạnh của công nghệ đám mây để bảo vệ cơ sở dữ liệu đang ngày càng tăng khỏi các mối đe dọa về thông tin, việc này giúp giải phóng các điểm cuối khỏi việc phải lưu trữ tất cả thông tin trên thiết bị cá nhân và các yêu cầu về bảo trì để giữ cơ sở dữ liệu được cập nhật liên tục. Truy cập vào dữ liệu sử dụng công nghệ đám mây giúp tăng tốc độ truy cập cũng như khả năng mở rộng.

EPP cung cấp cho quản trị viên của hệ thống một bảng điều khiển trung tâm được cài đặt trên một cổng mạng (network gateway) hoặc một máy chủ và cho phép các chuyên gia an ninh mạng kiểm soát việc bảo mật từ xa cho từng thiết bị. Phần mềm của khách hàng sau đó sẽ được gán vào các điểm cuối và sau đó được phân phối như một phần mềm dưới dạng dịch vụ (SaaS) và được quản lý từ xa, hoặc có thể được cài trực tiếp trên thiết bị. Một khi điểm cuối đã được thiết lập, phần mềm của phía khách hàng có thể đẩy các cập nhật tới điểm cuối khi cần thiết, xác thực các nỗ lực đăng nhập từ mỗi thiết bị và quản lý các chính sách của công ty từ một vị trí. EPP bảo vệ điểm cuối thông qua việc kiểm soát ứng dụng bằng việc chặn các ứng dụng không an toàn hoặc chưa được cấp phép, và thông qua việc mã hóa giúp ngăn chặn việc mất dữ liệu

Một khi EPP được thiết lập, nó có thể nhanh chóng phát hiện mã độc và các mối đe dọa khác. Một vài giải pháp cũng bao gồm hệ thống phát hiện và bảo vệ điểm cuối (EDR). Khả năng của EDR giúp gia tăng khả năng phát hiện các mối nguy hại phức tạp hơn như tấn công sử dụng virus đa hình (polymorphic attack), mã độc fileless và các cuộc tấn công khai thác lỗ hổng chưa được khắc phục (zero-day attacks).

Giải pháp EPP có sẵn trong các mô hình phần mềm on-premise hoặc mô hình đám mây. Trong khi mô hình đám mây có thể dễ dàng mở rộng và tích hợp vào kiến trúc hiện tại của bạn, sẽ có một vài yêu cầu hoặc quy tắc cần phải tuân theo trên mô hình phần mềm on-premise.

Các đặc điểm của bảo mật đầu cuối

Thông thường, phần mềm bảo mật đầu cuối sẽ bao gồm các đặc điểm sau đây:

• Thuật toán phân loại Machine-Learning để phát hiện các mối đe dọa mới gần bằng thời gian thực.
• Chương trình diệt mã độc và diệt virus nâng cao để bảo vệ, phát hiện và xử lý các mã độc trên nhiều thiết bị đầu cuối và hệ điều hành.
• Bảo mật web chủ động nhằm đảm bảo việc lướt web an toàn.
• Phân loại dữ liệu nhằm ngăn chặn việc xâm nhập và mất cắp dữ liệu. 
• Tích hợp tường lửa để ngăn chặn các cuộc tấn công mạng.
• Cổng email để ngăn chặn lừa đảo phishing và tấn công phi kỹ thuật (Social engineering attack) nhắm vào nhân viên của bạn.
• Quản trị viên có quyền hành động điều tra số để nhanh chóng cô lập các trường hợp bị lây nhiễm mã độc.
• Bảo mật nội bộ nhằm ngăn chặn các hoạt động nội gián và sự cố ngoài ý muốn.
• Nền tảng quản lý điểm cuối tập trung nhằm đơn giản hóa khả năng hiển thị và hoạt động.
• Mã hóa email, điểm cuối và ổ đĩa nhằm ngăn chặn việc trích xuất dữ liệu.

