Kaspersky Endpoint Security For Business Select - Advanced

1. Giới thiệu Kaspersky Lab

Kaspersky Lab là một trong 4 hãng bảo mật hàng đầu trên thế giới trong giải pháp bảo vệ người dùng cuối, có trụ sở tại Matx-cơ-va, Liên Bang Nga. Với hơn 20 năm phát triển, Kaspersky Lab đang bảo vệ hơn 400,000,000 người dùng và hơn 270,000 cơ quan-tổ chức trên toàn thế giới. Kaspersky Lab luôn là một nhà sáng tạo trong bảo mật CNTT và liên tục cung cấp giải pháp bảo mật dành cho các doanh nghiệp lớn, SMB và người tiêu dùng. Tại Việt Nam, các cơ quan Chính phủ, hệ thống tài chính – ngân hàng, các doanh nghiệp và gia đình đều tin dùng sản phẩm của Kaspersky Lab. Với 38 văn phòng đại diện trên toàn cầu, Kaspersky Lab không chỉ cung cấp sản phẩm mà còn dịch vụ hỗ trợ cho người dùng ở mọi khu vực.

Kaspersky Lab xem xét các mối đe dọa đối với doanh nghiệp với góc nhìn 360 độ. Chúng tôi hoàn toàn hiểu rằng các mối đe dọa đang xảy ra trên tất cả các kênh, cả bên trong lẫn bên ngoài và đã phát triển các giải pháp và dịch vụ góp phần vào một hệ sinh thái kết nối, hệ sinh thái ấy không chỉ giúp bảo vệ các tổ chức khỏi các cuộc tấn công tinh vi mà còn giúp giảm đáng kể các tổn thất tài chính do các sự cố đe dọa nâng cao.

Chắc chắn giá trí quý giá nhất của công ty là sự giàu có về chuyên môn – bao gồm khả năng phân tích mã độc và lỗ hổng, chống lại các ứng dụng nguy hiểm, lọc các luồng dữ liệu…đã đạt được qua những năm tháng chống lại các mối de dọa an ninh mạng. Điều này giúp Kaspersky Lab duy trì đi trước hacker một bước và cung cấp cho người dùng sự bảo vệ đáng tin cậy nhất để chống lại các kiểu tấn công mới nhất.

Kaspersky Lab sử dụng phân tích mối đe dọa nâng cao, nghiên cứu về lỗ hổng, điều tra số để giúp khách hàng bảo vệ các dịch vụ online và danh tiếng của mình. Chúng tôi đang phối hợp với các cộng đồng bảo mật CNTT toàn cầu, các tổ chức quốc tế, các cơ quan thực thi pháp luật của các quốc gia và khu vực (như INTERPOL, Europol…) cũng như Trung tâm ứng cứu khẩn cấp máy tính (CERT) của các quốc gia.

Hiện nay, Kaspersky Lab cung cấp nhiều giải pháp bảo mật và dịch vụ khác nhau giúp khách hàng linh hoạt trong việc áp dụng để bảo vệ các đối tượng khác nhau trong hệ thống của mình như:

