Embedded Files
Bảo vệ doanh nghiệp trước Ransomware với giải pháp của Fortinet
Nội dung giải pháp:
1. Sự phát triển của Ransomware
1. Sự phát triển của Ransomware
Mặc dù ransomware đã tồn tại suốt nhiều thập kỷ, mức độ đe dọa toàn cầu vẫn đang ở mức cao nhất và tiếp tục tiến triển thành một hình thức phức tạp hơn, gây ra tổn thất ngày càng tăng cho các tổ chức trên toàn cầu. Theo các quan sát từ nhóm Phản ứng Sự cố (IR) của FortiGuard Labs, tội phạm mạng với động cơ tài chính chiếm tỷ lệ cao nhất (74%), với 82% trong số các vụ việc này liên quan đến triển khai ransomware hoặc mã độc.
Tốc độ tăng ransomware từng năm với sự bùng nổ và tần suất đang tăng lên. Lý do có thể cho sự thay đổi này là do các hoạt động Ransomware-as-a-Service (RaaS) đang ngày càng chuyên nghiệp và có tổ chức hơn, cho phép các tội phạm mạng giới thiệu các biến thể mới, phức tạp và quyết liệt hơn bao giờ hết. Các Raas tập trung nhắm mục tiêu vào các tổ chức có khả năng cung cấp số tiền lớn.
Cách tiếp cận có hệ thống hơn trong thực hiện các cuộc tấn công ransomware đang đem lại thành công lớn hơn. Đầu tiên, Raas dành nhiều thời gian hơn để tiến hành khám phá để xác định mục tiêu có lợi nhuận, điều này đồng nghĩa với việc nhiều yêu cầu tiền chuộc hiện nay thường đạt đến hàng chục triệu đô la.
Sự trưởng thành ngày càng tăng của các hoạt động ransomware là điều có thể dự kiến, bởi vì RaaS là một trong những yếu tố chính thúc đẩy Crime-as-a-Service (CaaS). Do đó, các tổ chức có mọi hình dáng và kích thước phải triển khai các chiến lược bảo mật phù hợp để giảm thiểu nguy cơ xâm nhập có thể xảy ra.
Trong thời gian gần đây, một số hệ thống thông tin của cơ quan, tổ chức, doanh nghiệp tại Việt Nam bị tấn công mã độc tống tiền (Ransomware), gây gián đoạn hoạt động kinh doanh và thiệt hại về vật chất, hình ảnh của các cơ quan, tổ chức và doanh nghiệp.
2. Giảm thiểu rủi ro Ransomware với Fortinet Security Fabric
2. Giảm thiểu rủi ro Ransomware với Fortinet Security Fabric
Khi các hệ thống mạng ngày càng trở nên phức tạp và phân tán, việc nhìn thấy và phản ứng với các mối đe dọa ngày càng trở nên khó khăn. Điều này đã dẫn đến sự lan rộng về bảo mật, làm phức tạp việc quản lý, khả năng hiển thị phân mảnh và hạn chế khả năng của các Doanh nghiệp để phản ứng hiệu quả với các mối đe dọa. Điều đó một phần là do các doanh nghiệp ngày nay đã triển khai nhiều giải pháp bảo mật trên toàn bộ mạng của mình, khiến cho bất kỳ hình thức quản lý tập trung nào gần như không thể thực hiện được. Và tệ hơn, việc phát hiện và ứng phó với một sự cố mạng đòi hỏi sự phối hợp của nhiều trong số các công cụ đó, dẫn đến các giải pháp phức tạp cần được quản lý và cấu hình lại liên tục mỗi khi thiết bị được nâng cấp.
Các doanh nghiệp ngày nay không chỉ tìm kiếm một kiến trúc thống nhất có thể kiểm soát, triển khai cơ sở hạ tầng và hệ thống mạng phân mảnh. Họ cần một hệ thống giúp triển khai các công nghệ và dịch vụ mới an toàn và đơn giản. Điều này đòi hỏi nhiều hơn các giải pháp kết nối các công nghệ bảo mật khác nhau. Họ cần một nền tảng lưới an ninh mạng rộng rãi (cybersecurity mesh platform), tích hợp và tự động, cung cấp khả năng quản lý tập trung và khả năng hiển thị, hỗ trợ và tương tác trong một hệ sinh thái giải pháp rộng lớn và tự động thích ứng với những thay đổi động trong mạng.
