Các tổ chức hiện nay có khả năng hiển thị mạng (visibility) tốt hơn bao giờ hết. Các ngăn xếp công nghệ (tech stack) ngày càng phát triển mang lại phạm vi bao phủ lớn hơn, và các nhóm bảo mật mạng đang tăng cường áp dụng AI và tự động hóa để hỗ trợ các nhiệm vụ định kỳ cũng như giảm bớt nỗ lực thủ công.
Nhưng những thách thức cũ vẫn tồn tại. Các sự cố ngừng hoạt động (outages) vẫn kéo dài hàng giờ, gây ra tổn thất tài chính đáng kể, gián đoạn hoạt động và ảnh hưởng đến uy tín. Phản ứng với mối đe dọa và thời gian khắc phục trung bình (MTTR) vẫn còn chậm. Sai sót trong cấu hình và lỗi con người vẫn tạo ra các sự cố lớn. Và bất chấp những lời hứa hẹn về AI, các đội ngũ vận hành vẫn luôn trong tình trạng quá tải và kiệt sức.
Vấn đề không nằm ở khả năng phát hiện (detection), cũng không phải ở công cụ. Ngày nay, vấn đề thực sự là khâu thực thi – cụ thể là những công việc diễn ra giữa các công cụ.
Lớp vận hành ẩn mà hầu hết các tổ chức đều bỏ qua
Mỗi khi một cảnh báo (alert) được kích hoạt, các nhóm bảo mật mạng phải:
- Thu thập ngữ cảnh trên các hệ thống
- Xác thực quyền sở hữu và mức độ nghiêm trọng
- Chuyển tiếp ticket đến những người phù hợp
- Yêu cầu phê duyệt
- Triển khai các thay đổi theo cách thủ công
- Ghi lại bằng chứng
Công việc vận hành này trải rộng trên nhiều hệ thống và môi trường, yêu cầu các nhà phân tích phải chuyển đổi ngữ cảnh (context-switch) liên tục giữa:
- SIEM
- Firewalls
- Hệ thống quản lý định danh và truy cập (IAM)
- ITSM
- Nền tảng giám sát
- Môi trường Cloud, on-prem và hybrid
- Các ứng dụng nhắn tin và cộng tác
Điều này không chỉ tốn thời gian và công sức. Các quy trình thủ công cũng làm tăng cơ hội cho lỗi con người – bao gồm sự không nhất quán, bỏ sót các bước và lỗ hổng tuân thủ – tạo ra những rủi ro có thể cộng dồn nhanh chóng.
Những thay đổi gần đây trong ngành chỉ làm cho vấn đề trở nên tồi tệ hơn. Cơ sở hạ tầng phân tán, sự bùng nổ của API và các công cụ ngày càng kết nối chặt chẽ đã mở rộng số lượng và độ phức tạp của các hệ thống mà đội ngũ vận hành phải điều phối. Tốc độ tấn công đang tăng lên và các mối đe dọa ngày càng tinh vi hơn. Đồng thời, AI đang đẩy nhanh các hoạt động và nâng cao kỳ vọng về quy mô và tốc độ, gây áp lực lớn lên các đội ngũ vốn đã có nguồn lực hạn chế.
Bài học then chốt? Mặc dù các môi trường ngày nay có thể được kết nối tốt hơn về mặt kỹ thuật, nhưng các quy trình vận hành cơ bản vẫn bị phân mảnh – tạo ra các nút thắt cổ chai, làm chậm thời gian phản ứng và hạn chế tác động tích cực của bảo mật đối với doanh nghiệp.
3 vị trí mà công việc giữa các công cụ tạo ra rủi ro
Khi các nhóm điều phối công việc giữa các hệ thống, con người và công cụ một cách thủ công, các hoạt động có thể nhanh chóng bị phá vỡ. Dưới đây là ba quy trình quan trọng nơi các quy trình rời rạc gây rủi ro cho tổ chức của bạn.
1. Phân loại cảnh báo và phản ứng sự cố
Việc phát hiện có thể được tự động hóa, nhưng điều tra và điều phối thì thường không được như vậy. Các nhóm phải thu thập ngữ cảnh qua các hệ thống một cách thủ công để làm giàu dữ liệu cảnh báo và loại bỏ các cảnh báo giả (false positives), làm tăng thời gian điều tra và tiêu tốn các nguồn lực quý giá lẽ ra nên dành cho các vấn đề phức tạp hơn.
Các quy trình thủ công chậm chạp này dẫn đến:
- Chậm trễ trong việc xác định, leo thang, ngăn chặn và khắc phục sự cố
- Bỏ lỡ các mối đe dọa vốn có thể trở thành các sự cố bảo mật thực sự
- Mệt mỏi vì cảnh báo (Alert fatigue) dẫn đến chất lượng phân tích kém, bỏ lỡ các cảnh báo đúng (true positives) và gây kiệt sức cho đội ngũ.
