EDR là gì và bảo vệ endpoint là gì?

EDR là viết tắt của Endpoint Detection and Response (Phát hiện và Phản hồi trên Endpoint). Endpoint là bất kỳ thiết bị doanh nghiệp nào mà nhân sự sử dụng, như máy tính để bàn, laptop, máy chủ hoặc điện thoại công ty. EDR theo dõi các thiết bị này để nhận biết hành vi bất thường, ghi lại những gì đã xảy ra và hỗ trợ đội IT điều tra rồi xử lý.

Antivirus cơ bản chủ yếu tìm các tệp đã biết là mã độc. EDR đi xa hơn. Nó có thể nhận ra các mẫu hành vi trông đáng ngờ, như một chương trình cố gắng thay đổi nhiều tệp rất nhanh, đăng nhập bất thường, hoặc phần mềm kết nối đến những nơi mà bình thường nó không nên kết nối.

EDR thường là sự kết hợp giữa phần mềm và quy trình con người. Phần mềm tạo cảnh báo (alert). Sau đó, đội IT nội bộ hoặc một nhà cung cấp dịch vụ IT quản lý (managed IT services provider) — gọi tắt là MSP — sẽ xem xét các cảnh báo đó và quyết định bước tiếp theo.

Nếu bạn mới làm với IT quản lý (managed IT), thì đây là một trong nhiều công cụ bảo mật mà MSP có thể đề xuất. Bạn có thể xem thêm các câu trả lời dễ hiểu trong answers hub.

Doanh nghiệp nhỏ dựa vào các thiết bị để xử lý email, lưu trữ tệp, tính lương, hồ sơ khách hàng và công việc hằng ngày. Nếu một laptop bị nhiễm hoặc tài khoản của một nhân viên bị sử dụng sai mục đích, vấn đề có thể lây lan, làm gián đoạn công việc và phát sinh chi phí dọn dẹp.

EDR giúp doanh nghiệp nhìn thấy vấn đề sớm hơn và phản hồi theo cách có tổ chức hơn. Điều đó có thể bao gồm cô lập một thiết bị, dừng một tiến trình đáng ngờ, thu thập bằng chứng và kiểm tra liệu sự cố đã lan sang hệ thống khác chưa. Phát hiện sớm có thể giảm nhầm lẫn và hạn chế thiệt hại, nhưng không có nhà cung cấp trung thực nào cam kết không có thời gian gián đoạn (zero downtime) hoặc một mạng không thể bị xâm nhập.

Nó cũng quan trọng vì nhiều cuộc tấn công hiện không còn giống “ý tưởng cũ” về virus. Mối đe dọa có thể liên quan đến mật khẩu bị đánh cắp, các lượt tải xuống không an toàn, liên kết email độc hại hoặc việc sử dụng các công cụ bình thường theo cách gây hại. EDR được xây dựng để phân tích hành vi, không chỉ dựa vào chữ ký mã độc đã biết.

Với nhiều công ty, EDR hiệu quả nhất khi được kết hợp với các “nền tảng” bảo mật khác. Ví dụ gồm Multi-Factor Authentication, gọi tắt là MFA (Xác thực đa yếu tố), vá lỗi định kỳ (patching), nghĩa là áp dụng các bản cập nhật phần mềm và bảo mật, sao lưu mạnh (backups) và các quy tắc rõ ràng cho nhân viên.

Một công cụ EDR tốt thu thập dữ liệu hoạt động từ các endpoint. Nó có thể theo dõi các tiến trình (processes), đăng nhập (logins), thay đổi tệp (file changes), kết nối mạng (network connections) và dấu hiệu cho thấy cài đặt bảo mật đã bị tắt. Điều này giúp tạo dòng thời gian (timeline) những gì đã xảy ra trên một thiết bị.

Khi có thứ gì đó trông đáng ngờ, công cụ sẽ tạo cảnh báo (alert). Tùy theo sản phẩm và cấu hình, nó cũng có thể thực hiện một số hành động phản hồi giới hạn, như dừng một tiến trình, chặn một tệp hoặc cô lập một thiết bị khỏi mạng để ngăn sự cố lan rộng trong khi ai đó đang điều tra.

Một số doanh nghiệp cũng nghe đến RMM, viết tắt của Remote Monitoring and Management (Giám sát và Quản trị từ xa). Đây là một nhóm khác. RMM thường được đội IT và MSP dùng để theo dõi sức khỏe thiết bị, triển khai cập nhật và xử lý các tác vụ hỗ trợ định kỳ. EDR tập trung vào việc phát hiện và phản hồi các hoạt động bảo mật đáng ngờ.

Bạn cũng có thể nghe thuật ngữ endpoint protection platform (nền tảng bảo vệ endpoint). Nói theo cách dễ hiểu, thường nó ám chỉ phần mềm bảo mật “rộng hơn” trên thiết bị, trong khi EDR là lớp phát hiện và phản hồi giúp điều tra xem điều gì đang xảy ra.

EDR tốt không chỉ là mua giấy phép (license) và hy vọng mọi thứ sẽ ổn. Nó cần được cấu hình phù hợp cho doanh nghiệp của bạn, được theo dõi bởi người biết cách xem và đánh giá cảnh báo, đồng thời gắn với một kế hoạch phản hồi rõ ràng. Nếu không, bạn có thể nhận rất nhiều cảnh báo nhưng lại không có nhiều bảo vệ thực chất.

