CISO Insider: Số 2

Kẻ tấn công mã độc tống tiền nhắm vào những tài sản có giá trị nhất, những thứ mà chúng cảm thấy có thể moi được nhiều tiền nhất từ bạn. Đó có thể là hệ thống gây gián đoạn nhiều nhất, thông tin có giá trị nhất nếu bị giữ làm con tin hoặc dữ liệu nhạy cảm nhất nếu bị tiết lộ.

Ngành nghề là một yếu tố quan trọng quyết định mức độ rủi ro của tổ chức. Trong khi các nhà lãnh đạo ngành sản xuất coi gián đoạn kinh doanh là mối lo ngại hàng đầu, thì các CISO trong lĩnh vực bán lẻ và dịch vụ tài chính lại ưu tiên bảo vệ thông tin cá nhân nhạy cảm. Mặt khác, các tổ chức chăm sóc sức khỏe lại dễ bị tổn thương trên cả hai mặt trận. Để đối phó, các nhà lãnh đạo bảo mật đang tích cực chuyển đổi đặc trưng rủi ro của mình, giảm thiểu khả năng mất mát và rò rỉ dữ liệu bằng cách tăng cường bảo mật hệ thống phòng thủ, sao lưu dữ liệu quan trọng, xây dựng hệ thống dự phòng và cải thiện mã hóa.

Gián đoạn kinh doanh hiện đang là tâm điểm của nhiều nhà lãnh đạo. Doanh nghiệp vẫn phải chịu tổn thất về chi phí dù chỉ gián đoạn trong phút chốc. Mới đây, một CISO trong ngành chăm sóc sức khỏe đã cho tôi biết rằng trên thực tế, mã độc tống tiền không khác gì một vụ mất điện lớn. Mặc dù một hệ thống sao lưu đầy đủ có thể giúp khôi phục hoạt động nhanh chóng nhưng doanh nghiệp vẫn bị thời gian chết làm gián đoạn hoạt động kinh doanh. Một CISO khác đề cập đến việc họ đang suy nghĩ rằng không chỉ dừng lại ở mạng công ty chính, tình trạng gián đoạn còn có thể lan rộng sang các vấn đề vận hành, chẳng hạn như sự cố đường ống hoặc các tác động thứ cấp do các nhà cung cấp chính phải ngừng hoạt động vì mã độc tống tiền.

Các chiến thuật để kiểm soát tình trạng gián đoạn bao gồm cả hệ thống dự phòng và phân đoạn để giúp giảm thiểu thời gian chết, cho phép tổ chức chuyển lưu lượng truy nhập sang một phần khác của mạng trong khi ngăn chặn và khôi phục phân đoạn bị ảnh hưởng. Tuy nhiên, ngay cả các quy trình sao lưu hay khắc phục thảm họa mạnh mẽ nhất cũng không thể giải quyết hoàn toàn nguy cơ gián đoạn việc kinh doanh hoặc lộ dữ liệu. Đối lập với việc giảm nhẹ hậu quả là phòng ngừa.

Nhiều CISO trò chuyện với tôi đang áp dụng cách tiếp cận mang màu sắc riêng để ngăn chặn và phát hiện cuộc tấn công, sử dụng nhiều lớp giải pháp của các nhà cung cấp khác nhau bao gồm kiểm tra lỗ hổng, kiểm tra hệ thống phòng thủ, giám sát tự động, bảo mật điểm cuối, bảo vệ danh tính, v.v. Đối với một số tổ chức, đây là sự dư thừa có chủ ý, hy vọng cách tiếp cận nhiều lớp sẽ vá mọi lỗ hổng, giống như các lớp phô mai Thụy Sĩ xếp chồng lên nhau để che phủ các lỗ hổng.

Tuy nhiên, theo kinh nghiệm của chúng tôi, giải pháp nhiều lớp này có thể làm phức tạp các nỗ lực khắc phục, tiềm ẩn khả năng gia tăng rủi ro. Một CISO nhận thấy nhược điểm của việc tập hợp nhiều giải pháp là làm mất đi khả năng quan sát do tình trạng phân mảnh: “Tôi có một cách tiếp cận vô cùng tuyệt vời, nhưng bản thân nó lại đặt ra những thách thức nhất định vì sau đó sẽ thiếu thông tin tổng hợp về các rủi ro. Bạn phải kiểm soát các mối đe dọa trên các bảng điều khiển độc lập, thế nên bạn không có thông tin tổng hợp về những gì đang diễn ra trong tổ chức của mình.” (Y tế, 1.100 nhân viên) Khi kẻ tấn công dệt nên một mạng lưới phức tạp trải rộng trên nhiều giải pháp rời rạc khác nhau, rất khó để chúng ta thấy được bức tranh toàn cảnh về chuỗi tấn công, xác định mức độ bị xâm phạm và loại bỏ hoàn toàn tải trọng của phần mềm xấu. Để ngăn chặn một cuộc tấn công đang diễn ra, chúng ta cần phải có khả năng quan sát trên nhiều hướng để phát hiện, ngăn chặn và kiềm chế/khắc phục các cuộc tấn công theo thời gian thực.

