Xem nhanh
Trước đây, trong lĩnh vực an ninh mạng, việc lựa chọn dịch vụ thông tin tình báo mối đe dọa an ninh mạng thường chỉ hạn chế ở một số ít nhà cung cấp.
Hiện nay, ngành bảo mật khu vực châu Á Thái Bình Dương (APAC) đạt trị giá ít nhất 30,45 tỷ USD và theo dự báo sẽ tăng trưởng với tốc độ thường niên 18,3% trong giai đoạn từ 2020 đến 2025, trong đó, rất nhiều nhà cung cấp giải pháp an ninh mạng đang nỗ lực gia tăng thị phần.
Đối với bất kỳ Giám đốc Bảo mật thông tin (CISO) nào, khi hoạt động trong môi trường có mức độ số hóa cao như hiện nay, họ không chỉ có nhiệm vụ thiết lập và duy trì các hoạt động chuyển đổi số của doanh nghiệp trong điều kiện ngân sách eo hẹp mà còn phải đảm bảo chính sách Công nghệ Thông tin của công ty phù hợp với các cơ chế bảo mật dữ liệu trên thị trường.
Đó không phải là công việc dễ dàng, nhưng những điều như nắm được thông tin tình báo mối đe dọa cũng góp phần giúp doanh nghiệp hoạt động trơn tru hơn. Vấn đề này đã được đề cập thường xuyên trong vài năm qua.
Như vậy, thông tin tình báo mối đe dọa an ninh mạng là gì và doanh nghiệp cần tìm kiếm những phẩm chất, năng lực gì từ một nhà cung cấp dịch vụ thông tin tình báo mối đe dọa an ninh mạng?
Biến thông tin thành hành động
Thông tin tình báo mối đe dọa an ninh mạng là dữ liệu được một tổ chức thu thập và phân tích nhằm hiểu rõ động lực, mục tiêu và hành vi tấn công của tin tặc. Thông tin đó góp phần nâng cao năng lực của các tổ chức ở mọi hình thái và quy mô trong việc đưa ra những quyết định nhanh chóng, chính xác hơn về bảo mật, đồng thời chuyển hoạt động bảo mật từ trạng thái thụ động sang chủ động trong cuộc chiến chống lại các cuộc tấn công có chủ đích.
Có rất nhiều thông tin tình báo mối đe dọa miễn phí nếu người dùng dành thời gian tìm kiếm. Tuy nhiên, báo cáo hay nguồn thông tin tình báo mối đe dọa an ninh mạng cũng giống như việc kiểm duyệt phim chiếu rạp. Người kiểm duyệt sẽ được trải nghiệm phim đầu tiên và thậm chí biết rõ các nhân vật. Sau đó, bộ phim sẽ được công chiếu tại các rạp chiếu phim lớn. Cuối cùng, khoảng 6 tháng sau hoặc lâu hơn, bộ phim sẽ được cung cấp thông qua một số dịch vụ streaming trực tuyến.
Tại Kaspersky, chúng tôi cung cấp thông tin hỗ trợ tổ chức ra quyết định toàn diện, có hệ thống, theo thời gian thực qua các báo cáo và nguồn dữ liệu hàng đầu về mối đe dọa an ninh mạng cho các doanh nghiệp và tổ chức đã đăng ký thuê bao sử dụng dịch vụ. Chúng tôi còn chia sẻ những thông tin đó với các cơ quan thực thi pháp luật, vì chúng tôi cho rằng mối quan hệ hợp tác có ý nghĩa then chốt trong việc đối phó với tội phạm mạng.
