TCVN 14106:2024 về hồ sơ sản phẩm phát hiện và phản hồi điểm cuối trong công nghệ thông tin

Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi, việc bảo vệ các thiết bị đầu cuối như máy tính, máy chủ hay máy trạm trở thành một trong những yêu cầu quan trọng đối với các cơ quan, tổ chức và doanh nghiệp. Không chỉ dừng ở việc phát hiện mã độc truyền thống, các giải pháp an toàn thông tin hiện đại còn phải có khả năng theo dõi, phân tích và phản ứng kịp thời trước các hành vi tấn công. Đây cũng là lý do Tiêu chuẩn quốc gia TCVN 14106:2024 - Công nghệ thông tin - Các kỹ thuật an toàn - Hồ sơ bảo vệ cho sản phẩm phát hiện và phản hồi điểm cuối (EDR) được ban hành.

EDR (Endpoint Detection and Response) là giải pháp an toàn thông tin được thiết kế để giám sát liên tục các thiết bị đầu cuối trên mạng như máy tính cá nhân, máy chủ hoặc thiết bị làm việc của người dùng. Không giống các phần mềm diệt virus truyền thống chủ yếu dựa trên cơ sở dữ liệu nhận diện mã độc, EDR có khả năng thu thập dữ liệu theo thời gian thực, phát hiện các hành vi bất thường, phân tích dấu hiệu tấn công và hỗ trợ phản ứng nhanh nhằm hạn chế thiệt hại khi xảy ra sự cố.

Việc áp dụng các tiêu chuẩn quốc gia về an toàn thông tin có ý nghĩa quan trọng đối với hoạt động quản trị rủi ro của doanh nghiệp. Ảnh minh họa

TCVN 14106:2024 đưa ra hồ sơ bảo vệ (Protection Profile) đối với các sản phẩm EDR theo hướng tiếp cận của tiêu chuẩn đánh giá an toàn công nghệ thông tin. Tiêu chuẩn xác định các yêu cầu bảo mật và các chức năng an toàn mà một sản phẩm EDR cần đáp ứng để bảo vệ hệ thống trước các mối đe dọa ngày càng phức tạp.

Theo đó, sản phẩm EDR cần có khả năng giám sát hoạt động của điểm cuối, phát hiện các hành vi bất thường, ghi nhận và lưu trữ nhật ký sự kiện, hỗ trợ điều tra sự cố, đồng thời thực hiện các biện pháp phản hồi như cô lập thiết bị, ngăn chặn tiến trình độc hại hoặc cảnh báo cho quản trị viên khi phát hiện nguy cơ tấn công. Việc xây dựng các yêu cầu thống nhất giúp nâng cao tính tin cậy của sản phẩm và tạo cơ sở cho hoạt động đánh giá, kiểm định an toàn thông tin.

Trong những năm gần đây, nhiều cuộc tấn công mạng không còn khai thác trực tiếp vào hạ tầng trung tâm mà chuyển sang nhắm vào các thiết bị đầu cuối của người dùng. Chỉ cần một máy tính bị xâm nhập, tin tặc có thể mở rộng phạm vi tấn công, đánh cắp dữ liệu hoặc triển khai mã độc tống tiền trên toàn bộ hệ thống. Chính vì vậy, các giải pháp EDR ngày càng được xem là lớp phòng vệ quan trọng trong chiến lược bảo đảm an toàn thông tin của doanh nghiệp.

Việc ban hành TCVN 14106:2024 góp phần tạo cơ sở kỹ thuật để các cơ quan, tổ chức và doanh nghiệp lựa chọn, đánh giá hoặc phát triển các sản phẩm EDR đáp ứng yêu cầu về an toàn thông tin. Đồng thời, tiêu chuẩn cũng hỗ trợ các đơn vị phát triển sản phẩm an ninh mạng trong nước tham chiếu các yêu cầu kỹ thuật quốc tế, từng bước nâng cao chất lượng sản phẩm và khả năng cạnh tranh trên thị trường.

Bên cạnh đó, tiêu chuẩn còn góp phần thúc đẩy việc áp dụng các giải pháp an ninh mạng theo hướng chủ động. Thay vì chỉ phát hiện và xử lý sau khi sự cố xảy ra, EDR giúp doanh nghiệp giám sát liên tục, phát hiện sớm các dấu hiệu bất thường và đưa ra phản ứng kịp thời nhằm giảm thiểu nguy cơ gián đoạn hoạt động cũng như hạn chế thiệt hại về dữ liệu.

Trong bối cảnh chuyển đổi số diễn ra mạnh mẽ và các cuộc tấn công mạng ngày càng gia tăng cả về quy mô lẫn mức độ tinh vi, việc áp dụng TCVN 14106:2024 không chỉ góp phần chuẩn hóa các yêu cầu đối với sản phẩm phát hiện và phản hồi điểm cuối mà còn tạo nền tảng để nâng cao năng lực bảo vệ hệ thống thông tin, hướng tới xây dựng môi trường số an toàn, tin cậy và bền vững.

Lê Lan