Các Trung tâm Điều hành An ninh (SOC) ngày nay đang quá tải. Các nhà phân tích phải xử lý hàng nghìn cảnh báo mỗi ngày, dành nhiều thời gian để theo dõi các false positives và điều chỉnh các quy tắc detection một cách phản ứng. Các SOC thường thiếu ngữ cảnh môi trường và threat intelligence cần thiết để nhanh chóng xác minh cảnh báo nào thực sự độc hại. Do đó, các nhà phân tích mất quá nhiều thời gian để xử lý thủ công các cảnh báo, mà phần lớn trong số đó được phân loại là lành tính.
Việc giải quyết nguyên nhân gốc rễ của những "điểm mù" và tình trạng "mệt mỏi vì cảnh báo" này không đơn giản chỉ là triển khai thêm các công cụ chính xác hơn. Nhiều công cụ truyền thống này rất chính xác, nhưng điểm yếu chết người của chúng là thiếu ngữ cảnh và tập trung quá hẹp – "thấy cây mà không thấy rừng". Trong khi đó, các attacker tinh vi khai thác các exposures mà các công cụ phản ứng truyền thống không nhìn thấy, thường xuyên lẩn tránh detection bằng cách sử dụng các bypass kits có sẵn rộng rãi.
Mặc dù tất cả các công cụ này đều hiệu quả theo cách riêng của chúng, nhưng chúng thường thất bại vì thực tế là attacker không chỉ sử dụng một kỹ thuật tấn công, khai thác một loại exposure duy nhất hay vũ khí hóa một CVE khi xâm nhập vào một môi trường. Thay vào đó, các attacker xâu chuỗi nhiều exposures lại với nhau, sử dụng các CVE đã biết khi có ích và áp dụng các kỹ thuật evasion để di chuyển lateral qua môi trường và đạt được mục tiêu mong muốn của chúng. Độc lập, các công cụ an ninh truyền thống có thể phát hiện một hoặc nhiều exposures hoặc IoCs này, nhưng nếu không có ngữ cảnh từ một chương trình continuous exposure management được tích hợp sâu rộng, việc các nhóm an ninh tương quan hiệu quả các tín hiệu tưởng chừng như không liên quan này gần như là không thể.
Lợi ích của SecOps ở mọi giai đoạn của Vòng đời An ninh mạng
Các nền tảng exposure management có thể giúp biến đổi hoạt động của SOC bằng cách tích hợp trực tiếp exposure intelligence vào các workflow hiện có của nhà phân tích. Tất nhiên, việc có được attack surface visibility và insight về các interconnected exposures mang lại giá trị to lớn, nhưng đó mới chỉ là bề nổi. Điều này thực sự không quá ngạc nhiên, bởi vì có sự chồng chéo đáng kể trong các mô hình cấp cao mà mỗi nhóm đang vận hành, mặc dù thường là song song thay vì phối hợp với nhau.