• Giải pháp bảo vệ thiết bị đầu cuối (Kaspersky Endpoint Security for Business – KESB)
• Giải pháp bảo vệ đám mây lai (Kaspersky Hybrid Cloud Security)
• Giải pháp bảo vệ thiết bị di động (Kaspersky Mobile Security)
• Giải pháp bảo vệ các hệ thống nhúng (Kaspersky Embeded System Security – KESS)
• Giải pháp bảo vệ hệ thống lưu trữ (Kaspersky Security for Storage)
• Giải pháp bảo vệ hệ thống thư điện tử (Kaspersky Security for Mail Server)
• Giải pháp bảo vệ thư điện tử ở gateway (Kaspersky Security Mail Gateway)
• Giải pháp bảo vệ các hệ thống công nghiệp (Kaspersky Industrial Cyber Security - KICS)
• Giải pháp ngăn chặn gian lận (Kaspersky Fraud Prevention)
• Giải pháp phát hiện các cuộc tấn công có chủ đích (Kaspersky Anti Targeted Attack – KATA)
• Giải pháp phát hiện phản ứng trên thiết bị đầu cuối (Kaspersky Endpoint Detection & Response – KEDR)
• Dịch vụ cung cấp báo cáo APT (APT Report)
• Dịch vụ cung cấp dữ liệu mối đe dọa (Threat Data Feeds)
• Dịch vụ tìm kiếm mối đe dọa (Threat Lookup)
• Dịch vụ phản ứng sự cố và điều tra số
• Dịch vụ Kiểm thử hệ thống và đánh giá bảo mật
• Đào tạo chuyên gia an ninh mạng
• Đào tạo phân tích mã độc, dịch ngược và điều tra số.
• Đào tạo, nâng cao trình độ nhận thức về an toàn thông tin...

2 Cơ sở đề xuất và yêu cầu với Giải Pháp Phòng Chống Phần Mềm Độc Hại

2.1 Chỉ thị số 14/CT-TTg

Căn cứ chỉ thị số 14/CT-TTg ngày 25/05/2018 của Thủ tướng Chính Phủ về việc nâng cao năng lực phòng, chống phần mềm độc hại thì “sẽ ngày càng có nhiều thiết bị thông minh kết nối mạng. Những thiết bị này khi bị lây nhiễm các loại phần mềm độc hại (gọi tắt là mã độc) sẽ gây mất an toàn thông tin, tiềm ẩn nguy cơ khó lường”. Bên cạnh đó “Các cơ quan, tổ chức ở Việt Nam đã và đang thực hiện nhiều giải pháp khác nhau trong việc xử lý mã độc. Tuy nhiên, hiệu quả đạt được chưa cao, khả năng chia sẻ thông tin thấp. Thực trạng lây nhiễm mã độc tại Việt Nam hiện nay rất đáng báo động. Đặc biệt, nhiều trường hợp tấn công mã độc mà cơ quan chức năng không phản ứng kịp thời để phát hiện, phất tích và gỡ bỏ”. Và Thủ tướng Chính phủ chỉ thị:

Tại khoản 1, mục c có yêu cầu các cơ bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, UBND các tỉnh thực hiện các giải pháp:

Bảo đảm có giải pháp phòng, chống mã độc bảo vệ cho 100% máy chủ, máy trạm, thiết bị đầu cuối liên quan và có cơ chế tự động cập nhật phiên bản hoặc dấu hiệu nhận dạng mã độc mới […] Giải pháp phòng, chống mã độc được đầu tư mới hoặc nâng cấp cần có chức năng quản trị tập trung; có dịch vụ, giải pháp hỗ trợ kỹ thuật 24/7, phản ứng kịp thời trong việc phát hiện, phân tích và gỡ bỏ phần mềm độc hại; có thể chia sẻ thông tin, dữ liệu thống kê tình hình lây nhiễm mã độc với hệ thống kỹ thuật của cơ quan chức năng có thẩm quyền, tuân theo tiêu chuẩn, quy chuẩn kỹ thuật, hướng dẫn nghiệp vụ của Bộ TT&TT và quy định của pháp luật.

2.2 Các yêu cầu đặt ra với giải pháp phòng chống phần mềm độc hại

Các yêu cầu trong Chỉ thị 14/CT-TTg đối với giải pháp phòng chống mã độc:

• Bảo đảm có giải pháp phòng, chống mã độc bảo vệ cho 100% máy chủ, máy trạm và thiết bị đầu cuối liên quan: như vậy các Bộ, cơ quan ngang Bộ, UBND các tỉnh thành cần đảm bảo an toàn cho tất cả máy chủ, máy trạm (bao gồm máy tính cá nhân, máy tính xách tay) và thiết bị đầu cuối liên quan như máy tính bảng (Tablet), thiết bị di động thông minh (smartphone).
• Có cơ chế tự động cập nhật phiên bản hoặc dấu hiệu nhận dạng mã độc mới: việc này giúp các hệ thống chủ động nhận diện và xử lý các mã độc.

