Các tổ chức đang nhanh chóng mở rộng các sáng kiến số hóa với quy mô và tốc độ ngày càng tăng. Mặc dù những sáng kiến này giúp tăng doanh thu, mở rộng các dịch vụ và giảm chi phí, chúng cũng buộc các nhà lãnh đạo doanh nghiệp phải tái định hình cách tiếp cận an ninh để bảo vệ các bề mặt kỹ thuật số được mở rộng. Sự chuyển dịch mô hình sang các năng lực số này đã làm gia tăng rủi ro về các vi phạm an ninh. Hơn nữa, các cuộc tấn công phức tạp được tổ chức bởi các tập đoàn tội phạm mạng chuyên nghiệp, có khả năng thực hiện các cuộc tấn công quyết định với độ chính xác cao.
Hạn chế của SOC
Một trung tâm vận hành an ninh (SOC) không đủ khả năng để đối phó với những mối đe dọa mạnh mẽ và tinh vi hiện nay. Phần lớn các SOC tập trung vào giám sát mạng, theo dõi, phân loại cảnh báo, xác định dấu hiệu xâm nhập (Indicators of Compromise – IOC) và đáp ứng các chỉ số SLA. Tuy nhiên, SOC thiếu khả năng giám sát toàn diện đến các endpoint, lưu lượng mạng, các phiên bảo mật lớp truyền tải (TLS), và giao tiếp mạng mã hóa giữa các máy chủ và hệ thống. Điều này khiến chúng không thể phát hiện các khai thác lỗ hổng zero-day.
Hạn chế về quy trình
SOC thường gặp phải độ trễ trong quy trình và không đủ nhanh để thích nghi với những thay đổi trong môi trường hệ thống. Độ trễ này còn xuất phát từ việc các nhà phân tích không hiểu rõ quy trình hoặc do quy trình được thiết kế tạm bợ và không toàn diện. Tình trạng thiếu nhân sự khiến SOC khó có thể cải thiện quy trình, dẫn đến phản ứng sự cố chậm chạp.
Hạn chế về công nghệ
Công nghệ cũng là một rào cản lớn. SOC thiếu các công cụ thế hệ mới để giám sát và phát hiện mối đe dọa trong các ứng dụng đám mây dạng container, vốn rất quan trọng đối với doanh nghiệp số. Hơn nữa, SOC không có đủ khả năng phân tích, threat intelligence và lọc cảnh báo. Điều này làm cho việc xử lý một lượng lớn cảnh báo trùng lặp và liên quan trở nên khó khăn, gây mệt mỏi cho nhân viên và làm giảm hiệu quả phát hiện mối đe dọa. SOC cũng không thể phát hiện các lateral movement của cuộc tấn công do thiếu khả năng giám sát endpoint, một điều mà giải pháp EDR (Endpoint Detection and Response) có thể khắc phục.
Hạn chế về con người
Sự phụ thuộc vào quy trình thủ công khiến SOC dễ gặp sai sót do con người. Các nhà phân tích bảo mật phản ứng với sự cố dựa trên kiến thức và kinh nghiệm hạn chế của họ, dẫn đến phản ứng chậm và dễ sai sót. Những lỗ hổng này chỉ có thể được khắc phục thông qua tự động hóa và tích hợp các hệ thống bảo mật đang hoạt động riêng lẻ.
Bản chất phản ứng
SOC có xu hướng mang tính phản ứng, phụ thuộc vào khả năng của nhà phân tích để đối phó với mối đe dọa, điều này gây ra sự chậm trễ trong phản ứng sự cố. Ngoài ra, SOC cần được cấu hình, cập nhật, và bảo vệ thủ công để đảm bảo hoạt động. Thường thì các nhóm SOC thiếu sự hiểu biết rõ ràng về môi trường mà họ cần bảo vệ, làm tăng tính dễ bị tổn thương của cơ sở hạ tầng.
