Các thách thức trong việc giám sát và phản ứng an toàn thông tin tại Việt Nam
Trong thời gian vừa qua, tình hình an toàn thông tin (ATTT) tại Việt Nam tiếp tục diễn biến phức tạp, các cuộc tấn công mạng, gián điệp, tội phạm mạng không ngừng gia tăng nhằm phá hoại hệ thống thông tin, đánh cắp dữ liệu, phá hủy hệ thống thông tin bằng các hình thức tấn công và khai thác lỗ hổng sử dụng công nghệ mới như: trí tuệ nhân tạo (AI), dữ liệu lớn (Big Data)…
Theo dự báo mới nhất về an ninh mạng, các cuộc tấn công mạng tới đây sẽ vượt ra ngoài các loại tấn công thông thường như DDoS, botnet... Sự phát triển của AI, Big Data sẽ dẫn đến các hình thức tấn công mới nguy hiểm hơn.
Trong bối cảnh đó, giám sát và phản ứng ATTT là một trong những giải pháp kỹ thuật quan trọng, có ý nghĩa thiết thực trong việc tăng cường năng lực đảm bảo ATTT hệ thống. Nhiều doanh nghiệp (DN) đã đầu tư các giải pháp bảo mật như: Trung tâm điều hành an toàn thông tin (Security Operations Center - SOC), hệ thống phát hiện xâm nhập (Intrusion Detection Systems - IDS), Hệ thống ngăn ngừa xâm nhập (Intrusion Prevention System - IPS), Hệ thống giám sát an ninh mạng (Security Information and Event Management - SIEM)…
Tuy nhiên, việc giám sát và phản ứng ATTT của nhiều tổ chức chưa đạt được hiệu quả cao. Nguyên nhân bởi công tác này phải đối mặt với các thách thức có thể kể đến:
Thiếu tương quan: Nhiều DN lầm tưởng trong việc định hướng phát triển ATTT của tổ chức mình, từ đó đầu tư dàn trải, thiếu tập trung. Một số DN được coi là thức thời thường đầu tư theo bối cảnh thực tế hiện nay, như các giải pháp phòng chống tấn công có chủ đích, mã độc tống tiền… Một số DN khác lại chỉ quan tâm đến việc tổng hợp, phân tích dữ liệu đầu ra từ hệ thống giám sát, mà bỏ qua các hình thức dò tìm thông tin mã độc, ngăn chặn khai thác dữ liệu đầu vào như phát hiện và phản hồi các mối nguy hại tại điểm cuối, phát hiện mối đe dọa tiên tiến…
Khi các giải pháp bảo mật hoạt động độc lập, thiếu sự gắn kết sẽ dẫn tới rất nhiều cảnh báo trùng lặp cho cùng một đối tượng. Quan trọng hơn cả là khi hệ thống giám sát chưa được tối ưu hoặc các kết quả trả về còn rời rạc thì việc tổng hợp, đánh giá các trường hợp là vô cùng khó khăn, kéo theo tốn nhiều thời gian vào việc xâu chuỗi cảnh báo, đi tìm nguyên nhân gốc cũng như các hệ thống liên quan trực tiếp đến sự cố.
Để giải quyết thách thức này, giải pháp VCS-CyCir của Công ty an ninh mạng Viettel cung cấp tính năng điều phối, tự động hoá và phản ứng an ninh mạng (SOAR) cho hệ thống CNTT của doanh nghiệp. Nền tảng này cho phép các công cụ bảo mật riêng biệt phối hợp chặt chẽ với nhau để nâng cao năng suất làm việc trong các quy trình bảo mật phức tạp. Bên cạnh đó, mô hình triển khai của VCS-CyCir còn cung cấp tầng Data Source, bao gồm các giải pháp, các API đóng vai trò cung cấp các cảnh báo đầu vào. Các dữ liệu từ các giải pháp bảo mật khác nhau sẽ được tương quan, giảm thiểu sự trùng lặp cảnh báo trên cùng một đối tượng.
