Vượt ra ngoài nhận thức: Săn lùng mối đe dọa giúp xây dựng sự sẵn sàng như thế nào
Tháng Mười hàng năm mang theo một nhịp điệu quen thuộc - tất cả mọi thứ đều có hương vị bí ngô trong các cửa hàng và quán cà phê, cùng với một loạt lời nhắc nhở, hội thảo trực tuyến và danh sách kiểm tra trong hộp thư đến của tôi. Halloween có thể đã gần kề, nhưng đối với những người làm trong lĩnh vực an ninh mạng, Tháng Nhận thức An ninh mới thực sự là cột mốc quan trọng trong mùa lễ hội.
Đừng hiểu lầm, là một chuyên gia an ninh, tôi rất yêu tháng này. Được CISA và Liên minh An ninh mạng Quốc gia (National Cybersecurity Alliance - NCA) khởi động vào năm 2004, tháng này được thiết kế để biến an ninh thành trách nhiệm chung. Nó giúp người dân, doanh nghiệp và các cơ quan công quyền xây dựng thói quen sử dụng công nghệ số an toàn hơn. Và nó đã thành công. Nó thu hút sự chú ý đến rủi ro dưới nhiều hình thức, khơi mào những cuộc trò chuyện mà nếu không có nó, có thể đã không diễn ra, và giúp nhân viên nhận thức được vai trò và ảnh hưởng cá nhân của họ đối với an ninh của tổ chức.
Các sáng kiến trong Tháng nâng cao nhận thức về an ninh giúp tăng cường sự tự tin, nâng cao bản năng và luôn đặt vấn đề an ninh lên hàng đầu trong tâm trí mọi người... cho đến khi đồ trang trí cho kỳ nghỉ lễ mùa đông bắt đầu được treo lên.
Sau đó, đà tiến triển sẽ giảm dần. Nhận thức sẽ nhanh chóng bị lu mờ nếu không được củng cố. Mọi người đều biết phải làm gì, nhưng áp lực hàng ngày và sự thay đổi thứ tự ưu tiên khiến mật khẩu yếu, cấu hình sai và tài khoản không sử dụng lại xuất hiện. Tiến bộ thực sự cần một cấu trúc xác minh những gì mọi người nhớ và nắm bắt những gì họ bỏ lỡ - những hệ thống liên tục xác thực danh tính, cấu hình và đặc quyền.
Trong bài viết này, tôi sẽ xem xét kỹ hơn lý do tại sao nhận thức đơn thuần không thể đảm bảo an ninh toàn diện và cách chủ động tìm kiếm mối đe dọa giúp thu hẹp khoảng cách giữa những gì chúng ta biết và những gì chúng ta thực sự có thể ngăn chặn.
Giới hạn của nhận thức#
Tháng Nhận thức An ninh nhấn mạnh khía cạnh con người của công tác phòng thủ. Nó nhắc nhở nhân viên rằng mỗi cú nhấp chuột, thông tin đăng nhập và kết nối đều quan trọng. Trọng tâm đó có giá trị, và tôi đã thấy các tổ chức đầu tư mạnh mẽ vào các chiến dịch sáng tạo thực sự thay đổi hành vi của nhân viên.
Tuy nhiên, nhiều tổ chức trong số này vẫn gặp phải các vi phạm nghiêm trọng. Lý do là nhiều vi phạm bắt đầu từ những nơi mà đào tạo không thể tiếp cận được. Chỉ riêng việc cấu hình bảo mật sai đã chiếm hơn một phần ba tổng số sự cố mạng và khoảng một phần tư các sự cố bảo mật đám mây. Tín hiệu rất rõ ràng: nhận thức có giới hạn. Nó có thể cải thiện việc ra quyết định, nhưng không thể sửa chữa những gì mọi người không bao giờ nhìn thấy.
Một phần của vấn đề là các biện pháp phòng thủ truyền thống chủ yếu tập trung vào phát hiện và ứng phó. EDR cảnh báo về hoạt động đáng ngờ. SIEM đối chiếu các sự kiện sau khi chúng xảy ra. Máy quét lỗ hổng xác định các điểm yếu đã biết. Các công cụ này hoạt động chủ yếu ở phía bên phải của Ma trận Phòng thủ Mạng , tập trung vào các giai đoạn phòng thủ phản ứng.
Phòng thủ hiệu quả cần được bắt đầu sớm hơn. Phần chủ động bên trái của Ma trận - nhận dạng và bảo vệ - nên dựa trên sự đảm bảo, chứ không phải giả định. Săn tìm mối đe dọa chủ động thiết lập một cơ chế cung cấp những đảm bảo này, hỗ trợ quá trình nhận thức khởi tạo. Tạo ra một cơ chế cung cấp những đảm bảo đó - hỗ trợ quá trình nhận thức khởi động. Nó tìm kiếm các cấu hình sai, thông tin đăng nhập bị lộ và các đặc quyền quá mức tạo ra cơ hội tấn công, sau đó loại bỏ chúng trước khi kẻ thù có thể khai thác.
Săn tìm mối đe dọa chủ động thay đổi phương trình#
Phòng thủ tốt nhất bắt đầu trước khi có cảnh báo đầu tiên. Săn tìm mối đe dọa chủ động xác định các điều kiện cho phép một cuộc tấn công hình thành và xử lý chúng sớm. Nó chuyển đổi an ninh từ quan sát thụ động sang hiểu rõ nguồn gốc của sự phơi nhiễm.