Những thiết bị được coi là điểm cuối

Điểm cuối bao gồm rất nhiều các thiết bị thông dụng như:

• Laptop
• Máy tính bảng
• Điện thoại
• Đồng hồ thông minh
• Máy in
• Máy chủ
• Máy ATM
• Thiết bị y tế

Nếu một thiết bị kết nối vào một mạng lưới, nó được coi là một điểm cuối. Với sự phổ biến ngày càng tăng của việc tự mang thiết bị cá nhân đi làm và internet vạn vật, số lượng thiết bị cá nhân kết nối vào mạng lưới của một tổ chức có thể lên tới hàng trăm nghìn.

Bởi vì chúng là điểm xâm nhập của các mối đe dọa và mã độc, các điểm cuối đặc biệt là điện thoại và thiết bị điều khiển từ xa là những mục tiêu ưa thích của tin tặc. Điện thoại ngày nay đã phát triển hơn việc chỉ là những thiết bị Android và iPhone. Hãy nghĩ chúng giống như loại đồng hồ mới nhất, một thiết bị thông minh hay như một trợ lý ảo điều khiển bằng giọng nói hoặc các thiết bị IoT thông minh khác. Ngày nay chúng ta có cảm biến kết nối mạng trong xe ô tô, máy bay, bệnh viện và thậm chí là trên các dàn khoan dầu. Với việc các loại thiết bị đầu cuối phát triển và tăng lên về số lượng, giải pháp bảo mật chúng cũng phải thích ứng theo.

Khảo sát về bảo mật đầu cuối mới nhất của SANS cho thấy tầm quan trọng của việc thiết lập một hệ thống bảo mật đầu cuối toàn diện. Một vài chi tiết quan trọng của khảo sát này bao gồm:

• 28% người tham gia khảo sát trả lời rằng thiết bị đầu cuối của họ đã từng bị xâm nhập.
• Có rất nhiều cách tấn công được sử dụng bao gồm khai thác lỗ hổng trình duyệt web drive-by (52%), tấn công phi vật lý/lừa đảo phishing (58%) và đánh cắp danh tính (49%).
• Chỉ 39% số lượng cuộc tấn công được phát hiện bởi phần mềm diệt virus truyền thống.
• 39% vụ xâm nhập được phát hiện bởi cảnh báo SIEM.

Nền tảng bảo mật đầu cuối vs phần mềm diệt virus truyền thống

Nền tảng bảo mật đầu cuối và giải pháp diệt virus truyền thống có một vài điểm khác nhau như sau:

• Bảo mật đầu cuối vs bảo mật mạng: Chương trình diệt virus chỉ được thiết kế để bảo vệ một điểm cuối duy nhất, cung cấp khả năng hiển thị vào chỉ điểm cuối đó và trong nhiều trường hợp chỉ từ điểm cuối đó. Tuy nhiên phần mềm bảo mật điểm cuối cung cấp khả năng quan sát toàn bộ mạng lưới của công ty và cung cấp khả năng hiển thị tất cả các thiết bị đầu cuối từ một điểm duy nhất.
•  Kiểm soát: Các phần mềm diệt virus truyền thống dựa vào người dùng để cập nhật cơ sở dữ liệu thủ công hoặc cho phép cập nhật ở các thời gian được thiết lập sẵn. EPP cung cấp một hệ thống bảo mật được kết nối chặt chẽ và chuyển trách nhiệm kiểm soát sang cho các đội IT hoặc đội an ninh mạng của công ty.
• Bảo mật: Phần mềm diệt virus truyền thống dựa vào chữ ký số để phát hiện virus. Điều này có nghĩa rằng nếu doanh nghiệp của bạn là bệnh nhân số 0, hoặc nếu người dùng chưa update phần mềm diệt virus của họ gần đây, bạn có thể vẫn gặp nguy hiểm. Bằng cách tận dụng sức mạnh của công nghệ đám mây, giải pháp EPP luôn được cập nhật liên tục tự động. Kèm theo việc áp dụng những công nghệ như phân tích hành vi, các mối đe dọa chưa được phát hiện trước đó có thể bị phát hiện dựa trên các hành vi đáng ngờ.

