Hiện nay, các doanh nghiệp thường được kỳ vọng có ít nhất 6-8 công cụ phát hiện, bởi phát hiện được coi là khoản đầu tư tiêu chuẩn và là tuyến phòng thủ đầu tiên. Tuy nhiên, các nhà lãnh đạo bảo mật gặp khó khăn trong việc biện minh cho việc dành nguồn lực sâu hơn vào vòng đời cảnh báo với cấp trên của họ.
Kết quả là, các khoản đầu tư bảo mật của hầu hết các tổ chức đều không cân xứng, với các công cụ phát hiện mạnh mẽ nhưng lại đi kèm với một đội ngũ SOC thiếu nguồn lực — tuyến phòng thủ cuối cùng của họ.
Một nghiên cứu điển hình gần đây cho thấy các công ty với một SOC được tiêu chuẩn hóa đã ngăn chặn thành công một cuộc tấn công phishing tinh vi vượt qua các công cụ bảo mật email hàng đầu. Trong nghiên cứu này, một chiến dịch phishing đa công ty đã nhắm mục tiêu vào các giám đốc điều hành cấp C-suite tại nhiều doanh nghiệp. Tám công cụ bảo mật email khác nhau trên các tổ chức này đều không phát hiện được cuộc tấn công, và email phishing đã đến được hộp thư đến của các giám đốc. Tuy nhiên, đội ngũ SOC của mỗi tổ chức đã phát hiện cuộc tấn công ngay sau khi nhân viên báo cáo các email đáng ngờ.
Tại sao tất cả tám công cụ phát hiện đều thất bại trong khi SOC lại thành công?
Điểm chung của tất cả các tổ chức này là một khoản đầu tư cân bằng trên toàn bộ vòng đời cảnh báo, không bỏ qua SOC của họ.
Bài viết này xem xét cách đầu tư vào SOC là không thể thiếu đối với các tổ chức đã phân bổ đáng kể nguồn lực cho các công cụ phát hiện. Ngoài ra, một khoản đầu tư SOC cân bằng là rất quan trọng để tối đa hóa giá trị của các khoản đầu tư phát hiện hiện có.
Công cụ phát hiện và SOC hoạt động trong các vũ trụ song song
Hiểu được sự ngắt kết nối cơ bản này sẽ giải thích cách các lỗ hổng bảo mật phát sinh:
Công cụ phát hiện hoạt động trong mili giây. Chúng phải đưa ra quyết định tức thì trên hàng triệu tín hiệu mỗi ngày. Chúng không có thời gian cho sự tinh tế; tốc độ là điều cần thiết. Nếu không có nó, mạng lưới sẽ bị đình trệ, vì mọi email, tệp và yêu cầu kết nối sẽ bị giữ lại để phân tích.
Công cụ phát hiện tập trung vào chi tiết. Chúng là những công cụ đầu tiên xác định và cô lập các mối đe dọa tiềm tàng, nhưng chúng thiếu cái nhìn tổng thể. Trong khi đó, các đội ngũ SOC hoạt động với cái nhìn bao quát 30.000 feet. Khi cảnh báo đến tay các nhà phân tích, họ có một thứ mà các công cụ phát hiện thiếu: thời gian và ngữ cảnh.
Do đó, SOC giải quyết các cảnh báo từ một góc độ khác:
- Họ có thể phân tích các mẫu hành vi, chẳng hạn như tại sao một giám đốc điều hành đột nhiên đăng nhập từ một địa chỉ IP của datacenter trong khi họ thường làm việc từ London.
- Họ có thể kết nối dữ liệu giữa các công cụ. Họ có thể xem một email có domain uy tín cùng với các nỗ lực xác thực tiếp theo và báo cáo của người dùng.
- Họ có thể xác định các mẫu chỉ có ý nghĩa khi được nhìn thấy cùng nhau, chẳng hạn như nhắm mục tiêu độc quyền vào các giám đốc tài chính kết hợp với thời gian phù hợp với chu kỳ trả lương.
