Sophos Endpoint [LAB 05] Cấu hình tính năng Threat Protection trong Sophos Endpoint (Phần 1)

Threat Protection của Sophos là một tính năng bảo mật toàn diện giúp bảo vệ hệ thống trước các mối đe dọa mạng hiện đại như virus, mã độc, ransomware, tấn công khai thác lỗ hổng (exploit), và các cuộc tấn công chưa được biết trước (zero-day). Tính năng này sử dụng kết hợp nhiều công nghệ như phân tích hành vi, trí tuệ nhân tạo (machine learning), ngăn chặn khai thác (exploit prevention) và bảo vệ chống ransomware để phát hiện và ngăn chặn các mối nguy hại trước khi chúng gây ảnh hưởng đến hệ thống. Threat Protection hoạt động liên tục theo thời gian thực và được cập nhật thường xuyên, giúp nâng cao khả năng phòng thủ cho cả người dùng cá nhân lẫn doanh nghiệp.

Threat Protection là một bộ tính năng tích hợp trong Sophos Endpoint Protection hoặc Sophos Intercept X, được thiết kế để:

• Phát hiện và ngăn chặn các mối đe dọa từ nhiều nguồn khác nhau (email, web, USB, file,…)
• Ngăn chặn mã độc trước khi nó thực thi
• Bảo vệ theo thời gian thực và liên tục cập nhật các mẫu nhận diện mối đe dọa mới nhất

Tổng hợp các tính năng bảo vệ của Sophos Endpoint trong Sophos Central được hỗ trơ ở các OS:

---

Cấu hình tính năng Threat Protection trong Sophos Endpoint​

Bước 1: Truy cập Sophos Central > My Products > Endpoint > Polices

Bước 2: Chọn Add Policy

Bước 3: Ở Feature chọn tính năng cần cấu hình là Threat Protection, Type có 2 sự lựa chọn

• Chọn "User": Khi bạn muốn chính sách tập trung vào người dùng và đảm bảo họ tuân thủ các quy định bất kể thiết bị nào.
• Chọn "Device": Khi bạn muốn quản lý thiết bị cụ thể và đảm bảo thiết bị đó luôn được bảo vệ, bất kể ai sử dụng.

Bước 4: Đặt tên cho Policy và có thể chọn máy tính hoặc Group bao gồm nhiều máy khác nhau

Bước 5: Chuyển đến mục Settings và để ý hệ điều hành Windows và Mac hỗ trợ tính năng đó.

Bước 6: Giới thiệu các tính năng trong Threat Protection
Live Protection

• Đây là tính năng bảo vệ trực tuyến, cho phép thiết bị của bạn kết nối với SophosLabs (trung tâm nghiên cứu bảo mật của Sophos) để kiểm tra các mối đe dọa mới nhất.
• Khi một tệp hoặc hành vi đáng ngờ được phát hiện, hệ thống sẽ gửi thông tin về SophosLabs để phân tích và nhận phản hồi ngay lập tức

Ví dụ:

• Bạn tải xuống một tệp từ internet, và tệp này chưa từng được phát hiện trước đây. Live Protection sẽ gửi thông tin về tệp này (như tên, hành vi, mã hash) đến SophosLabs để kiểm tra xem nó có phải là phần mềm độc hại hay không. Nếu SophosLabs xác nhận tệp này là nguy hiểm, hệ thống sẽ chặn ngay lập tức.

Deep Learning​

• Tính năng này sử dụng trí tuệ nhân tạo (AI) và công nghệ học sâu (Deep Learning) để phân tích hành vi của các tệp và phát hiện các mối đe dọa chưa từng được biết đến.
• Không cần dựa vào danh sách đen (blacklist) truyền thống, mà dựa vào mô hình học máy để dự đoán và ngăn chặn các mối đe dọa.

Ví dụ:

• Một tệp có vẻ bình thường nhưng lại thực hiện các hành vi đáng ngờ như tự động sao chép, thay đổi tệp hệ thống, hoặc kết nối đến máy chủ lạ. Deep Learning sẽ phát hiện hành vi bất thường này và chặn tệp trước khi nó gây hại.

Real-time Scanning - Local Files and Network Shares​

• Tính năng quét thời gian thực cho các tệp trên máy tính cục bộ và các tệp được chia sẻ qua mạng.
• Nếu bật tùy chọn "Remote files", hệ thống sẽ quét cả các tệp được truy cập từ ổ đĩa mạng hoặc máy chủ từ xa.

