SECURITY OPERATION

Security Operation: Giám sát và vận hành an ninh tập trung

Bộ giải pháp vận hành an ninh chuyên dụng tối ưu cho tổ chức bao gồm: Hệ thống giám sát an ninh tập trung (SIEM), điều tra và xử lý sự cố (Incident Response), tự động hóa điều phối và xử lý an ninh (SOAR),  nền tảng phát hiện de dọa nâng cao và xử lý toàn diện (XDR), quản lý đặc quyền hệ thống, đánh giá và đào tạo nhận thức cho người dùng hệ thống, quản lý trạng thái an ninh của tổ chức và third party trong ecosystem của tổ chức.

• Extended Detection and Response (XDR): Nền tảng Phát hiện đe dọa an ninh nâng cao và xử lý toàn diện trên toàn hệ thống (XDR) cung cấp một nền tảng chuyên dụng cho phép tổ chức tập trung, tối ưu hóa giám sát, phát hiện, điều tra và phản ứng/xử lý các de dọa an ninh trên toàn bộ hệ thống của tổ chức giải quyết các thách thức về vận hành an ninh tập trung. Nền tảng cung cấp sẵn các khả năng tối ưu bao gồm:

• Extended Advanced Threat Detection: Tích hợp mở rộng phân tích tương quan an ninh nâng cao cho toàn bộ các vectors của hệ thống (Endpoint, Network, Web, Mail, Cloud, …), giúp phát hiện các đe dọa an ninh toàn diện trên toàn hệ thống CNTT của tổ chức trong đó loại bỏ các cảnh báo sai, tối ưu hóa các phát hiện an ninh, tập trung vào các đe dọa an ninh thực tế đối với tổ chức thông qua kết hợp chi tiết ngữ cảnh (context) trên các attack vectors, công nghệ Threat Intelligence và Machine Learning/AI. Giải pháp cung cấp bức tranh toàn cảnh về các đe dọa an ninh đối với hệ thống: Xâm nhập hệ thống bằng cách nào, phạm vi thỏa hiệp/ảnh hưởng, các actions cần phải xử lý, trạng thái xử lý hiện tại cũng như các biện pháp/hướng dẫn chi tiết (Preventative Measures ) cho tổ chức trong việc chủ động phòng thủ trước các đe dọa an ninh tương tự.
• Automated Guided Investigation: Cung cấp các hướng dẫn khuyến cáo điều tra an ninh và tự động hóa việc điều tra an ninh dựa trên công nghệ AI, kết hợp thông tin sự kiện và ngữ cảnh trên toàn bộ các vectors, nhanh chóng cung cấp gốc rễ của đe dọa an ninh.
• Automated Incident Response: Cung cấp sẵn Automated Workflow kèm theo các Playbook tối ưu (driven/defensive playbook) cũng như khả năng tùy biến các playbook theo usecase cụ thể giúp tự động hóa việc khắc phục/xử lý các đe dọa an ninh một cách toàn diện trên toàn bộ các vectors/ vị trí kiểm soát của tổ chức (Network, Endpoint, Web, Mail, Cloud, …) Pre-built driven & customizable playbook for effective response.