Sau vài tháng, chúng tôi sẽ công bố rộng rãi những thông tin này. Tại sao doanh nghiệp không nên chờ đến khi báo cáo về mối đe dọa bảo mật được công bố rộng rãi? Bởi vì việc biết trước thông tin sẽ cho phép doanh nghiệp phản ứng nhanh chóng, đánh giá rủi ro, kiểm tra thiết bị đầu cuối, bịt các lỗ hổng bảo mật có thể bị tin tặc khai thác. Việc trực tiếp biết được những thông tin quan trọng có thể giúp doanh nghiệp tiết kiệm tiền bạc, bảo vệ uy tín và tránh được các vấn đề khác. Hoạt động bảo mật chủ động đóng vai trò rất cần thiết trong giai đoạn này. Và tại sao chúng tôi không công bố rộng rãi ngay những phát hiện của mình? Lý do là công bố rộng rãi có nghĩa là công bố với tất cả mọi người – bao gồm tội phạm mạng, trong khi mục tiêu cuối cùng của chúng ta là loại bỏ chúng.
Ngoài ra, doanh nghiệp còn cần những yếu tố gì từ một nhà cung cấp dịch vụ thông tin tình báo mối đe dọa an ninh mạng?
1. Kiểm tra nguồn dữ liệu
Thông tin tình báo mối đe dọa an ninh mạng cần có khả năng biến hệ thống của tổ chức trở nên thông minh hơn nhờ nguồn dữ liệu. Để có được nguồn dữ liệu, doanh nghiệp cần sử dụng những cảm biến phân tán khắp nơi trên toàn cầu để đảm bảo rằng dữ liệu phản ánh đúng bối cảnh về nguy cơ bảo mật toàn cầu theo thời gian thực.
Ví dụ như, danh mục giải pháp Thông tin tình báo mối đe dọa an ninh mạng của chúng tôi được hỗ trợ bởi hàng triệu người dùng sản phẩm Kaspersky trên phạm vi toàn cầu – những người đã đồng ý chia sẻ dữ liệu ẩn danh của mình. Mạng lưới khổng lồ này hình thành nên KSN (Kaspersky Security Network), nhận diện hơn 340.000 file mã độc mỗi ngày, cho phép chúng tôi có được lượng thông tin nhiều hơn các nhà cung cấp giải pháp chỉ có số lượng cảm biến và lực lượng hạn chế.
2. Chiến lược thu thập dữ liệu cần “GReAT”
Về phương diện nguồn nhân lực, một chiến lược thu thập dữ liệu của nhà cung cấp thông tin tình báo mối đe dọa an ninh mạng nên là yếu tố quan trọng nhất và được xem xét để đánh giá năng lực của nhà cung cấp. Khi bản chất của các vụ tấn công an ninh mạng là xuyên biên giới, điều quan trọng là nhà cung cấp giải pháp có thể tìm nguồn thông tin trên phạm vi toàn cầu và lắp ráp các mảnh ghép theo cách thức có ý nghĩa với nhân viên Công nghệ Thông tin của doanh nghiệp. Thông tin đó cần được tổng hợp và mang tính hệ thống. Nó cũng cần được giám sát và nghiên cứu thận trọng bởi những bộ óc thông minh nhất, những người có thể thấu hiểu các chiến thuật, kỹ thuật và quy trình (tactics, techniques, and procedures – TTP).
Để đánh giá xem một dịch vụ thông tin tình báo mối đe dọa an ninh mạng có năng lực này hay không, hãy xem xét đội ngũ nghiên cứu của nhà cung cấp và những chiến dịch tấn công của tin tặc mà họ đã từng phát hiện. Ví dụ như, GREAT (Kaspersky’s Global Research & Analysis Team – Bộ phận Nghiên cứu & Phân tích Toàn cầu của Kaspersky) đã phát hiện ra nhóm tội phạm mạng Lazarus APT đã thay đổi chiến thuật để phát tán các vụ tấn công bằng mã độc tống tiền nhắm vào các doanh nghiệp tại châu Á, sau đó mở rộng đến Pháp vào Quý 2 năm nay.
