Trend Micro lí giải vì sao cài đặt quá nhiều công cụ có thể làm suy yếu các nỗ lực phát hiện và ứng phó đe dọa an ninh mạng.

được viết bởi Simon Walsh

Các đội bảo mật công nghệ thông tin (CNTT) luôn ở trong trạng thái sẵn sàng chống lại các tội phạm có hành tung nhanh và kiên quyết. Nhưng các Giám đốc an ninh thông tin (Chief Information Security Officer- CISO) thể hiện sự quan ngại sâu sắc đặc biệt về mực độ tấn công và sự tinh vi của các tội phạm an ninh mạng trong những năm gần đây. Chỉ riêng Trend Micro đã chặn được gần 63 triệu lỗi bảo mật trong năm vừa qua. Việc này đã tạo áp lực rất lớn lên các nhà phân tích hoạt động bảo mật (SecOps), những người có nhiệm vụ phải phát hiện và can thiệp kịp thời. Một nghiên cứu mới từ Trend Micro đã tiết lộ, tập thể này đã gần như bị đẩy đến mức giới hạn.

Phần lớn vấn đề xuất phát từ sự đầu tư thái quá dành cho các công cụ giám sát trong quá khứ. Nếu không thể tận dụng tối đa hiệu quả bảo mật từ chỉ một phiên bản/ công cụ, việc ưu tiên cảnh báo các mối đe dọa một cách hiệu quả hiện nay gần như là không thể.

Chào mừng đến với kỉ nguyên SOC

Khoảng 85% trong số 2.303 các quyết định ứng dụng bảo mật CNTT trên toàn cầu mà chúng tôi thăm dò ý kiến hiện đang thể hiện sự tự hào về Security Operations Centre (SOC). Trước mắt, đây được cho là một dấu hiệu tích cực. Các SOC được thiết kế để tập trung hóa các kĩ năng của các SecOps thành một chức năng chuyên dụng được xây thành để theo dõi, phát hiện và ứng phó với các mối đe dọa an ninh mạng nghiêm trọng. Tuy chỉ có khoảng gần phân nửa (45%) các đơn vị ứng phó đang thực hiện được việc này, xét đến bản chất của các cuộc tấn công, các SOC tốt nhất nên cung cấp biện pháp bảo mật 24/7. Bên cạnh việc đó, các SOC cũng nên cung cấp các chức năng phát hiện và ứng phó mối đe dọa nhanh chóng và hiệu quả, để giảm thiểu rủi ro mạng và giảm thiểu các tác động xấu đến doanh nghiệp.

Các khuyến nghị trên thật sự rất cần thiết. Các tội phạm an ninh mạng ngày nay có sẵn các công cụ, dịch vụ và dữ liệu đánh cắp cần thiết để thâu tóm nhân viên, mở rộng địa bàn tấn công lên các mạng lưới tập đoàn mà không bị phát hiện, qua đó cài ransomware/ ăn cắp dữ liệu để gây ra các hậu quả nghiêm trọng. Trong một khảo sát của chính phủ Anh vào tháng 3 cho thấy, hệ thống bảo mật của khoảng 2/3 doanh nghiệp vừa (65%) và lớn (64%) của Vương quốc Anh đã bị xâm nhập trái phép hoặc bị tấn công nghiêm trọng trong suốt 12 tháng vừa qua.

 

Vì sao cài đặt quá  nhiều công cụ lại là vấn đề

Tuy các nhóm SOCs và SecOps nói chung thành thạo trong việc sử dụng công cụ của họ để giám sát và ưu tiên các cảnh báo. Các tổ chức ngày nay sở hữu một lượng lớn các sản phẩm/ công cụ bảo mật, từ công cụ bảo mật hệ thống mạng, email, điểm cuối, máy chủ đến công vụ bảo mật lưu trữ công việc trên đám mây. Việc này có thể là kết quả của việc mua lại tập đoàn trong nhiều năm, hoặc thậm chí là kết quả của việc tiếp thị thái quá khi tuyên bố rằng một số giải pháp là thiết yếu để ngăn chặn các mối đe dọa mới từ phía các nhà cung cấp.

Dù lí do là gì, chúng tôi nhận thấy trên toàn cầu, các SOCs đang ứng dụng khoảng 30 công cụ giám sát bảo mật riêng biệt, tất cả đều nhả ra vô số các báo động mỗi ngày. Vương quốc Anh ghi nhận số liệu chỉ thấp hơn một chút với khoảng 28 công cụ. Với quá nhiều điểm giải pháp, dẫn đến gần như không có một bức tranh rõ ràng về các mối đe dọa, các nhóm SOCs đang gặp khó khăn trong việc tìm ra đâu thật sự là công cụ bảo mật tốt nhất trong các công cụ bảo mật.

Khoảng 70% các nhóm SecOps cảm thấy choáng ngợp bởi sản phẩm mà họ đang ứng dụng. Có quá nhiều công cụ có nghĩa là báo động quá tải, điều này khiến các nhà phân tích bảo mật trở nên căng thẳng và không hiệu quả.

Tầm nhìn mới
Đây là lúc công nghệ trở nên hữu dụng. Các CISOs phải tìm cách củng cố khả năng giám sát an ninh của họ trên ít công cụ hơn, và tìm phương án hiệu quả hơn để tương quan và chuẩn đoán các cảnh báo. Nền tảng như Trend Micro Vision One được thiết kế để phân tích và ưu tiên cảnh báo mối đe dọa trên email, máy chủ, hệ thống đám mây và mạng, để các nhóm SecOps cần tập trung vào phương án đối phó nhanh và hiệu quả hơn.

Bằng cách này, các nhà lãnh đạo bảo mật an ninh mạng có thể giảm thiểu rủi ro an ninh mạng cho các tổ chức và nâng cao phúc lợi cho các nhóm SecOps của họ. Một nhân viên vui vẻ là một nhân viên làm việc hiệu quả.

Biên dịch bởi Thanh Hiền – Iworld.com.vn