Sự phát triển của diệt virus – từ chữ ký số tới máy móc

Bảo mật đầu cuối được bắt đầu sử dụng vào cuối những năm 1980 với việc phần mềm diệt virus có thể nhận diện các phần mềm độc hại hay mã độc bởi chữ ký số của chúng. Công cụ diệt virus đầu cuối đầu tiên tìm kiếm sự thay đổi trong các tập tin của hệ thống hoặc chương trình với các mẫu đã biết và cắm cờ hoặc chặn các chương trình này. Khi mà internet và thương mại điện tử trở nên phổ biến, mã độc xuất hiện nhiều hơn, phức tạp hơn và khó bị phát hiện hơn. Nó cũng không còn dựa vào chữ ký số và ngành công nghiệp phải đối mặt với sự gia tăng mã độc fileless. Ngày nay, việc chống lại mã độc giống như một môn thể thao đồng đội, và phần mềm diệt virus chỉ là một trong nhiều vũ khí.

Tuy nhiên, sự gia tăng về số lượng vũ khí cũng làm gia tăng sự phức tạp. Sự phát triển nhanh chóng của các phần mềm bảo mật, với các chức năng chồng chéo lẫn nhau trong khi bảng điều khiển trung tâm lại khác nhau khiến cho các tổ chức khó có thể có được một bức tranh rõ ràng về các cuộc tấn công tiềm ẩn. Các đội phụ trách bảo mật sau nhiều năm cố gắng kết hợp các sản phẩm bảo mật điểm cuối vào với nhau, thường kết thúc với việc phải quản lý rất nhiều phần mềm khác nhau trong khi hầu như không có sự tích hợp hay tự động hóa.

Các nghiên cứu gần đây chỉ ra rằng các giải pháp cô lập điểm cuối không thể bắt kịp với các mối đe dọa phức tạp ngày càng gia tăng. Việc chữa cháy chiến thuật có thể được thay thế bởi hệ thống phòng thủ đa lớp, được tích hợp với khả năng thích ứng để đối phó với những kẻ tấn công. Công nghệ phòng thủ mới nhất của hệ thống bảo mật đầu cuối yêu cầu tìm và ngăn chặn các cuộc tấn công ngầm chỉ trong vài giây, không phải vài tháng. Điều này đòi hỏi một hệ thống vòng kín, tự động chia sẻ thông tin về các mối đe dọa cho nhau giữa các thành phần được kết nối với nhau để phát hiện, giải quyết và thích ứng với các kỹ thuật tấn công mới. Việc tích hợp hệ thống bảo mật đa lớp giúp cho các tổ chức có thể hợp tác với nhau, chia sẻ thông tin về các mối đe dọa và hành động hiệu quả để ngăn chặn các mối đe dọa trong tương lai.

Chúng ta hiện đang ở trong giai đoạn mà con người không thể tự làm mọi thứ và đang phải dựa vào máy móc. Thuật toán machine-learning và trí tuệ nhân tạo đang giúp bảo mật đầu cuối phát triển gần bằng với tốc độ của các cuộc tấn công. Các giải pháp truyền thống như tường lửa, danh tiếng và kinh nghiệm được kết hợp với machine-learning để phong tỏa và ngăn chặn phần lớn các cuộc tấn công nâng cao.

Bảo mật điểm cuối dành cho doanh nghiệp khác với dành cho người dùng cá nhân như thế nào

Bảo mật dành cho doanh nghiệp:

• Kiểm soát các điểm cuối đa dạng tốt hơn
• Phần mềm được điều khiển từ một trung tâm
• Khả năng quản lý từ xa
• Có thể cấu hình bảo mật đầu cuối trên các thiết bị từ xa
• Khả năng triển khai bản vá tới các điểm cuối
• Yêu cầu các cấp quyền truy cập khác nhau 
• Khả năng giám sát hoạt động và hành vi của thiết bị của nhân viên

Bảo mật dành cho cá nhân:

• Chỉ được yêu cầu để kiểm soát số lượng nhỏ các đầu cuối cá nhân
• Điểm cuối được cá nhân tự thiết lập và cấu hình
• Hiếm khi yêu cầu điều khiển từ xa
• Cấu hình bảo mật trực tiếp trên thiết bị
• Sử dụng cập nhật tự động cho mỗi thiết bị
• Sử dụng quyền truy cập cấp quản trị viên
• Giám sát hoạt động và hành vi chỉ giới hạn với người dùng

Theo Mcafee