Theo dân gian, các thầy phù thủy có thể chèo thuyền trong một cái sàng, một cái sàng có lỗ ở dưới đáy. Thật không may, các phù thủy không làm việc trong lĩnh vực an ninh mạng – nơi mà các mạng nói chung có rất nhiều lỗ hổng đến mức chúng giống như những cái sàng.
Đối với hầu hết chúng ta, việc giữ cho mạng lưới của chúng ta hoạt động nổi đòi hỏi phải làm việc chăm chỉ về đêm và thường xuyên thỏa hiệp xem nên cắm lỗ nào trước.
Nguyên nhân? Trong năm 2010, chỉ có dưới 5000 CVE được ghi lại trong cơ sở dữ liệu về lỗ hổng bảo mật MITER. Đến năm 2021, tổng số hàng năm đã tăng vọt lên hơn 20.000. Ngày nay, tính toàn vẹn của phần mềm và mạng đồng nghĩa với tính liên tục trong kinh doanh. Và điều này làm cho vấn đề về những lỗ hổng nào cần giải quyết đầu tiên là nhiệm vụ quan trọng. Tuy nhiên, do có vô số lỗ hổng được ghi chép lại ẩn náu trong một hệ sinh thái doanh nghiệp điển hình – trên hàng nghìn máy tính xách tay, máy chủ và thiết bị kết nối internet – chưa đến 1/10 thực sự cần được vá. Câu hỏi đặt ra là: làm thế nào chúng ta có thể biết những miếng vá nào sẽ đảm bảo rằng lưới lọc của chúng ta không bị chìm?
Đây là lý do tại sao ngày càng nhiều công ty chuyển sang sử dụng Công nghệ ưu tiên lỗ hổng bảo mật (VPT). Họ tìm kiếm các giải pháp lọc ra lũ dương tính giả được tạo ra bởi các công cụ cũ và các giải pháp có cấu hình kém và chỉ giải quyết những lỗ hổng ảnh hưởng trực tiếp đến mạng của họ. Họ đang bỏ lại các mô hình quản lý lỗ hổng bảo mật truyền thống và chuyển sang thế hệ tiếp theo của các giải pháp VPT.
Sự phát triển của quản lý lỗ hổng bảo mật
Đó không phải là tin tức khi ngay cả doanh nghiệp giàu tài nguyên nhất cũng không thể sắp xếp, ưu tiên và vá mọi lỗ hổng trong hệ sinh thái của họ. Đó là lý do tại sao ngay từ đầu đã bắt đầu chuyển hướng sang VPT.
Ban đầu, Vulnerability Management (VM) tập trung vào việc quét và phát hiện các mạng lõi để tìm bất kỳ lỗ hổng nào. Đây được gọi là Đánh giá lỗ hổng bảo mật (VA) và có thể phân phối là một danh sách dài các lỗ hổng bảo mật có ít giá trị thực tế đối với các tài nguyên CNTT đã được sử dụng quá mức.
Để làm cho VA dễ hành động hơn, thế hệ công cụ VM tiếp theo đã bao gồm mức độ ưu tiên của lỗ hổng bảo mật dựa trên điểm CVE toàn cầu của mỗi lỗ hổng. Điều này đã được hoàn thiện thêm bằng cách thêm một lớp ưu tiên khác dựa trên các ước tính về thiệt hại tiềm ẩn, bối cảnh mối đe dọa và lý tưởng là mối tương quan với bối cảnh địa phương để đánh giá tác động kinh doanh tiềm năng dựa trên các mô hình loại DREAD. Phương pháp nâng cao hơn này được gọi là Quản lý lỗ hổng bảo mật dựa trên rủi ro (RBVM) và là một bước tiến vượt bậc so với VA.
Tuy nhiên, ngay cả các công cụ VM tiên tiến triển khai RBVM cũng bị tụt hậu về độ tinh vi và khả năng hoạt động. Các công cụ này chỉ có thể phát hiện những gì chúng biết – có nghĩa là các công cụ phát hiện được định cấu hình sai thường dẫn đến các cuộc tấn công bị bỏ sót. Họ không thể đánh giá liệu các biện pháp kiểm soát bảo mật có được định cấu hình để bù đắp cho mức độ nghiêm trọng của một lỗ hổng nhất định hay không theo điểm CVE của nó tương quan với rủi ro ngữ cảnh cục bộ. Điều này vẫn dẫn đến các danh sách vá lỗi đầy ắp và cũng có nghĩa là – giống như với các công cụ VA thế hệ đầu – việc vá lỗi thường nằm ở cuối danh sách việc cần làm hoặc đơn giản là bị các nhóm CNTT bỏ qua.