• Security Information & Event Management – SIEM (Trellix/Rapid7) – Giám sát an ninh mạng tập trung nâng cao
  • IT Security Usecases
    • Centralized Log Management: Thu nhận và lưu trữ log tập trung toàn bộ hệ thống mạng đáp ứng tuân thủ về quản lý log tập trung.
    • Security Monitoring: Phân tích tương quan (Correlation), định danh các sự cố an ninh, sự kiện an ninh bất thường trong hệ thống.
    • Advanced & Insider Threat Detection: Sử dụng công nghệ Machine Learning áp dụng trong UEBA/UBA để định danh các đe dọa an ninh nâng cao từ nội bộ.
    • Fraud Analytics & Detection: Sử dụng công nghệ Machine Learning, cho phép Fraud Team tìm kiếm, phát hiện và điều tra các giao dịch bất thường / gian lận.
    • Incident Investigation & Forensic: Điều tra các sự cố an ninh (Security Incident)
    • Incident Response & SOC Automation: Điều tra các đe dọa an ninh, sự cố an ninh trong hệ thống theo chu trình, tự động hóa việc xử lý các đe dọa / khắc phục sự cố an ninh trong SOC.
    • Tích hợp với Incident Response Solution, Sandboxing, Vulnerability Management, … để hình thành công nghệ/giải pháp SOC cho hệ thống.
  • Incident, Response & Forensic (Threat Detection, Investigate & Response) và Threat Hunting (Trellix/Rapid7)
    • Giám sát, phát hiện các tấn công/ đe dọa nâng cao (Advanced Threat) trên hệ thống máy trạm/máy chủ.
    • Điều tra, truy vết và xử lý (khắc phục) đe dọa an ninh tập trung, từ xa cho toàn bộ hệ thống.
    • Cung cấp sẵn công cụ săn tìm các đe dọa an ninh (Threat Hunting) trong hệ thống.
    • Tích hợp với SIEM xây dựng hệ thống SOC đầy đủ: Điều tra và Response lại các security incident liên quan đến máy trạm/máy chủ trong hệ thống: Phát hiện tấn công, các máy trạm bị thỏa hiệp, snapshot trạng thái của máy trạm, phân tích/điều tra trên snapshot, xóa và loại bỏ malicious file, kill các tiến trình khởi tạo bởi attacker, cô lập máy bị thỏa hiệp,…
  • Security Orchestration Automation & Response – SOAR (Trellix/Rapid7)
    • Vận hành an ninh tập trung: Tích hợp với toàn bộ các giải pháp an ninh thông tin và giải pháp mạng/hệ thống để cung cấp khả năng vận hành an ninh tập trung cho toàn bộ hệ thống mạng.
    • Tự động hóa các tác vụ vận hành an ninh trong hệ thống giúp tối ưu hóa nhân sự cho SOC cũng như tăng tốc vận hành hệ thống giám sát an ninh, điều tra và xử lý các sự cố an ninh (SOAR tự động collect thông tin alert liên quan đến suspicious malware từ SIEM, sau đó tự động kết nối tới Endpoint/EDR để collect để thu thập thông tin về process, tự động dump process và gửi vào sandbox để phân tích, tự động thu thập thông tin kết quả phân tích (IoC) và cập nhật cho các hệ thống phòng thủ như Hash cho Endpoint/EDR, CnC address cho Firewall/IPS,…)
    • Một số các usecase: Accelerate threat hunting, Investigate email phishing, Investigate and contain malware, Vulnerability & Remediation/Patching Streamline, Incident Investigation & Response Automation,…

• Cyber Threat Intelligence (Flashpoint)
  • Tự động thu thập, phân tích và cung cấp thông tin tình báo an ninh mạng từ nhiều nguồn khác nhau như: Báo cáo phân tích từ chính hãng, thông tin từ các forum, chat services, Patesite, blogs, Social News Aggregation & Discussion Sites, Deep/Dark web, Dark Market,…
  • Cho phép tổ chức thực hiện tra cứu các thông tin liên quan đến đe dọa an ninh (security threat), các tổ chức/nhóm tội phạm mạng (Threat actors), các chiến dịch tấn công (Campaigns), các lỗ hổng bảo mật (vulnerability), mã độc (malware), … mà tổ chức quan tâm.
  • Cung cấp thông tin chi tiết về các dấu hiệu thỏa hiệp (IoC), các kỹ thuật, chiến thuật và công cụ (MITRE ATT&CK) của các đe dọa an ninh (Security Threat) giúp tổ chức thực hiện điều tra, săn tìm và xem xét các bằng chứng về tấn công hệ thống, chủ động áp dụng các biện pháp phòng thủ trên hệ thống security.
  • Chủ động giám sát trên các nguồn Form, Chat, Deep/Dark Web, Marketplace, …, phát hiện và cảnh báo các trường hợp thông tin quan trọng của tổ chức (thông tin tài khoản, thông tin khách hàng, mã nguồn, lỗ hổng bảo mật,…) bị thỏa hiệp, đã và đang được trao đổi, rao bán,…
  • Giám sát, phát hiện các trường hợp sử dụng bất hợp pháp thẻ tín dụng (credit card) bị đánh cắp/ lộ lọt, từ đó giúp ngăn chặn các giao dịch bất hợp pháp.
  • Tự động giám sát, phát hiện các website giả mạo của tổ chức, sử dụng bất hợp pháp thương hiệu/nhãn hiệu của tổ chức và hỗ trợ gỡ bỏ/loại bỏ các website giả mạo, trường hợp sử dụng bất hợp pháp nhãn hiệu, thương hiệu, logo của tổ chức.

