Mục tiêu của chương trình phát hiện và ngăn chặn (D&R) là nhanh chóng xác định và loại bỏ các mối đe dọa. Tuy nhiên, dù nhiều tổ chức coi D&R là yếu tố quan trọng trong bảo mật song việc triển khai và duy trì lại rất khó khăn và tốn kém. Kết quả là các chương trình D&R thường gặp những lỗi phổ biến, gây trở ngại đến các chuyên gia bảo mật có thể làm giảm hiệu quả của chương trình. Sau đây, hãy cùng Mi2 tìm hiểu về ba sai lầm phổ biến trong việc chọn Detection and Response Programs để giúp doanh nghiệp bảo vệ tốt hơn trước các mối đe dọa mạng.
Cố gắng phân tích quá nhiều dữ liệu trong Detection and Response Programs
Dữ liệu chính là “nguồn nhiên liệu” quan trọng cho quá trình phát hiện và ngăn chặn trước các mối đe dọa an ninh mạng. Nhưng có quá nhiều dữ liệu sẽ làm gia tăng số lượng cảnh báo giả (false positives) và tạo ra nhiều “tiếng ồn” không cần thiết, làm mất tập trung vào các mối đe dọa thực sự.
Sai lầm khi nghĩ rằng một chương trình phát hiện và ngăn chặn hiệu quả cần phải có cái nhìn bao quát về toàn bộ hệ thống, từ thiết bị, mạng đến đám mây. Tuy nhiên, việc thu thập quá nhiều dữ liệu khiến hệ thống bị quá tải, dẫn đến tình trạng “tê liệt phân tích” làm giảm hiệu quả của quá trình phản hồi.
Để đảm bảo quá trình phân tích và báo cáo diễn ra suôn sẻ, các nguồn dữ liệu cần thu thập phải đáp ứng hai tiêu chí chính: tương thích và khả năng kết nối với các nền tảng SIEM hoặc XDR. Cụ thể, chúng ta cần thu thập dữ liệu từ các agent trên thiết bị, DHCP, LDAP, DNS, dịch vụ đám mây (O365, IIS,…), VPN, tường lửa, web proxy, Active Directory, hệ thống phát hiện xâm nhập (IDS) và các loại log khác.
Không ưu tiên đánh giá rủi ro và kết quả
Hiểu rõ các rủi ro đặc thù của ngành là yếu tố then chốt để xây dựng một chương trình D&R hiệu quả là vô cùng quan trọng. Một trong những sai lầm lớn mà các công ty thường mắc phải là cố gắng bao quát mọi vấn đề mà bỏ qua các mối đe dọa cụ thể và chuyên biệt của ngành.
Mỗi ngành có những mối đe dọa riêng và việc không xác định và ưu tiên đúng rủi ro có thể dẫn đến những hậu quả nghiêm trọng. Chúng ta dễ dàng nhận thấy các cuộc tấn công ransomware luôn nhắm vào ngành y tế vì thông tin y tế có giá trị cao. Chỉ một sơ suất đơn giản như không triển khai xác thực hai yếu tố có thể khiến một tài khoản có quyền truy cập cao dễ dàng trở thành mục tiêu của một cuộc tấn công brute-force, mở ra quyền truy cập không giới hạn vào hồ sơ y tế nhằm đánh cắp dữ liệu nhạy cảm.
Ngoài ra, các vụ đánh cắp thông tin xác thực vẫn diễn ra thường xuyên bằng hình thức lừa đảo (phishing). Chỉ cần một nhân viên mở một email hoặc liên kết đáng ngờ có thể dẫn đến việc rò rỉ dữ liệu quan trọng, ảnh hưởng đến quyền riêng tư của bệnh nhân và gây ra các vấn đề pháp lý.
Vì vậy, các chương trình D&R thường không đạt hiệu quả tối ưu là do chưa tập trung đúng mức vào những rủi ro đặc thù có thể ảnh hưởng trực tiếp đến an ninh mạng của doanh nghiệp.
