Khi nhắc về bảo mật, nhiều người thường nghĩ tới các mối đe dọa đối với hệ thống mạng. Dữ liệu và thiết bị đầu cuối. Tuy nhiên, đó không hẳn là những ǵ tạo ra rủi ro mạng.
Theo ông Scott Register, Phó chủ tịch giải pháp bảo mật - Keysight Technologies, hoạt động quản lư rủi ro có thể khá tốn kém. Trên thế giới không có ǵ miễn phí - và việc bảo hiểm cho doanh nghiệp chống lại các mối đe dọa mạng cũng không phải ngoại lệ.
Dưới đây là ba việc các doanh nghiệp có thể thực hiện, để pḥng tránh bị tấn công mạng.
Giảm số cảnh báo từ hệ thống SIEM - xác định và tập trung điều tra những cảnh báo quan trọng
Mỗi ngày, các nhóm bảo mật trong doanh nghiệp thường phải đối mặt với hơn một triệu cảnh báo SIEM. Không cần phải là một nhà toán học cũng có thể biết được không một nhóm bảo mật nào có khả năng phân cấp ưu tiên và điều tra một cách hợp lư số lượng cảnh báo quá nhiều như vậy. Đó là lư do tại sao rất nhiều cảnh báo SIEM vẫn bị bỏ qua - cho phép những kẻ tấn công lẻn qua được các khe hở.
Tuy nhiên, nhiều cảnh báo trong số này không có giá trị hành động. Đối với tin tặc, bạn chỉ là địa chỉ IP tiếp theo trong danh sách quét hoặc thăm ḍ tự động của chúng, và nếu bạn có thể chặn kết nối ngay từ gói tin đầu tiên th́ tin tặc sẽ chẳng thể làm được ǵ. V́ vậy, tại sao phải xử lư cảnh báo? Chỉ cần triển khai một cổng thông tin t́nh báo về mối đe dọa như ThreatARMOR, bạn đă có thể chặn được tới 80% lưu lượng độc hại vào mạng của ḿnh ngay từ đầu. Nhờ đó, số lượng cảnh báo SIEM và áp lực lên hệ thống NGFW (tường lửa thế hệ sau) của bạn sẽ được giảm đáng kể.
Cách ly bất cứ thứ ǵ vượt qua được tuyến pḥng thủ đầu tiên
Ưu điểm khác của cổng thông tin t́nh báo về mối đe dọa là khả năng tự động chặn các kết nối về trung tâm chỉ huy và điều khiển (hoặc C&C) xuất phát từ các phần mềm độc hại như mă độc tống tiền. Các công cụ này được hỗ trợ bởi đội ngũ thu thập thông tin t́nh báo về mối đe dọa với mạng lưới honeypot toàn cầu hoạt động suốt ngày đêm - thực hiện phân tích mă độc và theo dơi các máy chủ C&C quản lư mă độc.
Nhờ đó, các công cụ này có thể ngăn chặn không cho phép mă độc đă xâm nhập vào mạng của bạn kết nối với trung tâm chỉ huy - cho phép bạn không chỉ ngăn không để mă độc gây thiệt hại và lây lan mà c̣n xác định được hệ thống nào đă bị lây nhiễm và cần khắc phục.
Công cụ này không thay thế được sản phẩm bảo mật thiết bị điểm cuối (có khả năng phát hiện hành vi và hoạt động độc hại), nhưng có thể giảm đáng kể tác động mà sự lây nhiễm có thể gây ra đối với mạng.
Liên tục kiểm tra khả năng pḥng thủ
An ninh bảo mật luôn thay đổi. Cấu h́nh sai, các mối đe dọa và lỗ hổng bảo mật mới xuất hiện hằng ngày. Đó là lư do tại sao bạn cần đảm bảo các chính sách bảo mật mạng và điểm cuối của ḿnh đang được thực thi đúng như mong đợi. Báo cáo điều tra vi phạm dữ liệu mới nhất của Verizon tiết lộ rằng các sai lỗi cấu h́nh đơn giản là nguyên nhân của nhiều vụ vi phạm hơn so với các lỗ hổng công nghệ.
Như vậy, ư nghĩa của điều này là ǵ? Đó là bạn cần phải suy nghĩ như một kẻ tấn công.
Và đó chính là chức năng của các công cụ mô phỏng vi phạm và tấn công, như công cụ Threat Simulator của Keysight. Các công cụ này giúp bạn dễ dàng mô phỏng một cách an toàn nhiều loại mă độc khai thác lỗ hổng an ninh bảo mật và các cuộc tấn công chống lại hệ thống an ninh bảo mật (thiết bị điểm cuối, tường lửa, WAF, DLP...), cũng như giúp xác định những sai lỗi cấu h́nh sai dễ bị tấn công và từng bước hướng dẫn bạn khắc phục bất kỳ lỗ hổng nào được t́m thấy.
Ngoài ra, đừng nên chờ đợi tới khi những kẻ tấn công kiểm tra khả năng pḥng thủ của bạn. Hăy đầu tư để tăng cường an ninh mạng, giúp giảm khả năng mạng bị vi phạm nghiêm trọng.
Nếu tính đến các chi phí có thể phát sinh khi bị tác động bởi các cuộc tấn công như vậy - bao gồm tiền phạt pháp lư/tuân thủ, thiệt hại danh tiếng và tổn thất vốn hóa thị trường - thật khó để tưởng tượng một khoản đầu tư nào khác có thể giúp bạn giảm thiểu rủi ro tốt hơn là đầu tư cải thiện an ninh mạng.