Quản lý bề mặt tấn công không chỉ giới hạn ở bề mặt

An toàn thông tin - Ngày đăng : 07:51, 14/03/2023

Quản lý bề mặt tấn công (Attack Surface Management - ASM) là công nghệ khai thác tập dữ liệu trên Internet và cơ sở dữ liệu (CSDL) chứng chỉ hoặc mô phỏng hành động sử dụng kỹ thuật do thám của kẻ tấn công. ASM là một công việc mang tính sống còn đối với các tổ chức.
An toàn thông tin

Quản lý bề mặt tấn công không chỉ giới hạn ở bề mặt

Hạnh Tâm {Ngày xuất bản}

Quản lý bề mặt tấn công (Attack Surface Management - ASM) là công nghệ khai thác tập dữ liệu trên Internet và cơ sở dữ liệu (CSDL) chứng chỉ hoặc mô phỏng hành động sử dụng kỹ thuật do thám của kẻ tấn công. ASM là một công việc mang tính sống còn đối với các tổ chức.

Việc ứng dụng rộng rãi các cơ sở đám mây và sự phát triển liên tục của nhiều mạng lưới của tổ chức kết hợp với việc chuyển sang làm việc từ xa đã dẫn đến hậu quả trực tiếp là mở rộng quy mô bề mặt tấn công của các tổ chức và dẫn đến sự gia tăng số lượng điểm mù trong kiến trúc đã kết nối.

Kẻ tấn công mạng dùng điểm mù không được giám sát để xâm phạm cơ sở hạ tầng của tổ chức và tăng cường tấn công hoặc di chuyển khắp nơi nhằm tìm kiếm thông tin có giá trị. Đây là lúc các công nghệ mới như ASM có thể phát huy tác dụng.

ASM là công nghệ khai thác tập dữ liệu trên Internet và cơ sở dữ liệu chứng chỉ hoặc mô phỏng hành động sử dụng kỹ thuật do thám của kẻ tấn công. ASM là một công việc mang tính sống còn đối với các tổ chức. Tuy nhiên, chỉ khi chúng ta xác định được rằng ASM không chỉ giới hạn ở bề mặt thì mới có thể bảo vệ được các tài sản dễ bị tổn thương trước những rủi ro mạng.

a1.jpg

Thuật ngữ “bề mặt” theo nghĩa đen là việc tập trung vào những yếu tố bên ngoài trong hoạt động kinh doanh của họ. Tuy nhiên, trên thực tế, bề mặt tấn công đề cập đến mọi tài sản có khả năng bị lộ và bị khai thác trong một cuộc tấn công mạng, không chỉ bao gồm các tài sản bên ngoài như đám mây công cộng, máy tính để bàn mà còn là tất cả mọi thứ khác trong tổ chức.

Xác định các nguyên tắc cơ bản của ASM

ASM thuộc phạm vi quản lý rủi ro lớn hơn so với quản lý lỗ hổng bảo mật và quản lý xác thực. ASM cũng rất dễ bị nhầm lẫn với các thuật ngữ khác. Do các hoạt động tiếp thị “quá nhiệt tình” của nhà cung cấp mà ASM cũng thường bị trình bày sai thành một giải pháp hoặc quy trình cụ thể. Thay vì là bất kỳ công cụ cụ thể nào, ASM là một cách tiếp cận bao gồm nhiều giải pháp và hoạt động khác nhau.

Mục tiêu của ASM là đảm bảo rằng không có nội dung hiển thị nào không được giám sát và loại bỏ bất kỳ điểm mù nào có khả năng biến thành điểm xâm nhập bị kẻ tấn công lợi dụng để đạt được để bước đầu tấn công vào hệ thống.

Có ba thành phần chính trong chiến lược ASM, bao gồm:

Quản lý bề mặt tấn công bên ngoài (EASM): Khu vực này thường bị nhầm lẫn với ASM nói chung. Khía cạnh này của ASM chỉ tập trung vào các tài sản hướng tới công chúng như những đám mây công cộng.

Các dịch vụ bảo vệ rủi ro số (DRPS): Tập trung vào khả năng hiển thị thông tin tình báo về mối đe dọa từ các nguồn như web sâu, mạng xã hội và các vùng chứa dữ liệu mở. Khả năng tiên tiến hơn này đòi hỏi mức độ trưởng thành cao về không gian mạng.

Quản lý bề mặt tấn công tài sản mạng (CAASM): Được coi là nền tảng của thực tiễn ASM, CAASM tập trung vào việc đối chiếu dữ liệu liên quan đến các lỗ hổng của tổ chức và quản lý dữ liệu đó một cách hiệu quả.

Tại sao ngày nay ASM lại quan trọng?

