Quản lý bề mặt tấn công với EASM

Quản lý bề mặt tấn công (attack surface management - ASM) chỉ là bước khởi đầu của một sự thay đổi đáng chú ý trong phương pháp tiếp cận bảo mật và chủ động. Lần đầu tiên các tổ chức nhận ra rằng họ có thể vượt xa những giới hạn của chính mình, có được những hiểu biết sâu sắc về các mối đe dọa từ bên trong, thực hiện các hành động phù hợp và tương xứng để giảm thiểu các mối đe dọa và rủi ro.

Cách tiếp cận chủ động trong bảo mật nghĩa là bạn phải nhìn thấy toàn bộ bề mặt tấn công của mình giống như kẻ tấn công nhìn thấy nó. Điều này giúp bạn có sự kiểm tra liên tục để ưu tiên, xác định biện pháp khắc phục và luôn đi trước những kẻ tấn công một bước. 

Tuy nhiên, hầu hết các tổ chức thường không có lợi thế về bảo mật và chưa tìm đến các chiến lược như quản lý bề mặt tấn công bên ngoài (external attack surface management- EASM) để giữ an toàn cho chính họ.

EASM là một quy tắc an ninh mạng mới nổi nhằm xác định và quản lý những rủi ro do các tài sản và hệ thống phải đối mặt với Internet. EASM đề cập đến các quy trình và công nghệ cần thiết để phát hiện ra những tài sản hướng ra bên ngoài và quản lý hiệu quả các lỗ hổng của tài sản đó. Ví dụ như máy chủ, thông tin đăng nhập, cấu hình sai đám mây công cộng và các lỗ hổng mã, phần mềm đối tác bên thứ ba có thể bị khai thác bởi các tác nhân độc hại. 

EASM là một góc nhìn bên ngoài về doanh nghiệp để xác định và giảm thiểu các mối đe dọa tồn tại bên ngoài "vòng vây". Về cơ bản, bạn đang xem tổ chức của mình dưới con mắt của một tin tặc.

Quản lý bề mặt tấn công ngày nay

Ngày nay tuy có sự tập trung sâu hơn vào bảo mật nhưng các mối đe dọa mạng và bề mặt tấn công tăng cao khiến cho việc bảo vệ các tài sản và cơ sở hạ tầng quan trọng vẫn là một vấn đề phức tạp.

Cấp lãnh đạo cao nhất trong các công ty cũng đã có sự quan tâm sâu sắc đến việc quản lý rủi ro mạng. Tuy nhiên, những rủi ro trong kinh doanh do tấn công mạng vẫn tăng cao buộc các nhà lãnh đạo phải có cái nhìn nhận rõ ràng hơn về rủi ro bảo mật đối với tổ chức của họ. Họ cần các thông số chính xác thông qua phân tích dữ liệu thời gian thực và quản lý chương trình.

Ngày nay, hầu hết các nhóm bảo mật sử dụng các quy trình giống như ASM đa luồng để quản lý rủi ro bằng cách cung cấp một loạt snapshot (hình ảnh tại một khoảng thời gian nhất định) về những tài sản bên ngoài và hồ sơ rủi ro của họ. Giải pháp EASM đánh giá khả năng phát hiện bề mặt tấn công đứng trên quan điểm của đối thủ, nhưng theo cách liên tục và tự chủ đồng thời có thể đánh giá khả năng xảy ra một cuộc tấn công và tác động của các điểm yếu của họ.

Mặc dù quy trình ASM có những cải tiến đáng kể cho tình trạng bảo mật tổng thể của các tổ chức nhưng với giải pháp EASM còn hiệu quả và dễ sử dụng hơn.

EASM trong tương lai

Các giải pháp EASM sẽ được ưu tiên đầu tư hàng đầu trong các doanh nghiệp lớn.

1) EASM sẽ tích hợp nhiều khả năng rủi ro kinh doanh số hơn để tăng giá trị và ROI (tỷ lệ lợi nhuận ròng trên tổng chi phí đầu tư).

Các tổ chức ngày ngày càng "quá tải" về các mối đe dọa và chịu nhiều thiệt hại do không đủ công cụ và thiếu khả năng đánh giá hết về các cuộc tấn công. Điều này có nghĩa là họ phải vật lộn để khám phá, phân loại, ưu tiên và quản lý những tài sản Internet. Đây cũng là nguyên nhân khiến họ dễ bị tấn công và không có khả năng tự bảo vệ một cách chủ động.