Ví dụ cụ thể:

• Bạn mở một tệp Excel từ ổ đĩa mạng của công ty. Trước khi tệp được mở, hệ thống sẽ quét tệp này để đảm bảo nó không chứa mã độc.

Real-time Scanning - Internet​

• Tính năng này quét các tệp tải xuống từ internet, chặn truy cập vào các trang web độc hại, và phát hiện các tệp có độ tin cậy thấp.
• Bạn có thể cấu hình hành động khi phát hiện tệp có độ tin cậy thấp ở mục Action to take on low-reputation downloads

1. Prompt user (Nhắc nhở người dùng):

• Khi phát hiện một tệp tải xuống có độ tin cậy thấp, hệ thống sẽ hiển thị thông báo để người dùng quyết định có tiếp tục tải xuống hoặc mở tệp hay không.

Ví dụ:

• Bạn tải xuống một tệp từ một trang web không rõ nguồn gốc. Hệ thống phát hiện tệp này có độ tin cậy thấp và hiển thị thông báo: "Tệp này có thể không an toàn. Bạn có muốn tiếp tục không?"
• Người dùng có thể chọn "Yes" (Tiếp tục) hoặc "No" (Hủy bỏ).

2. Log only (Chỉ ghi nhật ký):

• Khi phát hiện tệp tải xuống có độ tin cậy thấp, hệ thống sẽ không hiển thị thông báo hoặc chặn tệp. Thay vào đó, nó chỉ ghi lại sự kiện này trong nhật ký (log) trong hệ thống và Sophos Central để quản trị viên có thể kiểm tra sau.

Ví dụ:

• Bạn tải xuống một tệp PDF từ một trang web không rõ nguồn gốc. Hệ thống phát hiện tệp này có độ tin cậy thấp và hiển thị thông báo yêu cầu bạn xác nhận trước khi mở.

Và tại mục Reputation Level (Mức độ danh tiếng) trong Real-time Scanning - Internet. Đây là cài đặt để xác định mức độ nghiêm ngặt khi hệ thống đánh giá độ tin cậy của các tệp tải xuống từ internet

• Recommended (Khuyến nghị):
  • Phù hợp với hầu hết các môi trường, nơi cần cân bằng giữa bảo mật và sự tiện lợi cho người dùng.
  • Ví dụ: Trong một công ty nơi người dùng thường xuyên tải xuống tệp từ các nguồn đáng tin cậy, mức này sẽ giúp giảm thiểu các cảnh báo không cần thiết.
• Strict (Nghiêm ngặt):
  • Phù hợp với các môi trường yêu cầu bảo mật cao, chẳng hạn như tổ chức tài chính, cơ quan chính phủ, hoặc các hệ thống xử lý dữ liệu nhạy cảm.
  • Ví dụ: Trong một ngân hàng, nơi mọi tệp tải xuống đều cần được kiểm tra kỹ lưỡng, mức này sẽ đảm bảo không có tệp đáng ngờ nào được bỏ qua.

Remediation​

• Tự động dọn dẹp phần mềm độc hại khi phát hiện.
• Tạo Threat Graph (biểu đồ mối đe dọa) để phân tích cách phần mềm độc hại lây lan và ảnh hưởng đến hệ thống.

Ví dụ

• Một ransomware được phát hiện trên máy tính. Hệ thống sẽ tự động xóa ransomware này và cung cấp báo cáo chi tiết về cách nó xâm nhập và lây lan.

Runtime Protection​

• Bảo vệ các tệp tài liệu khỏi ransomware bằng cách phát hiện và ngăn chặn các hành vi mã hóa trái phép.
• Tùy chọn bổ sung:
  • Protect from remotely run ransomware: Ngăn chặn ransomware được thực thi từ xa.
  • Protect from Encrypting File System attacks: Ngăn chặn các cuộc tấn công sử dụng hệ thống mã hóa tệp (EFS) để mã hóa dữ liệu.

Hai tùy chọn trong phần Action to take on ransomware detection​

• Terminate Process: Sử dụng khi ưu tiên hàng đầu là ngăn chặn ransomware ngay lập tức để bảo vệ dữ liệu và hệ thống. Phù hợp với các môi trường không cần phân tích thêm về ransomware.
• Isolate Process: Sử dụng khi bạn muốn cô lập ransomware để phân tích hoặc điều tra thêm mà không lo ngại về việc nó gây hại thêm. Phù hợp với các tổ chức có đội ngũ bảo mật chuyên sâu hoặc cần thu thập thông tin về ransomware để cải thiện hệ thống bảo mật.

