Theo ông Scott Register, Phó chủ tịch giải pháp bảo mật - Keysight Technologies, hoạt động quản lý rủi ro có thể khá tốn kém. Trên thế giới không có gì miễn phí - và việc bảo hiểm cho doanh nghiệp chống lại các mối đe dọa mạng cũng không phải ngoại lệ. Dưới đây là ba việc các doanh nghiệp có thể thực hiện, để phòng tránh bị tấn công mạng.

Giảm số cảnh báo từ hệ thống SIEM - xác định và tập trung điều tra những cảnh báo quan trọng

Mỗi ngày, các nhóm bảo mật trong doanh nghiệp thường phải đối mặt với hơn một triệu cảnh báo SIEM. Không cần phải là một nhà toán học cũng có thể biết được không một nhóm bảo mật nào có khả năng phân cấp ưu tiên và điều tra một cách hợp lý số lượng cảnh báo quá nhiều như vậy. Đó là lý do tại sao rất nhiều cảnh báo SIEM vẫn bị bỏ qua - cho phép những kẻ tấn công lẻn qua được các khe hở.

Tuy nhiên, nhiều cảnh báo trong số này không có giá trị hành động. Đối với tin tặc, bạn chỉ là địa chỉ IP tiếp theo trong danh sách quét hoặc thăm dò tự động của chúng, và nếu bạn có thể chặn kết nối ngay từ gói tin đầu tiên thì tin tặc sẽ chẳng thể làm được gì. Vì vậy, tại sao phải xử lý cảnh báo? Chỉ cần triển khai một cổng thông tin tình báo về mối đe dọa như ThreatARMOR, bạn đã có thể chặn được tới 80% lưu lượng độc hại vào mạng của mình ngay từ đầu. Nhờ đó, số lượng cảnh báo SIEM và áp lực lên hệ thống NGFW (tường lửa thế hệ sau) của bạn sẽ được giảm đáng kể.

Cách ly bất cứ thứ gì vượt qua được tuyến phòng thủ đầu tiên

Ưu điểm khác của cổng thông tin tình báo về mối đe dọa là khả năng tự động chặn các kết nối về trung tâm chỉ huy và điều khiển (hoặc C&C) xuất phát từ các phần mềm độc hại như mã độc tống tiền. Các công cụ này được hỗ trợ bởi đội ngũ thu thập thông tin tình báo về mối đe dọa với mạng lưới honeypot toàn cầu hoạt động suốt ngày đêm - thực hiện phân tích mã độc và theo dõi các máy chủ C&C quản lý mã độc. Nhờ đó, các công cụ này có thể ngăn chặn không cho phép mã độc đã xâm nhập vào mạng của bạn kết nối với trung tâm chỉ huy - cho phép bạn không chỉ ngăn không để mã độc gây thiệt hại và lây lan mà còn xác định được hệ thống nào đã bị lây nhiễm và cần khắc phục.

Công cụ này không thay thế được sản phẩm bảo mật thiết bị điểm cuối (có khả năng phát hiện hành vi và hoạt động độc hại), nhưng có thể giảm đáng kể tác động mà sự lây nhiễm có thể gây ra đối với mạng.

Liên tục kiểm tra khả năng phòng thủ

An ninh bảo mật luôn thay đổi. Cấu hình sai, các mối đe dọa và lỗ hổng bảo mật mới xuất hiện hằng ngày. Đó là lý do tại sao bạn cần đảm bảo các chính sách bảo mật mạng và điểm cuối của mình đang được thực thi đúng như mong đợi. Báo cáo điều tra vi phạm dữ liệu mới nhất của Verizon tiết lộ rằng các sai lỗi cấu hình đơn giản là nguyên nhân của nhiều vụ vi phạm hơn so với các lỗ hổng công nghệ

Như vậy, ý nghĩa của điều này là gì? Đó là bạn cần phải suy nghĩ như một kẻ tấn công. Và đó chính là chức năng của các công cụ mô phỏng vi phạm và tấn công, như công cụ Threat Simulator của Keysight. Các công cụ này giúp bạn dễ dàng mô phỏng một cách an toàn nhiều loại mã độc khai thác lỗ hổng an ninh bảo mật và các cuộc tấn công chống lại hệ thống an ninh bảo mật (thiết bị điểm cuối, tường lửa, WAF, DLP...), cũng như giúp xác định những sai lỗi cấu hình sai dễ bị tấn công và từng bước hướng dẫn bạn khắc phục bất kỳ lỗ hổng nào được tìm thấy.

Ngoài ra, đừng nên chờ đợi tới khi những kẻ tấn công kiểm tra khả năng phòng thủ của bạn. Hãy đầu tư để tăng cường an ninh mạng, giúp giảm khả năng mạng bị vi phạm nghiêm trọng. Nếu tính đến các chi phí có thể phát sinh khi bị tác động bởi các cuộc tấn công như vậy - bao gồm tiền phạt pháp lý/tuân thủ, thiệt hại danh tiếng và tổn thất vốn hóa thị trường - thật khó để tưởng tượng một khoản đầu tư nào khác có thể giúp bạn giảm thiểu rủi ro tốt hơn là đầu tư cải thiện an ninh mạng.