Nếu như loài vật dùng giác quan để phát hiện nguy hiểm thì an ninh mạng dựa vào cảm biến để nhận biết các tín hiệu của mối nguy hiểm trong môi trường tin học. Các giác quan càng nhạy bén, đa dạng và phối hợp thì càng có nhiều khả năng phát hiện ra các tín hiệu quan trọng báo hiệu nguy hiểm.
Tuy nhiên, điều này có thể là một con dao hai lưỡi. Quá nhiều tín hiệu nhưng không có quy trình xử lý tín hiệu tiên tiến cũng sẽ dẫn đến tín hiệu bị nhiễu. Tập hợp tín hiệu đa dạng, chính xác với quy trình xử lý tín hiệu tiên tiến sẽ giúp phát hiện được mối nguy hiểm. Do đó, khả năng hiển thị mối đe dọa trên diện rộng trong môi trường CNTT là yếu tố cơ bản để phát hiện các cuộc tấn công mạng. Công ty an ninh mạng Cynet đã trình bày quan điểm này trong một eBook mới với tựa đề The Guide for Threat Visibility for Lean IT Security Teams.
Vấn đề đang tồn tại do khả năng hiển thị mối đe dọa còn hạn chế
Sự phức tạp của môi trường CNTT ngày nay khiến việc bảo vệ trở nên cực kỳ khó khăn. Vành đai phòng thủ đã mở rộng cùng với sự gia tăng lực lượng lao động từ xa, làm tăng khối lượng công việc cho ứng dụng SaaS và mạng Đám mây cũng như quyền truy cập của bên thứ ba tự do hơn. Môi trường CNTT quá rộng lớn, phức tạp và luôn thay đổi, nên việc giám sát những gì đang xảy ra gần như là không thể.
Sự phức tạp này sẽ vẫn tồn tại khi tội phạm mạng đang thèm khát vì ngày càng có nhiều cơ hội “béo bở” để khai thác, tăng cường tạo ra các vec-tơ tấn công bất ngờ mới. Hầu hết các công nghệ bảo mật rất giỏi trong việc ngăn chặn những mối đe dọa đã phát hiện nên số lượng các mối đe dọa mới ngày càng leo thang. Điều đó có nghĩa là càng có nhiều cuộc tấn công chưa bị phát hiện.
Hoạt động sửa lỗi của các công nghệ bảo mật rải rác khắp môi trường CNTT cho phép các nhà bảo mật phát hiện một vài phần nào đó của bề mặt tấn công. Ngoài ra, các hệ thống phòng thủ rời rạc không thể cung cấp đánh giá toàn diện và chính xác về toàn cảnh của mối đe dọa. Thay vì tìm thấy mối đe dọa, sự rời rạc của hệ thống phòng thủ càng làm mối đe dọa trở nên nghiêm trọng hơn.
Điểm mấu chốt là khả năng hiển thị kém dẫn đến phòng thủ không thích hợp, đội ngũ an ninh làm việc quá sức và tốn nhiều chi phí hơn. Cải thiện khả năng hiển thị mối đe dọa là bước đầu tiên để cải thiện tất cả các khía cạnh của an ninh mạng.
3 nhân tố quan trọng của khả năng hiển thị mối đe dọa
Nếu việc đạt được khả năng hiển thị mối đe dọa toàn diện, chúng tôi đã không bàn về vấn đề này. Đến nay, đạt được khả năng hiển thị mối đe dọa toàn diện rất tốn kém, phức tạp và phụ thuộc vào đội ngũ bảo mật đông đảo và có kỹ thuật cao. Hiện nay, đội ngũ bảo mật CNTT ít người có thể đạt được khả năng hiển thị mối đe dọa toàn diện bằng cách sử dụng phương pháp thích hợp. Hãy truy cập đường dẫn eBook của Cynet để biết thêm giải thích chi tiết.
Các công nghệ chủ chốt dùng cho khả năng hiển thị mối đe dọa
Mặc dù nhiều công nghệ khác có thể tiên tiến hơn, điều quan trọng là chọn đúng loại công nghệ có thể bao quát các phần quan trọng trong môi trường CNTT. Những công nghệ này bao gồm:
- NGAV – Bảo vệ điểm cuối cơ bản dựa trên các chữ ký và hành vi nguy hại đã biết.
