Với tội phạm mạng đang ngày càng mất ít thời gian hơn để xâm nhập vào các hệ thống doanh nghiệp (DN), các DN châu Á - Thái Bình Dương cần tìm đến AI và các công cụ học máy để chống lại các mối đe dọa tốt hơn và tăng cường khả năng phục hồi mạng của họ. Các DN cũng cần đảm bảo quyền truy cập dữ liệu chỉ được cung cấp khi danh tính người dùng đã được xác thực và dựa trên các điều kiện được xác định trước.
Đây không phải là vấn đề "nếu" mà là "khi" hiện là một câu ngạn ngữ thường được trích dẫn để chỉ ra sự không thể tránh khỏi của các vụ việc xâm phạm an ninh, các công ty cần suy nghĩ về cách họ có thể tận dụng tốc độ để tự vệ trước các cuộc tấn công.
George Kurtz, đồng sáng lập và CEO của CrowdStrike, vừa phát biểu tại hội nghị GovWare ở Singapore tuần này cho biết: Điều này ngày càng quan trọng khi thời gian mà các đối thủ mạng đã xâm nhập và di chuyển sau đó trong một mạng lưới đang được ngắn. Cụ thể, "thời gian đột phá" hoặc thời gian để những kẻ xâm nhập bắt đầu di chuyển sau đó - sau khi xâm nhập hệ thống - để khám phá các hệ thống khác nhau có thời gian 1 giờ 58 phút trong năm qua, trích từ nghiên cứu mà các công ty bảo mật tiến hành.
Ông cho biết số liệu này cho thấy các tội phạm mạng hoạt động nhanh như thế nào trong mạng được nhắm mục tiêu và cung cấp thông tin có giá trị cho các DN để đánh giá khả năng của chính họ để phát hiện và phản hồi. Điều đó có nghĩa là các DN sẽ chỉ có chưa đầy 2 giờ để phát hiện, điều tra và xác định biện pháp khắc phục để ngăn chặn xâm phạm.
Ông lưu ý rằng thời gian đột nhập của một số nhóm tin tặc được nhà nước bảo trợ trên thế giới ngắn hơn đáng kể so với mức trung bình. Chẳng hạn, một nhóm tin tặc người Nga có mật danh "Bear" của CrowdStrike có thời gian đột phá chỉ 18,49 giây. Điều này vượt xa đối thủ cạnh tranh tiếp là một nhóm Bắc Triều Tiên, đã cố gắng làm điều đó trong 2 giờ 20 phút.
Để chuẩn bị tốt hơn khi thời gian đột nhập tiếp tục được rút ngắn, CrowdStrike đã sử dụng mô hình phòng thủ được gọi là quy tắc 1-10-60, trong đó các DN sẽ có thể phát hiện việc xâm phạm trong 1 phút, điều tra trong vòng 10 phút và khắc phục sự cố trong vòng 60 phút.
Trích dẫn khảo sát của 1.300 tổ chức trên toàn thế giới bao gồm cả ở Singapore và Nhật Bản, Kurtz cho biết trung bình phải mất 210 giờ để phát hiện một cuộc tấn công, 13 giờ để điều tra, 15 giờ để khắc phục. Điều này có nghĩa là thời gian trung bình để các công ty quay trở lại môi trường kinh doanh bình thường là 63 giờ.
Ông cảnh báo thêm rằng các đối thủ không gian mạng đã có thể vũ khí hóa các kỹ thuật và lỗ hổng bị rò rỉ bởi các tác nhân nhà nước quốc gia, và giờ đã tốt hơn trong việc xác định nơi các nút yếu cư trú, chẳng hạn như các cơ quan chính phủ Mỹ bị thiếu hụt và hạn chế về các nguồn lực.
Để ngăn chặn tốt hơn các sự cố an ninh, ông kêu gọi các tổ chức để có được tầm nhìn và tốc độ tốt hơn.
Ông nhấn mạnh tầm quan trọng của AI và học máy trong việc cho phép các công ty phát hiện nhanh hơn sự bất thường bằng cách theo dõi và đánh giá các cuộc tấn công dựa trên hành vi. Với lượng dữ liệu cần phân tích và với tốc độ, việc áp dụng cơ sở hạ tầng đám mây sau đó cũng rất cần thiết và là cách duy nhất để phân tích dữ liệu theo quy mô.
Theo Giám đốc công nghệ (CTO) toàn cầu của Forcepoint, Nico Fischbach, học máy và khoa học dữ liệu đã giúp các DN hiểu rõ hơn về hành vi của người dùng và các mô hình sử dụng dữ liệu bản đồ.
Trong một cuộc phỏng vấn bên lề hội nghị, Fischbach cho biết: Mục tiêu chính của tội phạm mạng thường là truy cập dữ liệu của công ty và sẽ khó khăn hơn để chúng không bị phát hiện nếu các tổ chức có thể thiết lập các mô hình sử dụng và tương tác dữ liệu thông thường. “Học máy và tự động hóa sau đó sẽ giúp các DN nhanh chóng phát hiện và ngăn chặn các vụ việc xâm phạm an ninh”.