• Cyber Security Awareness Training (Knowbe4) – Đào tạo nhận thức an ninh cho người dùng cuối
  • Bộ giải pháp, công cụ chuyên dụng phục vụ cho tổ chức trong việc đào tạo và nâng cao nhận thức về an ninh thông tin cho người dùng cuối trong hệ thống. Với Knowbe4, tổ chức dễ dàng xây dựng và thực hiện các chiến dịch giả lập phishing attack giống như hacker/attack thực hiện tấn công tới người dùng (với hàng nghìn kịch bản khác nhau, hỗ trợ hơn 26 ngôn ngữ,…). Thực hiện giám sát, tracking và báo cáo chi tiết cho tổ chức: ai đã nhận được email phishing trong chiến dịch, ai đã mở email, ai đã click vào link/open file, ai đã đăng nhập và bị đánh cắp thông tin (bị thỏa hiệp),… giúp tổ chức nắm bắt được trạng thái bảo mật của hệ thống/ người dùng khi có tấn công thật. Đồng thời cung cấp công cụ để đào tạo trực tiếp cho người dùng phản ứng và ngăn chặn các tấn công này thông qua video, trình chiếu,… giúp người dùng nâng cao ý thức và kỹ năng bảo mật cần thiết để ứng phó với các tấn công và đe dọa an ninh trên luồng Mail. Giải quyết được mắt xích yếu nhất – Con người trong chuỗi mắt xích phòng thủ của hệ thống CNTT.

• Privileged Access Management – PAM (BeyondTrust) – Quản lý truy cập và tài khoản đặc quyền
  • Giám sát và kiểm soát các truy cập/thao tác của những người dùng đặc quyền (root, administrator) trong hệ thống theo đặc quyền tối thiểu. Lưu log và video làm bằng chứng các truy cập đặc quyền.
  • Quản lý mật khẩu tập trung đảm bảo tính tuân thủ/bảo mật cho các mật khẩu của các tài khoản đặc quyền.
  • Cung cấp các kết nối an toàn (secure remote access) với hiệu năng cao, thay thế cho giải pháp VPN, đảm bảo khả năng cấp phát quyền truy cập, giám sát và kiểm soát phiên truy cập cũng như an toàn và tuân thủ cho các hành vi của người dùng trong kết nối an toàn này.
• Quản lý trạng thái an ninh của tổ chức, third party/vendor (supply chain) và attack surface intelligence (SecurityScorecard)
  • Org Security Ratings: Cung cấp đánh giá toàn diện trạng thái an ninh của tổ chức từ ngoài nhìn vào bao gồm các nhân tố: Mức độ an ninh của tài sản mạng được public ra Internet, Mức độ an ninh của hệ thống DNS, Mức độ an ninh của Endpoint Security (OS, Application, Web Browser, Plugin, …), IP Reputation, Application Security, compromised credentials/ information Leak trên Darkweb/Deepweb, khả năng tổ chức bị thỏa hiệp qua các social engineering attack.

• • Third Party/Vendor Risk Management: Visualize view toàn diện về cyber risk với các Third party/vendor trong ecosystem của tổ chức. Đánh giá liên tục, tracking và kết nối với third party/vendor về các rủi ro, lỗ hổng để giải quyết các rủi ro bảo mật cũng như ngăn chặn các rủi ro liên quan đến supply chain, đảm bảo tính tuân thủ và bảo mật của third party/vendor trong chuỗi cung ứng của tổ chức.
  • Attack Surface Intelligence: Giám sát, phát hiện các attack surface liên quan đến tổ chức bao gồm cả các rủi ro từ supply chains (third party/vendor). Cung cấp thông tin chi tiết/đầy đủ liên quan (Intelligence info, contextual) giúp tổ chức chủ động ưu tiên xử lý, phòng thủ và ngăn chặn các rủi ro liên quan.