- EDR – Phát hiện và ngăn chặn các mối đe dọa tại thiết bị đầu cuối có tính phức tạp hơn mà vượt qua tầm kiểm soát của các giải pháp NGAV.
- NDR- Phát hiện mối nguy hại đã xâm nhập vào mạng và chuyển động bên.
- UBA- Phát hiện các hoạt động bất thường có thể báo hiệu thông tin đăng nhập bị đánh cắp, người dùng nội bộ bất chính hoặc các bot.
- Deception- Phát hiện các cuộc tấn công đã vượt qua các công nghệ phát hiện khác.
- SIEM- Khai thác dữ liệu nhật ký mở rộng do hệ thống CNTT tạo ra.
- SOAR – Tự động hóa và đẩy mạnh các nỗ lực giảm thiểu mối đe dọa.
Tích hợp các thành phần vào chế độ xem 360 độ
Để bắt đầu quan sát toàn bộ môi trường CNTT, cần phải có các công cụ phát hiện và ngăn chặn như được nêu ở trên. Tuy nhiên, việc triển khai độc lập các thành phần này vẫn sẽ để lại những lỗ hổng lớn về khả năng hiển thị. Điều này còn dẫn đến quá tải cảnh báo vì mỗi công nghệ truyền luồng cảnh báo ổn định một cách độc lập thường làm cho đội ngũ bảo mật bị quá tải.
XDR, giải pháp mới hơn được xây dựng để tích hợp các tín hiệu theo thời gian thực từ nhiều điểm đo từ xa trên một nền tảng duy nhất. Việc tích hợp các công nghệ NGAV, EDR, UBA, NDR và Deception trên cùng một nền tảng giúp mở rộng phạm vi và giải pháp về khả năng hiển thị mối đe dọa. XDR có thể phơi bày các cuộc tấn công từ bất kỳ hướng nào cho dù các cuộc tấn công này sử dụng biện pháp tấn công nào.
Tự động hóa các hoạt động phản hồi để cải thiện các phản xạ
Nhìn thấy một mối đe dọa là một chuyện. Phản ứng nhanh chóng và thích hợp với mối đe dọa đó là một chuyện khác. Với khả năng hiển thị và độ chính xác mối đe dọa được cải thiện, đội ngũ bảo mật CNTT – và đặc biệt là các nhóm ít người – sẽ cần phản ứng nhanh chóng để ngăn chặn các mối đe dọa đã xác định.
Tự động hóa cải thiện tốc độ lẫn quy mô hơn cả khả năng của đội ngũ chuyên gia bảo mật – miễn là tự động hóa được tích hợp trong giải pháp XDR. Khi cả hai làm việc cùng nhau, tất cả tín hiệu và dữ liệu thu thập được từ các bộ phận cấu thành của XDR sẽ được đưa vào bộ máy tự động hóa để nâng cao khả nâng nhận biết của XDR. Điều đó cho phép tự động hóa điều tra cuộc tấn công nhanh hơn để xác định nguyên nhân sâu xa và toàn bộ tác động của cuộc tấn công đó. Sau đó, dựa trên những thông tin đã biết về cuộc tấn công, tự động hóa có thể sắp đặt một cẩm nang được đề xuất cho cuộc tấn công đó, thực hiện các bước cụ thể để vô hiệu hóa mối đe dọa và giảm thiểu thiệt hại.
Kết luận
Ngăn xếp bảo mật (Security stack) không cần phải mở rộng. Hợp nhất và tích hợp các công cụ chủ chốt với công nghệ mới nổi XDR giúp tăng cường khả năng hiển thị mối đe dọa, cùng với các giải pháp khác. XDR cho phép bất kỳ đội ngũ bảo mật nào, thậm chí những đội ngũ ít người nhất và trẻ nhất, giảm bớt các báo động giả, phát hiện các cuộc tấn công bí mật sớm hơn, sau đó tự động tiến hành xử lý ngay lập tức.
Theo The Hacker News