Trong khi Gartner gọi ý tưởng này là “Cybersecurity Mesh Architecture (Kiến trúc lưới bảo mật mạng)”, trong hơn một thập kỷ, Fortinet đã gọi nó là “Fortinet Security Fabric”.
Fortinet Security Fabric là một nền tảng bảo vệ toàn bộ bề mặt tấn công của tổ chức với khả năng phát hiện và ngăn chặn được kết hợp chặt chẽ cho tất cả các giai đoạn của chuỗi tấn công mạng và khả năng phản hồi lại cuộc tấn công một cách tự động.
Bên cạnh đó, một loạt các dịch vụ từ FortiGuard Labs bổ sung kiến thức chuyên môn về an ninh trong tổ chức để chuẩn bị, thực hành và giám sát phòng tránh ransomware cũng như khả năng cập nhật nhanh chóng các mẫu mã độc ransomware một cách nhanh nhất để, tối ưu hóa hiệu suất của các giải pháp trong hệ sinh thái Fortinet để phòng chống lại các cuộc tấn công Ransomware.
Để giảm thiểu ảnh hưởng của các cuộc tấn công Ransomware, doanh nghiệp cần thực hiện các quy trình sau:
Chuẩn bị: Việc chuẩn bị sẵn sàng cho các cuộc tấn công là một bước quan trọng. Fortinet cung cấp một loạt dịch vụ để giúp tổ chức chuẩn bị cho các cuộc cố gắng xâm nhập của các tấn công ransomware. Doanh nghiệp có thể tận dụng các chuyên gia của FortiGuard để hỗ trợ họ đánh giá sự sẵn sàng của mình trước ransomware, định nghĩa các chính sách, triển khai các playbook, và tiến hành các bài tập thực tế. Tất cả các dịch vụ trên đều là một phần của FortiGuard Incident Readiness Service.
Ngăn chặn: Fortinet Security Fabric bao gồm các giải pháp bảo mật hàng đầu cho thư điện tử, mạng, ứng dụng Web, ... mang lại khả năng ngăn chặn mối đe dọa đạt điểm cao nhất một cách liên tục để giảm nguy cơ các tác nhân và thành phần ransomware xâm nhập vào bất kỳ tổ chức nào.
Phát hiện: Với FortiGuard Labs là trung tâm Threat Intelligent toàn cầu với tệp khách hàng trải dài, tích hợp với khả năng bảo vệ chuyên sâu của FortiSandbox và FortiAI để tạo ra các mẫu mã độc, tấn công mới nhất và nhanh nhất để cập nhật lại xuống hệ sinh thái Fortinet Security Fabric.
3. Bảo vệ qua kênh thư điện tử
3. Bảo vệ qua kênh thư điện tử
FortiMail hoạt động như một mail gateway thực hiện kiểm tra các email được gửi ra và vào giúp ngăn chặn các mối đe dọa bao gồm cả những mối đe dọa mà tội phạm mạng sử dụng để chèn ransomware với một loạt các công nghệ tiên tiến như chế độ disarm và tái tạo nội dung.
Với việc sử dụng cơ chế kiểm tra đa lớp từ các “know attack” đến các cơ chế phân tích hành vi và kết nối đến FortiSandbox để phòng chống lại các “zero-day attack” Fortimail làm giảm thiểu rủi ro các cuộc tấn công Ransomware qua “vector” email. Một trong các vector được các tội phạm mạng sử dụng nhiều nhất để thực hiện cài đặt footholds vào các tổ chức, doanh nghiệp.
4. Bảo vệ qua kênh mạng
4. Bảo vệ qua kênh mạng
Tường lửa đóng vai trò quan trọng trong việc phòng chống tấn công Ransomware.
Một trong các bước cơ bản để phòng chống Ransomware là phân quyền tối thiểu. Với việc phân mảnh và kiểm soát tối đa giữa các vùng trong hệ thống mạng, các tổ chức, doanh nghiệp sẽ càng dễ dàng trong việc ngăn chặn và giảm thiểu rủi ro với các cuộc tấn công ransomware.
