Sophos Endpoint [Lab][11] Tính năng Threat Protection

Tính năng Threat Protection​

I. Mở đầu​

Threat Protection là thành phần bảo mật quan trọng nhất trong hệ thống quản trị Sophos Central Admin. Đây là chính sách trực tiếp ngăn chặn các loại phần mềm độc hại (malware), các tệp tin nguy hiểm, website độc hại và các lưu lượng mạng có ý đồ xấu tấn công vào máy tính. Việc hiểu rõ các lớp bảo vệ và cấu hình đúng chính sách này là yêu cầu bắt buộc để đảm bảo an toàn cho hạ tầng công nghệ thông tin của doanh nghiệp.
Bài viết này sẽ cung cấp kiến thức nền tảng về các công nghệ bên trong và hướng dẫn chi tiết cách thiết lập một chính sách Threat Protection tối ưu theo tiêu chuẩn của Sophos.

II. Lý thuyết​

Các công nghệ cốt lõi trong Threat Protection
Dựa trên tài liệu kỹ thuật của Sophos, tính năng Threat Protection không dựa vào một phương thức duy nhất mà kết hợp nhiều lớp bảo vệ hiện đại:

• Live Protection: Hệ thống tự động kiểm tra các tệp nghi ngờ với cơ sở dữ liệu mới nhất của SophosLabs trên đám mây để phát hiện mối đe dọa theo thời gian thực.
• Deep Learning (Học sâu): Sử dụng trí tuệ nhân tạo (AI) để phân tích tệp tin mà không cần mẫu nhận diện (signatures). Công nghệ này đặc biệt hiệu quả trong việc phát hiện các loại mã độc mới (Zero-day).
• Real-time Scanning: Quét các tệp tin ngay khi người dùng truy cập, sao chép hoặc tải về từ mạng nội bộ, ổ đĩa dùng chung hoặc thiết bị ngoại vi (USB).
• CryptoGuard (Anti-Ransomware): Theo dõi hành vi của các tệp tài liệu. Nếu phát hiện tiến trình lạ đang mã hóa tệp hàng loạt, Sophos sẽ chặn đứng và khôi phục (rollback) tệp về trạng thái ban đầu.
• Exploit Mitigation: Ngăn chặn các kỹ thuật khai thác lỗ hổng bảo mật của hacker nhắm vào các ứng dụng phổ biến như trình duyệt web hoặc bộ Office.
• Adaptive Attack Protection: Tự động siết chặt các lớp bảo vệ khi hệ thống nhận diện được thiết bị đang nằm trong một cuộc tấn công thực sự.

III. Hướng dẫn cấu hình Threat Protection Policy​

Bước 1: Khởi tạo chính sách
Vào Sophos Central Admin
Truy cập mục My Products > Endpoint (hoặc Server) > Policies.

Add Policy > Threat Protection , type: Devive


Nên chọn Device vì

• Chính sách Device: Đảm bảo toàn bộ cái máy đó (từ Windows, ổ đĩa C, D đến các tiến trình hệ thống) luôn được bảo vệ bất kể ai đang ngồi trước máy.
• Chính sách User: Nếu bạn chọn User, lớp bảo vệ chỉ kích hoạt đầy đủ khi người dùng đó đăng nhập. Nếu một người dùng khác (không có trong chính sách) đăng nhập vào, máy tính có thể bị hở sườn.

Continue

Bước 2: Chọn đối tượng áp dụng chính sách
Chọn các thiết bị cần áp dụng chính sách này

Nhấn ">" để chuyển qua

Kèm theo đặt tên Policy


Bước 3: Cấu hình các tính năng bảo mật (Tab Settings)

Qua tab Settings


Tại đây, bạn sẽ thấy rất nhiều nút gạt. Theo tài liệu của Sophos, đây là các mục bạn nên bật (Enable):

1. Live Protection: Bật cả Enable Live Protection và Use Live Protection during scheduled scans.
2. Deep Learning: Luôn luôn bật để chống lại mã độc Zero-day.
3. Real-time Scanning: Chọn quét cả Local Files, Network Shares và Removable Media (USB).
4. Runtime Protection:
   • Bật CryptoGuard để chống mã hóa tống tiền.
   • Bật Protect from Encrypting File System attacks.
   • Bật Protect process để ngăn chặn việc tiêm mã độc (DLL injection).
5. Adaptive Attack Protection: Bật để hệ thống tự động phản ứng khi bị tấn công.

Chức năng Device Insolation mặc định đang tắt.

Các bạn có thể bật lên để cô lập máy tính khi máy bị nhiễm độc (trạng thái Đỏ) để bảo vệ toàn mạng lưới.

Một số các cài đặt khác đang mặc định tắt

Block QUIC browser connections: Chặn giao thức QUIC (của Google) vì giao thức này đôi khi giúp tệp tin "né" được việc bị Sophos kiểm tra.


SSL/TLS decryption: Giải mã các trang web HTTPS để soi mã độc ẩn bên trong.

Schedule Scanning (Lập lịch quét) và Exclusions (loại trừ) mình đã giới thiệu trong các bài blog trước



Desktop Messaging
Bật để hiện thông báo trên máy người dùng khi phá hiện sự cố

Có thể thêm tin nhắn tùy chỉnh, nó sẽ mặc định chèn sau thông báo sự cố mặc định của Sophos

Để xem và hiểu chi tiết hơn tất cả chức năng các bạn có thể xem trong đây: https://docs.sophos.com/central/cus...ProtectionPolicy/index.html#desktop-messaging

Bước 4: Save

V. Tổng kết​

Threat Protection là chính sách bảo mật cốt lõi trong Sophos Central, chịu trách nhiệm thực thi các lớp phòng thủ ngăn chặn mã độc và các kỹ thuật tấn công từ tội phạm mạng. Việc cấu hình đầy đủ các tính năng trong chính sách này giúp giảm thiểu tối đa rủi ro từ các loại mã độc tống tiền (Ransomware), các tệp tin không xác định (Zero-day) và các hành vi khai thác lỗ hổng phần mềm.

Quản trị viên cần đảm bảo chính sách luôn được kích hoạt để duy trì khả năng bảo mật liên tục trên toàn bộ hạ tầng.
Lời khuyên cấu hình:

1. Nên sử dụng Recommended Settings: Trong tab Settings mặc định sử dụng Recommended Settings . Đây là bộ cấu hình tiêu chuẩn đã được đội ngũ kỹ sư Sophos tối ưu hóa để đảm bảo sự cân bằng giữa hiệu suất máy tính và khả năng bảo mật cao nhất nên giữ nguyên.
2. Kiểm soát danh sách ngoại lệ (Exclusions): Chỉ thêm tệp tin hoặc thư mục vào danh sách loại trừ khi xác định chính xác đó là lỗi nhận diện nhầm (False Positive). Việc lạm dụng danh sách ngoại lệ sẽ tạo ra các điểm yếu trong hệ thống, cho phép mã độc lẩn tránh quá trình quét tệp và kiểm soát hành vi.
3. Kích hoạt Device Isolation: Luôn duy trì tính năng cô lập thiết bị khi máy có trạng thái sức khỏe "Màu đỏ" (Red Health). Tính năng này đảm bảo thiết bị bị nhiễm mã độc sẽ tự động ngắt kết nối mạng LAN, ngăn chặn sự lây lan sang các máy tính khác trong hệ thống trong khi vẫn duy trì kết nối với Sophos Central để quản trị viên xử lý.