Sai lầm trong việc lựa chọn đội ngũ an ninh
Với tình hình bảo mật phức tạp, giải pháp bảo mật độc lập sẽ không giải quyết được mọi khía cạnh của những cuộc tấn công tinh vi. Nhằm phát hiện và giải quyết triệt để những mối nguy hại chưa từng có thì việc xây dựng Trung tâm điều hành an ninh mạng SOC sẽ xử lý được mọi vấn đề một cách tổng thể.
Thế nhưng, xây dựng và vận hành một đội ngũ SOC đòi hỏi nguồn lực tài chính và nhân lực đáng kể. Trong đó bao gồm việc tìm kiếm và đào tạo đội ngũ kỹ sư an ninh mạng, cũng như đầu tư vào các công cụ và phần mềm chuyên dụng vẫn còn là thách thức lớn đối với nhiều tổ chức.
Có hai sai lầm nghiêm trọng liên quan đến đội ngũ an ninh SOC mà các tổ chức có thể mắc phải khiến chương trình D&R đi sai hướng:
- Tự mình làm mọi thứ và thiết lập Trung tâm Điều hành an ninh mạng SOC riêng mà không có đội ngũ và chuyên môn phù hợp.
- Hợp tác với một nhà cung cấp không hiểu nhu cầu của tổ chức bạn hoặc không thể cung cấp những gì họ hứa hẹn.
Tiêu chí lựa chọn D&R programs giúp doanh nghiệp bảo mật đúng hướng
Hợp tác với một nhà cung cấp MDR là một cách hiệu quả để tăng cường khả năng giám sát an ninh mạng. Nhưng trước hết, để chọn lựa các đối tác MDR uy tín và chuyên nghiệp cần phải suy xét dựa trên các tiêu chí sau:
- Nhân sự và chuyên môn: Các nhà phân tích MDR giàu kinh nghiệm như thế nào? Nhà cung cấp có cung cấp phân loại cảnh báo và điều tra cũng như chuyên môn về pháp y kỹ thuật số và ứng phó sự cố (DFIR) không?
- Công nghệ: Bạn sẽ có mức độ hiển thị nào trên toàn bộ môi trường? Và phương pháp phát hiện nào sẽ được sử dụng để tìm ra mối đe dọa?
- Hợp tác và đối tác: Mức độ dịch vụ hàng ngày/hàng tháng trông như thế nào? Nhà cung cấp chỉ tập trung vào hoạt động bảo mật hay họ cũng sẽ giúp bạn nâng cao trình độ trưởng thành?
- Săn tìm mối đe dọa: Họ có vượt qua được việc giám sát mối đe dọa theo thời gian thực và cung cấp việc săn tìm mối đe dọa do con người điều khiển cho các mối đe dọa chưa biết?
- Quy trình và kỳ vọng dịch vụ: Họ sẽ giúp bạn đạt được thời gian thu hồi vốn nhanh chóng như thế nào?
- Chuyên môn về phản ứng được quản lý và ứng phó sự cố (IR): Họ sẽ phản ứng như thế nào và họ sẽ làm gì nếu một sự cố nhỏ trở thành một vụ vi phạm lớn?
- Tự động hóa, sắp xếp và phản ứng bảo mật (SOAR): Họ sẽ tận dụng SOAR để tự động hóa quy trình ra sao?
- Giá cả: Họ sẽ định giá giải pháp của họ để đảm bảo tính minh bạch, dự đoán được và giá trị như thế nào?
Kết luận
Việc lựa chọn đúng giải pháp Detection and Response Programs là yếu tố quyết định sự thành bại của doanh nghiệp trong cuộc chiến chống lại tội phạm mạng. Với dịch vụ MDR của Rapid7, doanh nghiệp có thể yên tâm rằng hệ thống của mình luôn được bảo vệ bởi một đội ngũ chuyên gia hàng đầu. Nhờ khả năng giám sát 24/7, chủ động săn lùng mối đe dọa cũng như phát hiện sớm. Và ứng phó nhanh chóng sẽ giúp doanh nghiệp loại bỏ mọi lo ngại về an ninh mạng phức tạp như hiện nay.
Giải pháp Quản lý điểm yếu Rapid7 Nexpose được đánh giá nằm trong nhóm Top leader của Gartner.
Khám phá ngay: Manage Detection and Response
