An ninh mạng đã thay đổi nhanh chóng. Các vai trò ngày càng chuyên môn hóa, và công cụ trở nên tiên tiến hơn. Về lý thuyết, điều này lẽ ra phải giúp các tổ chức an toàn hơn. Nhưng trên thực tế, nhiều đội ngũ vẫn đang vật lộn với những vấn đề cơ bản mà họ đã gặp phải từ nhiều năm trước: ưu tiên rủi ro không rõ ràng, các quyết định về công cụ không phù hợp, và khó khăn trong việc giải thích các vấn đề bảo mật theo cách mà doanh nghiệp có thể hiểu được.
Những thách thức này thường không đến từ việc thiếu nỗ lực. Chúng nảy sinh từ một điều tinh tế hơn, đó là sự mất mát dần dần về hiểu biết nền tảng khi quá trình chuyên môn hóa tăng tốc. Bản thân việc chuyên môn hóa không phải là vấn đề. Vấn đề là thiếu ngữ cảnh. Khi các đội an ninh mạng không có sự hiểu biết chung về cách doanh nghiệp, hệ thống và rủi ro gắn kết với nhau, ngay cả việc thực thi kỹ thuật mạnh mẽ cũng bắt đầu sụp đổ. Theo thời gian, khoảng cách đó thể hiện rõ trong cách các chương trình được thiết kế, các công cụ được lựa chọn và các incident được xử lý. Thật không may, tôi đã chứng kiến mô hình này lặp đi lặp lại khi hỗ trợ các incident và chương trình bảo mật ở các tổ chức thuộc mọi quy mô.
Chuyên môn hóa mà thiếu ngữ cảnh thu hẹp bức tranh rủi ro
An ninh mạng là một lĩnh vực khác thường ở chỗ các chuyên gia có thể chuyên môn hóa rất nhanh. Trong nhiều ngành nghề, đào tạo nền tảng rộng được ưu tiên hàng đầu. Bạn học cách hệ thống hoạt động trước khi tập trung vào một phần của nó. Ví dụ, một người trở thành bác sĩ y khoa trước khi trở thành bác sĩ phẫu thuật chuyên khoa. Trong an ninh mạng, điều này thường ngược lại. Mọi người trực tiếp đảm nhận các vai trò tập trung như cloud security, detection engineering, forensics, hoặc IAM với sự tiếp xúc hạn chế về cách môi trường rộng lớn hơn gắn kết với nhau. Theo thời gian, điều này tạo ra các đội ngũ có năng lực cao trong lĩnh vực của họ nhưng lại bị ngắt kết nối với bức tranh rủi ro lớn hơn.
Thách thức nảy sinh là thiếu khả năng hiển thị end-to-end. Khi bạn chỉ nhìn thấy một phần môi trường, sẽ khó hơn để suy luận về cách các mối đe dọa di chuyển, cách các control tương tác, hoặc tại sao một số rủi ro nhất định lại quan trọng hơn những rủi ro khác. Rủi ro không còn là thứ bạn hiểu một cách toàn diện mà trở thành thứ bạn chỉ nhìn qua lăng kính hạn hẹp của vai trò mình. Đây là nơi nhiều cuộc thảo luận về bảo mật bị phá vỡ. Một vấn đề bảo mật được đưa ra, nhưng nó không được kết nối với cách tổ chức thực sự hoạt động. Nếu không có sự kết nối đó, mối quan ngại nghe có vẻ trừu tượng. Nó không thể tạo được tiếng vang, không phải vì nó không quan trọng, mà vì nó thiếu ngữ cảnh.
Khi công cụ thay thế sự hiểu biết, các chương trình trở nên lạc lối
Một mô hình khác thường xuyên xuất hiện là cách các quyết định bảo mật xoay quanh sản phẩm thay vì quy trình. Các đội được hỏi tại sao họ cần một công cụ, và câu trả lời tập trung vào các tính năng hoặc xu hướng ngành thay vì rủi ro cụ thể mà nó giải quyết trong tổ chức. Khi một công cụ không thể gắn với rủi ro của tổ chức, điều đó thường có nghĩa là vấn đề cơ bản chưa được xác định rõ ràng. Bảo mật trở thành thứ được mua hơn là thứ được thiết kế.
