Sophos đã thông báo rằng ngày 19 tháng 5 năm 2021, sophos đã phát hành một số bản cập nhật thú vị cho tất cả khách hàng sử dụng Sophos EDR (Endpoint Detection and Response) với Intercept X Advanced with EDR and Intercept X Advanced for Server with EDR.

Sophos EDR 4.0

Giới thiệu Sophos Data Lake.

Sophos Data Lake là nơi lưu trữ thông tin quan trọng từ các endpoint và server hỗ trợ EDR, có nghĩa là bạn có quyền truy cập vào dữ liệu đó ngay cả khi các thiết bị đó hiện đang offline.

Ngoài việc có thể lấy dữ liệu quan trọng từ các thiết bị ngay cả khi chúng offline (ví dụ: nếu offline trong một cuộc tấn công hoặc một máy tính xách tay bị thất lạc), Sophos Data Lake cũng cho phép tương quan sự kiện trên quy mô rộng hơn nhiều. Ví dụ: bạn có thể nhanh chóng xác định rằng một tài khoản đáng ngờ được đăng nhập trên nhiều thiết bị.

Sau đó, khi bạn đã xác định được khu vực cần kiểm tra, bạn có thể truy vấn thiết bị bằng Live Discover và nhận dữ liệu trực tiếp và truy cập từ xa vào thiết bị thông qua Live Response để thực hiện hành động thích hợp.

Bạn nhận được 7 ngày lưu giữ trong hồ dữ liệu theo tiêu chuẩn (30 ngày với Sophos XDR), bổ sung tối đa 90 ngày dữ liệu hiện có được lưu trữ trực tiếp trên các thiết bị.

Xin lưu ý rằng bạn cần kích hoạt Sophos Data Lake. Trong bảng điều khiển Sophos Central, hãy chọn ‘Global Settings‘, sau đó trong Endpoint or Server Protection (hoặc cả hai), chọn cài đặt “Data Lake uploads” và turn on “Upload to the Data Lake“.

Sophos Data Lake hiện hỗ trợ cho các thiết bị Windows và Linux. Thiết bị MacOS sẽ được hỗ trợ vào cuối năm nay.

Scheduled queries

Một trong những tính năng được yêu cầu hàng đầu, bản phát hành này sẽ giới thiệu các truy vấn đã lên lịch để bạn có thể chuẩn bị sẵn thông tin quan trọng mà bạn muốn. Các truy vấn có thể được lên lịch chạy qua đêm để dữ liệu quan trọng sẵn sàng để đánh giá vào ngày hôm sau.

Để thiết lập một truy vấn đã lên lịch, trước tiên, bạn cần chọn một truy vấn bằng cách chuyển đến ‘Threat Analysis Center’ và sau đó là ‘Live Discover’. Khi bạn đã chọn truy vấn bạn muốn chạy, bạn sẽ thấy một tùy chọn mới để lập lịch truy vấn thay vì chạy nó ngay lập tức.

Khi truy vấn đã được lập lịch thành công, nó sẽ xuất hiện trong danh sách ‘Scheduled Queries’ của bạn.

Các truy vấn đã lên lịch hiện có sẵn cho các truy vấn của Sophos Data Lake. Các thiết bị Windows và Linux có thể sử dụng các truy vấn đã lên lịch ngay bây giờ và Mac là vào cuối năm nay. Các truy vấn đã lên lịch cho các truy vấn on-disk sẽ được hỗ trợ vào cuối năm nay.

Nâng cao khả năng sử dụng

Làm việc nhanh và hiệu quả hơn với các cải tiến cho quy trình làm việc. Bạn sẽ nhận được thông tin quan trọng nhanh hơn và có thể thực hiện các hành động và phản hồi nhanh hơn nữa.

Sophos XDR

Sophos cũng đang phát hành Sophos XDR (Extended Detection and Response). Sophos XDR vượt ra ngoài các thiết bị endpoints và servers, lấy dữ liệu Sophos Firewall và Sophos Email với nhiều sản phẩm hỗ trợ XDR sắp ra mắt.

