5 lý do vì sao EDR không đủ để ngăn chặn các cuộc tấn công an ninh mạng ngày nay
16/08/2022 10:28 173 lần Chuyên mục: Chia sẻ kiến thức , Resources , TÀI NGUYÊN , Tin bảo mật , Tin tức & Sự kiện

Trong thời kỳ các mối đe dọa an ninh mạng đang nguy hiểm hơn bao giờ hết thì công cụ phát hiện và phản hồi điểm cuối (Endpoint Detection and Response-EDR) dần trở nên phổ biến. Vì mọi người tin rằng, EDR có thể khắc phục hầu hết các mối đe dọa mà tổ chức/doanh nghiệp phải đối mặt hàng ngày. Tuy nhiên, trong thời gian EDR trở thành trụ cột của các phương pháp bảo mật hiện đại, tần suất những cuộc tấn công đã tăng vọt với mức độ nghiêm trọng và thành công cao. Bằng chứng là trong năm 2020, chúng ta chứng kiến ​​các cuộc tấn công ransomware tăng gấp 8 lần so với 2019. Trong đó 80% các vụ thành công đến từ phần mềm độc hại chưa xác định và zero-day. (Theo báo cáo của Ponemon Institute – Viện Nghiên cứu & Giáo dục việc sử dụng thông tin có trách nhiệm và thực hành quản lý quyền riêng tư trong doanh nghiệp và chính phủ).

SAU ĐÂY LÀ 5 LÝ DO VÌ SAO EDR KHÔNG ĐỦ ĐỂ NGĂN CHẶN CÁC CUỘC TẤN CÔNG AN NINH MẠNG NGÀY NAY

EDR chỉ phản hồi

EDR không phòng chống các cuộc tấn công trước khi chúng xảy ra. Trọng tâm cơ bản của EDR là phát hiện hành vi bất thường và sửa chữa sau khi tội phạm mạng đã thực thi trên điểm cuối. Sau đó sẽ chạy đua với thời gian để ngăn chặn kẻ tấn công lấy cắp dữ liệu, mã hóa hoặc xâm phạm mạng. EDR điển hình mất vài phút, vài giờ hoặc thậm chí vài ngày để phát hiện và ngăn chặn hành vi bất thường. Câu hỏi được đặt ra ở đây là: Những kẻ xấu đã làm gì khác trước khi EDR phát hiện ra phần mềm độc hại?

EDR không chiến thắng ransomware

Sự kết hợp của các biến thể phần mềm độc hại xác định và chưa xác định bao gồm ransomware và zero-day, với khối lượng khổng lồ vượt xa khả năng của EDR có thể ngăn chặn trước khi chúng mã hóa dữ liệu. Tổng số tiền thanh toán ransomware bị nghi ngờ là $590 triệu trong sáu tháng đầu năm 2021, gấp ba lần chi phí của toàn bộ năm 2020. Và đây chỉ là những khoản thanh toán mà chúng ta biết. Nhiều khoản thanh toán không được báo cáo để tránh tác động đến giá cổ phiếu và mất lòng tin của khách hàng.

EDR tạo ra kết quả “Phát hiện sai tấn công” cao

Trong một tổ chức lớn, EDR có thể tạo ra hàng chục cảnh báo giả mỗi ngày. Kể từ khi COVID-19 xuất hiện, vấn đề này càng trầm trọng hơn với 47% công ty thấy nhiều cảnh báo hơn trước. Kết quả phát hiện sai tấn công gây ra thời gian chết và tổ chức/doanh nghiệp sử dụng nguồn nhân lực, thời gian nhiều hơn. Cảnh báo giả thực sự là một vấn đề đối với tổ chức/doanh nghiệp. EDR đang làm một giải pháp hay dần trở thành một phần của vấn đề?

Cảnh báo giả thực sự là một vấn đề đối với tổ chức/ doanh nghiệp

Cảnh báo giả thực sự là một vấn đề đối với tổ chức/ doanh nghiệp

Machine Learning (ML) làm hiệu quả EDR thấp hơn

EDR thường được tích hợp với Machine Learning (ML) để phát hiện ra sự bất thường hoặc mô hình của việc lây nhiễm phần mềm độc hại. ML cung cấp các cách tự động để phân tích hành vi trong thời gian thực. Tuy nhiên ML vẫn phụ thuộc vào con người để liên tục đào tạo và điều chỉnh các mô hình. Khi một mối đe dọa mới được phát hiện, các mô hình mới phải được tạo và thêm vào nguồn cấp dữ liệu tình báo về mối đe dọa. Điều đó sẽ cung cấp cho kẻ tấn công nhiều thời gian để thực hiện cuộc tấn công của chúng.

EDR chỉ ngăn chặn sau khi phần mềm độc hại đã được thực thi

Khi một cuộc tấn công ransomware xâm nhập thành công, sau đó chúng bị chặn lại bởi EDR thì rất có thể ransomware vẫn sẽ len lỏi con đường khác để mã hóa hệ thống, nhưng nếu bị ngăn chặn trước khi thực thi thì chúng không thể tấn công vào “ngôi nhà” của bạn. Khi bạn chặn một mối đe dọa, bạn đang cản trở nó, nhưng nó có thể đã được thực thi, để lại hậu quả nhất định.

