Thông thường, các tổ chức có chiến lược phòng thủ khi đối phó với các mối đe dọa mạng. Tuy nhiên, các tổ chức đang chủ động đưa ra giả thuyết và xác định các mối đe dọa có thể ẩn náu trong mạng của họ, điều này được gọi là truy tìm mối đe dọa mạng.
Tìm hiểu về mối đe dọa mạng giúp các tổ chức xác định mối đe dọa bảo mật có thể hoặc đang xâm nhập vào hệ thống phòng thủ an ninh của họ. Thông thường, các tổ chức có chiến lược phòng thủ khi đối phó với các mối đe dọa mạng, thực hiện các giải pháp như tường lửa, bảo vệ điểm cuối, bảo mật email, bảo mật web,... Tuy nhiên, các tổ chức đang bắt đầu chủ động đưa ra giả thuyết và xác định các mối đe dọa mạng có thể ẩn náu trong mạng của họ, điều này được gọi là truy tìm mối đe dọa mạng. Quá trình này không hề đơn giản và nhiều người vẫn có những quann niệm sai lầm về những yếu tố liên quan đến truy tìm mối đe dọa mạng. Cùng Softmaster tìm hiểu và làm sáng tỏ 07 quan niệm sai lầm phổ biến ấy:
1. Người truy tìm mối đe dọa mạng có thể được thay thế bằng AI
Một quan niệm sai lầm phổ biến của nhiều người là việc truy tìm mối đe dọa có thể được thực hiện hoàn toàn tự động bằng cách sử dụng trí thông minh nhân tạo, tức là những người truy lùng mối đe dọa có thể được thay thế bằng công nghệ AI. Đây là một kỳ vọng không hợp lý vì trí tuệ nhân tạo chưa phát triển để có thể tự nhận thức để giải mã tâm lý con người, một trong những yếu tố quan trọng khiến việc săn lùng mối đe dọa thành công trong việc dự đoán các hành vi của tội phạm mạng. Ở khía cạnh này, con người vẫn làm tốt hơn nhiều so với AI.
2. Các thực hành truy tìm mối đe dọa chỉ được yêu cầu một lần
Nhiều tổ chức tin rằng các hoạt động an ninh mạng như truy tìm mối đe dọa chỉ diễn ra một lần để xác định tất cả các mối đe dọa có thể xảy ra. Trên thực tế, việc truy tìm mối đe dọa phải là một quá trình liên tục trong chiến lược an ninh mạng của tổ chức. Ngay cả khi tổ chức không xác định được bất kỳ sự bất thường nào trong thời gian đầu, các thực hành lặp đi lặp lại có thể giúp cải thiện kết quả dựa trên các thực hành “săn mồi” trước đó và phát triển giả thuyết mới về các chỉ số. Một bất thường duy nhất cũng có thể khiến tổ chức thiệt hại hàng triệu USD, do đó, các cuộc truy tìm mối đe dọa nên được thực hiện liên tục trong chiến lược an ninh mạng của tổ chức.
Bất cứ ai cũng có thể là một người truy tìm mối đe dọa
Sự thật rằng, bất kỳ ai trong bộ phận CNTT của tổ chức bạn, với một mức độ kỹ năng và kinh nghiệm nhất định, đều có thể thực hiện hoạt động tìm kiếm mối đe dọa và thậm chí có thể đạt được một số thành công trong việc xác định các mối đe dọa. Tuy nhiên, việc thực hiện ở cấp độ chi tiết đòi hỏi các kỹ năng chuyên biệt và trình độ học vấn mà một nhân viên CNTT thường không có. Ví dụ, các công cụ phân tích, thông tin bảo mật và quản lý sự kiện yêu cầu mức độ hiểu biết để sử dụng hiệu quả. Nói cách khác, những kỹ năng cần thiết để kiểm tra giả thuyết, điều tra mối đe dọa tiềm ẩn và thu thập dữ liệu đòi hỏi kinh nghiệm nhất định.