Khi bạn chạy 1 ứng dụng nhưng phần mềm phát hiện các mối đe dọa và chặn việc chạy ứng dụng đó. Mặc dù bạn biết rằng ứng dụng đó an toàn đôi khi nó có thể xác định một ứng dụng là một mối đe dọa. Khi điều này xảy ra, bạn có thể “Allow” đề chạy ứng dụng. Hãy suy nghĩ kỹ trước khi cho phép chạy các ứng dụng này vì nó làm giảm khả năng bảo vệ của bạn.

Lưu ý rằng: Khi bạn Allow Application

+ Sẽ cho phép ứng dụng chạy trên tất cả các máy tính và người dùng.

+ Cho phép ứng dụng khởi động, nhưng sẽ vẫn kiểm tra ứng dụng để tìm các mối đe dọa, hành vi lợi dụng và hành vi độc hại khi ứng dụng đang chạy.

1.Cấu hình Allow Application

Bước 1: Đi đến Enpoint Protection hoặc Server, tùy thuộc vào vị trí ứng dụng được phát hiện.

Bước 2: Tìm máy tính nơi mối đe dọa được phát hiện và nhấp vào máy tính đó để xem chi tiết.

Bước 3: Trên tab Event, tìm sự kiện được phát hiện và nhấp vào Detail.

Bước 4: Trong Event Detail: Chọn phương pháp cho phép ứng dụng:

SHA-256: Sẽ cho phép phiên bản này của ứng dụng chạy. Tuy nhiên, nếu ứng dụng được cập nhật, nó có thể được phát hiện lại.

Path: Sẽ cho phép ứng dụng chạy miễn là nó được cài đặt trong đường dẫn (vị trí) được hiển thị. Bạn có thể chỉnh sửa đường dẫn (bây giờ hoặc sau này) và bạn có thể sử dụng các biến nếu ứng dụng được cài đặt ở các vị trí khác nhau trên các máy tính khác nhau.

Chọn một mô tả cho ứng dụng bạn cho phép chạy để giúp Sophos có thể cải tiến như “Application used by us and some other organisations”

Sau cùng click Allow.

2. Cách cho phép ứng dụng chạy khi bị CryptoGuard phát hiện là mối đe dọa.

Bước 1: Nhấp vào Detail trên cảnh báo.

Bước 2: Trong Event Detail, bạn sẽ thấy tên ứng dụng và chi tiết cũng như loại phát hiện. Bạn cũng sẽ thấy ID phát hiện là mã nhận dạng duy nhất cho việc phát hiện này:

Bước 3: Tick chọn “Exclude this Dectection ID from checking” và Click Exclude. Ứng dụng của bạn sẽ bị loại trừ khỏi CryptoGuard.

3. Xóa ứng dụng đó khỏi danh sách Allow Application.

Bước 1: Đi đến Settings > Allow Application.

Bước 2: Chọn ứng dụng và nhấp vào Remove .

Bước 3: Click Confirm để xóa ứng dụng.

Đặc biệt với Ryuk ransomware mới hồi sinh gần đây. Cuộc điều tra của sophos cho thấy sự phát triển của các công cụ được sử dụng để xâm nhập vào các mạng và triển khai ransomware. Nhưng điều đáng chú ý hơn là các cuộc tấn công có thể chuyển từ thỏa hiệp ban đầu sang triển khai ransomware nhanh như thế nào. Trong vòng 3 tiếng sau khi mục tiêu mở tệp đính kèm email lừa đảo, những kẻ tấn công đã tiến hành rà soát mạng. Trong vòng một ngày, họ đã có quyền truy cập vào domain controller và đang ở giai đoạn đầu của nỗ lực triển khai ransomware.

