Khả năng phát hiện và đối phó sớm với mối đe dọa trong chu kỳ tấn công mạng là chìa khóa để bảo vệ công ty của bạn khỏi những tác động quy mô lớn. Phát hiện và giảm nhẹ cuộc tấn công càng sớm thì càng tốn ít chi phí cho doanh nghiệp. Nếu một thiết bị đầu cuối bị tổn thương được nhanh chóng gỡ bỏ khỏi môi trường hoạt động, chi phí để xóa bỏ các hệ thống bị tổn hại thêm do tránh được những hoạt động bên lề thành công. Nếu kẻ tấn công được phát hiện khi nó đang thực hiện hoạt động bên lề, thì chi phí để xóa bỏ có thể chỉ giới hạn trong 10 hệ thống bị tổn thương so với con số hàng ngàn hệ thống (hoặc cuối cùng phải đối phó với một vụ kiện do một vi phạm dữ liệu ở mức cao).
Để giảm thời gian phát hiện trung bình (Mean - Time - to - Detect, MTTD) và thời gian ứng phó trung bình (Mean - Time - to - Response, MTTR), bạn phải thực hiện toàn bộ quá trình phát hiện và ứng phó gọi là Vòng đời quản lý các mối đe dọa (Threat Management Lifecycle - TLM) được đề cập trong bài báo này. Để thực hiện có hiệu quả TLM, bạn phải đầu tư vào con người, quy trình và công nghệ. Hơn bao giờ hết, công nghệ đóng vai trò quan trọng trong việc thực hiện cắt giảm chi phí-hiệu quả đối với MTTD và MTTR trong tiến trình công việc TLM.
Tổng quan quản lý vòng đời các mối đe dọa
Quản lý vòng đời các mối đe dọa là công việc cơ bản của trung tâm hoạt động an ninh (SOC). Tuy nhiên, điều quan trọng là cần lưu ý rằng TLM hiệu quả không nhất thiết phải có hoặc phải xây dựng một SOC thực và hoạt động 24/7. Đối với một số tổ chức, một SOC 24/7 có thể thích hợp, song với một số tổ chức khác thì điều này không khả thi. Ngày nay, công nghệ cho phép thực hiện TLM hiệu quả ở quy mô phù hợp với doanh nghiệp của bạn, cho dù đó là một SOC ảo với một đội ngũ nhân viên 3 người hiệu quả, hoặc một SOC phân tán trên toàn cầu hoạt động 24/7 với đội ngũ cả 100 nhân viên tận tâm.
Quản lý vòng đời các mối đe dọa là một loạt những khả năng và quá trình hoạt động an ninh phù hợp , được bắt đầu với khả năng "bao quat" rộng và sâu xuyên suốt môi trường IT của bạn, và kết thúc với khả năng nhanh chóng giảm thiểu tác động và phục hồi sau một sự cố an ninh. Phần tiếp theo mô tả các khả năng và quy trình mà tổ chức của bạn phải đầu tư để thực hiện TLM hiệu quả đồng thời giảm MTTD và MTTR.
Các giai đoạn của TLM
Giai đoạn 1: Thu thập dữ liệu pháp y (Forensic Data)
Trước khi bất kỳ mối đe dọa có thể được phát hiện, bạn phải có khả năng nhìn thấy bằng chứng của cuộc tấn công trong môi trường IT. Bởi vì các mối đe dọa nhắm mục tiêu đến tất cả các khía cạnh của cơ sở hạ tầng IT, bạn nhìn thấy càng nhiều thì bạn càng có nhiều khả năng để phát hiện chúng. Có ba loại dữ liệu chính bạn cần tập trung vào, theo thứ tự ưu tiên sau đây:
1. Sự kiện an ninh và dữ liệu báo động
Hầu hết các tổ chức có một mảng sản phẩm bảo mật để ngăn chặn sự thành công của một loạt các cuộc tấn công. Tuy nhiên, trong một số trường hợp, các công nghệ này chỉ có thể cảnh báo một cuộc tấn công có thể là đang hoặc đã xảy ra. Trong những trường hợp này, các sự kiện và báo động được tạo ra. Thách thức lớn các tổ chức giải quyết là nhanh chóng xác định những sự kiện hoặc báo động nào cần phải tập trung vào, bởi có đến hàng chục ngàn thể loại đó được tạo ra hàng ngày. Đồng thời, điều này thường là các nguồn dữ liệu có giá trị nhất mà đội ngũ an ninh của bạn có để tìm ra bằng chứng của một cuộc tấn công thành công.
