Công ty An ninh mạng Viettel (Viettel Cyber Security) là đơn vị trực thuộc Tập đoàn Công nghiệp – Viễn thông Quân đội (Viettel), thực hiện nhiệm vụ nghiên cứu chuyên sâu, phát triển, tư vấn các giải pháp về an ninh mạng. Viettel Cyber Security hiện là đối tác hàng đầu tại Việt Nam trong việc đảm bảo an toàn thông tin cho các cơ sở hạ tầng trọng yếu quốc gia và các tổ chức, doanh nghiệp thuộc đa dạng nhóm ngành như: Ngân hàng, Năng lượng, Điện lực, Dầu khí… Với những thành công và đóng góp của mình, thương hiệu Viettel Cyber Security đã và đang vươn tầm quốc tế, liên tiếp đạt những giải thưởng danh giá từ các tổ chức uy tín thế giới, được chứng nhận là Nhà cung cấp dịch vụ ATTT số 1 Việt Nam năm 2022 do Frost & Sullivan bình chọn.

 

VIETTEL INSIDER THREAT DETECTION (VCS – InT)

SỰ CẦN THIẾT CỦA GIẢI PHÁP
So với những mối đe dọa từ bên ngoài, những mối đe dọa từ bên trong tổ chức (Insider Threat) là rất khó lường trước và phòng bị, dù vậy khi xảy ra, những tấn công từ bên trong lại gây ra những ảnh hưởng mạnh nhất tới hoạt động của tổ chức. Theo báo cáo 2022 Cost of Insider Threats Global Report của Ponemon Institute: 44.3% Sự gia tăng sự cố nội bộ diễn ra từ năm 2020 đến 2021

Các vấn đề tổ chức đang phải đối mặt:

– Các đối tượng vô ý hoặc cố ý sử dụng công cụ, phần mềm không được quy định (shadow IT)

GIỚI THIỆU GIẢI PHÁP

Viettel Insider Threat Detection (VCS – InT) là sản phẩm thuộc dòng Insider Risk Solution cung cấp khả năng phát hiện sớm các đối tượng có nguy cơ vô ý hoặc cố ý gây hại (lộ lọt dữ liệu, phá hoại hệ thống, gian lận) cho tổ chức đến từ những hành vi bất thường trên các máy trạm bên trong tổ chức.

TÍNH NĂNG CHÍNH

– Thu thập các sự kiện về dữ liệu và hành vi người dùng
Thu thập dữ liệu toàn diện từ các nguồn: dự liệu (tài liệu, hệ thống, tài khoản) và các hành vi, thói quen của đối tượng bằng agent trên máy trạm: internet, mail, file, app connection, usb, printing, clipboard (hoặc tích hợpvới các hệ thống DLP)

– Giám sát hành vi bất thường và đánh giá rủi ro
Cảnh báo các đối tượng tiềm ẩn nguy cơ bằng cách truy vết và đánh giá điểm rủi ro liên tục cho tất cả các phiên của đối tượng có các hành vi bất thường dù là nhỏ nhất trên máy trạm với công nghệ AI (User & Entity Behavior Analytics).

• Các đối tượng vô ý hoặc cố ý xem trái phép, làm lộ lọt dữ liệu nội bộ, khách hàng, sourcecode, thông tin tài khoản,..
• Các đối tượng vô ý hoặc cố ý truy cập, tác động hệ thống trái phép

Các vấn đề trên thường được gây ra bởi 3 nhóm đối tượng: người dùng bất cẩn, người dùng có mục đich xấu, các thông tin tài khoản bị kẻ xấu chiếm dụng. 

Ngoài ra, các hệ thống Data Loss Protection (DLP) truyền thống đang ngăn chặn lộ lọt dữ liệu qua các kênh đã biết. Chưa phát hiện sớm, thiếu thông tin ngữ cạnh về đối tượng vi phạm và chưa phủ hết các nguy cơ gây hại đang tồn tại, đang diễn ra trong tổ chức. 

Với các tổ chức đang sử dụng các giải pháp DLR, VCS-InT kết hợp năng lực thu thập hành vi tương tác với dữ liệu cùng thu thập hành vi của người bằng công nghệ AI (User & Entity Behavior Analytics) để đánh giá rủi ro trên tất cả các phiên của người dùng. Tập trung vào các nhóm đối tượng có nguy cơ cao: Đối tượng nghỉ việc; Outsource, đối tác; Tài khoản đặc quyền (IT admin, DevOps,..); Đối tượng hay tương tác bên ngoài (Sale, CSKH,..)

– Quản trị và phân loại rủi ro trên máy trạm

• Mức độ rủi ro của tổ chức và sự cải thiện
• Nhóm tập luật và dấu hiệu đang chiếm tỉ trọng nguy cơ cao
• Nhóm người dùng (bộ phận, vị trí,..) đang chiếm tỉ trọng nguy cơ cao
• Nhóm đối tượng nguy cơ cao
  

– Tùy biến tập luật và dấu hiệu theo đặc thù của tổ chức

ĐIỂM NỔI BẬT CỦA GIẢI PHÁP

– Nhận diện sớm nguy cơ với bộ luật và dấu hiệu tạo sẵn

Đánh giá đối tượng có nguy cơ sử dụng ngữ cảnh và thói quen trong lịch sử.

• Các truy cập bất thường đến hệ thống không đúng với vị trí, chức năng
• Các hành vi tải, xem dữ liệu bất thường không liên quan đến công việc
• Các dữ liệu nhạy cảm đang được gửi ra bên ngoài
• Các hành vi sử dụng các phần mềm, hệ thống (shadow IT) không được quy định
• Các hành vi bất thường so với thói quen lịch sử của bản thân và của nhóm như: giờ đăng nhập, kết nối lạ, gom dữ liệu, sửa/xóa nhiều tài liệu, sử dụng phần mềm lạ, chuẩn bị công cụ,..

– Nâng cao chất lượng cảnh báo bằng tự động phân nhóm công việc của đối tượng

Tự động phân nhóm người dùng (HR, IT Admin, lập trình viên, đối tác,..) dựa trên các hành vi trên máy trạm. Trong một nhóm có cùng đặc tính, nếu một cá thể thực hiện hành vi bất thường mà các cá thể khác cũng thực hiện hành vi đó thì đánh giá giảm mức độ bất thường. 

MÔ HÌNH TRIỂN KHAI

Agent: Phần mềm được cài đặt trên các máy trạm để thu thập các hành vi bất thường.

VCS – InT Server: Máy chủ điều khiển, phân tích, liên kết các sự kiện liên quan được xử lý và tổng hợp bởi cá Agent, từ đó cảnh báo các đối tượng có nguy cơ cao bên trong tổ chức. 

VCS – InT Web Portal: Giao diện quản trị, hiển thị các đối tượng bị cảnh báo và các màn hình báo cáo.