Ba rủi ro lớn khi SOC bị thiếu hụt ngân sách
Đầu tiên, nó có thể làm cho việc lãnh đạo điều hành khó khăn hơn trong việc xác định gốc rễ của vấn đề. Các CISOs và những người nắm giữ ngân sách trong các tổ chức triển khai nhiều công cụ phát hiện thường cho rằng các khoản đầu tư của họ sẽ giữ an toàn cho họ. Trong khi đó, SOC trải nghiệm điều này khác, bị choáng ngợp bởi nhiễu và thiếu nguồn lực để điều tra đúng cách các mối đe dọa thực sự. Bởi vì chi tiêu cho phát hiện là rõ ràng, trong khi các vấn đề của SOC xảy ra "sau cánh cửa đóng kín", các nhà lãnh đạo bảo mật thấy khó khăn trong việc chứng minh sự cần thiết phải đầu tư thêm vào SOC của họ.
Thứ hai, sự mất cân xứng làm quá tải tuyến phòng thủ cuối cùng. Các khoản đầu tư đáng kể vào nhiều công cụ phát hiện tạo ra hàng ngàn cảnh báo làm ngập lụt SOC mỗi ngày. Với các SOC thiếu hụt ngân sách, các nhà phân tích trở thành những thủ môn đối mặt với hàng trăm cú sút cùng một lúc, buộc phải đưa ra quyết định trong tích tắc dưới áp lực lớn.
Thứ ba, nó làm suy yếu khả năng xác định các mối đe dọa tinh vi. Khi SOC bị quá tải bởi các cảnh báo, khả năng thực hiện công việc điều tra chi tiết sẽ bị mất. Các mối đe dọa thoát khỏi sự phát hiện là những mối đe dọa mà các công cụ phát hiện sẽ không bao giờ bắt được ngay từ đầu.
Từ các giải pháp tạm thời đến hoạt động SOC bền vững
Khi các công cụ phát hiện tạo ra hàng trăm cảnh báo mỗi ngày, việc bổ sung thêm một vài nhà phân tích SOC cũng kém hiệu quả như việc cố gắng cứu một con tàu đang chìm bằng một cái xô. Giải pháp thay thế truyền thống là thuê ngoài cho các MSSP hoặc MDR và giao các đội ngũ bên ngoài xử lý các trường hợp quá tải.
Nhưng đối với nhiều người, những đánh đổi vẫn quá lớn: chi phí vận hành cao liên tục, điều tra hời hợt của các nhà phân tích không quen thuộc với môi trường của bạn, sự chậm trễ trong phối hợp và giao tiếp bị gián đoạn. Thuê ngoài không khắc phục được sự mất cân bằng; nó chỉ chuyển gánh nặng sang cho người khác.
Ngày nay, các nền tảng AI SOC đang trở thành lựa chọn ưu tiên cho các tổ chức có đội ngũ SOC tinh gọn đang tìm kiếm một giải pháp hiệu quả, tiết kiệm chi phí và có khả năng mở rộng. Các nền tảng AI SOC hoạt động ở lớp điều tra nơi diễn ra lý luận theo ngữ cảnh, tự động phân loại cảnh báo và chỉ hiển thị các sự cố có độ tin cậy cao sau khi gán ngữ cảnh cho chúng.
Với sự trợ giúp của AI SOC, các nhà phân tích tiết kiệm hàng trăm giờ mỗi tháng, vì tỉ lệ false-positive thường giảm hơn 90%. Khả năng bao phủ tự động này cho phép các đội ngũ nội bộ nhỏ cung cấp phạm vi bảo hiểm 24/7 mà không cần thêm nhân sự hoặc thuê ngoài. Các công ty được đề cập trong nghiên cứu điển hình này đã đầu tư vào phương pháp này thông qua Radiant Security, một nền tảng AI SOC dựa trên tác nhân.