2. Dữ liệu đăng nhập và dữ liệu máy
Dữ liệu đăng nhập có thể cung cấp sự minh bạch sâu hơn môi trường IT- ghi lại thông tin về từng người dùng, từng hệ thống, từng ứng dụng,… cơ bản là minh họa được ai đã làm gì, khi nào và ở đâu. Tập hợp dữ liệu phong phú này có thể hỗ trợ điều tra các cuộc tấn công đáng ngờ một cách hiệu quả và nhanh chóng hơn. Những gì là bình thường trong môi trường IT cũng nằm trong bộ dữ liệu này. Nó tạo điều kiện cho phân tích máy phát hiện các hành vi bất thường để từ đó có thể chỉ ra một cuộc tấn công nâng cao đang diễn ra.
3. Dữ liệu cảm biến pháp y
Một khi tổ chức của bạn đang thu thập một cách hiệu quả dữ liệu đăng nhập và an toàn, thì cảm biến pháp y có thể cung cấp cho bạn sự minh bạch sâu và rộng hơn. Cảm biến pháp y có thể lấp đầy khoảng trống khi mà không có các đăng nhập hoặc mức độ chi tiết pháp y khong đầy đủ. Có hai loại cảm biến pháp y chính có thể được sử dụng:
- Mạng cảm biến pháp y bắt giữ các gói và luồng dữ liệu, và
- Cảm biến pháp y đầu cuối (ví dụ, các agent EDR) có thể ghi lại tất cả các hoạt động xảy ra trên hệ thống giám sát với độ trung thực cao.
Đầu tư vào các cảm biến pháp y sẽ gia tăng lợi ích trong điều tra và ứng phó sự cố một cách hiệu quả.
Giai đoạn 2: Khám phá
Một khi sự minh bạch được thành lập, thi bạn có cơ hội phát hiện và ứng phó với các mối đe dọa. Khám phá các mối đe dọa tiềm ẩn được thực hiện thông qua một sự kết hợp giữa phân tích tím kiếm và phân tích máy.
Phân tích tìm kiếm
Đây là loại phân tích được thực hiện bởi con người và phần mềm được kích hoạt. Nó bao gồm những hoạt động như săn mục tiêu của các mối đe dọa bằng cách giám sát các biểu đồ và tận dụng khả năng tìm kiếm. Nó cũng bao gồm các báo cáo tổng quan để xác định các ngoại lệ đã biết. Tìm kiếm phân tích là những người chuyên sâu. Vị thế, dù hiệu quả thì, nó cũng không phải là phương pháp phân tích duy nhất (hoặc thậm chí là biện phápchính) mà hầu hết các tổ chức cần áp dụng.
Phân tích máy
Đây là loại phân tích được thực hiện bởi phần mềm sử dụng học máy và các kỹ thuật phân tích tự động khác, mà cho kết quả đầu ra để con người tận dụng hiệu quả. Phân tích máy là tương lai của khả năng phát hiện mối đe dọa hiện đại và hiệu quả. Theo Gartner, vào năm 2018 sẽ có 25 % sản phẩm bảo mật được sử dụng để phát hiện được xây dựng trên cơ sở máy học, Mục đích của việc sử dụng phân tích máy là để giúp bạn hay tổ chức thực thi một chiến lược "giám sát dựa trên rủi ro" thông qua nhận dạng tự động và ưu tiên đối với các cuộc tấn công và đe dọa. Điều này là rất quan trọng cho cả hai việc: thứ nhất, phát hiện các mối đe dọa tiên tiến thông qua phương pháp tiếp cận dữ liệu theo định hướng khoa học; thứ hai, giúp bạn định hướng khả năng phân tích thủ công quý báu của bạn về các lĩnh vực rủi ro cao nhất cho doanh nghiệp.