Thiết lập tốt thường bao phủ tất cả các endpoint quan trọng của doanh nghiệp, không chỉ vài laptop. Điều này thường có nghĩa là máy tính nhân viên, máy chủ và đôi khi cả thiết bị di động, tùy cách doanh nghiệp vận hành. Thiết lập cũng nên phù hợp với các công cụ khác của bạn, như MFA, bảo mật email, sao lưu (backups) và các quy tắc cấp quyền truy cập của người dùng.

Các nhà cung cấp tốt cũng giải thích rõ họ sẽ làm gì và sẽ không làm gì. Họ nên cho bạn biết cách họ xem cảnh báo, những gì được nâng cấp mức xử lý (escalated), các bước phản hồi nào được bao gồm và cách họ báo cáo sự cố. Nếu họ cung cấp SLA, viết tắt của Service Level Agreement (Thỏa thuận mức dịch vụ), thì tài liệu đó cần mô tả mục tiêu phản hồi và điều khoản hỗ trợ bằng ngôn ngữ dễ hiểu.

Nếu bạn muốn được giúp tìm một nhà cung cấp độc lập có thể giải thích rõ ràng những lựa chọn này, NodeBridge IT có thể giúp bạn được kết nối đúng nhu cầu với một MSP. Dịch vụ của chúng tôi là miễn phí. Chúng tôi không quản lý, giám sát, bảo mật, sửa chữa hoặc truy cập hệ thống của bạn.

EDR thường chỉ là một phần trong một dịch vụ IT quản lý (managed IT) rộng hơn. MSP có thể gói EDR cùng với hỗ trợ thiết bị, vá lỗi (patching), kiểm tra sao lưu (backup checks), bảo mật tài khoản và hỗ trợ lập kế hoạch. Một số nhà cung cấp còn cung cấp hướng dẫn vCIO, nghĩa là lời khuyên theo dạng Giám đốc Công nghệ Thông tin (Chief Information Officer) ảo, để giúp doanh nghiệp nhỏ lập kế hoạch về ưu tiên công nghệ và bảo mật mà không cần thuê vị trí đó làm toàn thời gian.

Điều này quan trọng vì bảo mật hoạt động tốt hơn như một hệ thống. Ví dụ, EDR có thể giúp phát hiện hành vi đáng ngờ trên laptop, nhưng nó không thay thế sao lưu, đào tạo nhân viên, kiểm soát truy cập hoặc kế hoạch về người sẽ ra quyết định trong lúc có sự cố.

Sao lưu là một chủ đề riêng, nhưng đáng được nhắc ở đây. Bạn có thể nghe về chiến lược sao lưu 3-2-1. Điều đó có nghĩa là giữ 3 bản dữ liệu, trên 2 loại thiết bị lưu trữ khác nhau, với 1 bản được lưu ngoài địa điểm (offsite). EDR và sao lưu giải quyết các vấn đề khác nhau, và nhiều doanh nghiệp cần cả hai.

Nếu bạn đang so sánh nhà cung cấp, phần services overview của chúng tôi có thể giúp bạn hiểu IT quản lý thường bao gồm những gì và nên hỏi những câu nào.

Với doanh nghiệp nhỏ, EDR thường được tính theo mỗi thiết bị mỗi tháng, hoặc được bao gồm trong một gói IT quản lý rộng hơn. Khoảng tham khảo có thể vào tầm khoảng 8 đến 25 USD mỗi thiết bị mỗi tháng cho riêng phần thành phần EDR, trong khi một gói IT quản lý đầy đủ kèm công cụ bảo mật có thể cao hơn nhiều. Con số thực tế phụ thuộc vào số lượng nhân sự, số lượng thiết bị, nhu cầu bảo mật, số giờ hỗ trợ và khu vực của bạn. Các khoảng này không phải là báo giá.

Phương án rẻ nhất không phải lúc nào cũng là giá trị tốt nhất. Giá thấp có thể đồng nghĩa với việc xem cảnh báo bị giới hạn, cấu hình yếu hoặc trách nhiệm phản hồi không rõ ràng. Ngược lại, giá cao chưa chắc tốt hơn nếu nhà cung cấp không thể giải thích rõ họ bao gồm những gì bằng lời lẽ dễ hiểu.

Hãy hỏi các câu hỏi thực tế. Ai xem cảnh báo, và khi nào. Những hành động nào được tự động hóa. Điều gì xảy ra ngoài giờ. Thiết bị nào được bao phủ. Cách xử lý báo động sai (false alarms) ra sao. Bạn sẽ nhận những báo cáo gì. EDR được tích hợp như thế nào với sao lưu, vá lỗi và bảo mật tài khoản.

Nếu bạn muốn bắt đầu theo cách đơn giản hơn, NodeBridge IT có thể kết nối bạn với một MSP độc lập phù hợp với loại hình và khu vực doanh nghiệp của bạn. Dịch vụ của chúng tôi miễn phí cho chủ doanh nghiệp. Chúng tôi chỉ thu thập các thông tin cơ bản về doanh nghiệp và liên hệ để giúp bạn tìm được giải pháp phù hợp.