Giống như động vật sử dụng giác quan để phát hiện nguy hiểm, an ninh mạng phụ thuộc vào cảm biến để xác định các tín hiệu trong môi trường điện toán có thể báo hiệu nguy hiểm. Các giác quan càng được điều chỉnh cao, đa dạng và phối hợp tốt thì càng có nhiều khả năng phát hiện các tín hiệu quan trọng báo hiệu nguy hiểm.

Tuy nhiên, đây có thể là con dao hai lưỡi. Quá nhiều tín hiệu với quá ít quá trình xử lý tín hiệu nâng cao sẽ dẫn đến nhiều nhiễu. Tập hợp tín hiệu phù hợp, đa dạng với khả năng xử lý tín hiệu phát triển cao sẽ dẫn đến sự sống còn. Do đó, điều hợp lý là khả năng hiển thị mối đe dọa rộng rãi trên môi trường CNTT là nền tảng để phát hiện các cuộc tấn công mạng. Công ty an ninh mạng Cynet đưa vấn đề này vào quan điểm trong Sách điện tử mới, Hướng dẫn về khả năng hiển thị mối đe dọa dành cho nhóm bảo mật CNTT tinh gọn – liên kết tới đây.

Vấn đề đang diễn ra về khả năng hiển thị mối đe dọa hạn chế

Sự phức tạp của môi trường CNTT ngày nay khiến việc bảo vệ trở nên cực kỳ khó khăn. Vành đai phòng thủ đã được mở rộng với lực lượng lao động từ xa được mở rộng, tăng khối lượng công việc SaaS và Đám mây cũng như quyền truy cập của bên thứ ba tự do hơn. Môi trường CNTT rất lớn, phức tạp và luôn thay đổi nên việc theo dõi những gì đang xảy ra là gần như không thể.

Sự phức tạp này không bị mất đi đối với tội phạm mạng đang tìm kiếm các cơ hội sinh lời ngày càng tăng để khai thác, làm tăng việc tạo ra các vectơ tấn công mới và không lường trước được. Bởi vì hầu hết các công nghệ bảo mật đều vượt trội trong việc ngăn chặn các mối đe dọa đã biết, số lượng các mối đe dọa mới ngày càng tăng đồng nghĩa với việc có nhiều cuộc tấn công hơn không bị phát hiện.

Sự chắp vá của các công nghệ bảo mật trải khắp môi trường CNTT cho phép những người thực hành bảo mật nhìn thấy một phần bề mặt của cuộc tấn công, nhưng chắc chắn không phải tất cả. Hơn nữa, hệ thống phòng thủ bị ngắt kết nối không thể đưa ra đánh giá đầy đủ và chính xác về bối cảnh mối đe dọa. Thay vì tập trung tốt hơn, hàng đống công nghệ bảo mật lại làm tăng tiếng ồn.

Điểm mấu chốt là tầm nhìn kém dẫn đến hệ thống phòng thủ không đầy đủ, đội ngũ an ninh làm việc quá sức và chi phí tăng cao. Cải thiện khả năng hiển thị mối đe dọa là bước đầu tiên để cải thiện tất cả các khía cạnh của an ninh mạng.

Ba chìa khóa để hiển thị mối đe dọa

Nếu dễ dàng đạt được khả năng hiển thị đầy đủ mối đe dọa thì chúng ta sẽ không thảo luận về vấn đề đó. Cho đến gần đây, việc đạt được khả năng hiển thị toàn diện là rất tốn kém, quá phức tạp và phải dựa vào đội ngũ bảo mật rất lớn và có tay nghề cao. Ngày nay, ngay cả những nhóm bảo mật CNTT tinh gọn nhất cũng có thể đạt được khả năng hiển thị đầy đủ các mối đe dọa bằng cách sử dụng phương pháp phù hợp. Xem Sách điện tử Cynet [liên kết] để được giải thích chi tiết hơn.