Triển vọng về XDR hầu như chưa được hiện thực hóa. Nhiều CISO trò chuyện cùng chúng tôi đã triển khai điểm xuất phát mạnh mẽ ở EDR. EDR là một tài nguyên đã được chứng minh: chúng tôi ghi nhận rằng những người dùng giải pháp phát hiện và phản hồi điểm cuối hiện tại đã phát hiện và ngăn chặn mã độc tống tiền nhanh hơn.

Tuy nhiên, vì XDR là phiên bản phát triển của EDR nên một số CISO vẫn nghi ngờ về tính hữu dụng của XDR. Có phải XDR chỉ là EDR được tích hợp một số giải pháp điểm không? Tôi có thực sự cần sử dụng một giải pháp hoàn toàn riêng biệt không? Hay EDR của tôi cuối cùng sẽ có những chức năng tương tự? Thị trường giải pháp XDR hiện tại càng thêm phức tạp khi các nhà cung cấp đua nhau bổ sung các gói dịch vụ XDR vào danh mục sản phẩm của họ. Một số nhà cung cấp đang mở rộng công cụ EDR để kết hợp thêm dữ liệu về mối đe dọa, còn những nhà cung cấp khác thì tập trung hơn vào việc xây dựng các nền tảng XDR chuyên dụng. Các nền tảng chuyên dụng này được xây dựng từ đầu để cung cấp khả năng tích hợp sẵn và các tính năng tập trung vào nhu cầu của nhà phân tích bảo mật, giảm thiểu các lỗ hổng mà nhóm của bạn phải vá bằng cách thủ công.

Đối mặt với tình trạng thiếu nhân lực có năng lực về bảo mật và nhu cầu phản ứng nhanh chóng để ngăn chặn các mối đe dọa, chúng tôi đã khuyến khích các nhà lãnh đạo sử dụng tự động hóa để giúp nhân viên của họ tập trung vào việc phòng thủ trước các mối đe dọa nghiêm trọng nhất thay vì xử lý những công việc nhàm chán như đặt lại mật khẩu. Thú vị ở chỗ, nhiều nhà lãnh đạo bảo mật từng trò chuyện với tôi đều nói rằng họ chưa tận dụng tối đa chức năng tự động hóa. Trong một số trường hợp, các nhà lãnh đạo bảo mật chưa hoàn toàn nhận thức được những cơ hội mà tự động hóa mang lại, những người khác thì ngại sử dụng tự động hóa vì sợ mất quyền kiểm soát, tiềm ẩn sai sót hoặc giảm khả năng quan sát các mối đe dọa. Mối lo ngại phía sau là hoàn toàn chính đáng. Tuy nhiên, chúng tôi nhận thấy những người áp dụng tự động hóa hiệu quả lại đạt được kết quả ngược lại – nắm quyền kiểm soát nhiều hơn, ít cảnh báo nhầm hơn, ít nhiễu loạn hơn và có nhiều hiểu biết có khả năng thúc đẩy hành động hơn – bằng cách triển khai tự động hóa song song với nhóm bảo mật để dẫn dắt và tập trung nỗ lực của nhóm vào đúng chỗ.