Tường lửa Fortigate thế hệ mới (NGFW) với kiến trúc phần cứng mạnh mẽ, mạch xử lý song song giữa mạng và bảo mật giúp tối ưu hiệu xuất đầu tư, dễ dàng thực hiện hiện phân mãnh hệ thống mạng đến các “micro segment”, “host-to-host”, kiểm soát chặt chẽ các lưu lượng truy cập mạng.
Bên cạnh đó, các khả năng bảo mật hàng đầu trong ngành, chẳng hạn như kiểm tra sâu gói tin (Deep SSL Inspection), bao gồm cả phiên bản TLS 1.3 mới nhất, lọc web, hệ thống ngăn chặn xâm nhập (IPS), kiểm tra Antivirus/Ransomware để cung cấp khả năng nhìn thấu đầy đủ và bảo vệ tất cả các cạnh mạng.
5. Bảo vệ qua kênh ứng dụng
5. Bảo vệ qua kênh ứng dụng
FortiADC/Web là thiết bị chuyên biệt cho các lưu lượng truy cập ứng dụng, dịch vụ Web. Thiết bị với hiệu năng thích hợp để thực hiện giải mã kể cả TLS1.3 là các phương thức mã hóa mới nhất hiện nay, để kiểm tra sâu vào các lưu lượng, tránh việc các tội phạm mạng ẩn giấu các mã độc/ransomware dưới các giao thức mã hóa.
Bên cạnh đó, bảo mật ứng dụng web dựa trên cơ chế học máy (ML) đa lớp, tính năng AV, IPS giúp hạn chế các tấn công khai thác các lỗ hổng bảo mật, và tải các malware/Ransomware lên các ứng dụng/dịch vụ web của doanh nghiệp.
6. Bảo vệ thiết bị máy trạm/ máy chủ
6. Bảo vệ thiết bị máy trạm/ máy chủ
FortiEDR là giải pháp bảo mật Endpoint toàn diện của Fortinet một cách tự động theo thời gian thực, phản ứng với bất kỳ sự cố trên bất kỳ thiết bị nào - bao gồm máy trạm và máy chủ với mọi hệ điều hành cũng như hệ thống sản xuất và hệ thống OT - tất cả được tích hợp trong một nền tảng duy nhất, với các tùy chọn triển khai linh hoạt và chi phí vận hành tối ưu.
Giải pháp FortiEDR có các đặc điểm cơ bản như sau:
Bảo vệ: Cung cấp tính năng bảo vệ trước (Pre-lnfection) và sau (Post-lnfection) khi lây nhiễm, giúp ngăn chặn các tiến trình độc hại.
Quản trị: Giao diện quản trị hợp nhất cho toàn hệ thống, tạo ra các chính sách truy cập
Linh hoạt: Lightweight agent - Hỗ trợ khả năng triển khai trên mọi loại hình doanh nghiệp, mọi cấu hình máy tính của Endpoint với một phần mềm gọn nhẹ mà không tốn nhiều tài nguyên hệ thống.
Hỗ trợ đa nền tảng: Khả năng triền khai trên nhiều hệ điều hành, cung cấp cơ chế bảo vệ cho Endpoint không chỉ theo thời gian thực và còn bảo vệ tiếp tục khi Endpoint ở dạng offline.
Giảm thiểu rủi ro chủ động theo thời gian thực & Bảo mật hệ thống IoT: FortiEDR giảm các cuộc tấn công bề mặt (attack surface), bao gồm đánh giá lỗ hổng và các chính sách chủ động giảm thiểu rủi ro cho phép kiểm soát giao tiếp của bất kỳ ứng dụng nào được phát hiện có lỗ hổng.
Pre-Infection Protection (Bảo vệ trước khi lây nhiễm): FortiEDR cung cấp lớp bảo vệ đầu tiên thông qua công cụ NGAV (Next Generation machine-learning-based Anti-Virus) được xây dựng tùy chỉnh, dựa trên máy học để ngăn chặn sự lây nhiễm từ phần mềm độc hại dựa trên các tập tin.
Post-Infection Protection (Bảo vệ sau lây nhiễm):
FortiEDR là giải pháp duy nhất phát hiện và ngăn chặn các cuộc tấn công nâng cao trong thời gian thực, ngay cả khi Endpoint đã bị xâm nhập.