Các mối đe dọa đã xảy ra có mức độ ưu tiên cao hơn các nỗ lực đang diễn ra hoặc trong tương lai
Truy tìm mối đe dọa không chỉ là khám phá các cuộc tấn công đã hoặc đang xảy ra, chẳng hạn như phần mềm độc hại được cài đặt trong hệ thống hoặc tài khoản bị xâm phạm. Những hoạt động này nên được coi là yêu cầu của nhóm phân tích bảo mật hoặc nhóm phản ứng sự cố sau khi đã được xác định, mà người truy tìm mối đe dọa nên tham gia. Các tổ chức sẽ đạt được nhiều lợi ích bằng cách xác định và săn lùng các mối đe dọa hoặc cuộc tấn công tiềm ẩn và tác động của chúng đối với môi trường của tổ chức. Trong quá trình truy tìm mối đe dọa, mọi phát hiện về những bất thường sẽ là chìa khóa để cải thiện các nỗ lực an ninh mạng của công ty.
Tìm kiếm mối đe dọa giống như thử nghiệm Thâm nhập
Mặc dù có một số điểm chung giữa kiểm tra thâm nhập và săn tìm mối đe dọa, nhưng các hoạt động thực hành an ninh mạng này có các mục tiêu khác nhau. Thử nghiệm thâm nhập là một nỗ lực được ủy quyền để tấn công và giành quyền truy cập vào tài sản dữ liệu của tổ chức hoạt động như một tác nhân độc hại bên ngoài. Mục đích của nó là xác định các hành vi khai thác để chúng có thể được sửa chữa trước bất kỳ cuộc tấn công mạng tiềm năng nào. Mặt khác, săn lùng mối đe dọa tập trung vào việc xác định các mối đe dọa (tiềm ẩn hoặc đang diễn ra) mà các cuộc kiểm tra thâm nhập có thể chưa phát hiện được trong nội bộ.
Nói một cách đơn giản, các bài kiểm tra thâm nhập được sử dụng để xác định các hoạt động khai thác trước khi một cuộc tấn công thực sự và việc săn tìm mối đe dọa được các tổ chức sử dụng để tìm ra các hoạt động tiềm ẩn hoặc đang diễn ra và các điểm bất thường có thể được coi là các mối đe dọa. Trong một số trường hợp, các nhóm kiểm tra thâm nhập và nhóm săn lùng mối đe dọa sẽ được ghép nối với nhau (Đỏ vs Xanh) để kiểm tra khả năng mạng và khả năng phục hồi của một tổ chức. Cả hai phương pháp này được sử dụng cùng nhau có thể nâng cao đáng kể tình hình an ninh mạng của một tổ chức.
Truy tìm mối đe dọa là một quá trình thủ công
Việc truy tìm mối đe dọa liên quan đến việc xem xét kỹ lưỡng một lượng lớn dữ liệu mà không thể thực hiện được nếu không có các công cụ mạnh mẽ. Những người săn lùng mối đe dọa dựa vào một số công cụ phân tích để giúp xác định hoạt động độc hại. Như vậy, đây không phải là một quá trình hoàn toàn tự động, cũng không phải là một quy trình hoàn toàn thủ công. Những người truy tìm mối đe dọa sử dụng công nghệ để hoàn thành các hoạt động khác nhau.
Việc truy tìm mối đe dọa không có giá trị tài nguyên
Với ngân sách hạn chế dành cho an ninh mạng, các tổ chức đôi lúc không nhận ra tầm quan trọng của việc truy tìm mối đe dọa so với việc triển khai các biện pháp bảo vệ an ninh thông tin truyền thống thường được tự động hóa. Tìm kiếm mối đe dọa không phải lúc nào cũng tạo ra kết quả, tuy nhiên, hoạt động này có thể hỗ trợ việc xác định các vectơ tấn công mà phần mềm phát hiện tự động bỏ qua. Một số mối đe dọa tiên tiến và phức tạp nhất được thiết kế để vượt qua các hệ thống phòng thủ vành đai và có thể gây ra thiệt hại nghiêm trọng cho một tổ chức. Truy tìm mối đe dọa có thể phát hiện ra hoạt động độc hại có thể trốn tránh sự phòng thủ ban đầu của tổ chức. Do đó, yếu tố hiểu biết của con người phải là một thành phần quan trọng trong chiến lược an ninh mạng của mọi tổ chức.
Comments