Phát hiện EDR thường bằng những bước này:

  1. Chờ cho đến khi các tệp được đọc
  2. Thực hiện tra cứu đám mây
  3. Bắt đầu quan sát hành vi
  4. Chặn việc thực thi khi EDR của bạn phát hiện hành vi độc hại
  5. Sau khi EDR chặn cuộc tấn công, nhóm của bạn phải dọn dẹp và khôi phục dữ liệu/phần mềm ngay lập tức
    Cách EDR (phát hiện và phản hồi điểm cuối) làm việc

    Cách EDR (phát hiện và phản hồi điểm cuối) làm việc

KẾT LUẬN

Hãy suy nghĩ đến các giải pháp phòng thủ an ninh mạng

Các giải pháp phát hiện và phản hồi như EDR, MDR, NDR và ​​XDR đều có một điểm chung – tất cả đều dựa trên việc khắc phục hậu quả. Những kẻ tấn công đang ở bên trong mạng của bạn và bạn không thể chắc chắn rằng mình đã dừng toàn bộ cuộc tấn công. Các mã độc tinh vi và số lần vi phạm thành công cao đã chứng minh rằng EDR không đủ để ngăn chặn các mối đe dọa ngày càng nâng cao ngày nay.

Đã đến lúc xác định lại cách ngăn chặn mối đe dọa thực sự hiệu quả là gì và khám phá công nghệ mới dựa trên Deep Learning giúp phát hiện, phân loại và ngăn chặn phần mềm độc hại trước khi chúng thực thi!

Sự phát triển của công nghệ học sâu (Deep Learning)

Sự phát triển của công nghệ học sâu (Deep Learning)

“Ngừng phản hồi – Bắt đầu Ngăn chặn”

Các phương pháp bảo mật với cách tiếp cận ưu tiên phòng ngừa để ngăn chặn mối đe dọa sẽ bổ sung hoặc thay thế các giải pháp EDR hiện có để giảm thiểu rủi ro. Ngăn chặn việc thực thi trước phần mềm độc hại và giảm dương tính giả sẽ cải thiện hoạt động bảo mật, giảm chi phí, nhân lực và ngăn chặn các mối đe dọa đã biết, chưa xác định và zero-day, bao gồm cả ransomware trước khi chúng có cơ hội lây nhiễm vào môi trường của bạn.

Và tại sao an ninh mạng dựa trên Deep Learning lại giữ lời hứa về khả năng ngăn chặn thực sự?

  • Dự đoán nhanh gấp 750 lần so với phần mềm tống tiền nhanh nhất được biết đến có thể mã hóa
  • Ngăn chặn phần mềm độc hại trước khi chúng thực thi với thời gian thực hiện chưa tới 20ms
  • Tỷ lệ phát hiện các mối đe dọa không định danh trên 99%. Tỷ lệ phát hiện sai tấn công thấp (<0,1%)
Những ưu điểm vượt trội của các giải pháp bảo mật mà Deep Instinct mang lại giúp cải thiện an ninh mạng và phòng chống ransomware

Những ưu điểm vượt trội của các giải pháp bảo mật mà Deep Instinct mang lại giúp cải thiện an ninh mạng và phòng chống ransomware

Đọc thêm: Phòng chống ransomware hoàn hảo với công nghệ học sâu (Deep Learning)

Danh sách kiểm tra giải pháp bảo mật hiện tại của bạn có đáp ứng các tiêu chí này hay chưa:

  • Ngăn chặn >99% mã độc không xác định

  • Ngăn chặn ransomware trước khi mã hóa

  • Ngăn chặn zero-days khi chưa có kiến thức về lỗ hổng ấy

  • Cung cấp nhiều lớp tiếp cận phòng ngừa với cả hai phân tích tĩnh và động

  • Ngăn chặn các cuộc tấn công fileless trước khi họ thực hiện

  • Làm gián đoạn các cuộc tấn công nhiều giai đoạn với các lớp phòng ngừa

  • Tăng cường các giải pháp hiện có như SIEM và EDR để cải thiện hiệu quả

  • Cải thiện điều tra bằng cách cung cấp các mã độc đã được ngăn chặn để tương quan với các cảnh báo khác

  • Giảm số dương tính giả xuống <0,1%

Để được hỗ trợ và tư vấn chi tiết hơn về giải pháp phòng chống phần mềm độc hại dựa trên công nghệ Deep Learning của hãng Deep Instinct, xin vui lòng liên hệ nhà phân phối Công ty Cổ phần Tin học Mi Mi tại Việt Nam theo địa chỉ:

Website: www.mi2.com.vn

Email: mi2jsc@mi2.com.vn

Hoặc truy cập link:

Tại đây

Công ty CP Tin học Mi Mi – Mi2 JSC

Văn Phòng Hà Nội

Add: 7th Floor, Sannam Building, 78 Duy Tan Str., Dich Vong Hau Ward, Cau Giay Dist., Hanoi, Vietnam.

 Tel: +84-24-3938 0390 |  Fax: +84-24-3775 9550

Văn phòng Hồ Chí Minh

Add: 5th &6th Floor, Nam Viet Building, 307D Nguyen Van Troi Str., Ward 1, Tan Binh Dist., Ho Chi Minh City, Vietnam.

Tel: +84-28-3845 1542  |  Fax: +84-28-3844 6448

BÌNH CHỌN:

Hãy bình chọn 5 sao nếu bạn thấy nội dung hữu ích

Xếp hạng 0 / 5. Số phiếu 0

 
 

Privacy Preference Center