2. Quản lý quyền truy cập và thay đổi
Các quy trình nhạy cảm về bảo mật vẫn phụ thuộc nặng nề vào con người như một lớp tích hợp. Các yêu cầu truy cập và thay đổi mạng đòi hỏi sự phê duyệt thủ công, điều này có thể dẫn đến việc xác thực không nhất quán và các lỗ hổng trong việc thực thi chính sách. Bảo mật và IT thường làm việc trong các hệ thống riêng biệt, dẫn đến công việc bị trùng lặp, trì hoãn cấp phát và thiếu khả năng hiển thị đối với các thay đổi.
Ở quy mô lớn, điều này có thể gây ra:
- Truy cập đặc quyền quá mức vi phạm các nguyên tắc đặc quyền tối thiểu và Zero Trust
- Sai cấu hình tạo ra các lỗ hổng bảo mật và sự cố ngừng hoạt động
- Lỗ hổng trong kiểm toán và tuân thủ khiến tổ chức của bạn gặp rủi ro về quy định
3. Vận hành môi trường Hybrid và Multi-cloud
Làm việc trên các công nghệ phân mảnh và môi trường hybrid làm tăng độ phức tạp và chi phí vận hành, vì các nhà phân tích phải chuyển đổi giữa các công cụ và mô hình sở hữu khác nhau. Các quy trình không nhất quán và khoảng cách về khả năng hiển thị giữa các nhóm khiến việc duy trì trách nhiệm giải trình, thực thi các tiêu chuẩn và thực thi một cách đáng tin cậy trên các hệ thống trở nên khó khăn.
Sự phân mảnh này có thể dẫn đến:
- Sai lệch cấu hình (Configuration drift) tạo ra sự mất ổn định của mạng và rủi ro tuân thủ
- Phản ứng chậm trễ đối với các mối đe dọa và sự cố
- Khoảng trống bảo mật do thực thi chính sách không nhất quán trên các môi trường
Những tổ chức có tư duy tiến bộ đang làm gì khác biệt
Giải pháp không phải là thay thế các công cụ. Đó là điều phối cách thức công việc di chuyển qua các công cụ đó.
Để làm được điều này, các tổ chức đang áp dụng các quy trình làm việc thông minh (intelligent workflows). Quy trình làm việc thông minh là lớp vận hành kết nối các hệ thống, đội ngũ, phê duyệt, tự động hóa và ra quyết định trên tất cả các môi trường. Chúng kết hợp ba loại quy trình thiết yếu:
- Tự động hóa xác định (Deterministic automation) để xử lý các nhiệm vụ có độ dự báo cao, đáng tin cậy và được kiểm soát
- AI để đánh giá ngữ cảnh, đưa ra quyết định và thực hiện các nhiệm vụ một cách tự động
- Con người để xử lý các nhiệm vụ có tác động lớn, đòi hỏi sự phán đoán và sáng tạo
Khác với chỉ riêng tự động hóa (vốn chỉ xử lý các nhiệm vụ rời rạc), quy trình làm việc thông minh cho phép các nhóm bảo mật mạng điều phối toàn bộ quy trình từ đầu đến cuối, trong khi vẫn cung cấp sự linh hoạt, kiểm soát và giám sát cần thiết.
Quy trình làm việc thông minh trông như thế nào trong thực tế?
Hãy xem xét quy trình phân loại cảnh báo và phản ứng sự cố ở trên. Sử dụng các quy trình làm việc thông minh:
- Một công cụ giám sát phát hiện hoạt động bất thường và tạo cảnh báo
- AI lấy ngữ cảnh từ nhiều hệ thống để phân loại, làm giàu và ưu tiên cảnh báo dựa trên mức độ nghiêm trọng và rủi ro
- Nếu cảnh báo đáp ứng các điều kiện xác định trước, quy trình sẽ tự động kích hoạt các hành động, như ngăn chặn hoặc khắc phục
- Nếu cần sự phán đoán của con người, quy trình sẽ chuyển vấn đề đến nhà phân tích phù hợp để điều tra sâu hơn hoặc phê duyệt
- Tất cả các hành động, quyết định và bằng chứng đều được tự động ghi nhật ký để hỗ trợ các yêu cầu kiểm toán và tuân thủ
Trước đây, công việc giữa các công cụ dẫn đến sự chậm trễ và mệt mỏi. Giờ đây, quy trình làm việc thông minh xử lý quy trình từ đầu đến cuối, giúp các nhóm chuyển từ phát hiện sang thực thi nhanh hơn, giảm MTTR và giảm bớt căng thẳng cho các nhà phân tích.
Thu hẹp khoảng cách giữa phát hiện và thực thi
Rủi ro vận hành lớn nhất trong các mạng hiện đại không phải là công cụ hay khả năng hiển thị – đó là khoảng cách giữa phát hiện và thực thi.
Các tổ chức cải thiện khả năng bảo mật và khả năng phục hồi vận hành không chỉ bằng cách thêm công nghệ. Thay vào đó, họ cải thiện cách thức công việc di chuyển trong môi trường của mình, sử dụng các quy trình làm việc thông minh để điều phối công việc giữa các công cụ.
Khi môi trường mạng và bảo mật trở nên phức tạp hơn, sự điều phối vận hành này sẽ trở nên quan trọng tương đương với chính khả năng hiển thị, cho phép các đội ngũ hoạt động an toàn, nhất quán và ở quy mô lớn.