Không vi phạm, không mất dữ liệu, không có vấn đề, FortiEDR loại bỏ thời gian dừng và cung cấp một bộ các tính năng Phát hiện và Phản hồi Điểm cuối (Endpoint Detection and Response - EDR) tự động phát hiện, ngăn chặn, điều tra, phản hồi và khắc phục sự cố.
Nền tảng bảo mật điểm cuối toàn diện
FortiEDR là giải pháp bảo mật điểm cuối duy nhất được xây dựng từ đầu để phát hiện các mối đe dọa nâng cao và ngăn chặn vi phạm cũng như thiệt hại do ransomware gây ra trong thời gian thực ngay cả trên một thiết bị đã bị xâm nhập, cho phép phản hồi và khắc phục sự cố một cách tự động để bảo vệ dữ liệu, đảm bảo thời gian hoạt động của hệ thống và duy trì hoạt động liên tục của doanh nghiệp.
FortiEDR bảo vệ mọi thứ từ máy trạm và máy chủ với hệ điều hành hiện tại và tương lai cho đến bộ điều khiển sản xuất và các POS. Xây dựng với cơ sở hạ tầng đám mây, FortiEDR có thể được triển khai trên cloud, On-Premise.
B1. PREVENTION
Cung cấp khả năng chống virus thế hệ mới, sử dụng Machine Learning Engine để phát hiện các malware đã biết rồi thông qua cơ chế đánh điểm và kiểm soát quá trình hoạt động của ứng dụng ở mức Kemel.
Các Engine Machine Learning được cập nhật liên tục từ hệ thống Cloud.
B2. DISCOVERY & PREDICT
Phát hiện và giám sát kết nối các ứng dụng qua mạng
Làm giàu thông tin với khả năng liên kết với danh sách CVE (Common Vulnerabilities and Exposures) và đánh giá ứng dụng với những lỗ hổng bảo mật có khả năng rủi co cao.
Tạo các chính sách kiểm soát truy cập dựa theo phiên bản ứng dụng làm giảm thiểu tất công bề mặt.
B3. DETECTION & DEFUSION
Tự động phát hiện và ngăn chặn sau khi bị lây nhiễm
Phân tích dựa theo lịch sử và nhật ký (OS Metadata), phân tích, ghi nhận tiến trình đang chạy có phải là độc hại hay không.
Tự động ngăn chặn tiến trình mã hóa của Ransomware theo thời gian thực.
B4. RESPOND & REMEDIATION
Tự động phân loại sự kiện bảo mật, sau khi biết được mối đe dọa đang có trên Endpoint.
Tự động phản hồi sau khi bị lây nhiễm (thông báo, cách ly, ngăn chặn các tiến trình, xóa file độc hại...)
Cung cấp giao diện hỗ trợ việc điều tra và kiểm soát cho sự kiện bảo mật.
Tích hợp với các giải pháp Fortinet Security Fabric:
Các thiết bị trong giải pháp này có thể liên lạc, trao đổi thông tin cho nhau.
Khi một thiết bị trong giải pháp này phát hiện một mối đe dọa, thì nó sẽ chia sẽ thông tin cho các thiết bị khác cập nhật, đưa ra cơ chế bảo vệ toàn diện.
Các thiết bị tích hợp gồm có:
FortiGate: Thiết bị tường lửa Fortinet, tự động chặn IP đích độc hại.
FortiNAC: Nhìn thấy thị các thiết bị kết nối trong mạng, kiểm soát, điều khiển thiết bị và người dùng, đưa ra phản hồi tự động về các mối đe dọa trên hệ thống.
FortiSandbox: Phát hiện mối đe dọa bằng cách chủ động phân tích để phát hiện phần mềm độc hại, tự động bảo vệ hệ thống mạng khỏi các cuộc tấn công.
FortiAnalyzer / FortiSIEM: cảnh báo và ghi sự kiện.
FortiSOAR: Tự động hóa quy trình làm việc mở rộng.
