Marvel đã giải trí cho chúng ta trong 20 năm qua. Chúng ta đã thấy các vị thần, siêu chiến binh, pháp sư và các anh hùng được chiếu xạ khác chiến đấu với những kẻ xấu ở quy mô thiên hà. Cuộc chiến vĩnh cửu của cái thiện và cái ác. Một chút giống như trong lĩnh vực an ninh mạng, những kẻ chiến đấu chống tội phạm mạng.
Nếu chúng ta chọn đi theo kiểu ví von vui nhộn này, thì có điều gì hữu ích mà chúng ta có thể học được từ những bộ phim đó không?
Baddies kết thúc thế giới luôn đi kèm với một đội quân
Khi chúng ta xem các bộ phim Avenger khác nhau, điều đầu tiên chúng ta nhận ra là những kẻ xấu lớn không bao giờ chiến đấu một mình. Hãy nghĩ về Ultron và đội quân bot của hắn, Thanos hoặc Loki với Chitauri. Tất cả đều đi kèm với những đội quân ủy nhiệm nhân bản lớn, chung chung mà các anh hùng phải chiến đấu trước khi đến với trùm cuối.
Tương tự như vậy, các cuộc tấn công mạng nghiêm trọng được lên kế hoạch và thực hiện bởi các nhóm tội phạm mạng có tổ chức và có cấu trúc như nhóm APT với đôi khi hàng trăm thành viên. Trong các tình huống thực tế, các cuộc tấn công đến từ các IP (một hoặc nhiều) đã bị bọn tội phạm đánh cắp, tấn công hoặc mua lại. IP là đội quân ủy quyền vô danh của chúng và nếu bạn muốn tiếp cận những kẻ tấn công, trước tiên bạn cần phải tiêu diệt đội quân IP đó.
Vậy làm thế nào để làm được điều đó? Bạn có thể chiến đấu với họ một mình và hầu hết có thể thất bại, hoặc bạn có thể hợp tác với các siêu anh hùng khác như Avengers và bạn có thể có cơ hội chiến đấu trở lại. Từ khóa ở đây là hợp tác và tận dụng sự cộng tác hoặc trí tuệ đám đông.
Cụ thể hơn, điều này có nghĩa là chia sẻ thông tin về các cuộc tấn công chẳng hạn. Hầu hết các cuộc tấn công để lại dấu vết trong các hệ thống, nhật ký dịch vụ hoặc ứng dụng khác nhau có thể đưa ra dấu hiệu về IP của kẻ tấn công và các loại tấn công. Chia sẻ những IP đó với những người dùng khác có thể giúp khắc phục một cách phòng ngừa nếu những IP đó hiển thị trên nhật ký của người khác.
Hãy tưởng tượng điều này: Các IP minion của Ultron tấn công máy chủ của bạn. IDS của bạn sẽ phát hiện hoạt động của chúng trong nhật ký của bạn và nếu bạn có IPS hiệu quả, bạn có thể chặn các IP đó không gây thêm thiệt hại. Nhưng bạn chia sẻ các IP Ultron đó với hàng xóm của mình thì sao? Hay tất cả những người khác trên Trái đất? Làm thế nào về tất cả mọi người trên Trái đất sẽ ngăn chặn các IP đó? Quân đội của Ultron không thể làm hại thêm được nữa. Tất cả những gì nó có thể làm bây giờ là ngừng chinh phục Trái đất (hoặc xây dựng một đội quân mới). Nhưng trong mọi trường hợp, bạn đã thắng. Tất cả điều này là do sức mạnh của đám đông.
Iron Man đã không đánh bại Thanos một mình
Chúng ta hãy xem xét kỹ hơn đội hình của Avenger. Bạn đều biết tên và quyền hạn tương ứng của họ. Nhưng bạn đã nghĩ xem chúng bổ sung như thế nào chưa? Hulk là xe tăng, Thor là kẻ gây sát thương nặng. Cap là chiến lược gia, và anh ấy có thể gây ra một số sát thương gần nếu cần. Iron Man là chuyên gia tấn công tầm xa. Hawkeye là tay súng bắn tỉa không bao giờ thiếu. Và Widow là điệp viên hoàn hảo. Tất cả đều mang đến những kỹ năng và sức mạnh khác nhau, giúp cho nhóm trở nên hiệu quả (và tuyệt vời).
