Trong bối cảnh các hình thức tấn công ngày càng tinh vi hơn, các tổ chức, doanh nghiệp cần trang bị cho mình các giải pháp có khả năng phát hiện và phản ứng hiệu quả hơn. Liên tục theo dõi, rà soát các mối đe dọa để cung cấp tầm nhìn hướng xử lý là một yêu cầu vô cùng quan trọng phục vụ cho việc phát hiện và phản ứng sự cố.

Một trong những giải pháp nổi bật hỗ trợ doanh nghiệp giải quyết bài toán này là giải pháp EDR (Endpoint Detection and Response) - Phát hiện và phản ứng sự cố tại máy trạm.

Bám sát theo các yêu cầu và hướng dẫn về giải pháp EDR hoàn chỉnh, Giải pháp Giám sát bất thường trên máy trạm (VCS-aJiant) là một sản phẩm EDR toàn diện tại Việt Nam, được Công ty An ninh mạng Viettel (Viettel Cyber Security - VCS) nghiên cứu và phát triển dựa trên các công nghệ mới nhất trên thế giới, phù hợp với mọi mô hình tổ chức và doanh nghiệp.

VCS-aJiant có khả năng theo dõi và phát hiện ra các mối đe dọa tiên tiến, điều tra chi tiết, và phản ứng nhanh chóng. Kể từ khi ra mắt, VCS-aJiant đã được nhiều tổ chức, doanh nghiệp và tập đoàn lớn ứng dụng mạnh mẽ trong công tác giám sát sâu hệ thống để phát hiện sớm các hành vi đáng ngờ.

BẢO VỆ TOÀN DIỆN TÀI SẢN SỐ CHO NGÀNH NGÂN HÀNG 

Ngân hàng Y là một trong những ngân hàng lớn tại Việt Nam, có nhiều hệ thống trọng yếu cần được bảo vệ nghiêm ngặt trước các cuộc tấn công mạng. Trong khoảng giữa năm 2021, nghi ngờ bị tấn công APT do có nhiều cảnh báo bất thường, ngân hàng Y đã quyết định mở cuộc điều tra rà soát về mã độc và nguy cơ diện rộng trong toàn hệ thống. Tuy nhiên, với số lượng máy trạm, máy chủ lên tới hàng chục ngàn, việc điều tra rà soát thủ công bằng tay từng máy tính là bất khả thi.

Đứng trước tình huống này, hệ thống cần có một cơ chế điều tra, rà soát với số lượng lớn nhằm tối ưu bài toán về mặt thời gian.

Để đối mặt với những thách thức gặp phải, ngân hàng Y đã lựa chọn triển khai giải pháp VCS-aJiant với các tính năng chuyên phục vụ săn tìm và rà soát mã độc, được tối ưu một cách toàn diện trên hàng loạt máy tính với số lượng lớn.

Chỉ sau 3 ngày làm việc, VCS-aJiant đã giúp ngân hàng Y đã hoàn thành việc điều tra, rà soát mã độc cho 50.452 nghìn máy, phát hiện 132 máy tính (gồm máy PC và các Server dịch vụ quan trọng) nhiễm các loại mã độc APT đang ẩn náu trong hệ thống từ khoảng 2 năm trước đó. Đội ngũ SOC của ngân hàng Y cũng đã kết hợp sử dụng các tính năng xử lý sự cố của VCS-aJiant để gỡ bỏ triệt để và nhanh chóng mã độc cho 132 máy tính có vấn đề trên.

NGĂN CHẶN VÀ XỬ LÝ TẤN CÔNG CÓ CHỦ ĐÍCH VÀO HỆ THỐNG TRỌNG YẾU 

Tập đoàn X là một Tập đoàn Công nghệ lớn tại Việt Nam. Việc đảm bảo an toàn thông tin cho hạ tầng rộng lớn và phân tán luôn là một trong những ưu tiên hàng đầu của Tập đoàn X. Với nhiệm vụ quan trọng này, VCS-aJiant đã giúp Tập đoàn X giám sát, phát hiện, ngăn chặn và xử lý nhiều cuộc tấn công nâng cao APT vào các hệ thống trọng yếu.

VCS-aJiant đã phát hiện nhiều kỹ thuật tấn công nâng cao vào tập đoàn X như tấn công có chủ đích (Persistence), tấn công leo thang đặc quyền (Privilege Escalation), trích xuất dữ liệu,… từ đó đưa ra các cảnh báo cho đội ngũ vận hành SOC.

Ví dụ, hacker đã nghiên cứu và sử dụng kỹ thuật email phishing để xâm nhập vào bên trong hệ thống nội bộ, sau đó sử dụng kỹ thuật ghi Windows Registry run keys để duy trì xâm nhập, sử dụng công cụ Mimikatz để ăn cắp mật khẩu và leo thang đặc quyền, trích xuất dữ liệu quan trọng của tập đoàn X.

Trong quá trình giám sát toàn bộ hệ thống, VCS-aJiant đã phát hiện ra các cuộc tấn công này, ngay lập tức đưa ra các cảnh báo cho đội ngũ vận hành SOC. Sau khi nhận được cảnh báo tấn công, đội ngũ SOC sử dụng các bộ công cụ, tính năng của VCS-aJiant để điều tra chuyên sâu và xử lý sự cố.

Bằng việc sử dụng VCS-aJiant từ 2018 đến nay, Tập đoàn X đã phát hiện và ngăn chặn sớm được nhiều cuộc tấn công vào các hệ thống nằm phân tán trên nhiều quốc gia lãnh thổ, không ghi nhận các thiệt hại lớn về tấn công mạng.

Với khả năng giám sát sâu, liên tục và toàn diện hệ thống, VCS-aJiant có thể phát hiện sớm nguy cơ ngay cả khi mới chỉ có các dấu hiệu mờ của hoạt động tấn công, giúp các chuyên viên giám sát phản ứng sự cố được cảnh báo sớm về các hành vi đáng ngờ trước khi việc xâm phạm hệ thống được diễn ra.