Giới hạn tầm nhìn: Một nhược điểm khác khi đầu tư dàn trải hệ thống bảo mật là thiếu tầm nhìn xuyên suốt trong quá trình điểu tra, phản ứng ATTT. VCS-CyCir lưu vết tất cả các thông tin trong quá trình điều tra, phản ứng và tổng hợp, chủ động cung cấp cho chuyên gia phân tích trên một góc nhìn toàn diện về sự cố, rút ngắn thời gian phân tích, ra quyết định để phản ứng hiệu quả với sự cố.
Các thông tin mà VCS-CyCir quản lý bao gồm:
- Phối hợp vận hành: Các thành viên trong nhóm có thể dễ dàng tương tác về các vấn đề cụ thể trong từng trường hợp để nhanh chóng đưa ra các quyết định hoặc phân công công việc đến người phù hợp.
- Quản lý thông tin tình báo nguy cơ ATTT: với việc tích hợp với các nền tảng tình báo an toàn thông tin, VCS-CyCir quản lý và cung cấp các thông tin tình báo nguy cơ liên quan đến sự cố theo cách chủ động, trực quan nhất cho chuyên gia phân tích, giúp tối ưu hóa quá trình phân tích và xử lý sự cố.
- Hỗ trợ công tác điều tra, truy vết: VCS-CyCir cung cấp cho người dùng bộ công cụ tối ưu, thuận tiện phục vụ cho quá trình điều tra, truy vết tấn công mạng.
Phản ứng thủ công: Việc hệ thống có quá nhiều công đoạn xử lý thủ công, gây ảnh hưởng đến lớn đến chất lượng công việc. Thách thức này đòi hòi phải có một giải pháp tự động hóa vận hành ATTT, giảm gánh nặng cho đội ngũ kỹ thuật. VCS-CyCir cung cấp module Workflow engine, nhằm cung cấp khả năng thực hiện tự động hóa chuỗi các hành động theo kịch bản định nghĩa chỉ trong vài giây, so với hàng giờ khi thực hiện thủ công. Điều này giúp giảm công sức thực hiện các công việc lặp đi lặp lại để nâng cao hiệu năng công tác phản ứng sự cố.
Đồng thời, VCS-CyCir cho phép người dùng theo dõi và can thiệp vào luồng xử lý tự động khi cần thiết. Hơn thế nữa, VCS-CyCir cung cấp giao diện trực quan, giúp người dùng xây dựng các playbook trên giao diện được hỗ trợ bằng ngôn ngữ Python.
Thiếu hụt nguồn nhân sự: Một thực tế khác hiện nay là một số DN lại đặt nặng vấn đề đầu tư vào hệ thống giám sát an ninh mạng mà quên mất rằng chưa đủ nguồn nhân lực để vận hành giám sát hiệu quả. Bởi nếu không có đội ngũ nhân viên thường xuyên tinh chỉnh hệ thống để giảm tỉ lệ báo động nhầm (false positives) sinh ra từ các cảnh báo (alerts) sẽ dẫn đến tình trạng quá tải cho nhóm phân tích và xử lý sự cố. Ngoài ra, khi nhân sự không có kinh nghiệm phân tích, xử lý thì việc đưa ra cảnh báo và biện pháp ngăn chặn cũng có thể bị sai lệch. Điều này dẫn tới tình trạng quá tải về nguồn lực, kéo theo sự giảm sút về chất lượng công việc.
Đối với VCS-CyCir, các công việc lặp lại sẽ được tự dộng hóa theo kịch bản được định nghĩa sẵn. Chỉ những sự kiện bất thường có mức độ nguy hiểm cao mới cần can thiệp từ đội ngũ chuyên gia. VCS-CyCir cũng cung cấp khả năng tùy biến linh hoạt cho phép chuyên gia can thiệt vào luồng xử lý tự động khi cần thiết. Song song, giải pháp này hỗ trợ trích xuất các báo cáo và bảng giao diện chuyên biệt cho 3 lớp người dùng của tổ chức: chuyên gia phân tích, SOC Manager và Giám đốc An ninh thông tin (CISO).
Đ.T