Khi bề mặt tấn công mở rộng, họ không đủ khả năng để xác định, nhận dạng, phát hiện và giám sát. Họ phải cải thiện quản lý bảo mật của mình bằng cách liên tục thử nghiệm và xác nhận tính hợp lệ.

Giải pháp EASM sẽ hiệu quả hơn và giảm số lượng các nhóm công cụ cần quản lý với sự kết hợp EASM kế thừa với quản lý lỗ hổng bảo mật và thông tin về mối đe dọa. Cách tiếp cận toàn diện hơn này giải quyết rủi ro kinh doanh và CNTT từ một giải pháp duy nhất.

Khi các nhà cung cấp tích hợp thông minh về mối đe dọa và quản lý lỗ hổng trong giải pháp EASM, các ngành kinh doanh có thể xác định điểm rủi ro dựa trên giá trị kinh doanh. Sau đó, các nhà quản lý rủi ro, nhà bảo mật CNTT và các nhà lãnh đạo DN có thể đưa ra những quyết định dựa trên rủi ro đã biết và sáng suốt định hướng tổ chức của họ vượt qua môi trường kinh doanh nguy hiểm ngày nay.

2) EASM sẽ tự động hóa cho các quy trình sử dụng nhiều lao động, tiết kiệm thời gian, tiền bạc và công sức

Các giải pháp EASM sẽ mang lại hiệu quả tốt hơn cho bạn. Bởi khi chúng ta thực sự đang ngập lụt trong dữ liệu thì các giải pháp EASM sẽ được thiết kế để tăng giá trị cho quy trình làm việc của nhóm bảo mật chứ không phải khối lượng dữ liệu mà họ phải sàng lọc. Bạn có thể thực hiện điều này chỉ với cải thiện tự động hóa.

Tự động hóa giúp đạt được sự rõ ràng, đảm bảo độ chính xác. Tuy nhiên, quá nhiều tổ chức vẫn dựa vào bảng tính để quản lý bề mặt tấn công. Các bản cập nhật thủ công có thể chỉ thực hiện một lần mỗi năm và dù nỗ lực thực hiện cũng phải mất từ 40 - 80 giờ mới xong một bản thống kê về bề mặt tấn công. Tất nhiên, những kẻ tấn công không mất nhiều thời gian để tìm ra những tài sản bị lộ của bạn và xâm phạm chúng. Khoảng thời gian xác định bề mặt tấn công của mình đã đủ để tin tặc khai thác được các lỗ hổng bảo mật để gây ra rủi ro cho tổ chức của bạn.

Khi thuần thục, EASM sẽ tập trung vào rủi ro kinh doanh bằng cách tự động hóa công việc tẻ nhạt cần thiết để thể hiện cái nhìn 360 độ về bề mặt tấn công của bạn.

3) Các giải pháp EASM sẽ tích hợp và tự động hóa nhiều khả năng tình báo về mối đe dọa hơn, giúp các tổ chức có sự chủ động phòng thủ

Để hiểu rõ rủi ro của mình, bạn cần tích hợp nguồn dữ liệu từ các nguồn thông tin tình báo về mối đe dọa với giải pháp EASM của mình. Cách này giúp bạn có được sự minh bạch để đưa ra quyết định về những tài sản ưu tiên, phụ thuộc và các lỗ hổng bảo mật.

Mặc dù một nhà cung cấp thông tin tình báo về tốt về mối đe dọa giúp bạn biết biết ai đang tấn công và thậm chí ai có khả năng tấn công mình, nhưng đó chỉ là một phần của bức tranh. Nó vẫn thiếu bối cảnh từ góc độ rủi ro kinh doanh mà các giải pháp EASM sẽ có trong tương lai.

Bảo vệ cho tương lai

Lỗ hổng bảo mật Log4j đã chứng minh cho các nhà bảo mật thấy rằng họ biết rất ít về các tài sản CNTT bên ngoài của mình. Các tổ chức cần phải chủ động cả trong việc quản lý bề mặt tấn công cũng như triển khai các công cụ mạng.

Đã đến lúc sử dụng những dự đoán để xây dựng và hành động theo một kế hoạch nhằm hiểu và bảo vệ bề mặt tấn công của bạn, nếu không bạn có thể thấy mình sẽ là nạn nhân tiếp theo./.