Sáu nguyên tắc quan trọng giúp điều tra mạng hiệu quả
Tự động hóa vào giai đoạn mấu chốt nhất
Để việc phân tích có hiệu quả nhằm tiết kiệm thời gian và nguồn lực, cần thực hiện tự động hóa giai đoạn phân tích, điều tra, chứ không chỉ ở giai đoạn đối phó với tấn công. Bằng việc tự động hóa quá trình thu thập và phân tích dữ liệu, thì có thể giảm số lượng cảnh báo và phát hiện chứng cứ số của cuộc điều tra. Điều này không chỉ làm giảm bớt số lượng cảnh báo, mà còn củng cố kỹ năng cho các nhà điều tra ít kinh nghiệm và giải phóng công việc cho các nhà điều tra có trình chuyên môn độ cao, để họ tập trung vào các tấn công phức tạp, cần sự đánh giá của chuyên gia.
Ghi chép hồ sơ
Hồ sơ là tư liệu cần thiết để lưu trữ thông tin như: mốc thời gian và nội dung của một sự kiện… phục vụ cho việc khai thác thông tin. Ví dụ, thông tin về những dấu hiệu ban đầu, những hệ thống bị ảnh hưởng và những chứng cứ số được phát hiện để hỗ trợ cho diễn biến của sự việc. Đặc biệt, trong điều tra tự động hóa – sử dụng phân tích dựa trên máy móc, thì việc ghi chép hồ sơ về những quyết định trong toàn bộ quá trình điều tra và lý do đưa ra quyết định đó là điều rất quan trọng. Các công cụ trực quan hóa tạo nên bức tranh tổng thể để các nhà phân tích có một cái nhìn toàn cảnh mà không bỏ qua chi tiết quan trọng nào.
Những thông tin được ghi lại này còn được phục vụ cho việc bàn giao giữa các nhà điều tra. Với tất cả các bằng chứng được ghi chép đầy đủ, bộ phận an toàn thông tin sẽ được trang bị tốt hơn để đưa ra quyết định, thực hiện bàn giao và xây dựng báo cáo quản lý.
Kết hợp sức mạnh của con người và máy móc
Phân tích dựa trên máy móc là điều thiết yếu để tăng cao năng suất, cho phép các chuyên gia tập trung kỹ năng vào những nhiệm vụ phức tạp hơn, cần kinh nghiệm và trực giác của con người. Máy móc có thể được xây dựng để mô phỏng cách con người điều tra – tự động phán đoán việc xác nhận loại bỏ, qua việc thu thập thông tin từ các cảm biến.
Khi máy móc đã thu thập được tất cả những mảnh ghép thích hợp về bằng chứng và tự động ghép lại với nhau thành một chuỗi sự việc, thì con người có thể sử dụng sự đánh giá của mình để thêm những chỉ dẫn và bằng chứng mới cho sự vụ đó. Trong một quá trình máy tự học liên tục, bằng chứng mới này có thể được cung cấp trở lại vào máy móc để áp dụng vào những phân tích trong quá khứ và tương lai, cải thiện việc phát hiện mối đe dọa.
Thu thập đúng thông tin
Để đạt được mục tiêu, những kẻ tấn công sẽ sử dụng nhiều phương thức tấn công khác nhau như: tấn công sử dụng mã độc, tấn công giả mạo (phishing) hay hành động liên minh…. Tin tặc nghiên cứu cấu trúc mạng của các tổ chức và tìm những điểm yếu trong hệ thống bảo vệ. Để giải quyết được thách thức này, hệ thống bảo vệ an toàn của các tổ chức cần phải xem xét nhiều yếu tố bao gồm cấu trúc liên kết mạng, chuỗi tấn công (attack chain) và tài sản công nghệ thông tin.
Về chuỗi tấn công, việc phát hiện tấn công ở vòng ngoài ngày càng trở nên khó khăn vì có nhiều cách thức xâm nhập hơn. Do đó, các tổ chức cần có khả năng xác định, kiểm tra lại chỉ thị của những xử lý trung gian qua chuỗi tấn công bằng việc phát hiện hoạt động, lệnh biên và điều khiển sự truyền đạt thông tin. Những tài sản công nghệ thông tin của các tổ chức – như các điểm cuối (endpoint), máy chủ và tệp tin – cũng nên được bảo vệ bằng cách sử dụng phân tích và điều tra điểm cuối.
Tạo một tiến trình công việc thống nhất và một môi trường điều tra liên tục
Khi tất cả bằng chứng được thu thập từ nhiều cảm biến trong mạng lưới, chúng cần được kết hợp lại với nhau và thể hiện với người điều tra một cách chặt chẽ và lôgic. Tiến trình công việc thống nhất và môi trường đơn nhất sẽ cho phép các nhà phân tích truy cập thông tin từ mọi cảm biến, thực hiện điều tra mạng và xây dựng hồ sơ tấn công.
Sử dụng máy móc để mô hình lại cách kẻ tấn công hành động và mô phỏng cách nhà điều tra phân tích
Điểm mấu chốt để tăng sự hiệu quả của phân tích mạng là cung cấp cái nhìn rõ nét hơn về dữ liệu thô để đơn giản hóa quá trình đưa ra quyết định. Bắt đầu với việc mô hình lại một tấn công – tấn công mặt ngoài, thành phần, các bước, phương pháp, công nghệ – và cách tất cả những điều trên có thể dẫn đến một hành động tấn công. Sau đó, tập trung vào tiến trình điều tra của con người, do đó có thể mô phỏng một cách phù hợp và tiếp tục quá trình này một cách chính xác.
Áp dụng những nguyên tắc này một cách tổng thể cho thiết kế, quá trình thực hiện, mô hình dữ liệu, giao diện lập trình ứng dụng, giao diện người sử dụng và các thành phần khác sẽ tạo ra một hệ thống bảo vệ được xây dựng theo chủ định, tập trung vào nhiệm vụ, giúp các nhà phân tích làm việc được hiệu quả và năng suất.