Xu Hướng Mới Trong Bảo Mật Doanh Nghiệp 2020: Symantec Endpoint Protection Cloud?

Xu hướng mới trong bảo mật doanh nghiệp mang tên Symantec Endpoint Protection Cloud?

Phần mềm bảo vệ đám mấy điểm cuối Symantec (Symantec Endpoint Protection Cloud) là một sản phẩm bảo mật tuyệt vời nhưng lại chưa được hoàn thiện. Nó vẫn chưa thể chống lại những cuộc tấn công giả mạo và các bản báo cáo của Symantec vẫn chưa thân thiện với người dùng.

Nếu bạn muốn mua một phần mềm bảo mật cho doanh nghiệp của mình từ một thương hiệu uy tín, thì Symantec là một lựa chọn sáng giá nhất dành cho bạn. Sản phẩm bảo vệ điểm cuối mới nhất của họ có tên Symantec Endpoint Protection Cloud  với 4 dòng sản phẩm khác nhau (hãy tìm hiểu thật kĩ các dòng sản phẩm nhé). Mặc dù nó áp dụng đám mây để chuyển tiếp dữ liệu, sản phẩm này vẫn tập trung chính bảo vệ các điểm cuối của Microsoft Windows; tuy nhiên, điều đó không có nghĩa là nó không thể hỗ trợ Mac cũng như các tính năng quản lý thiệt bị di động. Những điều này thực sự làm nên một nền tảng bảo vệ doanh nghiệp tuyệt vời, nhưng nó lại chưa thể là phần mềm xuất sắc nhất như Bitdefender GravityZone EliteESET, đặc biệt là phần report (báo cáo).

Nếu bạn tìm hiểu kĩ, bạn sẽ thấy Symantec có 4 dòng sản phẩm bảo vệ điểm cuối. Dòng sản phẩm được đánh giá ở bài viết này sẽ có 2 tầng giá cao và thấp.  Có một mức giá tốt nhưng Symantec vẫn đảm bảo cho bạn có thể quản lý bảo mật máy chủ của mình thông qua bảng điều khiển trực tuyến giống như các thiết bị người dùng cuối thông thường.

Cuối cùng là nền tảng mã hóa Drive (Drive Encryption), cũng chính là dịch vụ cao cấp nhất của nền tảng bảo vệ điểm cuối. 

1.    Cài đặt và Giao diện người dùng:

Cài đặt Symantec Endpoint Protection Cloud có thể nói là dễ dàng và hợp lý hơn so với phiên bản trước. Tuy nhiên trước đó, máy cần được đăng ký với Microsoft ID của bạn. Và đơn giản, bạn chỉ cần tạo ra một gói triển khai ra toàn hệ thống và có thể chuyển dữ liệu từ máy này sang máy khác hoặc thông qua một số phương tiện khác.

Bạn có thể tìm thấy bản dùng thử lên tới 60 ngày trên website của Symantec. Phần mềm chỉ mất 1-2 phút để cài đặt và sẽ có thông báo “You’re Protected” xuất hiện. Mặc dù không có thông báo nào thực sự cho thấy điều gì đang xảy ra trong quá trình cài đặt, tuy nhiên nó cũng không thực sự ảnh hưởng gì trong quá trình cài đặt của nó.

Ở những máy khách (client) thì không có quá nhiều điều để nói về giao diện người dùng (UI) vì cách hoạt động chính sẽ được thể hiện trên bảng điều khiển quản lý của Symantec. Những tính năng sẽ cần quan tâm trên máy khách chính là: Mục quản lý Nâng cao với mục đích chỉ ra kết quả của những biện pháp đang được áp dụng trên thiết bị; Kích hoạt quét phần mềm độc hại thủ công, nhưng chúng ta cũng ít khi phải dùng đến nó vì tính năng phát hiện thời gian thực luôn được bật.

Symantec Endpoint Protection Cloud - Bản cáo báo không thừa không thiếu

Bảng điều khiển đám mây đẹp và dễ sử dụng. Trước hết sẽ là bảng điều khiển cung cấp một chỉ số báo nhanh và số lượng thiết bị đã được bảo vệ/ đang gặp mối đe dọa. Click vào 1 trong các thiết bị đó, bạn có thể thấy được các thông số chi tiết của các thiết bị đó và đưa ra các lệnh phù hợp. Chi tiết của thiết bị thực tế rất đặc biệt: danh sách những vấn đề của phần cứng và các ứng dụng được cài đặt bên cạnh nhật ký được thông báo trước đó.

