Ngăn chặn các mối đe dọa mới và đang lẩn tránh là một trong những thách thức lớn nhất trong an ninh mạng. Đây là một trong những lý do lớn nhất khiến các cuộc tấn công lại gia tăng đáng kể trong năm qua, bất chấp ước tính 172 tỷ USD đã được chi cho an ninh mạng toàn cầu vào năm 2022.
Được trang bị các công cụ dựa trên đám mây và được hỗ trợ bởi các mạng liên kết tinh vi, các tác nhân đe dọa có thể phát triển phần mềm độc hại mới và lẩn tránh nhanh hơn so với các tổ chức có thể cập nhật các biện pháp bảo vệ của họ.
Dựa vào chữ ký phần mềm độc hại và danh sách chặn chống lại các cuộc tấn công thay đổi nhanh chóng này đã trở nên vô ích. Do đó, bộ công cụ SOC hiện chủ yếu xoay quanh việc phát hiện và điều tra mối đe dọa. Nếu kẻ tấn công có thể vượt qua các khối ban đầu của bạn, thì bạn mong đợi các công cụ của mình sẽ phát hiện ra chúng tại một thời điểm nào đó trong chuỗi tấn công. Kiến trúc kỹ thuật số của mọi tổ chức hiện được cài đặt sẵn các biện pháp kiểm soát bảo mật ghi nhật ký mọi thứ có khả năng gây hại. Các nhà phân tích bảo mật xem qua các nhật ký này và xác định những gì cần điều tra thêm.
Cái này có hoạt động không? Hãy nhìn vào những con số:
76% nhóm bảo mật nói rằng họ không thể đạt được mục tiêu vì thiếu nhân lực 56% các cuộc tấn công phải mất hàng tháng—hoặc lâu hơn—để phát hiện
Rõ ràng, một cái gì đó cần phải thay đổi. Các công nghệ phát hiện phục vụ một mục đích quan trọng và việc đầu tư vào chúng không phải là sai, nhưng nó chắc chắn đã được chú trọng quá mức.
Các tổ chức cần quay lại ưu tiên ngăn chặn mối đe dọa trước hết—và điều này đến từ người lãnh đạo không tin tưởng, một mô hình về cơ bản giả định rằng các biện pháp kiểm soát phòng ngừa của bạn đã thất bại và bạn đang chủ động bị xâm phạm vào bất kỳ thời điểm nào.
Điểm cuối chỉ là điểm bắt đầu
Mặc dù nhiều danh mục bảo mật minh họa cho những lỗ hổng trong các chiến lược bảo mật ưu tiên phát hiện, nhưng chúng ta hãy xem xét cụ thể một danh mục phổ biến: phát hiện và phản hồi điểm cuối (EDR).
Việc áp dụng EDR đã phát triển như cháy rừng. Đã là một ngành công nghiệp trị giá 2 tỷ đô la, nó đang tăng trưởng với tốc độ CAGR là 25,3%. Nó có ý nghĩa: hầu hết các cuộc tấn công bắt đầu ở điểm cuối và nếu bạn phát hiện chúng sớm trong chuỗi tấn công, bạn sẽ giảm thiểu tác động. Một giải pháp EDR tốt cũng cung cấp phép đo từ xa điểm cuối phong phú để giúp điều tra, tuân thủ cũng như tìm và tắt các lỗ hổng.
Bảo mật điểm cuối là một lĩnh vực có giá trị để đầu tư—và là thành phần quan trọng của tình trạng không tin tưởng—nhưng đó không phải là bức tranh toàn cảnh. Bất chấp tuyên bố của nhà cung cấp về khả năng phát hiện và phản hồi “mở rộng” kết hợp dữ liệu trong toàn doanh nghiệp, các giải pháp XDR không tự cung cấp khả năng bảo vệ chuyên sâu. EDR có phần mềm chống vi-rút để ngăn chặn phần mềm độc hại đã biết, nhưng chúng thường cho phép tất cả lưu lượng truy cập khác đi qua, dựa vào số liệu phân tích để cuối cùng phát hiện những gì AV đã bỏ sót.