Ông lưu ý rằng Forcepoint đã đặt mục tiêu tích hợp các khả năng này vào các nỗ lực phát triển sản phẩm của mình. Nhà cung cấp bảo mật cũng đang chuyển sang kiến trúc dựa trên đám mây, trong đó nó sẽ chạy các công cụ bảo mật trực tiếp trên đám mây, vì vậy các tổ chức sẽ không cần phải đưa lưu lượng truy cập đó trở lại mạng của họ.
Fischbach nói thêm rằng Forcepiont sẽ sớm ra mắt Dynamic Edge Protection, một dịch vụ bảo mật gốc SaaS (phần mềm dưới dạng dịch vụ) cho phép DN kết nối với nền tảng và truy cập các tính năng bảo vệ mối đe dọa của nhà cung cấp và khả năng phân tích hành vi người dùng.
Vị lợi ích an ninh mạng, không tin cậy ai
Kurtz cũng đề xuất triển khai một Red Team - trong nội bộ hoặc thông qua nhà cung cấp bên ngoài - hoặc thực hiện các bài tập kiểm tra thâm nhập để xác định và vá các lỗ hổng tiềm năng.
Ngoài ra, chiến lược bảo mật của Zero Trust sẽ đảm bảo mọi khối lượng công việc, bất kể nó nằm ở đâu, đều được bảo vệ đầy đủ, ông nói.
Người phát ngôn hội nghị, Ravinder Singh, Chủ tịch của ST Engineering, cũng đồng tình. Ông đã chỉ ra các vụ việc xâm phạm SingHealth, Equachus và CapitalOne, là các vụ việc trong số các vụ việc xâm phạm bảo mật một phần do lỗi của con người và cấu hình sai.
Điều này chứng tỏ rằng phần cứng và phần mềm phù hợp cũng như áp dụng các chính sách mạnh mẽ và thiết kế chuyên sâu là không đủ để bảo vệ chống lại các cuộc tấn công. Con người cũng là một thành phần quan trọng trong quá trình này, nhưng thường là liên kết yếu nhất, Singh nói.
Điều này đặt ra một thách thức ngày càng tăng khi các cuộc tấn công lừa đảo (phishing) ngày càng tinh vi. Ông cũng chỉ ra những lợi ích của mô hình Zero Trust vì điều này đảm bảo không ai được cấp quyền truy cập vào mạng và dữ liệu của công ty cho đến khi họ chứng minh rằng họ có thể tin cậy được.
Điều này bao gồm việc áp dụng đảm bảo danh tính, điểm cuối đáng tin cậy, chính sách có điều kiện và đặc quyền tối thiểu, giới hạn quyền truy cập của người dùng ở mức tối thiểu họ cần để thực hiện các yêu cầu công việc của họ.
Chẳng hạn, vụ việc xâm phạm dữ liệu SingHealth có thể được xử lý nhanh hơn nếu thông tin đăng nhập của người dùng được sử dụng để tải xuống hàng triệu hồ sơ bệnh nhân bị từ chối truy cập do khối lượng lớn hồ sơ có thể là một thông báo bất bình thường.
Singh tin rằng một mình khái niệm Zero Trust, nếu được thông qua, sẽ giảm thiểu tổn thất ngay cả trong trường hợp một vụ việc xâm phạm. Ngoài ra, việc điều hành các cuộc tập trận thường xuyên sẽ rất quan trọng trong việc chuẩn bị cho các công ty đối phó với các vụ việc xâm phạm.
Giám đốc điều hành của FireEye, Kevin Mandia cũng cho rằng cần phải mô phỏng và diễn tập trong bất kỳ chiến lược bảo mật nào vì điều này sẽ cho phép các DN xác định liệu chính sách bảo mật của họ có hiệu quả hay không. Nó sẽ xác định liệu họ có phản ứng đúng để đối phó với các kịch bản tấn công khác nhau hay không, ông nói thêm rằng một cuộc tập trận an ninh mạng thường sẽ mất khoảng 4 giờ.
Giống như Kurtz, Mandia cũng ủng hộ tầm quan trọng của việc tổ chức Red Team, điều mà sau này được cho là sẽ cung cấp một sự thật "không có hồi kết" về các hành vi không gian mạng của công ty và xác định các lỗ hổng trong phản ứng bảo mật của công ty.
Điều này sẽ rất quan trọng vì vẫn còn một số điểm yếu chính trong cách các DN quản lý tư thế bảo mật của họ, bao gồm quản lý thông tin kém, thiếu phân đoạn mạng, truy cập một yếu tố vào VPN và các tài khoản đặc quyền không được trang bị.
FireEye tuần này tuyên bố đã mở rộng mối quan hệ đối tác hiện có với Cơ quan an ninh mạng, bao gồm các kế hoạch thiết kế và điều hành chương trình đào tạo ứng phó tình báo và tình báo mạng trong 6 tuần cho cơ quan chính phủ Singapore.