Quản lý nhóm thiết bị cũng vô cùng đơn giản. Rất dễ dàng cho bạn để có thể thêm nhóm, người dùng hoặc các thiết bị vào những nhóm cụ thể hơn. Khi có thể chọn thiết bị lẫn người dùng làm thành viên trong nhóm, bạn có thể dễ dàng kiểm soát và quản lý hơn. Những người dùng gặp vấn đề, bạn có thể cài đặt cho họ một cấu hình máy an toàn và ổn định hơn, trong khi những người dùng có kiến thức bảo mật hơn sẽ không phải cài đặt quá nhiều tầng bảo mật khác nữa.

Symantec Endpoint Protection Cloud - Khả năng edit linh hoạt và dễ sử dụng

Chính sách quản lý sẽ bao gồm 3 loại chính như sau: Chính sách kiểm soát cập nhật và cài đặt proxy; Chính sách bảo mật kiểm soát mọi mặt từ chống virus đến ngăn chặn xâm nhập; Chính sách kiểm soát thiết bị và bảo vệ web với một loạt tùy chọn khác. Mặc dù mỗi bảng điều khiển/ báo cáo đều có chú thích và giải thích rõ ràng, tuy nhiên bạn có thể gặp khó khăn với những chi tiết. Không phải tất cả các chính sách trên đều có thể áp dụng cho tất cả các nền tảng, do đó, một biểu tượng xuất hiện bên phải mỗi tính năng sẽ giúp bạn biết nơi để có thể áp dụng các chính sách khác nhau.

Một số tính năng nổi bật có thể nói tới như: mã hóa máy khách, bảo vệ mạng lưới thiết bị và bảo mật mật khẩu. Điều này chứng tỏ rằng Symantec cam kết có một kế hoạch bảo vệ hệ thống toàn diện thay vì chi đơn giản và ngăn chặn phần mềm độc hại. Quản lý độ phức tạp của mật khẩu đặc biệt hữu ích cho các doanh nghiệp nhỏ.

Symantec Endpoint Protection Cloud - Giúp bạn nhìn 1 cách tổng thể và chi tiết

2.    Bảo vệ khỏi Ransomware (phần mềm độc hại, tống tiền,…):

Để có thể bảo vệ máy khỏi Ransomware, Symantec cung cấp những công cụ tốt dành cho bạn. Trước hết là tường lửa và khả năng bảo vệ trình duyệt, giúp bạn giảm thiểu khả năng gặp phải những mối đe dọa. 

Hơn nữa, Symantec cung cấp một tính năng gọi là Giảm thiểu Khai thác Bộ nhớ (MEM). Tính năng này tìm kiếm những hành vi khai thác dữ liệu của bạn và tắt/ gián đoạn những hành vi đáng ngờ. Vì vậy, ngay cả khi ransomware tìm thấy phần mềm này và có gắng chạy thoát, Symantec Endpoint Protection Cloud hoàn toàn có thể tiêu diệt nó.

Symantec Endpoint Protection Cloud không áp dụng bất kỳ khả năng phát hiện ransomware cụ thể nào bên ngoài công cụ lõi của nó, nhưng nó vẫn thể hiện rất tốt tính năng này. Tức là sẽ chẳng có một vacxin ransomware để lừa chúng rằng hệ thông đã bị tấn công, hay không có cách khôi phục tệp dữ liệu nếu thiết bị bạn bị ransomware tấn công. 

Tuy nhiên, Symantec Endpoint Protection Cloud đã cho thấy rằng những tính năng bổ sung đó là hoàn toàn không cần thiết. Nếu bạn cần vắc-xin ransomware, thì Nền tảng bảo vệ điểm cuối EST mới là sản phẩm dành cho bạn.

3.    Kết quả thử nghiệm:

Thử nghiệm đầu tiên sẽ sử dụng một bộ phần mềm độc hại đã biết được thu thập cho mục đích nghiên cứu. Mỗi tệp được lưu trữ và nén, được bảo vệ bằng mật khẩu và được trích xuất riêng lẻ. Các mẫu virus khi được nghiên cứu và ghi lại đã được phát hiện ngay lập tức. Trong số 142 biến thể phần mềm độc hại, tất cả các mục đều bị gắn cờ và cách ly.

Để kiểm tra khả năng bảo vệ khỏi các trang web có hại, tôi đã lựa chọn ngẫu nhiên trong số 10 trang web mới nhất đã được chọn từ PhishTank, một cộng đồng mở chuyên báo cáo các trang web lừa đảo đã biết và bị nghi ngờ. Không có URL nào được công nhận là độc hại mặc dù chúng rõ ràng là PayPal hoặc gian lận ngân hàng.