Tự động hóa bao gồm loạt các chức năng, từ các tác vụ quản trị tự động cơ bản đến chức năng đánh giá rủi ro thông minh hỗ trợ máy học. Hầu hết các CISO cho biết họ đang áp dụng tự động hóa được kích hoạt theo sự kiện hoặc hoạt động dựa trên quy tắc, nhưng ít người tận dụng các chức năng trí tuệ nhân tạo và máy học tích hợp sẵn cho phép ra quyết định truy nhập dựa trên rủi ro theo thời gian thực. Chắc chắn, việc tự động hóa các tác vụ thông thường giúp nhóm bảo mật có thời gian để tập trung vào tư duy chiến lược – điều mà con người làm tốt nhất. Thế nhưng chính trong phương diện chiến lược này, chẳng hạn như sàng lọc ứng phó sự cố, tự động hóa lại rất có tiềm năng trở thành cánh tay đắc lực cho nhóm bảo mật khi đóng vai trò là đối tác thông minh, phân tích dữ liệu, khớp mẫu hình. Ví dụ: AI và tự động hóa có khả năng tương quan các tín hiệu bảo mật để hỗ trợ phát hiện và ứng phó toàn diện với vi phạm. Khoảng một nửa số chuyên gia bảo mật mà chúng tôi khảo sát gần đây cho biết họ phải tương quan các tín hiệu bằng cách thủ công.1   Việc này tốn rất nhiều thời gian và khiến họ không kịp ứng phó để ngăn chặn một cuộc tấn công. Khi áp dụng tự động hóa đúng cách, như tương quan các tín hiệu bảo mật, họ có thể phát hiện các cuộc tấn công gần như tức thì.

Chúng tôi nhận thấy nhiều nhóm bảo mật đang chưa tận dụng hết các tính năng tự động hóa được tích hợp sẵn trong các giải pháp mà họ đang sử dụng. Trong nhiều trường hợp, việc áp dụng tự động hóa dễ dàng (và mang lại hiệu quả cao!) như việc cấu hình các tính năng sẵn có, chẳng hạn như thay thế chính sách truy nhập theo quy tắc cố định bằng chính sách truy nhập có điều kiện dựa trên rủi ro, tạo cẩm nang phản hồi, v.v.

Các CISO lựa chọn bỏ qua các cơ hội tự động hóa thường là do e ngại rằng hệ thống có thể mắc những lỗi không thể khắc phục trong lúc hoạt động mà không có sự giám sát của con người. Một số viễn cảnh có thể xảy ra bao gồm hệ thống xóa nhầm dữ liệu của người dùng, gây bất tiện cho nhân viên cần quyền truy nhập vào hệ thống hoặc tệ hơn là dẫn đến mất kiểm soát hoặc không thấy lỗ hổng đã bị khai thác.

Tuy nhiên, để bảo mật trước mối đe dọa không ngừng về một cuộc tấn công thảm khốc, chúng ta phải đánh đổi bằng những bất tiện nhỏ hàng ngày. Tự động hóa có tiềm năng đóng vai trò như một hệ thống cảnh báo sớm cho một cuộc tấn công như vậy và những điểm bất tiện của tính năng này có thể được giảm thiểu hoặc loại bỏ. Và bên cạnh đó, về mặt tích cực, tự động hóa không tự hoạt động mà hoạt động cùng với người vận hành, như vậy, trí tuệ nhân tạo có thể vừa thông báo lại vừa được trí tuệ con người kiểm tra.

Để giúp đảm bảo triển khai suôn sẻ, chúng tôi đã thêm các chế độ chỉ báo cáo vào các giải pháp để cung cấp bản chạy thử trước khi triển khai. Nhờ vậy, nhóm bảo mật có thể triển khai tự động hóa theo nhịp độ của riêng họ, tinh chỉnh các quy tắc tự động hóa và giám sát hiệu năng của các công cụ tự động.

Những nhà lãnh đạo bảo mật sử dụng tự động hóa hiệu quả nhất là những người triển khai tự động hóa song song với nhóm của họ để vá lỗ hổng và hoạt động như tuyến phòng thủ đầu tiên. Như một CISO gần đây đã nói với tôi, việc nắm giữ một đội bảo mật luôn tập trung mọi lúc mọi nơi là gần như không thể và cực kỳ tốn kém, dù có đi chăng nữa thì các đội bảo mật cũng có xu hướng biến động nhân sự thường xuyên. Tự động hóa cung cấp một lớp hoạt động liên tục và nhất quán để hỗ trợ nhóm bảo mật trong các mảng yêu cầu tính nhất quán này, như hệ thống cảnh báo sớm và giám sát lưu lượng truy nhập. Được triển khai với khả năng hỗ trợ này, tính năng tự động hóa giúp nhóm không phải xem xét nhật ký và hệ thống theo cách thủ công, đồng thời cho phép họ chủ động hơn. Tự động hóa không thay thế con người, đây là những công cụ giúp nhân viên của bạn ưu tiên cảnh báo và tập trung nỗ lực vào chỗ trọng yếu nhất.