Các kỹ thuật trốn tránh của ransomware đang thay đổi nhanh chóng. Trong những năm gần đây, các cuộc tấn công ransomware đã có xu hướng chuyển từ các cuộc tấn công ồ ạt, quy mô lớn sang các cuộc tấn công tập trung, có kế hoạch và thực hiện thủ công khó phát hiện và ngăn chặn hơn nhiều.

Tội phạm mạng đã lai tạp các cuộc tấn công của chúng, kết hợp tự động hóa để tìm ra những nạn nhân có lỗ hổng trong hệ thống phòng thủ. Tiếp cận các server với Remote Desktop Protocol (RDP) được bật, quản trị viên không sử dụng xác thực đa yếu tố để truy cập từ xa, máy chủ web chưa được cập nhật các bản vá hoặc thậm chí những vấn đề tương tự là đủ để đặt mạng, hệ thống và tài nguyên của bạn vào nguy hiểm.

Dưới đây là năm điều mà các nhà cung cấp dịch vụ chăm sóc sức khỏe có thể làm để bảo vệ khỏi các cuộc tấn công ransomware:

Kiểm tra và cập nhật thường xuyên: Đảm bảo rằng bạn đã cài đặt tất cả các bản vá mới nhất, tắt hoàn toàn RDP (hoặc đặt nó sau VPN), sao lưu thường xuyên và giữ chúng ở nơi kẻ tấn công không thể tìm thấy. Nó cũng bao gồm việc áp dụng xác thực đa yếu tố cho các dịch vụ lưu trữ dữ liệu nhạy cảm nhất trong tổ chức của bạn.
Nâng cao nhận thức người dùng: Hướng dẫn nhân viên về tầm quan trọng của mật khẩu mạnh và triển khai xác thực hai yếu tố ở bất cứ đâu bạn có thể. Hướng dẫn nhân viên về lừa đảo qua mail, đây là một trong những con đường chính để triển khai ransomware.
Giảm thiểu sự lây lan: Phân đoạn các mạng LAN thành các vùng nhỏ hơn, biệt lập hoặc các VLAN được bảo mật và kết nối bởi tường lửa. Đảm bảo áp dụng các chính sách IPS phù hợp cho các quy tắc điều chỉnh lưu lượng đi qua các phân đoạn LAN này để ngăn chặn việc khai thác, worm và bot lây lan giữa các phân đoạn LAN. Và nếu một sự lây lan xảy ra, hãy tự động cô lập các hệ thống bị nhiễm bệnh cho đến khi chúng có thể được làm sạch.
Sử dụng các công cụ EDR với tính năng bảo vệ Endpoint: Ngày nay, ngăn chặn ransomware không chỉ là để ngăn chặn một phần mềm độc hại; đó còn là về việc ngăn chặn kẻ thù đang hoạt động và làm gián đoạn chuỗi tấn công khiến chúng có thể chạy phần mềm độc hại. Đảm bảo mọi endpoint được bảo vệ và cập nhật. Một thiết bị không được bảo vệ sẽ dễ bị tấn công bởi ransomware. Sử dụng các công cụ như EDR, cho phép bạn đặt các câu hỏi chi tiết để bạn có thể tìm kiếm các mối nguy đang hoạt động và xác định các mối đe dọa nâng cao trong mạng của mình. Sau khi thực hiện, EDR cũng giúp bạn nhanh chóng thực hiện các hành động thích hợp để ngăn chặn các mối đe dọa như vậy.

Sử dụng MDR: Máy tính, tự động hóa và các công cụ thật đáng kinh ngạc nhưng trí tuệ con người, khả năng nhận dạng khuôn mẫu và khả năng áp dụng ngữ cảnh của chúng ta cung cấp một biện pháp phòng thủ còn ghê gớm hơn. Các dịch vụ Managed Detection and Response (MDR) rất quan trọng ở đây. Việc kết hợp các nhóm CNTT và bảo mật nội bộ của bạn với một nhóm chuyên gia ứng phó và săn lùng mối đe dọa ưu tú bên ngoài giúp đưa ra lời khuyên hữu ích để giải quyết các nguyên nhân gốc rễ của các sự cố lặp lại.