3. Kiểm tra thông tin
Như tôi đã đề cập đến bản chất không biên giới của mối đe dọa bảo mật, thông tin của nhà cung cấp dịch vụ cần phải là một mục nữa mà doanh nghiệp cần xem xét. Xem xét sổ ghi chép (logbook) và cơ sở dữ liệu về các vụ tấn công có chủ đích của các nhà cung cấp giải pháp. Có phải họ chỉ đang giám sát các mối đe dọa an ninh mạng từ một quốc gia hay khu vực nhất định không? Hoặc họ có phạm vi bao phủ toàn cầu không? Các nhà nghiên cứu của họ có chỉ tập trung ở một quốc gia không? Họ có một mạng lưới các chuyên gia ở khắp nơi trên thế giới không?…
4. Nhà cung cấp dịch vụ cần hiểu rõ sự khác biệt giữa thông tin tình báo (intelligence) và dữ liệu (data)
Trọng tâm của nội dung trao đổi về thông tin và dữ liệu nằm ở khái niệm về bối cảnh. Giả định rằng, doanh nghiệp đã có các nguồn dữ liệu và thông tin được tải về từ mọi ngóc ngách trên toàn cầu, nhưng doanh nghiệp cũng đang tự đặt ra câu hỏi trị giá hàng triệu đô la: làm thế nào để doanh nghiệp biết rằng điều gì là quan trọng và tại sao nó lại quan trọng?
Những nội dung như là tên, nhãn thời gian, địa chỉ IP đã được phân giải của mối đe dọa bảo mật đều là vô nghĩa nếu chúng không được bổ sung thêm bằng bối cảnh hỗ trợ ra quyết định. Khi thiết lập được bối cảnh về mối quan hệ, dữ liệu có thể được sử dụng một cách sẵn sàng hơn để trả lời các câu hỏi “ai”, “cái gì”, “ở đâu”, .v.v. Chỉ đến bước này thì dữ liệu mới trở thành một sản phẩm hoàn chỉnh – tức là thông tin – để doanh nghiệp có thể tăng cường điều tra cũng như là khám phá những Dấu hiệu bị Chiếm quyền (Indicators of Compromise – IoC) trong mạng lưới Công nghệ Thông tin của doanh nghiệp.
5. Năng lực tích hợp là yêu cầu quan trọng
Tích hợp có thể là một công việc không dễ dàng trong ngành Công nghệ Thông tin. Với những nâng cấp công nghệ liên tục và sự phát triển của các tiêu chuẩn hiện nay, năng lực để tích hợp các quy trình mới vào các hoạt động Công nghệ Thông tin hiện tại là một thách thức lớn.
Tương tự như vậy, đối với thông tin về nguy cơ bảo mật, điều quan trọng là nhà cung cấp dịch vụ của doanh nghiệp cần có thể cung cấp các phương pháp triển khai, các cơ chế và định dạng tích hợp để hỗ trợ việc tích hợp thông tin về nguy cơ bảo mật với các biện pháp kiểm soát bảo mật hiện tại.
“Nước cờ” cuối cùng
Những hướng dẫn nói trên chỉ là một số trong rất nhiều khía cạnh mà doanh nghiệp cần xem xét khi tìm kiếm dịch vụ thông tin tình báo mối đe dọa an ninh mạng, nhưng chúng cũng đóng vai trò xây dựng một nền tảng vững mạnh để củng cố hoạt động bảo mật hiện tại của doanh nghiệp. Khi các mối đe dọa bảo mật đang ngày càng trở nên phức tạp và có mức độ ảnh hưởng lớn hơn, việc đơn thuần chỉ có được các chương trình bảo mật doanh nghiệp mới nhất không còn là đủ nữa. Việc bổ sung thêm thông tin về nguy cơ bảo mật vào danh mục giải pháp bảo mật sẽ cho phép doanh nghiệp chủ động chiến đấu với tin tặc.
Bài viết của ông Yeo Siang Tiong, Tổng Giám đốc Kaspersky Khu vực Đông Nam Á