An ninh mạng đã thay đổi nhanh chóng. Các vai trò ngày càng chuyên môn hóa, và các công cụ ngày càng tiên tiến. Về lý thuyết, điều này sẽ giúp các tổ chức an toàn hơn. Nhưng trên thực tế, nhiều đội ngũ vẫn gặp phải những vấn đề cơ bản mà họ đã đối mặt từ nhiều năm trước: ưu tiên rủi ro không rõ ràng, các quyết định về công cụ không phù hợp, và khó khăn trong việc giải thích các vấn đề security theo cách mà doanh nghiệp hiểu được.
Những thách thức này thường không xuất phát từ việc thiếu nỗ lực. Chúng xuất hiện từ một điều gì đó tinh tế hơn, đó là sự mất dần hiểu biết nền tảng khi chuyên môn hóa tăng tốc. Bản thân việc chuyên môn hóa không phải là vấn đề. Thiếu ngữ cảnh mới là vấn đề. Khi các đội ngũ security không có sự hiểu biết chung về cách doanh nghiệp, hệ thống và các rủi ro liên kết với nhau, ngay cả việc thực thi kỹ thuật mạnh mẽ cũng bắt đầu sụp đổ. Theo thời gian, khoảng cách đó thể hiện rõ trong cách các chương trình được thiết kế, các công cụ được lựa chọn và các incident được xử lý. Thật không may, tôi đã chứng kiến mô hình này lặp đi lặp lại khi hỗ trợ các incident và chương trình security ở các tổ chức thuộc mọi quy mô.
Chuyên môn hóa mà thiếu ngữ cảnh sẽ thu hẹp bức tranh rủi ro
An ninh mạng là một lĩnh vực đặc biệt về tốc độ các chuyên gia có thể chuyên môn hóa. Trong nhiều ngành nghề, đào tạo nền tảng rộng được ưu tiên trước. Bạn học cách hệ thống hoạt động trước khi tập trung vào một phần của nó. Ví dụ, một người trở thành bác sĩ y khoa trước khi trở thành bác sĩ phẫu thuật chuyên khoa. Trong security, điều này thường ngược lại. Mọi người trực tiếp đảm nhận các vai trò tập trung như cloud security, detection engineering, forensics, hoặc IAM với ít hiểu biết về cách môi trường rộng lớn hơn kết nối với nhau. Theo thời gian, điều này tạo ra các đội ngũ có năng lực cao trong lĩnh vực của họ nhưng lại bị ngắt kết nối với bức tranh rủi ro tổng thể.
Thách thức phát sinh là thiếu tầm nhìn end-to-end. Khi bạn chỉ nhìn thấy một phần của môi trường, sẽ khó hơn để suy luận về cách các threat di chuyển, cách các control tương tác, hoặc tại sao một số rủi ro lại quan trọng hơn những rủi ro khác. Rủi ro không còn là thứ bạn hiểu một cách toàn diện mà trở thành thứ bạn chỉ nhìn qua lăng kính hẹp của vai trò của mình. Đây là nơi nhiều cuộc trò chuyện về security bị đổ vỡ. Một vấn đề security được nêu ra, nhưng nó không được kết nối với cách tổ chức thực sự hoạt động. Nếu không có sự kết nối đó, mối lo ngại nghe có vẻ trừu tượng. Nó không tạo được sự đồng cảm, không phải vì nó không quan trọng, mà vì nó thiếu ngữ cảnh.
Khi công cụ thay thế sự hiểu biết, các chương trình bị lệch hướng
Một mô hình khác xuất hiện lặp đi lặp lại là cách các quyết định security tập trung vào sản phẩm thay vì quy trình. Các đội ngũ được hỏi tại sao họ cần một công cụ, và câu trả lời thường tập trung vào các feature hoặc xu hướng của ngành thay vì rủi ro cụ thể mà nó giải quyết bên trong tổ chức. Khi một công cụ không thể được liên kết trở lại với rủi ro của tổ chức, điều đó thường có nghĩa là vấn đề cơ bản chưa được xác định rõ ràng. Security trở thành thứ được mua thay vì thứ được thiết kế.