• Protect from master boot record ransomware: Ngăn chặn ransomware tấn công vào Master Boot Record (MBR), một phần quan trọng của ổ cứng dùng để khởi động hệ điều hành.

• Protect critical functions in web browsers (Safe Browsing): Bảo vệ các chức năng quan trọng trong trình duyệt web, chẳng hạn như ngăn chặn các cuộc tấn công khai thác lỗ hổng trình duyệt.

• Mitigate exploits in vulnerable applications: Ngăn chặn các cuộc tấn công khai thác lỗ hổng trong các ứng dụng dễ bị tổn thương.
• Các tùy chọn bảo vệ:
  • Protect web browsers: Bảo vệ trình duyệt web.
  • Protect web browser plugins: Bảo vệ các plugin của trình duyệt (như Flash, Java).
  • Protect Java applications: Bảo vệ các ứng dụng Java.
  • Protect media applications: Bảo vệ các ứng dụng phát đa phương tiện.
  • Protect office applications: Bảo vệ các ứng dụng văn phòng (Word, Excel, PowerPoint).

• Protect processes: Bảo vệ các tiến trình hệ thống khỏi các cuộc tấn công như:
  • Prevent process hollowing attacks: Ngăn chặn tấn công "process hollowing" (kẻ tấn công thay thế mã của một tiến trình hợp pháp bằng mã độc).
  • Prevent DLLs loading from untrusted folders: Ngăn chặn việc tải DLL từ các thư mục không đáng tin cậy.
  • Prevent credential theft: Ngăn chặn đánh cắp thông tin đăng nhập.
  • Prevent registry credential theft: Ngăn chặn đánh cắp thông tin đăng nhập từ registry.
  • Prevent code cave utilisation: Ngăn chặn việc sử dụng "code cave" (một kỹ thuật ẩn mã độc trong tiến trình hợp pháp).
  • Prevent APC violation: Ngăn chặn vi phạm Asynchronous Procedure Call (APC).
  • Prevent privilege escalation: Ngăn chặn leo thang đặc quyền.
  • Prevent access token manipulation: Ngăn chặn thao tác với token truy cập.

• Dynamic shellcode protection: Ngăn chặn việc thực thi shellcode (mã độc được tiêm vào bộ nhớ) trong thời gian thực.
• Validate CTF Protocol caller: Xác thực các cuộc gọi giao thức CTF (Component Object Model Text Framework) để ngăn chặn khai thác lỗ hổng.
• Prevent side loading of insecure modules: Ngăn chặn việc tải các module không an toàn vào tiến trình hợp pháp.
• Protect browser cookies used for MFA sign-in: Bảo vệ cookie trình duyệt được sử dụng cho xác thực đa yếu tố (MFA) để ngăn chặn đánh cắp.
• Prevent malicious beacons connecting to command-and-control servers: Ngăn chặn các tín hiệu độc hại kết nối đến máy chủ điều khiển (C&C servers).
• Monitor use of driver APIs: Giám sát việc sử dụng các API của driver để phát hiện hành vi đáng ngờ.
• Prevent malicious use of syscall instructions: Ngăn chặn việc sử dụng các lệnh syscall (hệ thống gọi) độc hại.
• Prevent hardware breakpoint aabuse: Ngăn chặn việc lạm dụng breakpoint phần cứng để thực thi mã độc.

• Protect network traffic: Bảo vệ lưu lượng mạng khỏi các kết nối độc hại.
• Tùy chọn bổ sung:
  • Detect malicious connections to command-and-control servers: Phát hiện các kết nối độc hại đến máy chủ C&C.
  • Prevent malicious network traffic with packet inspection (IPS): Ngăn chặn lưu lượng mạng độc hại bằng cách kiểm tra gói tin.

Detect malicious behavior​

• Phát hiện các hành vi độc hại trong thời gian thực.
• AMSI Protection: Bảo vệ nâng cao cho các mối đe dọa dựa trên script.
• Prevent removal of AMSI registration: Ngăn chặn việc gỡ bỏ đăng ký AMSI (Antimalware Scan Interface).

Ở phần sau mình sẽ tiếp tục các phần còn lại của tính năng Threat Protection​