Tất cả các công cụ đều có những thiếu sót và EDR cũng không ngoại lệ, bởi vì:
Không phải tất cả các cuộc tấn công bắt đầu ở điểm cuối. Internet là mạng mới và hầu hết các tổ chức đều có nhiều loại dữ liệu và ứng dụng được lưu trữ trên nhiều đám mây khác nhau. Họ cũng thường xuyên sử dụng các thiết bị như VPN và tường lửa có thể định tuyến được từ internet. Bất cứ điều gì được tiếp xúc là đối tượng của một cuộc tấn công. Zscaler ThreatLabz đã phát hiện ra rằng 30% các cuộc tấn công dựa trên SSL ẩn trong các dịch vụ chia sẻ tệp dựa trên đám mây như AWS, Google Drive, OneDrive và Dropbox.
Không phải tất cả các điểm cuối đều được quản lý. EDR dựa vào các tác nhân được cài đặt trên mọi thiết bị do CNTT quản lý, nhưng điều đó không tính đến vô số trường hợp trong đó các điểm cuối không được quản lý có thể chạm vào dữ liệu hoặc mạng của bạn: thiết bị IoT và OT, điểm cuối cá nhân (BYOD) được sử dụng cho công việc, thứ ba -các đối tác và nhà thầu của bên có quyền truy cập vào dữ liệu, các vụ sáp nhập hoặc mua lại gần đây, thậm chí cả khách đến văn phòng của bạn để sử dụng Wi-Fi.
EDR có thể được bỏ qua. Tất cả các công cụ bảo mật đều có điểm yếu và EDR đã được chứng minh là khá dễ dàng để tránh bằng cách sử dụng một số kỹ thuật phổ biến, chẳng hạn như khai thác các cuộc gọi hệ thống. Những kẻ tấn công sử dụng các kỹ thuật mã hóa và che giấu dữ liệu để tự động tạo các tệp PDF mới, tài liệu Microsoft 365 và các tệp khác có thể thay đổi dấu vết của phần mềm độc hại và bỏ qua các mô hình an ninh mạng truyền thống mà không bị phát hiện.
Các mối đe dọa hiện đại di chuyển rất nhanh. Các chủng mã độc tống tiền ngày nay, hầu hết đều có sẵn để mua trên web tối cho bất kỳ tội phạm mạng nào, có thể mã hóa dữ liệu quá nhanh để các công nghệ dựa trên phát hiện trở nên hữu ích. LockBit v3.0 có thể mã hóa 25.000 tệp trong một phút và nó thậm chí không phải là phần mềm tống tiền nhanh nhất hiện có. Ngược lại, thời gian trung bình để phát hiện và giảm thiểu vi phạm đã được đo là 280 ngày. Đó là thời gian đủ để LockBit mã hóa hơn 10 tỷ tệp.
Nhận bảo mật của bạn trong dòng
Đúng là các công nghệ chống vi-rút dựa trên chữ ký không còn đủ để ngăn chặn các cuộc tấn công tinh vi. Nhưng cũng đúng là các phân tích tương tự do AI hỗ trợ đằng sau các công nghệ phát hiện có thể (và phải!) được sử dụng để ngăn chặn, chứ không chỉ phát hiện, nếu chúng được phân phối nội tuyến. Chiến lược phòng ngừa này cần tính đến toàn bộ cơ sở hạ tầng của bạn, không chỉ các điểm cuối hoặc bất kỳ phần nào khác trong kiến trúc của bạn.
Hộp cát là một ví dụ điển hình về công cụ bảo mật có thể được triển khai theo cách này. Hộp cát cung cấp khả năng bảo vệ theo thời gian thực chống lại các mối đe dọa phức tạp và chưa biết bằng cách phân tích các tệp và URL đáng ngờ trong một môi trường biệt lập, an toàn. Triển khai chúng nội tuyến (chứ không phải dưới dạng thông qua) có nghĩa là tệp không được phép tiếp tục cho đến sau khi giải pháp đưa ra phán quyết.
Nền tảng Zscaler Zero Trust Exchange bao gồm một proxy gốc trên đám mây kiểm tra tất cả lưu lượng truy cập, được mã hóa hay không, để cho phép truy cập an toàn. Là một proxy, các điều khiển theo lớp của nền tảng—bao gồm cả hộp cát nâng cao được tích hợp—tất cả đều được phân phối nội tuyến với phương pháp phòng ngừa là trên hết.