2 cách đầu tư vào SOC mang lại lợi ích, cả hiện tại và tương lai
- Các khoản đầu tư SOC làm cho chi phí của các công cụ phát hiện trở nên xứng đáng. Các công cụ phát hiện của bạn chỉ hiệu quả khi bạn có khả năng điều tra các cảnh báo của chúng. Khi 40% cảnh báo không được điều tra, bạn không nhận được toàn bộ giá trị từ mọi công cụ phát hiện mà bạn sở hữu. Nếu không có đủ năng lực SOC, bạn đang trả tiền cho các khả năng phát hiện mà bạn không thể tận dụng hết.
- Quan điểm độc đáo của tuyến phòng thủ cuối cùng sẽ ngày càng trở nên quan trọng. SOC sẽ ngày càng trở nên thiết yếu khi các công cụ phát hiện thất bại thường xuyên hơn. Khi các cuộc tấn công ngày càng tinh vi, việc phát hiện sẽ cần nhiều ngữ cảnh hơn. Quan điểm của SOC sẽ có nghĩa là chỉ họ mới có thể kết nối các điểm này và nhìn thấy toàn bộ bức tranh.
3 câu hỏi để định hướng ngân sách an ninh mạng tiếp theo của bạn
- Khoản đầu tư bảo mật của bạn có cân xứng không? Bắt đầu bằng cách đánh giá sự phân bổ nguồn lực của bạn để tìm sự mất cân bằng. Dấu hiệu đầu tiên của bảo mật không cân xứng là có nhiều cảnh báo hơn khả năng xử lý của SOC. Nếu các nhà phân tích của bạn bị quá tải bởi các cảnh báo, điều đó có nghĩa là tuyến đầu của bạn đang vượt quá tuyến sau.
- SOC của bạn có phải là một mạng lưới an toàn đủ tiêu chuẩn không? Mỗi nhà lãnh đạo SOC phải tự hỏi, nếu phát hiện thất bại, liệu SOC có sẵn sàng để bắt được những gì lọt qua không? Nhiều tổ chức không bao giờ hỏi điều này bởi vì họ không coi phát hiện là trách nhiệm của SOC. Nhưng khi các công cụ phát hiện thất bại, trách nhiệm sẽ thay đổi.
- Bạn có đang sử dụng không hiệu quả các công cụ hiện có không? Nhiều tổ chức nhận thấy rằng các công cụ phát hiện của họ tạo ra các tín hiệu có giá trị mà không ai có thời gian để điều tra. Sự mất cân xứng có nghĩa là thiếu khả năng hành động dựa trên những gì bạn đã sở hữu.
Những điểm chính từ Radiant Security
Hầu hết các đội ngũ bảo mật đều có cơ hội phân bổ nguồn lực để tối đa hóa ROI từ các khoản đầu tư phát hiện hiện tại, hỗ trợ tăng trưởng trong tương lai và tăng cường bảo vệ. Các tổ chức đầu tư vào các công cụ phát hiện nhưng bỏ bê SOC của họ sẽ tạo ra các điểm mù và tình trạng kiệt sức.
Radiant Security, nền tảng AI SOC dựa trên tác nhân được nêu bật trong nghiên cứu điển hình, cho thấy sự thành công thông qua đầu tư bảo mật cân bằng. Radiant hoạt động ở lớp điều tra SOC, tự động phân loại mọi cảnh báo, cắt giảm tỉ lệ false-positive khoảng 90% và phân tích các mối đe dọa với tốc độ máy móc, giống như một nhà phân tích hàng đầu. Với hơn 100 tích hợp với các công cụ bảo mật hiện có và các tính năng phản hồi bằng một cú nhấp chuột, Radiant giúp các đội ngũ bảo mật tinh gọn điều tra bất kỳ cảnh báo nào, dù đã biết hay chưa biết, mà không cần tăng nhân sự bất khả thi. Radiant Security cung cấp khả năng SOC cấp doanh nghiệp cho các tổ chức thuộc mọi quy mô.
