Phi Vũ
New member
Các thợ săn mối đe dọa không thể lãng phí thời gian dò dẫm trong bóng tối — họ cần khả năng quan sát thực sự để phát hiện kẻ xâm nhập sớm. Thiếu bối cảnh và quá nhiều cảnh báo giả khiến tổ chức bỏ lỡ cơ hội ngăn chặn tấn công trước khi nó lan rộng.
Những vụ vi phạm bảo mật nghiêm trọng hiếm khi bắt đầu ồn ào. Thường là kẻ tấn công lặng lẽ vượt qua lớp phòng thủ, ẩn náu và di chuyển trong hệ thống trong khi những người phòng vệ không nhận ra — chính thời gian kẻ xâm nhập lưu lại trong hệ thống biến một vụ xâm nhập nhỏ thành thảm họa.
Dù tổ chức đã đầu tư nhiều vào công cụ phòng ngừa, việc phát hiện và ngăn chặn kẻ tấn công khi họ đã ở bên trong vẫn là thách thức lớn. Vấn đề thường không phải thiếu cảnh báo hay thiếu dữ liệu, mà thiếu độ rõ ràng và bối cảnh để hiểu điều gì thực sự quan trọng.
Nhóm an ninh đang bị quá tải: nghiên cứu cho thấy một tổ chức điển hình phải đối mặt hơn 2.000 cảnh báo mỗi ngày, nhiều trong số đó là nhiễu. Các nhà phân tích mất hơn 14 giờ mỗi tuần để xử lý cảnh báo giả, và hai phần ba lãnh đạo thừa nhận đội ngũ không theo kịp — cảnh báo bị bỏ sót nhanh chóng trở thành cơ hội bị bỏ lỡ để ngăn chặn kẻ tấn công sớm.
Độ phức tạp của bộ công cụ làm vấn đề trầm trọng hơn. Hầu hết tổ chức dùng nhiều nền tảng phát hiện và phản ứng trên đám mây, nhưng gần như tất cả (92%) vẫn báo cáo còn khoảng trống năng lực. Nhiều dữ liệu không đồng nghĩa với phát hiện tốt hơn; hệ thống chồng chéo tạo ra tầm nhìn phân mảnh và thông tin mâu thuẫn. Không có bối cảnh ý nghĩa để liên kết các tín hiệu, người phòng vệ chỉ còn ghép các mảnh rời chứ không thấy bức tranh thực sự.
Kẻ tấn công đang tận dụng điều này bằng chiến thuật “chậm và kín” (low-and-slow). Sau khi xâm nhập, thay vì hành động ngay, chúng thường lén lút di chuyển trong mạng, leo thang quyền hạn, dò xét khối tải công việc và tìm hệ thống chứa dữ liệu nhạy cảm. Sự di chuyển ngang này là điểm mà các vi phạm nhỏ dễ leo thang thành sự cố vận hành nghiêm trọng, và cũng là giai đoạn khó phát hiện nhất.
Gần 9 trong 10 tổ chức cho biết họ gặp sự cố liên quan đến di chuyển ngang trong năm vừa qua. Trung bình những sự cố này gây hơn bảy giờ gián đoạn dịch vụ, với quá trình khắc phục và phục hồi còn kéo dài hơn nữa. Một phần nguyên nhân là lưu lượng nội bộ (east–west) trong môi trường lai vẫn chưa được hiểu rõ: ngay cả khi tin rằng đang giám sát hiệu quả, gần 40% lưu lượng nội bộ thiếu bối cảnh cần thiết cho phân tích tin cậy.
Khi người phòng vệ bị quá tải, không chắc chắn hoặc không thể phân biệt hoạt động hợp pháp với dấu hiệu ban đầu của xâm nhập, kẻ tấn công được hưởng lợi. Để chống lại mối đe dọa này cần khả năng quan sát sâu sắc: không chỉ log thô mà phải thấy được hành vi, mô hình, danh tính, khối tải công việc và luồng east–west để phát hiện những tín hiệu tinh vi của kẻ xâm nhập đang hoạt động.
Khả năng quan sát phải tiến xa hơn việc thu thập nhiều log hơn. Nó đòi hỏi hiểu cách các hệ thống liên quan, hành xử và thay đổi theo thời gian, đồng thời kết nối những hiểu biết đó để ưu tiên điều tra trước khi kẻ tấn công làm được. Tích lũy thêm dữ liệu mà không có mô hình bối cảnh chỉ làm tăng mệt mỏi cảnh báo.
Các đội an ninh cần một cái nhìn kết nối về môi trường, chứ không phải các tín hiệu rời rạc. Những mô hình có bối cảnh, như đồ thị bảo mật, giúp ánh xạ mối quan hệ giữa khối tải công việc, danh tính và thiết bị — từ đó tập trung nỗ lực vào hành vi của kẻ tấn công, giảm nhiễu và rút ngắn thời gian phát hiện và phản ứng.