Sophos Intercept X Advanced với EDR
Sophos Intercept X Advanced với EDR bao gồm tất cả các tính năng bạn cần để giúp bảo vệ tổ chức của mình khỏi các cuộc tấn công ransomware như Ryuk, Sodinokibi, Maze và Ragnar Locker.

Intercept X bao gồm công nghệ chống ransomware phát hiện các quy trình mã hóa độc hại và tắt chúng trước khi chúng có thể lây lan trên mạng của bạn. Công nghệ chống khai thác ngăn chặn việc phân phối và cài đặt ransomware, deep learning chặn ransomware trước khi nó có thể chạy và CryptoGuard ngăn chặn mã hóa độc hại của các tệp, đưa chúng trở lại trạng thái an toàn.

Hơn nữa, Sophos EDR giúp giữ cho việc săn lùng mối đe dọa và hoạt động CNTT của bạn luôn hoạt động trơn tru trên toàn bộ mạng của bạn. Sophos EDR cho bạn đặt các câu hỏi chi tiết để xác định các mối đe dọa nâng cao, mối nguy đang hoạt động và các lỗ hổng CNTT tiềm ẩn, sau đó nhanh chóng thực hiện hành động thích hợp để ngăn chặn chúng. Nó cho phép bạn phát hiện kẻ thù ẩn nấp trong mạng của bạn và chờ triển khai ransomware mà có thể không được chú ý.

Sophos Managed Threat Response (MTR)
Dịch vụ Sophos MTR bổ sung kiến ​​thức chuyên môn của con người vào chiến lược bảo mật. Một nhóm chuyên gia săn lùng mối đe dọa ưu tú chủ động tìm kiếm và xác nhận các mối đe dọa tiềm ẩn thay cho bạn. Nếu được ủy quyền, họ sẽ hành động để ngăn chặn và vô hiệu hóa các mối đe dọa, đồng thời đưa ra lời khuyên hữu ích để giải quyết các nguyên nhân gốc rễ của các sự cố lặp lại.

Sophos Rapid Response
Nếu tổ chức của bạn đang bị tấn công và cần hỗ trợ ứng phó sự cố ngay lập tức, Sophos có thể giúp đỡ. Được cung cấp bởi một nhóm chuyên gia ứng phó sự cố, Sophos Rapid Response cung cấp hỗ trợ nhanh như chớp trong việc xác định và vô hiệu hóa các mối đe dọa đang hoạt động chống lại tổ chức. Dịch vụ này có sẵn cho cả khách hàng hiện tại của Sophos cũng như khách hàng không phải của Sophos.

Đội phản hồi nhanh Sophos gồm những người ứng phó sự cố từ xa nhanh chóng thực hiện hành động để phân loại, ngăn chặn và vô hiệu hóa các mối đe dọa đang hoạt động. Loại bỏ kẻ để ngăn chặn thiệt hại thêm cho tài sản của bạn.

Đối với nhiều tổ chức, máy tính Mac là thiết bị được sử dụng phổ biến để làm việc trong doanh nghiệp. Cho dù chúng chỉ bao gồm một vài thiết bị hay chiếm một tỷ lệ đáng kể trong doanh nghiệp, máy Mac cũng cần được bảo vệ khỏi các cuộc tấn công mạng như máy Windows.

Đó là lý do tại sao ngoài khả năng bảo vệ máy Mac đã được chứng minh khỏi các mối đe dọa mới nhất,  Endpoint Detection and Response (EDR) hiện đã hỗ trợ cho người dùng Mac ngoài Windows và Linux.

Intercept X Advanced với EDR cung cấp cho cả quản trị viên CNTT và các chuyên gia an ninh mạng khả năng trả lời các hoạt động mạng quan trọng và các câu hỏi về truy tìm mối đe dọa, sau đó thực hiện bất kỳ hành động cần thiết nào từ xa.