Việc chuyển từ quan sát sang chủ động tìm hiểu này tạo nên cốt lõi của một chương trình bảo mật hiện đại: Quản lý Tiếp xúc Mối đe dọa Liên tục (CTEM). Thay vì một dự án một lần, chương trình CTEM cung cấp một khuôn khổ có cấu trúc, có thể lặp lại để liên tục mô hình hóa các mối đe dọa, xác thực các biện pháp kiểm soát và bảo mật doanh nghiệp. Đối với các tổ chức đã sẵn sàng xây dựng năng lực này, Hướng dẫn Thực hành Bắt đầu với CTEM cung cấp một lộ trình rõ ràng.
Kẻ tấn công đã áp dụng mô hình này. Các chiến dịch ngày nay của kẻ tấn công liên kết việc sử dụng sai danh tính, tái sử dụng thông tin đăng nhập và di chuyển ngang qua các môi trường lai với tốc độ máy móc. Tự động hóa do AI điều khiển lập bản đồ và trang bị vũ khí cho toàn bộ cơ sở hạ tầng chỉ trong vài phút. Các nhóm kiểm tra môi trường của mình dưới góc nhìn của kẻ tấn công có thể thấy cách những sơ suất nhỏ kết nối thành các đường dẫn tấn công toàn diện, cho phép kẻ tấn công len lỏi qua các lớp phòng thủ. Điều này biến dữ liệu rủi ro rải rác thành một bức tranh sống động về cách thức xâm phạm diễn ra và cách ngăn chặn sớm.
Bên phòng thủ cần có tầm nhìn sâu rộng về bối cảnh mà bên tấn công đã có. Việc chủ động săn tìm mối đe dọa sẽ tạo ra tầm nhìn đó - xây dựng sự sẵn sàng theo ba giai đoạn:
Thu thập Dữ liệu Chính xác – Thu thập lỗ hổng, thiết kế mạng, kết nối, danh tính (cả SSO và dữ liệu được lưu trữ trong bộ nhớ đệm) và dữ liệu cấu hình của từng hệ thống từ mọi phần của môi trường để tạo ra một góc nhìn tập trung vào kẻ tấn công duy nhất. Mục tiêu là xem xét những gì kẻ tấn công sẽ thấy, bao gồm thông tin xác thực yếu, lỗ hổng bảo mật đám mây và các mối quan hệ đặc quyền tạo ra điểm xâm nhập. Bản sao kỹ thuật số cung cấp một giải pháp thiết thực để sao chép môi trường một cách an toàn và xem tất cả các điểm tiếp xúc tại một nơi.
Bản đồ Đường dẫn Tấn công – Sử dụng bản sao kỹ thuật số để kết nối các điểm phơi nhiễm và tài sản, minh họa cách thức xâm phạm có thể lan rộng trong môi trường và tác động đến các hệ thống quan trọng. Bản đồ này cho thấy các chuỗi khai thác quan trọng. Nó thay thế các giả định bằng bằng chứng, cho thấy chính xác cách nhiều điểm phơi nhiễm nhỏ hội tụ để tạo thành một đường dẫn tấn công.
Ưu tiên theo Tác động Kinh doanh – Liên kết từng lộ trình đã được xác thực với các tài sản và quy trình hỗ trợ hoạt động kinh doanh. Giai đoạn này chuyển đổi các phát hiện kỹ thuật thành rủi ro kinh doanh, tập trung khắc phục các rủi ro có thể gây ra gián đoạn kinh doanh lớn nhất. Kết quả là sự rõ ràng - một tập hợp các hành động được xác minh và ưu tiên, trực tiếp củng cố khả năng phục hồi.
Nhận thức là một nền tảng quan trọng. Tuy nhiên, việc chủ động săn tìm mối đe dọa mang lại cho người bảo vệ điều mà chỉ nhận thức không thể mang lại - bằng chứng. Nó cho thấy chính xác vị thế của tổ chức và tốc độ thu hẹp khoảng cách giữa khả năng hiển thị và phòng ngừa.
Từ nhận thức đến sự sẵn sàng#
Tháng Nhận thức An ninh nhắc nhở chúng ta rằng nhận thức là một bước thiết yếu. Tuy nhiên, tiến bộ thực sự chỉ bắt đầu khi nhận thức dẫn đến hành động. Nhận thức chỉ mạnh mẽ khi các hệ thống đo lường và xác thực nó. Việc chủ động săn tìm mối đe dọa biến nhận thức thành sự sẵn sàng bằng cách tập trung vào những gì quan trọng nhất - những điểm yếu tạo thành nền tảng cho các cuộc tấn công trong tương lai.
Nhận thức giúp mọi người nhìn nhận rủi ro. Săn tìm mối đe dọa chứng minh liệu rủi ro có còn tồn tại hay không. Cùng nhau, chúng tạo thành một chu trình liên tục, duy trì an ninh hiệu quả lâu dài sau khi các chiến dịch nâng cao nhận thức kết thúc. Tháng 10 này, câu hỏi đặt ra cho mọi tổ chức không phải là có bao nhiêu nhân viên đã hoàn thành khóa đào tạo, mà là bạn tự tin đến mức nào về khả năng phòng thủ của mình nếu có người kiểm tra chúng. Nhận thức tạo nên sự hiểu biết. Sự sẵn sàng mang lại sự bảo vệ.
Theo : TheHackerNews
