“Mọi trận chiến đều thắng trước khi nó được đánh”
- Tôn Tử The Art of War

The Art of War, chuyên luận về chiến lược quân sự của nhà triết học Trung Quốc Tôn Tử, là một trong những văn bản có ảnh hưởng nhất trong lịch sử hiện đại, ảnh hưởng đến việc ra quyết định chiến lược từ trung tâm chỉ huy quân sự, phòng họp công ty và phòng thay đồ của các đội thể thao mang tính biểu tượng. Cuốn sách ít nói về những điểm x-and-o của các trận chiến cá nhân hơn là về nguyên tắc chuẩn bị. “Nếu không biết cả kẻ thù của bạn và chính mình, bạn chắc chắn sẽ gặp nguy hiểm,” Tôn Tử dạy.

Lời khuyên này đóng vai trò như một lời nhắc nhở cần thiết trong bối cảnh an ninh mạng ngày nay – sự chuẩn bị sẵn sàng và sự tự nhận thức là rất quan trọng đối với an ninh mạng cũng như trong trận chiến. Để giải quyết các mối đe dọa mạng ngày càng tinh vi, các doanh nghiệp phải tránh xa tư duy phản ứng, tuân thủ theo định hướng sang phương pháp tiếp cận ưu tiên bảo mật chủ động hơn. Để tránh những nguy cơ do thiếu hiểu biết, các doanh nghiệp cần có một luồng dữ liệu và thông tin tình báo liên tục trong các hoạt động bảo mật của mình, vì họ chỉ có thể chuẩn bị đối phó với các mối đe dọa mà họ hiểu rõ.

Các công cụ phân tích mối đe dọa phân tích rủi ro bảo mật liên quan đến quyền truy cập đặc quyền là vũ khí mạnh mẽ cho các chương trình Quản lý quyền truy cập đặc quyền (PAM) chiến lược. Chúng cũng là chìa khóa để áp dụng lời khuyên của Tôn Tử cho an ninh mạng hiện đại và nhận thức rõ hơn về cả những kẻ tấn công mạng của kẻ thù và sự nguy hiểm của các tài khoản đặc quyền không được quản lý có thể khiến tổ chức của bạn gặp rủi ro.

Các nhóm bảo mật có chương trình PAM hoặc những nhóm đang tìm cách triển khai một chương trình nên tận dụng các nhà cung cấp PAM' khả năng phân tích mối đe dọa đồng thời xem xét các khả năng phân tích đã được các nhóm Vận hành và Bảo mật của họ sử dụng.

Vì hầu hết các cuộc tấn công mạng đều theo tiến trình giành được chỗ đứng ban đầu trên mạng và sau đó di chuyển theo chiều ngang để leo thang đặc quyền, công cụ phân tích mối đe dọa cung cấp các khả năng giảm rủi ro quan trọng và nền tảng cho một chương trình PAM hiệu quả.

Dưới đây là cách phân tích mối đe dọa có thể giúp các tổ chức cải thiện tình hình bảo mật và hiệu quả hoạt động bằng cách hiểu rõ hơn về bản thân và kẻ thù của họ.

Giữ các tài khoản đặc quyền không được bảo mật khỏi Battlefield

The Art of War có cả một chương dành riêng cho tầm quan trọng của việc hiểu “địa hình” nơi trận chiến diễn ra. Để phù hợp với khái niệm đó, các chương trình PAM hoạt động hiệu quả sẽ tận dụng các phân tích về mối đe dọa để liên tục quét và khám phá các tài khoản đặc quyền không được quản lý cả tại chỗ và trên đám mây.

Một nơi tốt để bắt đầu là với các tài khoản Linux, Unix và Windows không được quản lý. Việc kiểm soát các tài khoản không được quản lý thể hiện một chiến thắng nhanh chóng về mặt giảm thiểu rủi ro có thể định lượng. Sau khi các tài khoản không được quản lý được phát hiện, giải pháp PAM có thể tự động đưa vào các tài khoản này, loại bỏ các quy trình tốn thời gian và dễ xảy ra lỗi.

Thu thập thông tin tình báo và chặn đứng các cuộc tấn công trong thời gian thực

Khi các tài khoản đặc quyền không được quản lý đã được xác định, khả năng phân tích mối đe dọa cung cấp các biện pháp kiểm soát nhất quán chống lại hành vi rủi ro liên quan đến các vectơ tấn công phổ biến trong môi trường SaaS, tại chỗ và IaaS. Phân tích mối đe dọa cung cấp bối cảnh quan trọng về hoạt động bất thường và hành vi đặc quyền giúp các tổ chức làm theo lời khuyên của Tôn Tử để “biết địch biết mình”.