Các công nghệ chính để hiển thị mối đe dọa

Mặc dù nhiều công nghệ hơn có vẻ tốt hơn nhưng điều quan trọng là chọn đúng bộ công nghệ bao gồm các phần quan trọng nhất của môi trường CNTT. Bao gồm các:

• NGAV - Bảo vệ điểm cuối cơ bản dựa trên các chữ ký và hành vi xấu đã biết.
• EDR - Để phát hiện và ngăn chặn các mối đe dọa điểm cuối phức tạp hơn bỏ qua các giải pháp NGAV.
• NDR – Để phát hiện các mối đe dọa đã xâm nhập vào mạng và cái gọi là chuyển động ngang.
• UBA - Để phát hiện hoạt động bất thường có thể báo hiệu thông tin đăng nhập bị đánh cắp, kẻ nội bộ lừa đảo hoặc bot.
• Lừa dối - Để phát hiện ra các hành vi xâm nhập đã vượt qua các công nghệ phát hiện khác
• SIEM – Để khai thác dữ liệu nhật ký mở rộng do hệ thống CNTT tạo ra.
• SOAR – Để tự động hóa và tăng tốc các nỗ lực giảm thiểu mối đe dọa.

Tích hợp mọi thứ cho Chế độ xem 360 độ

Cần có nhiều công cụ phát hiện và ngăn chặn, như được liệt kê ở trên, để bắt đầu nhìn thấy trên toàn bộ môi trường CNTT. Tuy nhiên, được triển khai dưới dạng các thành phần độc lập vẫn sẽ để lại những khoảng trống lớn về khả năng hiển thị. Nó cũng dẫn đến cái gọi là tình trạng quá tải cảnh báo vì mỗi công nghệ truyền phát độc lập một luồng cảnh báo ổn định có xu hướng khiến các nhóm bảo mật choáng ngợp.

Các giải pháp XDR mới hơn được xây dựng để tích hợp tín hiệu thời gian thực từ nhiều điểm đo từ xa trên một nền tảng duy nhất. Việc kết hợp NGAV, EDR, UBA, NDR và ​​Deception dưới một chiếc ô sẽ mở rộng phạm vi và giải pháp về khả năng hiển thị mối đe dọa. XDR có thể vạch trần các cuộc tấn công từ mọi hướng bất kể chúng thực hiện biện pháp né tránh nào.

Tự động hóa các hành động phản hồi để cải thiện phản xạ

Nhìn thấy mối đe dọa là một chuyện. Phản ứng nhanh chóng và thích hợp với nó là một việc khác. Với khả năng hiển thị và độ chính xác của mối đe dọa được cải thiện, các nhóm bảo mật CNTT – và đặc biệt là các nhóm tinh gọn – sẽ cần phản ứng nhanh chóng để ngăn chặn các mối đe dọa đã xác định.

Tự động hóa cải thiện cả tốc độ và quy mô nhiều hơn khả năng của một đội quân chuyên gia bảo mật – miễn là nó được tích hợp trong XDR. Khi cả hai hoạt động cùng nhau, tất cả các tín hiệu và dữ liệu được thu thập bởi các bộ phận cấu thành của XDR sẽ được đưa vào công cụ tự động hóa để giúp nó hiểu rõ hơn. Điều đó cho phép tự động hóa điều tra cuộc tấn công nhanh hơn để xác định nguyên nhân gốc rễ và tác động đầy đủ của nó. Sau đó, dựa trên những gì đã biết về cuộc tấn công, tính năng tự động hóa có thể sắp xếp một cẩm nang được đề xuất cho cuộc tấn công đó, thực hiện các bước cụ thể để vô hiệu hóa mối đe dọa và giảm thiểu thiệt hại.

Kết luận:

Ngăn xếp bảo mật không cần tiếp tục mở rộng. Hợp nhất và tích hợp các công cụ chính với công nghệ XDR mới nổi giúp nâng cao khả năng hiển thị mối đe dọa cùng với mọi thứ khác. XDR cho phép bất kỳ nhóm bảo mật nào, ngay cả những nhóm tinh gọn nhất và xanh nhất, loại bỏ các cảnh báo sai, phát hiện các cuộc tấn công lén lút sớm hơn và sau đó thực hiện điều gì đó một cách tự động và ngay lập tức.

Tải hướng dẫn tại đây

Nguồn: https://thehackernews.com/2022/01/cyber-threat-protection-it-all-starts.html