Nâng cấp các hoạt động bảo mật CNTT:

Kiểm tra các thiết bị thường xuyên. Để có thể xác định thiết bị nào cần chú ý và hành động nào cần thực hiện.

Với Sophos EDR, giờ đây bạn có thể làm điều đó một cách nhanh chóng và dễ dàng. Ví dụ:

+ Tìm thiết bị có lỗ hổng phần mềm, dịch vụ không xác định đang chạy hoặc tiện ích mở rộng trên trình duyệt trái phép.

+ Xác định thiết bị có phần mềm không mong muốn

+ Kiểm tra phần mềm đã được triển khai trên các thiết bị chưa, ví dụ: để đảm bảo quá trình cài đặt hoàn tất

+ Truy cập từ xa các thiết bị để tìm hiểu sâu hơn và thực hiện hành động, chẳng hạn như cài đặt phần mềm, chỉnh sửa tệp cấu hình và khởi động lại thiết bị.

Săn lùng và vô hiệu hóa các mối đe dọa

Theo dõi các mối đe dọa tinh vi, lẩn tránh đòi hỏi một công cụ có khả năng phát hiện ngay cả những dấu hiệu nghi ngờ nhỏ nhất.

Với bản phát hành này, Sophos EDR đang tăng cường đáng kể khả năng săn tìm mối đe dọa của mình. Ví dụ:

+ Phát hiện các quy trình đang cố gắng tạo kết nối trên các port không được phép.

+ Nhận thông tin chi tiết về các lần thực thi tập lệnh không mong muốn

+ Xác định các quy trình đã tạo tệp hoặc sửa đổi tệp cấu hình

+ Truy cập từ xa vào một thiết bị để triển khai các công cụ bổ sung, chấm dứt các hoạt động đáng ngờ và chạy các tập lệnh hoặc chương trình.

Giới thiệu tính năng Live Discover và Live Response.

Các tính năng có thể giúp giải quyết tất cả các ví dụ quan trọng ở trên là Live Discover và Live Response.

Live Discover cho phép bạn kiểm tra dữ liệu của mình cho hầu hết mọi câu hỏi mà bạn có thể nghĩ ra bằng cách tìm kiếm trên các thiết bị Mac với các truy vấn SQL. Bạn có thể chọn một trong một loạt các truy vấn có sẵn, có thể được tùy chỉnh đầy đủ để lấy thông tin chính xác mà bạn cần và các nhiệm vụ săn tìm mối đe dọa. Dữ liệu được lưu trữ trên đĩa lên đến 90 ngày, có nghĩa là thời gian phản hồi truy vấn nhanh chóng và hiệu quả.

Live Response là một giao diện dòng lệnh có thể truy cập từ xa các thiết bị để thực hiện điều tra thêm hoặc thực hiện hành động thích hợp. Ví dụ:

+ Khởi động lại thiết bị đang chờ cập nhật

+ Chấm dứt các hoạt động đáng ngờ

+ Browsing qua hệ thống tệp

+ Chỉnh sửa tệp cấu hình

+ Chạy các tập lệnh và chương trình

Và tất cả đều được thực hiện từ xa, vì vậy, đây là điều lý tưởng trong các tình huống làm việc mà bạn có thể không có quyền truy cập thực tế vào thiết bị cần chú ý.

Thử các tính năng mới

Khách hàng hiện tại của Intercept X Advanced với EDR sẽ tự động thấy các thiết bị Mac của họ xuất hiện để lựa chọn trong Live Discover và Live Response trước ngày 16 tháng 9.

Intercept X và Intercept X for Server khách hàng muốn dùng thử chức năng EDR có thể truy cập bảng điều khiển Sophos Central, chọn ‘Free trial’ ở menu bên trái và chọn ‘Intercept X Advanced with EDR’ hoặc ‘Intercept X Advanced for Server with EDR ‘dùng thử.