Ngay cả khi các tổ chức quản lý và bảo vệ thông tin xác thực cho kết hợp của họ môi trường đám mây, vẫn có khả năng các thông tin đăng nhập này có thể bị lộ trong kho lưu trữ mã công khai hoặc trên hệ thống của người dùng cuối. Những kẻ tấn công ác ý có thể tìm thấy các khóa này và sử dụng chúng để gây hại – chẳng hạn như gây gián đoạn kinh doanh.

Hãy xem xét rằng phân tích mối đe dọa trong các giải pháp PAM có thể phát hiện khi các khóa truy cập AWS đặc quyền đã được sử dụng mà không được truy xuất từ ​​giải pháp PAM. Nhận thấy dấu hiệu có khả năng bị xâm phạm này, giải pháp PAM có thể tự động xoay vòng thông tin đăng nhập và cảnh báo cho các nhóm bảo mật, giúp họ có thêm thời gian phản hồi. Các khả năng tương tự cũng có thể giúp bảo vệ chống lại hành vi trộm cắp thông tin xác thực và các hướng tấn công khác trong môi trường tại chỗ.

Bằng cách phân tích dữ liệu về việc sử dụng tài khoản đặc quyền thông qua học máy và trí tuệ nhân tạo, phân tích mối đe dọa có thể thiết lập các mẫu sử dụng cơ sở để phát hiện các bất thường về hành vi có thể báo hiệu các cuộc tấn công đang diễn ra. Những ví dụ bao gồm:

• Hành vi vi phạm quyền của người dùng, chẳng hạn như nhân viên bỏ qua giải pháp PAM để đặt lại mật khẩu
• Những nỗ lực trái phép để leo thang đặc quyền, bao gồm cả quản trị viên tự cấp cho mình những đặc quyền không cần thiết
• Hành vi bất thường đối với danh tính không phải con người, chẳng hạn như đăng nhập tương tác cho tài khoản dịch vụ
• Hành vi bất thường đối với danh tính con người, chẳng hạn như người dùng truy xuất một khối lượng mật khẩu bất thường từ kho thông tin xác thực
• Người dùng không hoạt động đột nhiên trở nên hoạt động, ví dụ: tài khoản người dùng của nhân viên không hoạt động xuất hiện lại để truy cập dữ liệu nhạy cảm
• Việc sử dụng máy không thường xuyên, chẳng hạn như máy chủ báo hiệu khối lượng công việc lớn trong thời gian không hoạt động

Bằng cách phát hiện những điểm bất thường này và các điểm bất thường khác, các nhóm bảo mật có thể nhanh chóng điều tra hoặc thậm chí tự động phản hồi và ngăn chặn các cuộc tấn công tiềm ẩn, giúp họ chú ý đến lời khuyên của Tôn Tử là “rơi như sét đánh”.

Tích hợp phân tích mối đe dọa đặc quyền với các công cụ bảo mật khác

Việc tích hợp các giải pháp PAM với các giải pháp khác, chẳng hạn như các công cụ Quản lý sự kiện thông tin bảo mật (SIEM), ghi nhật ký và phân tích dữ liệu để giám sát các sự kiện bảo mật, có thể làm tăng giá trị của cả hai giải pháp. Bằng cách tập trung vào cơ sở hạ tầng nhạy cảm nhất trong một tổ chức và hoạt động có rủi ro cao nhất, các giải pháp PAM có thể xác định các rủi ro mà các công cụ SIEM truyền thống không thể làm được.

Chia sẻ thông tin hai chiều giữa các giải pháp PAM và SIEM có thể loại bỏ các lỗ hổng thông tin và thống nhất thông tin tình báo về mối đe dọa trong toàn doanh nghiệp. Điều này cung cấp cho các nhóm SOC khả năng tấn công nhanh chóng và phản ứng nhanh với các sự kiện bảo mật.

Tôn Tử nói Biết bản thân và bạn sẽ chiến thắng tất cả các trận chiến.  Phân tích mối đe dọa có thể giúp các tổ chức chuẩn bị cho cuộc chiến đang diễn ra trong bối cảnh mối đe dọa không ngừng phát triển bằng cách giúp đảm bảo rằng tất cả các tài khoản đặc quyền đều được quản lý, theo dõi và kiểm soát hoàn toàn để hiểu hành vi của kẻ thù và khắc phục các mối đe dọa trong thời gian thực.

Tò mò về cách phân tích mối đe dọa phù hợp với chiến lược PAM hiệu quả? Hay xem nay webinar để tìm hiểu thêm.

*** Đây là một blog hợp tác của Mạng Blogger Bảo mật từ CyberArk tác giả bởi Sam Flaster. Đọc bài viết gốc tại: https://www.cyberark.com/blog/know-thy-enemy-threat-analytics-boosts-pam-effectiveness/