Symantec Endpoint Protection Cloud - Biểu đồ thời gian thực

Để kiểm tra phản ứng của Symantec Endpoint Protection Cloud đối với ransomware, tôi đã sử dụng một bộ 44 mẫu ransomware, bao gồm cả WannaCry. Không có mẫu nào vượt qua quá trình trích xuất từ tệp ZIP/ tệp nén. Điều này không quá ngạc nhiên vì mỗi mẫu đều có một dấu hiệu đã được ghi lại. Nhưng điều đặc biệt chính là phản ứng của phần mềm là vô cùng nhanh chóng. Các tệp độc hại ngay lập tức được đánh dấu là ransomware và bị xóa. 

Trình mô phỏng ransomware RanSim của KnowBe4 cũng bị gắn cờ là một trường hợp ransomware. Vì có khả năng những ransomware này được thu thập thông qua các dấu hiệu đã lưu sẵn, tôi đã tiến hành một cách tiếp cận trực tiếp hơn bằng cách mô phỏng một kẻ tấn công đang hoạt động.

Tất cả các bài kiểm tra đều được thực hiện bằng cách sử dụng cài đặt mặc định của sản phẩm và đều bị Symantec chặn, nên tôi sẽ bỏ qua cách test này. Cách test của tôi, đó là thiết lập một máy chủ có khả năng khái thác từ trình duyệt. Điều này khởi động môt loạt các cuốc tấn công đã từng rất nguy hiểm trên các trình duyệt như Chrome, FireFox,v.v Tuy nhiên, Symantec đã ngăn chặn việc khai thác một cách vô cùng đơn giản.

Symantec Endpoint Protection Cloud - Chi tiết những mối nguy hại trên đám mây

Thử nghiệp tiếp theo là trên tài liệu Microsoft Word. Bên trong tài liệu có một ứng dụng được mã hóa mà sau đó Microsoft Visual Basic Script (VBScript) sẽ giải mã và cố gắng khởi chạy. Đây thường là một trường hợp rất khó để phát hiện khi các kỹ thuật mã hóa và che giấu khác nhau được sử dụng rất tinh vi. Tệp đã tạo ra lỗi khi mở, tức Symantec Endpoint Protection Cloud đã làm tốt nhiệm vụ của nó.

Cuối cùng, tôi đã thử nghiệm một cuộc tấn công vào thẳng một hệ thống của Doanh nghiệp. Trong trường hợp này, người dùng tải xuống trình cài đặt bị xâm phạm của FileZilla bằng Shellter. Lúc này, nó sẽ thực hiện một phiên Meterpreter và gọi lại hệ thống đang tấn công. Khai thác đã bị chặn trong vài giây và bị xóa khỏi đĩa, chứng tỏ rằng ngay cả với một khai thác được mã hóa, hệ thống vẫn có thể nhận ra hành vi độc hại của ứng dụng và tiêu diệt nó.

AV-Test, một phòng thí nghiệm độc lập chuyên kiểm tra phần mềm chống vi-rút, đã tiến hành thử nghiệm vào tháng 7/8/2018 để đánh giá một loạt gói phần mềm bảo mật điểm cuối. Kết quả của họ đã cho Symantec Endpoint Protection Cloud điểm bảo vệ là “6 trên 6” và điểm hiệu suất là “6 trên 6”. Ngoài ra, MRF-Effitas, trong thử nghiệm “In the Wild 360 / Full Spectrum” quý 2 năm 2018, đã nahạn định rằng Symantec là tự động chặn 99,7% các mẫu phần mềm độc hại, với 0,3% còn lại được phát hiện dựa trên hành vi. Điều này cho thấy Symantec Endpoint Protection Cloud hoàn toàn ngang bằng và có phần vượt trội so với những nền tảng như ESET, Sophos Intercept X và Bitdefender GravityZone Elite.

4.    Lời kết:

Nhìn chung, Symantec Endpoint Protection Cloud là một công cụ mạnh mẽ để có thể kiểm soát và đối phó với các cuộc tấn công có chủ đích. Mặc dù nó thiếu khả năng phát hiện các trang web lừa đảo, nhưng nó xuất sắc trong tất cả các biện pháp bảo vệ khác. Bên cạnh hai phần mềm được ưu ái là Mac OS và Window thì Linux vẫn đang bị Symantec bỏ ngỏ. Báo cáo chưa rõ ràng, mặc dù đẹp mặt nhưng khá khó để nắm bắt. Tuy nhiên, đánh đổi lại những tính năng MDM tốt và một mức giá tuyệt vời. Symantec Endpoint Protection Cloud là một lựa chọn không tồi cho bất kỳ doanh nghiệp nhỏ nào đang muốn bảo vệ mạng lưới thiết bị của mình. 

Tìm hiểu ngay về Symantec Endpoint Protection Cloud tại đây.