Giải pháp phòng, chống mã độc được đầu tư mới hoặc nâng cấp cần có chức năng quản trị tập trung: tính năng quản trị tập trung giúp quản trị viên có tầm quản trị bao quát, nắm bắt tình hình an toàn trong hệ thống và đồng thời dễ dàng đưa ra các chính sách, tác vụ phù hợp với từng máy tính, từng nhóm…

• Có dịch vụ, giải pháp hỗ trợ kỹ thuật 24/7, phản ứng kịp thời trong việc phát hiện, phân tích và gỡ bỏ phần mềm độc hại: đảm bảo luôn sẵn sàng đối phó với mọi tình huống xảy ra, giúp xử lý các phần mềm độc hại một cách nhanh nhất và hiệu quả nhất.
• Có thể chia sẻ thông tin, dữ liệu thống kê tình hình lây nhiễm mã độc với hệ thống kỹ thuật của cơ quan chức năng có thẩm quyền: Hiện nay Cục An toàn thông tin, Bộ Thông tin và truyền thông đã ban hành hướng dẫn để các cơ quan, đơn vị gửi dữ liệu thống kê về Cục và các giải pháp bảo mật sẽ cần phát triển tính năng liên quan để đáp ứng việc tổng hợp dữ liệu thống kê.

3. Giải pháp bảo vệ thiết bị đầu cuối Kaspersky Endpoint Security for Business (KESB)

Ngày nay, hệ thống công nghệ thông tin đóng vai trò chính trong hoạt động của các cơ quan, doanh nghiệp. Việc vận hành hệ thống công nghệ thông tin yêu cầu cần có đội ngũ quản trị viên có trình độ cũng như có đầy đủ các giải pháp quản trị và bảo mật. Song hành cùng sự phát triển của công nghệ thông tin (CNTT) thì các mối đe dọa do hacker gây ra cũng gia tăng không ngừng. Đặc biệt, khi những người dùng trong hệ thống chưa có nhận thức tốt về an toàn thông tin thì rất dễ bị hacker lợi dụng và tấn công, từ đó gây tổn hại nghiêm trọng cho các cơ quan, doanh nghiệp. Kaspersky Lab phát hiện 323,000 mã độc mới mỗi ngày, tương ứng ~4 mã độc mỗi giây và Việt Nam là một trong số các quốc gia bị tấn công mạng nhiều nhất với các hình thức tấn công thông qua các nguồn online, tấn công qua email, tấn công qua các thiết bị lưu trữ như USB…

Kaspersky Endpoint Security for Business (KESB) là sản phẩm “flagship” của Kaspersky Lab để bảo vệ toàn diện các cơ quan, doanh nghiệp chống lại các mối đe dọa an ninh mạng nhắm đến các thiết bị đầu cuối như máy chủ, máy trạm, máy tính Mac và các thiết bị di động với khả năng bảo vệ mạnh mẽ, tối ưu hiệu suất và quản lý tập trung một cách dễ dàng.

KESB cung cấp khả năng bảo vệ đa lớp với các công nghệ đặc biệt giúp phân loại và xử lý các loại mã độc khác nhau như công nghệ nhận diện mẫu mã độc, công nghệ phân tích hành vi, điện toán đám mây, phân tích của chuyên gia…Các loại mã độc như virus, worm, trojan, công cụ tấn công, rootkit…đều nằm trong tầm ngắm của KESB.

