Giống như động vật sử dụng các giác quan để phát hiện nguy hiểm, an ninh mạng phụ thuộc vào các cảm biến để xác định các tín hiệu trong môi trường máy tính có thể báo hiệu nguy hiểm. Các giác quan càng được điều chỉnh cao, đa dạng và phối hợp thì càng có nhiều khả năng phát hiện ra các tín hiệu quan trọng báo hiệu nguy hiểm.
Tuy nhiên, điều này có thể là một con dao hai lưỡi. Quá nhiều tín hiệu với quá ít xử lý tín hiệu nâng cao chỉ dẫn đến nhiều nhiễu. Tập hợp tín hiệu đa dạng, phù hợp với quá trình xử lý tín hiệu phát triển cao dẫn đến sự sống còn. Do đó, có ý nghĩa rằng khả năng hiển thị mối đe dọa rộng rãi trên môi trường CNTT là yếu tố cơ bản để phát hiện các cuộc tấn công mạng. Công ty bảo mật mạng Cynet đưa điều này vào quan điểm trong một cuốn sách điện tử mới, Hướng dẫn về khả năng hiển thị mối đe dọa cho các nhóm bảo mật CNTT tinh gọn – liên kết đến điều này.
Vấn đề đang diễn ra về khả năng hiển thị mối đe dọa hạn chế
Sự phức tạp của môi trường CNTT ngày nay khiến việc bảo vệ trở nên cực kỳ khó khăn. Vành đai phòng thủ đã mở rộng với lực lượng lao động từ xa được mở rộng, tăng khối lượng công việc SaaS và Đám mây cũng như quyền truy cập của bên thứ ba tự do hơn. Môi trường CNTT quá rộng lớn, phức tạp và luôn thay đổi, nên việc giám sát những gì đang xảy ra gần như không thể che giấu được.
Sự phức tạp này không bị mất đi đối với tội phạm mạng đang chảy nước miếng vì ngày càng mở rộng các cơ hội có lợi để khai thác, gia tăng việc tạo ra các vectơ tấn công mới và không lường trước được. Bởi vì hầu hết các công nghệ bảo mật vượt trội trong việc ngăn chặn các mối đe dọa đã biết, số lượng các mối đe dọa mới ngày càng leo thang đồng nghĩa với việc nhiều cuộc tấn công không bị phát hiện hơn.
Sự chắp vá của các công nghệ bảo mật rải rác trong môi trường CNTT cho phép các nhà bảo mật nhìn thấy một số phần của bề mặt tấn công, nhưng chắc chắn không phải là tất cả. Hơn nữa, hệ thống phòng thủ bị ngắt kết nối không thể cung cấp một đánh giá đầy đủ và chính xác về toàn cảnh mối đe dọa. Thay vì lấy nét tốt hơn, sự hỗn tạp của các công nghệ bảo mật làm tăng tiếng ồn.
Điểm mấu chốt là khả năng hiển thị kém dẫn đến khả năng phòng thủ không đầy đủ, đội bảo vệ làm việc quá sức và tăng chi phí. Cải thiện khả năng hiển thị mối đe dọa là bước đầu tiên để cải thiện tất cả các khía cạnh của an ninh mạng.
Ba chìa khóa để hiển thị mối đe dọa
Nếu dễ dàng đạt được khả năng hiển thị đầy đủ về mối đe dọa, chúng ta sẽ không thảo luận về nó. Cho đến gần đây, việc đạt được khả năng hiển thị toàn diện là rất tốn kém, quá phức tạp và dựa trên một đội ngũ bảo mật rất đông đảo và có tay nghề cao. Ngày nay, ngay cả các nhóm bảo mật CNTT tốt nhất cũng có thể truy cập được vào khả năng hiển thị đầy đủ về mối đe dọa bằng cách sử dụng phương pháp phù hợp. Xem sách điện tử Cynet https://thehackernews.com/2022/01/cyber-threat-protection-it-all-starts.html để được giải thích chi tiết hơn.