Giai đoạn 3: Chuẩn bị đủ điều kiện
Các mối đe dọa được phát hiện cần phải nhanh chóng được tạo đủ điều kiện để truy nhập vào nhằm đánh giá các tác động tiềm ấn đối với các doanh nghiệp và tính cấp bách của việc điều tra bổ sung và các nỗ lực ứng phó. Quá trình chuẩn bị đủ điều kiện là thủ công và gấp rút về thời gian. Một quá trình chuẩn bị điều kiện không hiệu quả làm tăng mức độ đầu tư nhân lực cần thiết để đánh giá tất cả chúng, còn một quá trình hiệu quả cho phép bạn phân tích một số lượng lớn các báo động với đội ngũ nhân viên ít hơn, và mang lại ảnh hưởng tích cực đến MTTD và MTTR về tổng thể.
Giai đoạn 4: Điều tra
Một khi các mối đe dọa dược chuẩn bị đủ điều kiện, chúng phải được nghiên cứu đầy đủ để xác định một cách chắc chắn liệu có sự cố an ninh đã hoặc đang xảy ra không. Truy cập nhanh đến dữ liệu pháp y và tình báo về các mối đe dọa là tối quan trọng. Tự động hóa các nhiệm vụ và công cụ điều tra theo lịch trình tạo thuận lợi cho sự hợp tác trong toàn bộ tổ chức là điều kiện lý tưởng cho việc giảm MTTR một cách tối ưu.
Lý tưởng nhất là sự hỗ trợ thuận lợi cho việc theo dõi tất cả các hoạt động và dữ liệu của những cuộc điều tra trước đây luôn có sẵn. Điều này có thể giúp đảm bảo rằng các bằng chứng pháp y là tổ chức tốt và có sẵn cho cộng tác viên. Nó cũng có thể cung cấp một tài khoản của những người đã làm gì để hỗ trợ các hoạt động điều tra và ứng phó để đo lường hiệu quả của tổ chức và nắm được những đối tác chịu trách nhiệm về nhiệm vụ mà họ có trong qua trình điều tra.
Giai đoạn 5: Vô hiệu hóa
Khi một sự cố có đủ điều kiện, bạn phải thực hiện giải pháp giảm nhẹ để làm giảm và tiến tới loại bỏ rủi ro cho doanh nghiệp. Đối với một số mối đe dọa, chẳng hạn như ransomware hoặc người sử dụng đặc quyền bị tổn thương, phải đếm ddeuf đặn mỗi giây. Để giảm tối đa MTTR, dễ dàng truy nhập được và cập nhât quá trình ứng phó sự cố cũng như nhất ký công việc (playbooks), gắn với tự động hóa, là cực kỳ quan trọng. Tương tự như giai đoạn điều tra, sự hỗ trợ chia sẻ thông tin và hợp tác được thực hiện trong toàn bộ tổ chức (ví dụ, IT, luật pháp, nhân sự) cũng rất quan trọng.
Giai đoạn 6: Khôi phục
Một khi sự cố đươc vô hiệu hóa và rủi ro của các doanh nghiệp được kiểm soát, thì có thể bắt đầu những nỗ lực khôi phục. Những nỗ lực này không quá yêu cầu khắt khe về thời gian, và họ có thể mất nhiều ngày hoặc vài tuần để thực hiện, tùy thuộc vào phạm vi của vụ việc. Để phục hồi một cách hiệu quả và kịp thời, bắt buộc đội ngũ an ninh của bạn có quyền truy cập vào tất cả các thông tin pháp lý xung quanh quá trình ứng phó và điều tra sự cố. Điều này bao gồm việc đảm bảo rằng bất kỳ thay đổi được thực hiện trong ứng phó sự cố đều được theo dõi, kiểm toán dấu vết thông tin được chụp lại, và các hệ thống bị ảnh hưởng được cập nhật và đưa trở lại hoạt động trực tuyến. Nhiều quá trình liên quan đến phục hồi nếu sử dụng tự động hóa sẽ rất có lợi. Ngoài ra, quá trình phục hồi lý tưởng nên bao gồm việc đưa các biện pháp ở những chỗ mà tận dụng tình báo về mối đe dọa tập hợp để phát hiện khi các mối đe dọa quay trở lại hoặc đã lưu lại đằng sau backdoor.