Tiếp cận ASM là điều cần thiết để có được cái nhìn mạch lạc về các mối đe dọa mà tổ chức phải đối mặt và ưu tiên khắc phục đúng cách. Nếu không có quan điểm thống nhất này sẽ khó để vượt ra khỏi những “điểm mù” trong bảo mật và suy nghĩ về các chiến thuật xa hơn cho bức tranh chiến lược lớn hơn, các CISO cũng khó ràng buộc giá trị công việc của họ với các nhà lãnh đạo doanh nghiệp phi kỹ thuật. Lý do là vị thông thường, hội đồng quản trị (HĐQT) không muốn nghe về các lỗ hổng CVE 12345…. Họ chỉ muốn biết về những thứ ảnh hưởng tiềm ẩn trong kinh doanh của họ và tại sao việc khắc phục nó lại quan trọng mà thôi.

Trong khi đó, các công ty chưa áp dụng phương pháp ASM vẫn chủ yếu khắc phục những lỗ hổng đơn lẻ hơn là rủi ro kinh doanh. Điều này khiến việc hiểu và ưu tiên các nỗ lực bảo mật một cách hiệu quả trở nên vô cùng khó khăn nếu không nhìn vào bối cảnh kinh doanh rộng lớn hơn.

Có những công ty cố gắng thực hiện các hoạt động ASM nhưng không có các công cụ và quy trình phù hợp. Nhiều công ty vẫn sử dụng bảng tính Excel để theo dõi quản lý rủi ro bên trong và bên ngoài của họ. Điều này tạo ra khối lượng công việc thủ công không cần thiết cho tất cả những người liên quan, rất kém hiệu quả và các nguy cơ rủi ro nghiêm trọng bị bỏ qua.

Tuy nhiên, đã có những doanh nghiệp đã nhận ra sự cần thiết của tiếp cận đối với ASM và có thể bắt đầu đầu tư vào các công cụ và quy trình để đạt được nó.

Những thách thức chính khi bắt đầu với ASM

Thách thức đầu tiên là việc hiểu những sự cần thiết của bảo mật trong tổ chức xung quanh ASM và những góc độ nào phù hợp nhưng lại có sự khác biệt. Tiếp theo là thông báo những điểm khác biệt này với HĐQT và đảm bảo sự ủng hộ của họ đối với các khoản đầu tư cần thiết. Ở đây cần lấy tính đơn giản là mục tiêu, nhấn mạnh vào thực tế là ASM là cần thiết với giảm thiểu rủi ro kinh doanh cũng như cải thiện tình trạng bảo mật tổng thể của doanh nghiệp.

Nhiệm vụ tiếp theo là vượt qua rào cản CNTT đang chia rẽ doanh nghiệp. Chính các nhóm CNTT và bảo mật bên ngoài cũng như trong nội bộ thường chưa có sự đồng bộ với nhau, chưa kể đến các bộ phận liên quan đến bảo mật CNTT khác như nhóm DevOps, đám mây và web…

Thông thường, mỗi nhóm có chương trình với các công cụ và quy trình riêng biệt. Ngay cả trong cùng một nhóm nhiều khi cũng có khả năng sẽ có nhiều giải pháp khác nhau, từ trình quét lỗ hổng đến cấu hình mã.

Để xây dựng cách tiếp cận ASM thống nhất, hiệu quả, chúng ta cần vượt những rào cản này để bóc tách các nội dung website thành những chủ để nổi bật có nội dung liên quan đến nhau; Giúp người dùng tìm được các thông tin liên quan một cách nhanh nhất và thuận tiện nhất và thiết lập một chế độ xem chuẩn hóa trên tất cả các lĩnh vực kinh doanh có liên quan. Tất cả dữ liệu rủi ro phải được chuyển đến cùng một điểm, hiển thị cùng lúc, ở cùng định dạng để CISO có thể nhìn rõ ràng mọi thứ.

Thống nhất bảo mật theo ASM

Những công cụ phù hợp có thể đi một chặng đường dài trong việc tập hợp các nguồn cấp dữ liệu về mối đe dọa và lỗ hổng khác nhau, đồng thời thiết lập một khung nhìn xuyên suốt duy nhất về rủi ro mạng.

Bước đầu tiên là sắp xếp nhân lực con người. Phải có một tầm nhìn thống nhất về rủi ro và các KPI chung để giảm thiểu lỗ hổng. Điều này sẽ cho phép ưu tiên những rủi ro trên toàn bộ tổ chức từ một điểm tham chiếu duy nhất.

Khi các rào cản không còn nữa, bạn có thể xác định nơi các quy trình, các công cụ và tác vụ bị trùng lặp mà không cần thiết. Sự dư thừa có thể được loại bỏ và áp dụng tự động hóa nhiều hơn để tăng hiệu quả giữa các nhóm. Khi chiến lược ASM nội bộ hoàn thiện thì công ty có thể mở rộng phạm vi của mình để bắt đầu triển khai CAASM và tiếp nhận nhiều thông tin tình báo về mối đe dọa hơn.

Bằng cách vượt ra khỏi ASM cấp độ bề mặt, tổ chức sẽ không chỉ có cách tiếp cận thống nhất và hiệu quả hơn đối với hoạt động bảo mật của mình mà còn có thể chủ động xác định các mối đe dọa tiềm ẩn từ bất kỳ nguồn nào và nhanh chóng hành động để ngăn chặn chúng./.

Tham khảo: helpnetsecurity.com, cystack.net

Hạnh Tâm