7. Truy cập từ xa an toàn với sự kết hợp của FortiNAC, FortiToken-MFA với kiến trúc Zero trust
7. Truy cập từ xa an toàn với sự kết hợp của FortiNAC, FortiToken-MFA với kiến trúc Zero trust
Với sự gia tăng của nhu cầu làm việc tại bất cứ đâu, việc truy cập từ xa an toàn là một trong các nhu cầu tối quan trọng hiện nay. Việc các tội phạm mạng thực hiện mua các dánh sách tài khoản trên các web đen và thực hiện truy cập vào hệ thống mạng nội bộ doanh nghiệp tổ chức dễ dàng, từ đó thực hiện tiếp các chuỗi tấn công để triển khai các mã độc/ransomware vào hệ thống.
Kiến trúc Zero trust chỉ ra rằng, ngoài việc cấp các tài khoản truy cập tới các người dùng, thì để truy cập từ xa an toàn, cần phải thực hiện xác thực nhiều lớp xem việc các truy cập với toàn khoản đã cung cấp có đúng với người dùng và thiết bị được cho phép hay không.
FortiToken hỗ trợ xác thực đa yếu tố MFA với truy cập từ xa qua VPN trực tiếp trên Fortigate để nâng thêm một lớp xác thực đảm bảo các tài khoản người dùng cần nhập đúng OTP mới được truy cập vào hệ thống.
Nhưng các tội phạm mạng với kỹ thuật nâng cao, có thể lợi dụng các lỗ hổng bảo mật của thiết bị tường lửa để bypass xác thực OTP, lúc này cần xác thực thêm một lớp bảo mật về thiết bị để đảm bảo rằng, thiết bị truy cập là thiết bị đã được tin cậy trong hệ thống.
FortiNAC là giải pháp nằm trong kiến trúc ZTNA với khả năng tích hợp với các thiết bị tường lửa để tăng thêm một lớp xác thực thiết bị cho các truy cập VPN. Khi các truy cập VPN thành công, thiết bị tường lửa sẽ đưa các các thiết bị đó vào vùng “isolate” và thông báo đến thiết bị FortiNAC để định danh thiết bị xem có nằm trong danh sách “Trust” trước khi chuyển qua các phân vùng VPN phù hợp.
Cơ chế hoạt động:
Thiết bị truy cập với thông tin xác thực đã cung cấp.
Tường lửa thực hiện đưa thông tin đến FortiNAC để kiểm tra thông tin địa chỉ MAC.
Nếu địa chỉ MAC trùng với danh sách trong “Trust list” và “Know Device” thì được thông qua và thực hiện chuyển VPN đó qua phân vùng phù hợp với người dùng.
8. Giải pháp quản trị đặc quyền FortiPAM
8. Giải pháp quản trị đặc quyền FortiPAM
Quản lý quyền truy nhập đặc quyền (PAM) là một giải pháp bảo mật danh tính giúp bảo vệ các tổ chức trước các mối đe dọa trên mạng bằng cách giám sát, phát hiện và ngăn chặn quyền truy nhập đặc quyền trái phép vào các tài nguyên quan trọng. PAM hoạt động thông qua sự kết hợp giữa con người, quy trình và công nghệ, đồng thời cho tổ chức biết được ai đang sử dụng các tài khoản đặc quyền và họ làm gì sau khi đăng nhập. Việc giới hạn số lượng người dùng có quyền truy nhập vào các chức năng quản trị sẽ tăng cường bảo mật hệ thống, trong khi các tầng bảo vệ bổ sung sẽ giảm thiểu hành vi vi phạm dữ liệu từ các tác nhân đe dọa.
Giải pháp PAM xác định con người, quy trình và công nghệ cần quyền truy nhập đặc quyền và chỉ định các chính sách được áp dụng. Giải pháp PAM cần có chức năng hỗ trợ các chính sách mà tổ chức thiết lập ra (ví dụ: quản lý mật khẩu tự động và xác thực đa yếu tố) và người quản trị sẽ có khả năng tự động hóa quy trình tạo, sửa đổi và xóa tài khoản. Giải pháp PAM giám sát không ngừng các phiên để tổ chức có thể tạo báo cáo nhằm xác định và điều tra các hành vi bất thường.
Hai trường hợp sử dụng chính của quản lý quyền truy nhập đặc quyền là ngăn chặn hành vi trộm cắp thông tin xác thực và đạt được sự tuân thủ.