Hạn chế trong săn mối đe dọa
Thông tin về các mối đe dọa mới nổi và các IOC có thể thực thi là rất quan trọng đối với việc săn tìm mối đe dọa, nhưng hầu hết các SOC không thể thực hiện điều này do thiếu nguồn lực.
Cyber Defense Center có thể thay thế SOC
Cách tiếp cận phản ứng của SOC có thể ngăn chặn các cuộc tấn công một chiều nhưng không hiệu quả với các mối đe dọa đa chiều. Cyber Defense Center (CDC) hoàn toàn có khả năng đối phó với các cuộc tấn công đa chiều tinh vi, có mục tiêu và linh hoạt, chẳng hạn như ransomware và malware.
CDC có thể thay đổi hệ thống phòng thủ mạng bằng cách chủ động xác định các mối đe dọa 24/7/365. CDC nhanh chóng bắt đầu phát hiện và phản ứng với các mối đe dọa trong một cuộc tấn công bằng cách sử dụng các công cụ phát hiện trên endpoint, phân tích hành vi người dùng và thực thể (User and Entity Behavior Analytics – UEBA), phát hiện dựa trên quy tắc, các mô-đun bắt gói, v.v., để nhanh chóng khôi phục các thiết bị và tài sản bị xâm phạm nhằm giảm thiểu nguy cơ xảy ra các vi phạm tiếp theo.
CDC cung cấp một cách tiếp cận toàn diện về bảo mật bằng cách kết hợp các khả năng phòng ngừa, phát hiện và khắc phục, mang lại khả năng hiển thị toàn diện 360 độ trong một môi trường mạng nhiều biến đổi. Được hỗ trợ bởi Azure Sentinel, một giải pháp cloud-native SIEM với phân tích bảo mật thông minh, CDC cung cấp khả năng săn tìm và điều tra mối đe dọa tinh vi để giảm thời gian trung bình cần thiết để phục hồi (Mean time to recover) và đáp ứng nhu cầu bảo mật ở quy mô lớn.
Bạn có thể coi CDC là SOC thế hệ tiếp theo, cần thiết để bảo vệ sự gia tăng theo cấp số nhân của các hệ sinh thái kỹ thuật số bao gồm IoT, mạng xã hội, Big Data, đám mây và các thiết bị di động kết nối. CDC được hỗ trợ bởi các luồng threaat intelligence, cung cấp các điểm số rủi ro hữu dụng để đưa ra quyết định có giá trị thông tin theo thời gian thực. Phân tích các luồng này mang lại những hiểu biết có giá trị về động cơ và khả năng tấn công của đối thủ. Điều này giúp bạn dự đoán, chuẩn bị và giảm thiểu bất kỳ rủi ro nào liên quan đến các cuộc tấn công này.
Bằng cách tích hợp sức mạnh của Managed Detection and Response (MDR), SOC, phân tích thông minh và tự động hóa, Cyber Defense Center mang lại khả năng được điều khiển bởi Machine Learning (ML) giúp phát hiện, giám sát và phản ứng với các mối đe dọa chủ động trên các lớp hạ tầng.