Bổ sung các công nghệ phát hiện của bạn với hộp cát nội tuyến gốc trên đám mây của Zscaler mang lại cho bạn:
Bảo vệ theo thời gian thực, được hỗ trợ bởi AI chống lại các mối đe dọa zero-day
Zscaler sử dụng các thuật toán học máy tiên tiến liên tục được tinh chỉnh bởi đám mây bảo mật lớn nhất thế giới, nơi xử lý hơn 300 tỷ giao dịch mỗi ngày. Các thuật toán này phân tích các tệp và URL đáng ngờ trong thời gian thực, phát hiện và chặn các mối đe dọa tiềm ẩn trước khi chúng có thể gây ra thiệt hại.
Quá trình này bắt đầu bằng phân tích tiền lọc để kiểm tra nội dung của tệp dựa trên hơn 40 nguồn cấp dữ liệu đe dọa, chữ ký chống vi-rút, danh sách chặn hàm băm và quy tắc YARA để biết các chỉ số thỏa hiệp (IOC) đã biết. Bằng cách giảm số lượng tệp cần thiết để phân tích sâu hơn, các mô hình AI/ML hoạt động hiệu quả hơn. Khi một tệp vẫn chưa xác định hoặc đáng ngờ sau quá trình phân loại ban đầu, Zscaler Sandbox sẽ kích hoạt tệp đó để thực hiện phân tích tĩnh, động và thứ cấp mạnh mẽ, bao gồm phân tích mã và tải trọng thứ cấp để phát hiện các kỹ thuật trốn tránh nâng cao. Sau khi hoàn thành, một báo cáo được tạo với điểm số mối đe dọa và phán quyết có thể hành động, chặn các tệp độc hại và đáng ngờ dựa trên cấu hình chính sách.
khả năng mở rộng
Một trong những điểm bán hàng lớn nhất của đám mây là khả năng tăng hoặc giảm quy mô nhanh chóng để đáp ứng nhu cầu của các tổ chức thuộc mọi quy mô. Các biện pháp kiểm soát bảo mật được triển khai trên đám mây dễ cung cấp và quản lý hơn một cách tự nhiên, mang lại cho tổ chức của bạn sự linh hoạt để thích ứng với các nhu cầu bảo mật luôn thay đổi.
Giam gia
Chi phí là một trong những yếu tố đầu vào chính xác định nhiều chiến lược bảo mật và nó có nhiều dạng: năng suất người dùng, hiệu quả hoạt động, chi phí phần cứng, v.v. Nhưng chi phí lưu ý lớn nhất là chi phí bị vi phạm. Bằng cách ngăn chặn các cuộc tấn công, bạn loại bỏ thời gian ngừng hoạt động, thiệt hại về uy tín, tổn thất kinh doanh và chi phí khắc phục, tất cả những điều này có thể dễ dàng cộng lại thành bảy con số cho một cuộc tấn công. ESG nhận thấy rằng tổ chức trung bình sử dụng Zero Trust Exchange giảm được 65% phần mềm độc hại, giảm 85% phần mềm tống tiền và giảm 27% vi phạm dữ liệu, góp phần mang lại ROI tổng thể là 139%.
Bảo vệ mối đe dọa toàn diện
Zero Trust Exchange cung cấp khả năng ngăn chặn, phát hiện và phân tích mối đe dọa toàn diện, cung cấp cho các tổ chức một chiến lược kiểm soát bảo mật thống nhất trên tất cả các vị trí, người dùng và thiết bị. Zscaler Sandbox có thể phân tích các tệp ở mọi nơi, không chỉ trên điểm cuối và được tích hợp với một loạt các khả năng bổ sung như bảo mật DNS, cách ly trình duyệt (đối với các cuộc tấn công không cần tệp), ngăn ngừa mất dữ liệu, bảo mật ứng dụng và khối lượng công việc, chống lừa đảo, v.v. Điều này cung cấp một cái nhìn đầy đủ về tình trạng bảo mật của tổ chức bạn và khả năng phòng thủ chuyên sâu mà các nhóm bảo mật cố gắng đạt được.
Phòng bệnh là trên hết
Trong cuộc chạy đua vũ trang chống lại những kẻ tấn công, các nhóm bảo mật cần ưu tiên kiểm soát bảo mật nội tuyến hơn các công nghệ phát hiện thông qua. Các tệp không được phép vào các điểm cuối hoặc mạng trừ khi bạn chắc chắn rằng chúng lành tính—bởi vì nếu chúng trở thành độc hại, rất có thể bạn sẽ không phát hiện ra chúng cho đến khi thiệt hại được thực hiện.
Nếu bạn muốn tìm hiểu thêm về Zscaler Zero Trust Exchange, hãy truy cập zscaler.com.