Tận dụng VPT thế hệ tiếp theo
Các giải pháp VPT tiên tiến là thế hệ tiếp theo của VM – cung cấp cho các tổ chức một cái nhìn rất khác về những rủi ro không gian mạng duy nhất của họ.
Xây dựng dựa trên khả năng phát hiện VA truyền thống và các khả năng RBVM nâng cao hơn, thế hệ giải pháp VPT mới nhất bổ sung bối cảnh nghiêm trọng của tài sản, bối cảnh môi trường và nhiều nguồn thông tin tình báo về mối đe dọa được tích hợp trước. Bằng cách này, nó bổ sung một cách hiệu quả dữ liệu về mức độ nghiêm trọng của lỗ hổng bảo mật với các phân tích tinh vi và khả năng ứng dụng trong ngữ cảnh. Các khả năng phân tích này cho phép các giải pháp VPT tiên tiến tích hợp xác thực mối đe dọa chi tiết cao – tạo ra thế hệ khả năng tiếp theo tăng cường VM truyền thống: Quản lý lỗ hổng dựa trên tấn công (ABVM).
ABVM là người thay đổi cuộc chơi. Bởi vì một khi các bên liên quan đến mạng có thể xác thực một cách hiệu quả các mối đe dọa trong thế giới thực mà mạng của họ phải đối mặt, họ có thể kiểm tra môi trường của mình dựa trên mức độ tiếp xúc thực tế và khả năng bị tấn công. Theo Gartner, việc chuyển hướng sang ABVM là rất quan trọng để xác định mức độ ưu tiên và đánh giá các điểm dễ bị tổn thương tốt hơn. Nó trao quyền cho các nhà lãnh đạo quản lý rủi ro và bảo mật để đưa ra các khuyến nghị và áp dụng chúng trực tiếp vào các chương trình bảo mật của họ – giải quyết các phát hiện được ưu tiên.
Tận dụng ABVM, các bên liên quan bảo mật có thể xác định tất cả các cuộc tấn công không bị phát hiện, tạo dữ liệu và các trường hợp sử dụng cho phép cải tiến liên tục cấu hình công cụ phát hiện và phản ứng, đồng thời vạch ra các đường dẫn tấn công end-to-end tiềm năng với ngữ cảnh cục bộ chi tiết. Một khi các đường tấn công chưa an toàn này được vạch ra rõ ràng, thì việc vá lỗi cũng là vì việc xác thực mối đe dọa cùng với sự hiểu biết sâu sắc về các đường tấn công cho phép ưu tiên vá tập trung bằng laser. Với ABVM, việc tối ưu hóa các nguồn lực vá khan hiếm để chỉ bịt những lỗ hổng có nguy cơ làm chìm sàng trở nên đơn giản.
Việc chuyển từ các phương pháp tiếp cận VA hoặc RBVM dựa trên điểm số truyền thống sang ABVM có thể giảm tải bản vá xuống 20% -50% trong khi cải thiện rõ rệt tình trạng bảo mật tổng thể. Bằng cách ngăn chặn sự trôi dạt về bảo mật, ABVM cũng giúp hợp lý hóa các bộ công cụ SIEM – cải thiện cấu hình công cụ, loại bỏ chồng chéo và xác định các khả năng còn thiếu.
Điểm mấu chốt
Bằng cách cải thiện bảo mật, giảm chi phí, tinh chỉnh phân bổ tài nguyên và tăng cường hợp tác giữa các nhóm, ABVM mang đến một chân trời mới về năng suất và hiệu quả cho các nhóm bảo mật. Đưa VPT truyền thống lên cấp độ tiếp theo, ABVM giải quyết tình trạng quá tải vá lỗ hổng bảo mật mãn tính, cho phép các mạng duy trì hoạt động ngay cả trong vùng biển bị đe dọa ngày nay.
.