Một chương trình bảo mật chức năng bắt đầu từ doanh nghiệp. Tổ chức tồn tại vì điều gì? Nó phục vụ sứ mệnh gì? Hệ thống và dữ liệu nào là thiết yếu cho sứ mệnh đó? Nếu không có câu trả lời rõ ràng cho những câu hỏi đó, không thể biết chính xác điều gì cần được bảo vệ. Các attacker hiểu rõ điều này. Để phá vỡ một doanh nghiệp, họ phải xác định điều gì quan trọng nhất và nơi nào sẽ chịu tác động. Các defender thiếu sự rõ ràng tương tự sẽ luôn ở thế bị động. Họ phản ứng với các alert và vulnerability mà không có ý thức ưu tiên rõ ràng. Kiến thức nền tảng giúp ngăn chặn sự lạc lối đó. Nó cho phép các đội làm việc từ sứ mệnh đến tài sản đến rủi ro, thay vì từ công cụ đến alert đến remediation.
Phát hiện, phản ứng và phòng ngừa phụ thuộc vào việc biết "điều bình thường"
Nhiều thất bại về bảo mật bắt nguồn từ một vấn đề đơn giản: các đội không biết điều gì là bình thường trong môi trường của chính họ. Việc detection trở nên khó khăn khi hành vi dự kiến không được hiểu rõ. Response chậm lại khi các câu hỏi cơ bản về hệ thống, người dùng và luồng dữ liệu không thể được trả lời nhanh chóng. Prevention trở thành phỏng đoán khi các incident trong quá khứ không thể được giải thích rõ ràng hoặc không rút ra được bài học.
Đây không phải là vấn đề về tooling. Đó là vấn đề về sự quen thuộc. Việc hiểu rõ hệ thống, network và cách tổ chức của bạn hoạt động hàng ngày là nền tảng. Đó là điều cho phép các anomaly nổi bật và các cuộc điều tra tiến hành một cách tự tin. Khi các đội bỏ qua công việc này, họ buộc phải xây dựng sự hiểu biết này trong quá trình các incident, khi áp lực cao nhất và sai lầm là tốn kém nhất. Các khả năng nâng cao chỉ hoạt động khi chúng dựa trên sự hiểu biết cơ bản vững chắc.
Nắm vững các kỹ năng nền tảng tại SANS Security West 2026
An ninh mạng hiện đại phụ thuộc vào chuyên môn hóa. Điều đó sẽ không thay đổi. Điều cần thay đổi là giả định rằng chỉ chuyên môn hóa thôi là đủ. Các kỹ năng nền tảng cho phép các đội chuyên môn hóa suy luận về risk, giao tiếp rõ ràng với doanh nghiệp và đưa ra các quyết định vững chắc dưới áp lực. Chúng tạo ra ngữ cảnh chung, điều thường bị thiếu khi các chương trình lạc lối, công cụ chồng chất hoặc các incident bị đình trệ.
Khi môi trường ngày càng phức tạp, sự hiểu biết chung đó trở thành một yêu cầu, chứ không phải là một điều tốt đẹp có cũng được. Vào tháng 5 này, tôi sẽ trình bày khóa học SEC401: Security Essentials – Network, Endpoint, and Cloud tại SANS Security West 2026 dành cho các đội ngũ và chuyên gia muốn củng cố những nền tảng đó và áp dụng các kỹ năng chuyên môn của họ với ngữ cảnh rõ ràng hơn trong các chương trình bảo mật hiện đại.
Đăng ký tham gia SANS Security West 2026 tại đây.
Lưu ý: Bài viết này được biên soạn và đóng góp bởi Bryan Simon, SANS Senior Instructor.