Hành vi trộm cắp thông tin xác thực xảy ra khi tác nhân đe dọa lấy cắp thông tin đăng nhập để giành quyền truy nhập vào tài khoản của người dùng. Sau khi đăng nhập, họ có thể truy nhập dữ liệu tổ chức, cài đặt phần mềm xấu trên nhiều thiết bị và giành quyền truy nhập vào các hệ thống cấp cao hơn. Giải pháp PAM có thể giảm thiểu rủi ro này bằng cách đảm bảo quyền truy nhập và xác thực đa yếu tố vừa đúng lúc và vừa đủ cho tất cả danh tính và tài khoản người quản trị.
Bất kể tiêu chuẩn tuân thủ nào áp dụng cho tổ chức đều có khả năng cao cần tới chính sách cấp đặc quyền tối thiểu để bảo vệ dữ liệu. Giải pháp PAM cũng cho phép tổ chức chứng minh sự tuân thủ của bằng cách tạo báo cáo về hoạt động người dùng đặc quyền – ai đang truy nhập, dữ liệu nào được truy nhập và lý do truy nhập.
Các trường hợp sử dụng khác bao gồm việc tự động hóa vòng đời người dùng (ví dụ: tạo, cấp phép và hủy cung ứng tài khoản), giám sát và ghi lại các tài khoản đặc quyền, bảo mật quyền truy nhập từ xa và kiểm soát quyền truy nhập của bên thứ ba.
FortiPAM là một thành phần quan trọng của khái niệm Zero Trust. Giải pháp quản lý đặc quyền truy cập – Privilege Access Management (PAM) là giải pháp kiểm soát quyền truy cập của người dùng và giám sát hoạt động trên các tài khoản đặc quyền (quản lý bảo mật, quản lý phiên và quản lý người dùng).
Quản lý truy cập đặc quyền của FortiPAM cung cấp khả năng kiểm soát đối với quyền truy cập nâng cao và quyền cho người dùng, tài khoản, quy trình, hệ thống và dữ liệu nhạy cảm trên toàn toàn bộ môi trường của hệ thống mạng. FortiPAM là một thành phần không thể thiếu của trong kiến trúc bảo mật Zero Trust cho phép các tổ chức cung cấp bảo mật chặt chẽ cho các đặc quyền tài khoản và thông tin đăng nhập đặc quyền.
Lợi ích khi sử dụng hệ thống FortiPAM cho doanh nghiệp:
Quản lý thông tin đăng nhập tài khoản quản trị cho hệ thống CNTT.
Cung cấp quyền truy nhập quản trị vừa đúng lúc (sử dụng các nguyên tắc “Không tin cậy” Zero Trust – quyền tối thiểu) vào các tài nguyên quan trọng hệ thống CNTT của doanh nghiệp.
Cho phép bảo mật quyền truy nhập từ xa bằng các cổng kết nối được mã hóa thay cho mật khẩu.
Xác thực đa yếu tố cho các phiên truy cập quản trị với FortiToken-MFA.
Giám sát các phiên quản trị hệ thống để hỗ trợ kiểm tra điều tra (có thể cung cấp bản ghi video hoàn chỉnh cho toàn bộ các phiên làm việc khi tích hợp với FortiClient).
Phân tích hoạt động quản trị hệ thống bất thường có thể gây hại cho doanh nghiệp.
Ghi lại các sự kiện tài khoản quản trị để kiểm tra tuân thủ.
Ngăn chặn các cuộc tấn công từ phần mềm độc hại thông qua kết nối quản trị với phần mềm ngăn chặn Mã độc tiên tiến. Nếu phần mềm độc hại đã xâm nhập thành công, việc loại bỏ các đặc quyền thừa có thể giúp giảm mức độ lan truyền của phần mềm xấu.
Tạo báo cáo về quyền truy nhập và hoạt động của người dùng quản trị.
Tích hợp liền mạch với hệ thống bảo mật của Fortinet– Fortinet Security Fabric mới nhất hiện nay của Gartner.
LIÊN HỆ CHÚNG TÔI ĐỂ ĐƯỢC MIỄN PHÍ TƯ VẤN GIẢI PHÁP PHÙ HỢP VỚI DOANH NGHIỆP CỦA BẠN:
(Email: kienlt@techworldvn.com – Mobile: 0984352581)
Page updated
Google Sites
Report abuse