Đầu tư vào khả năng quan sát có chiều sâu và vào việc tạo bối cảnh cho lưu lượng nội bộ là bước then chốt để các tổ chức chuyển từ phản ứng lúng túng sang săn tìm mối đe dọa có chủ đích và hiệu quả.
Nguồn: Techradar
Những vụ vi phạm bảo mật nghiêm trọng hiếm khi bắt đầu ồn ào. Thường là kẻ tấn công lặng lẽ vượt qua lớp phòng thủ, ẩn náu và di chuyển trong hệ thống trong khi những người phòng vệ không nhận ra — chính thời gian kẻ xâm nhập lưu lại trong hệ thống biến một vụ xâm nhập nhỏ thành thảm họa.
Dù tổ chức đã đầu tư nhiều vào công cụ phòng ngừa, việc phát hiện và ngăn chặn kẻ tấn công khi họ đã ở bên trong vẫn là thách thức lớn. Vấn đề thường không phải thiếu cảnh báo hay thiếu dữ liệu, mà thiếu độ rõ ràng và bối cảnh để hiểu điều gì thực sự quan trọng.
Nhóm an ninh đang bị quá tải: nghiên cứu cho thấy một tổ chức điển hình phải đối mặt hơn 2.000 cảnh báo mỗi ngày, nhiều trong số đó là nhiễu. Các nhà phân tích mất hơn 14 giờ mỗi tuần để xử lý cảnh báo giả, và hai phần ba lãnh đạo thừa nhận đội ngũ không theo kịp — cảnh báo bị bỏ sót nhanh chóng trở thành cơ hội bị bỏ lỡ để ngăn chặn kẻ tấn công sớm.
Độ phức tạp của bộ công cụ làm vấn đề trầm trọng hơn. Hầu hết tổ chức dùng nhiều nền tảng phát hiện và phản ứng trên đám mây, nhưng gần như tất cả (92%) vẫn báo cáo còn khoảng trống năng lực. Nhiều dữ liệu không đồng nghĩa với phát hiện tốt hơn; hệ thống chồng chéo tạo ra tầm nhìn phân mảnh và thông tin mâu thuẫn. Không có bối cảnh ý nghĩa để liên kết các tín hiệu, người phòng vệ chỉ còn ghép các mảnh rời chứ không thấy bức tranh thực sự.
Kẻ tấn công đang tận dụng điều này bằng chiến thuật “chậm và kín” (low-and-slow). Sau khi xâm nhập, thay vì hành động ngay, chúng thường lén lút di chuyển trong mạng, leo thang quyền hạn, dò xét khối tải công việc và tìm hệ thống chứa dữ liệu nhạy cảm. Sự di chuyển ngang này là điểm mà các vi phạm nhỏ dễ leo thang thành sự cố vận hành nghiêm trọng, và cũng là giai đoạn khó phát hiện nhất.
Gần 9 trong 10 tổ chức cho biết họ gặp sự cố liên quan đến di chuyển ngang trong năm vừa qua. Trung bình những sự cố này gây hơn bảy giờ gián đoạn dịch vụ, với quá trình khắc phục và phục hồi còn kéo dài hơn nữa. Một phần nguyên nhân là lưu lượng nội bộ (east–west) trong môi trường lai vẫn chưa được hiểu rõ: ngay cả khi tin rằng đang giám sát hiệu quả, gần 40% lưu lượng nội bộ thiếu bối cảnh cần thiết cho phân tích tin cậy.
Khi người phòng vệ bị quá tải, không chắc chắn hoặc không thể phân biệt hoạt động hợp pháp với dấu hiệu ban đầu của xâm nhập, kẻ tấn công được hưởng lợi. Để chống lại mối đe dọa này cần khả năng quan sát sâu sắc: không chỉ log thô mà phải thấy được hành vi, mô hình, danh tính, khối tải công việc và luồng east–west để phát hiện những tín hiệu tinh vi của kẻ xâm nhập đang hoạt động.
Khả năng quan sát phải tiến xa hơn việc thu thập nhiều log hơn. Nó đòi hỏi hiểu cách các hệ thống liên quan, hành xử và thay đổi theo thời gian, đồng thời kết nối những hiểu biết đó để ưu tiên điều tra trước khi kẻ tấn công làm được. Tích lũy thêm dữ liệu mà không có mô hình bối cảnh chỉ làm tăng mệt mỏi cảnh báo.
Các đội an ninh cần một cái nhìn kết nối về môi trường, chứ không phải các tín hiệu rời rạc. Những mô hình có bối cảnh, như đồ thị bảo mật, giúp ánh xạ mối quan hệ giữa khối tải công việc, danh tính và thiết bị — từ đó tập trung nỗ lực vào hành vi của kẻ tấn công, giảm nhiễu và rút ngắn thời gian phát hiện và phản ứng.
Đầu tư vào khả năng quan sát có chiều sâu và vào việc tạo bối cảnh cho lưu lượng nội bộ là bước then chốt để các tổ chức chuyển từ phản ứng lúng túng sang săn tìm mối đe dọa có chủ đích và hiệu quả.
Nguồn: Techradar
Bài viết liên quan