3.1 Các phiên bản và tính năng

Tùy theo nhu cầu thực tế của khách hàng sẽ lựa chọn sử dụng các phiên bản nhau của KESB. Giải pháp có 3 phiên bản là Select, Advanced và Total:

• Phiên bản Select: được trang bị công nghệ bảo mật tiên tiến, cung cấp những tính năng tối quan trọng như diệt mã độc, quản lý việc người dùng sử dụng ứng dụng/Web/Kết nối các thiết bị ngoại vi, chống mã hóa và bảo mật cho các thiết bị di động.
• Phiên bản Advanced: bao gồm toàn bộ các tính năng của bản Select kết hợp với tính năng mã hóa dữ liệu cho phép quản trị viên mã hóa dữ liệu trên các máy tính quan trọng của các lãnh đạo, việc mã hóa linh hoạt theo cơ chế mã hóa toàn bộ ổ cứng, mã hóa theo file/thư mục và mã hóa USB; tính năng quản lý hệ thống cho phép đánh giá lỗ hổng của các ứng dụng, quản lý bản vá và cập nhật, thống kê hiện trạng tài sản.
• Phiên bản Total: bao gồm toàn bộ tính năng của bản Select và Advance và bổ sung tính năng bảo vệ hệ thống thư điện tử, hệ thống cộng tác trong doanh nghiệp và đảm bảo an toàn trên Internet Gateway.

Cả 3 phiên bản này đều được quản lý tập trung thông qua ứng dụng Kaspersky Security Center cho phép linh hoạt quản trị ở mọi khu vực, vẫn đảm bảo chính thống nhất và các kết quả báo cáo được tập hợp đầy đủ. Đây là công cụ miễn phí đi kèm với sản phẩm KESB.

Tính năng

3.2 Mô hình triển khai

KESB là giải pháp linh hoạt cho phép bảo vệ các doanh nghiệp lớn, vừa và nhỏ. Từ hệ thống lên tới 100,000 máy tính hay 10 máy tính thì giải pháp KESB đều đáp ứng một cách toàn diện.

Kaspersky Security Center (KSC) sẽ quản lý tập trung các máy chủ, máy trạm theo các cấp độ khác nhau theo mô hình Master-Slave và có cơ chế cập nhật tự động hoặc thủ công giúp giảm tiêu tốn tài nguyên mạng. Như sơ đồ trên, mô phỏng hệ thống triển khai theo nhiều cấp độ, giúp bảo vệ các trụ sở theo số lượng máy tính khác, bảo vệ chi nhánh và cả người dùng đi công tác.

4. Một số ví dụ cấu hình chống lại các mối đe dọa

Hướng dẫn cấu hình, quản trị và sử dụng của KESB được công bố trên website của Kaspersky Lab là https://support.kaspersky.com. Ngoài ra, bên dưới là một số cấu hình mà quản trị viên tham khảo.

4.1 Cấu hình Firewall ngăn chặn kết nối đến máy chủ C&C

Ví dụ, trong công văn 234/VNCERT-ĐPƯC ngày 21/7/2018 của VNCERT v/v theo dõi ngăn chặn kết nối và xóa các tập tin có chủ dích vào ngân hàng và các tổ chức hạ tầng quan trọng quốc gia có cung cấ thông tin máy chủ C&C và tập tin mã độc.

Công văn hỏa tốc của VNCERT theo dõi, ngăn chặn tấn công

Trong policy thực hiện cấu hình như sau để ngăn chặn kết nối đến máy chủ C&C. Chọn Setting bên cạnh Configure rules for network packets and data stream.

Thiết lập hành động Block và nhập địa chỉ của máy chủ C&C

4.2 Cấu hình Application Control ngăn chặn tệp tin độc hại

Tạo danh sách các tập tin nguy hại dựa trên mã hash

Ngăn chặn việc khởi chạy các tập tin nguy hại bằng ứng dụng Application Control

4.3 Cấu hình HIPS phân quyền cho các ứng dụng

Trong Policy chọn Setting trong cấu hình Host Intrusion Prevention

Ví dụ thiết lập quyền khi các ứng dụng có mức độ tin tưởng khác được thực thi những quyền gì trên ứng dụng được bảo vệ. Ví dụ ở đây thiết lập HIPS để chặn tất cả các chương trình có quyền xóa.