Các công nghệ chính để hiển thị mối đe dọa
Mặc dù nhiều công nghệ hơn có vẻ tốt hơn, nhưng điều cốt yếu là chọn đúng bộ công nghệ bao gồm các phần quan trọng nhất của môi trường CNTT. Bao gồm các:
NGAV – Bảo vệ điểm cuối cơ bản dựa trên các chữ ký và hành vi xấu đã biết. EDR – Để phát hiện và ngăn chặn các mối đe dọa điểm cuối phức tạp hơn bỏ qua các giải pháp NGAV. NDR – Để phát hiện các mối đe dọa đã xâm nhập vào mạng và cái gọi là chuyển động ngang. UBA – Để phát hiện hoạt động bất thường có thể báo hiệu thông tin đăng nhập bị đánh cắp, kẻ nội bộ lừa đảo hoặc bot. Lừa đảo – Để phát hiện ra các hành vi xâm nhập đã vượt qua các công nghệ phát hiện khác SIEM – Để khai thác dữ liệu nhật ký mở rộng do hệ thống CNTT tạo ra. SOAR – Để tự động hóa và tăng tốc các nỗ lực giảm thiểu mối đe dọa.
Tích hợp mọi thứ cho Chế độ xem 360 độ
Nhiều công cụ phát hiện và ngăn chặn, như được liệt kê ở trên, được yêu cầu bắt đầu thấy trên toàn bộ môi trường CNTT. Tuy nhiên, được triển khai dưới dạng các thành phần độc lập sẽ vẫn để lại những khoảng trống lớn về khả năng hiển thị. Nó cũng dẫn đến cái gọi là quá tải cảnh báo vì mỗi công nghệ truyền một cách độc lập luồng cảnh báo ổn định có xu hướng áp đảo các đội bảo mật.
Các giải pháp XDR mới hơn được xây dựng để tích hợp các tín hiệu thời gian thực từ nhiều điểm đo từ xa trên một nền tảng duy nhất. Việc kết hợp NGAV, EDR, UBA, NDR và Lừa đảo dưới một chiếc ô giúp mở rộng phạm vi và khả năng giải quyết khả năng hiển thị của mối đe dọa. XDR có thể phơi bày các cuộc tấn công từ mọi hướng bất kể chúng thực hiện các biện pháp né tránh nào.
Tự động hóa các hành động phản hồi để cải thiện phản xạ
Nhìn thấy một mối đe dọa là một chuyện. Phản ứng nhanh chóng và thích hợp với nó là một việc khác. Với khả năng hiển thị và độ chính xác của mối đe dọa được cải thiện, các nhóm bảo mật CNTT – và đặc biệt là các nhóm tinh gọn – sẽ cần phản ứng nhanh chóng để ngăn chặn các mối đe dọa đã xác định.
Tự động hóa cải thiện cả tốc độ và quy mô hơn một đội quân các chuyên gia bảo mật có thể – miễn là nó được tích hợp trong XDR. Khi cả hai làm việc cùng nhau, tất cả các tín hiệu và dữ liệu được thu thập bởi các bộ phận cấu thành của XDR sẽ được đưa vào bộ máy tự động hóa để nâng cao hiểu biết cho nó. Điều đó cho phép tự động hóa điều tra cuộc tấn công nhanh hơn để xác định nguyên nhân gốc rễ và toàn bộ tác động của nó. Sau đó, dựa trên những gì đã biết về cuộc tấn công, tự động hóa có thể sắp xếp một cuốn sách phát được đề xuất cho cuộc tấn công đó, thực hiện các bước cụ thể để vô hiệu hóa mối đe dọa và giảm thiểu thiệt hại.
Lời kết
Ngăn xếp bảo mật không cần tiếp tục mở rộng. Hợp nhất và tích hợp các công cụ chính với công nghệ XDR mới nổi giúp tăng cường khả năng hiển thị mối đe dọa, cùng với mọi thứ khác. XDR cho phép bất kỳ nhóm bảo mật nào, ngay cả những người tốt nhất và xanh nhất, cắt giảm các báo động giả, xem các cuộc tấn công lén lút trước đó và sau đó tự động và ngay lập tức làm điều gì đó với nó.
Tải hướng dẫn tại đây
.