Nhưng quay lại vấn đề an ninh mạng. Có rất nhiều công cụ có thể giúp ngăn chặn các cuộc tấn công. Một số có thể hiệu quả trong các tình huống cụ thể, nhưng không có một vòng nào để thống trị tất cả (rất tiếc, vũ trụ sai 😉). Giải pháp EDR có thể bảo vệ các điểm cuối của bạn nhưng sẽ không hữu ích để chống lại DDoS. Một công cụ SIEM sẽ giúp bạn tập trung trí tuệ nhưng sẽ không giúp chủ động chống lại hoạt động độc hại. IDS sẽ phát hiện nội dung thú vị đang diễn ra trong nhật ký nhưng sẽ không hoạt động theo chúng.
Vì vậy, giống như Avengers, bạn cần một nhóm các giải pháp phối hợp tốt với nhau và bao quát nhiều tình huống nhất có thể. Đầu tiên, bạn cần phát hiện và hành động. Chọn IDS và IPS. Kết hợp nó với CTI để lấy dữ liệu của bên thứ ba nhằm làm phong phú thêm cơ sở dữ liệu về mối đe dọa của bạn. Thêm một số kỹ năng an ninh mạng để hoạt động hiệu quả. Bạn có được sự kết hợp hiệu quả nhất để chống lại các mối đe dọa.
Nó có dễ dàng để đưa vào chuyển động? Chà, nó chắc chắn đòi hỏi phải làm việc. Giao tiếp giữa các công cụ đó, đảm bảo dữ liệu được lưu chuyển hiệu quả giữa tất cả các thành phần đó có thể là một thách thức, nhưng cuối cùng, điều đáng làm nhất.
Từ các Avengers đến các anh hùng ngoài đời thực
Trí tuệ đám đông và giải pháp tích hợp. Đây là ý tưởng đằng sau việc tạo ra crowdsec.
An ninh mạng là một trò chơi bất đối xứng với những kẻ tấn công luôn có thế chủ động, khiến vấn đề khó giải quyết đối với hầu hết các công ty và mọi người. Bạn có thể ném tiền hoặc công nghệ vào vấn đề, nhưng sẽ không có gì đảm bảo hiệu quả của nó.
CrowdSec đang đề xuất một cái gì đó mới, một cái gì đó chưa từng được thử trước đây ở quy mô này. IPS và IDS hợp tác sử dụng trí tuệ đám đông để chặn các cuộc tấn công. Cộng tác giữa những người dùng để tạo cơ sở dữ liệu IP uy tín và được quản lý nhằm đảm bảo người dùng được bảo vệ trong thời gian thực chống lại Ultron và Thanoses của thế giới này. Nói một cách cơ bản, người dùng đóng góp bằng các tín hiệu – hoạt động IP bị gắn cờ là đáng ngờ: đó có thể là bất cứ điều gì từ vũ phu đến nhồi nhét thẻ tín dụng hoặc mở rộng thông qua DDoS – và thường xuyên nhận được danh sách chặn cập nhật các IP sẽ được “đưa vào tầm ngắm” nếu chúng hiển thị trong nhật ký. Hãy suy nghĩ, Waze về an ninh mạng.
Những kẻ tấn công ẩn sau IP. Nếu chúng ta, với tư cách là một cộng đồng, có thể đốt những IP đó, thì những kẻ tấn công sẽ không còn sót lại chút gì và sẽ lùi bước.
Nếu bạn muốn tham gia cộng đồng CrowdSec, hãy xem trang web chính thức. Ồ, nó miễn phí và mã nguồn mở!
.