| Security Operations Center | Cyber Defense Center |
| Cơ sở hạ tầng bảo mật truyền thống | Cơ sở hạ tầng bảo mật thế hệ mới |
| Chỉ cung cấp mức độ bảo mật perimeter thông qua các phát hiện theo luật (rule-based) và các tường lửa | Cung cấp cái nhìn toàn diện, thống nhất xuyên suốt toàn bộ hạ tầng của doanh nghiệp, theo dõi 24/7 |
| Phương pháp bảo mật phản ứng (reactive) | Phương pháp bảo mật chủ động (proactive) |
| Thiếu sự quan sát giữa các lớp hạ tầng | Dùng phương pháp do ML vận hành kết hợp phân tích hành vi để đạt được sự quan sát cao nhất giữa các endpoint và người dùng |
| Những đề xuất không có bối cảnh | Đưa ra các đề xuất có bối cảnh và giảm thiểu tỉ lệ false positive và giảm các mối đe dọa |
| Thiếu hụt về khả năng quan sát làm giảm mức độ bảo mật bao phủ xuyên suốt hạ tầng | Chủ động phát hiện, xác minh, và cung cấp báo cáo điều tra về các vi phạm với các tính toán sửa chữa |
| Không có khả năng ưu tiên các báo động dẫn tới sự gia tăng liên tục của các thông báo không cấp bách | Các báo động được ưu tiên dựa trên mức độ nghiêm trọng (high và low). Khả năng điều tra được lượng lớn các báo động |
| Không có khả năng ngăn chặn mối đe dọa theo thời gian thực | Ngăn chặn tự động các mối đe dọa do AI-ML vận hành và vận hành theo playbook được kích hoạt dựa trên các hoạt động và vai trò |
| Không thể phân tích các sự kiện bảo mật để xác minh tính khả thi của 1 mối đe dọa trước khi nó gây ra ảnh hưởng | Tận dụng các phân tích bảo mật và MITRE framework giữa các hành vi của endpoint, người dùng, mạng, và các ứng dụng để cung cấp những thông tin sâu về các cuộc tấn công |
| Độ trễ lớn về thời gian trong phản ứng sự cố và hỗ trợ | Dùng SOAR & SIEM để cải thiện phản ứng sự cố và tiêu chuẩn hóa các quy trình để khôi phục nhanh chóng hơn |
| Không phụ thuộc vào các luồng threat intelligence để hiểu về các mối đe dọa | Phụ thuộc đa dạng luồng threat intelligence để dự đoán và hiểu các loại mối đe dọa có thể tấn công |
| Dùng các giải pháp bảo mật dựa theo điểm như Anti-Virus | Dùng giải pháp Endpoint Detection and Response (EDR) để quản lý quy mô lớn các endpoint |
| Chỉ có thể nhận diện các mối đe dọa đặc trưng do dấu hiệu (signature-based) hoặc đã biết trước | Sự bảo vệ hoàn toàn chống lại các loại tấn công signature-less và file-less |
| Cách tiếp cận bảo mật rời rạc | Cách tiếp cận bảo mật tích hợp bằng cách đồng bộ con người, quy trình và công nghệ |
| Những quá trình được vận hành thủ công | Các quá trình được tự động hóa được hỗ trợ bởi các công nghệ ngăn chặn vi phạm được điều khiển bởi AI |
| Những nhà phân tích thiếu hụt kinh nghiệm | Đội ngũ các chuyên gia threat hunter dày dặn kinh nghiệm có khả năng đảm nhiệm cho blue team, red team, các hoạt động pháp y hoặc điều tra |
| Không thể theo dõi các thị trường hay các cộng đồng ngầm | Thông qua dịch vụ theo dõi dark-web, cung cấp khả năng quan sát được bên trong cộng đồng hacker hoặc thị trường ngầm cho bất kỳ dữ liệu nào bị đánh cấp |
| Hạn chế khả năng pháp y mạng (cyber forensics) | Cung cấp dịch dụ pháp y mạng phục vụ cho việc điều tra, thu thập và phân tích các bằng chứng bị tấn công cho các nhu cầu pháp lý |
Bối cảnh các mối đe dọa ngày càng phức tạp, và nguy cơ từ các vi phạm đang gia tăng mỗi ngày. Để duy trì tuân thủ và an toàn, bạn cần sự giám sát liên tục, quản lý tập trung và khả năng tương tác mà chỉ một CDC mới có thể cung cấp. Các hệ thống phòng thủ APT thế hệ đầu tiên là không đủ. Đã đến lúc áp dụng sức mạnh của một CDC để xác nhận trạng thái bảo mật của tổ chức, củng cố phòng thủ và duy trì khả năng sẵn sàng bảo mật.