Một chương trình security hiệu quả bắt đầu từ doanh nghiệp. Tổ chức tồn tại vì lý do gì? Nó phục vụ sứ mệnh nào? Hệ thống và dữ liệu nào là thiết yếu cho sứ mệnh đó? Nếu không có câu trả lời rõ ràng cho những câu hỏi đó, không thể biết chính xác cần bảo vệ cái gì. Attackers hiểu rõ điều này. Để làm gián đoạn một doanh nghiệp, họ phải xác định điều gì quan trọng nhất và nơi nào sẽ chịu ảnh hưởng. Những defender thiếu sự rõ ràng đó luôn ở thế phản ứng. Họ phản hồi các alert và vulnerability mà không có cảm giác ưu tiên rõ ràng. Kiến thức nền tảng giúp ngăn chặn sự lệch hướng đó. Nó cho phép các đội ngũ làm việc từ sứ mệnh đến asset đến risk, thay vì từ công cụ đến alert đến remediation.
Detection, response và prevention phụ thuộc vào việc biết “trạng thái bình thường”
Nhiều thất bại trong security bắt nguồn từ một vấn đề đơn giản: các đội ngũ không biết trạng thái bình thường trông như thế nào trong môi trường của chính họ. Detection trở nên khó khăn khi hành vi mong đợi không được hiểu rõ. Response chậm lại khi các câu hỏi cơ bản về hệ thống, người dùng và luồng dữ liệu không thể được trả lời nhanh chóng. Prevention biến thành sự phỏng đoán khi các incident trong quá khứ không thể được giải thích rõ ràng hoặc không học hỏi được.
Đây không phải là vấn đề về công cụ. Đây là vấn đề về sự quen thuộc. Việc hiểu rõ hệ thống, network và cách tổ chức của bạn hoạt động hàng ngày là nền tảng. Đó là điều cho phép các anomaly nổi bật và các cuộc investigation tiến triển một cách tự tin. Khi các đội ngũ bỏ qua công việc này, họ buộc phải xây dựng sự hiểu biết này trong quá trình xử lý incident, khi áp lực là cao nhất và sai lầm là tốn kém nhất. Các khả năng nâng cao chỉ hoạt động khi chúng được đặt trên nền tảng hiểu biết cơ bản vững chắc.
Nắm vững các kỹ năng nền tảng của bạn tại SANS Security West 2026
An ninh mạng hiện đại phụ thuộc vào chuyên môn hóa. Điều đó sẽ không thay đổi. Điều cần thay đổi là giả định rằng chỉ chuyên môn hóa thôi là đủ. Các kỹ năng nền tảng cho phép các đội ngũ chuyên biệt suy luận về risk, giao tiếp rõ ràng với doanh nghiệp và đưa ra các quyết định có thể chịu được áp lực. Chúng tạo ra ngữ cảnh chung, điều thường bị thiếu khi các chương trình bị lệch hướng, công cụ chất đống hoặc incident bị đình trệ.
Khi môi trường ngày càng phức tạp, sự hiểu biết chung đó trở thành một yêu cầu bắt buộc, chứ không phải là một điều tốt đẹp nên có. Vào tháng 5 này, tôi sẽ trình bày khóa học SEC401: Security Essentials – Network, Endpoint, and Cloud tại SANS Security West 2026 dành cho các đội ngũ và chuyên gia muốn củng cố những nền tảng đó và áp dụng các kỹ năng chuyên biệt của họ với ngữ cảnh rõ ràng hơn trong các chương trình security hiện đại.
Đăng ký tham gia SANS Security West 2026 tại đây.
Lưu ý: Bài viết này được viết chuyên nghiệp và đóng góp bởi Bryan Simon, SANS Senior Instructor.