Để làm rõ hơn, tôi đã đưa ra một so sánh dưới đây giữa một workflow SOC điển hình và CTEM lifecycle:
| Vòng đời SOC điển hình | Cách Integrated Exposure Management giúp ích | Vòng đời CTEM |
|---|---|---|
|
Monitor Duy trì continuous visibility trên toàn bộ attack surface, ưu tiên các critical assets quan trọng nhất đối với doanh nghiệp và là mục tiêu mà attacker có khả năng tấn công cao nhất. |
Shared Attack Surface Visibility Tích hợp với CMDB và SOC tooling tạo ra một cái nhìn thống nhất về attack surface và critical assets, giúp các nhóm an ninh và IT thống nhất về những gì quan trọng nhất. |
Scope Phác thảo phạm vi của chương trình exposure management, xác định các critical assets quan trọng nhất đối với doanh nghiệp, duy trì continuous visibility trên attack surface. |
|
Detect Xác định hoạt động đáng ngờ và độc hại trên attack surface, lý tưởng nhất là trước khi attacker giành được quyền truy cập hoặc các hệ thống và dữ liệu quan trọng bị compromised. |
Contextualize Threat Alerts Khi detections được kích hoạt, các nhà phân tích ngay lập tức thấy risk posture của asset và liệu hoạt động đáng ngờ có phù hợp với các attack paths đã biết hay không, biến các cảnh báo chung thành các cuộc điều tra có mục tiêu. |
Discover Phát hiện các exposures trên attack surface, bao gồm attack paths, vulnerabilities, misconfigs, các vấn đề về identity và permissions, v.v. |
|
Triage Xác thực security alerts và tương quan event logs để xác định các security incidents thực sự và hoạt động độc hại so với hoạt động bất thường lành tính. |
Improve Disposition Accuracy Đưa ra các quyết định sáng suốt hơn với ngữ cảnh asset và doanh nghiệp để lọc bỏ các cảnh báo nhiễu trong khi giảm nguy cơ false negatives. |
Prioritize Ưu tiên các exposures được phát hiện dựa trên threat intelligence, ngữ cảnh môi trường và doanh nghiệp để tập trung các hoạt động remediation vào rủi ro có tác động lớn nhất và sắp xảy ra nhất. |
|
Investigate Đi sâu vào threat intelligence, event logs và các phát hiện khác để xác định blast radius, root cause và tác động của một security incident. |
Visualize Complex Attack Chains Chuyển đổi các phát hiện rủi ro trừu tượng thành các kịch bản tấn công tiềm năng đã được xác thực. Các nhà phân tích có thể hình dung cách threat actors sẽ xâu chuỗi các exposures cụ thể, xác định các choke points quan trọng. |
Validate Xác nhận rằng các exposures được phát hiện thực sự tồn tại, có thể tiếp cận được bởi threat actors và thực sự có thể bị exploit dựa trên patch availability và các compensating controls. |
|
Respond Thực hiện hành động để giảm thiểu breach impact và loại bỏ mối đe dọa trong môi trường. |
Targeted Incident Response Hiểu rõ các exploitable paths cho phép containment và remediation chính xác, giải quyết các exposures cụ thể nhanh chóng mà không gây gián đoạn quá mức hoặc ảnh hưởng đến hoạt động kinh doanh. |
Mobilize Thúc đẩy remediation exposures hiệu quả bằng cách thúc đẩy sự hợp tác đa chức năng, tự động hóa các notification và ticketing workflows, và nếu có thể, triển khai security mitigations và tự động hóa patching workflows. |
Sự tương đồng tự nhiên này giữa các workflow cấp cao của các nhóm chủ động và phản ứng giúp dễ dàng nhận thấy nơi mà threat và attack surface intelligence có mục tiêu từ các nền tảng exposure management có thể hữu ích cho các nhóm SOC trước và trong quá trình điều tra mối đe dọa.
Điều kỳ diệu thực sự bắt đầu xảy ra khi các nhóm tích hợp các nền tảng exposure management của họ với EDRs, SIEMs và SOAR tools để cung cấp contextual threat intelligence chính xác khi và ở nơi các nhà phân tích SOC cần nhất. Điều này cho phép các nhóm tự động tương quan các exposures được phát hiện với các kỹ thuật MITRE ATT&CK cụ thể, tạo ra actionable threat intelligence có liên quan trực tiếp đến attack surface độc đáo của mỗi tổ chức.
Đối với các exposures không thể remediate ngay lập tức, các nhóm có thể tận dụng intelligence này để thông báo cho các hoạt động detection engineering và threat hunting. Điều này tạo ra một continuous feedback loop nơi exposure intelligence thông báo các bản cập nhật detection, cải thiện alert triage và investigation, đồng thời hỗ trợ automated response và prioritized remediation.
Đi sâu hơn vào các Workflow SOC được làm giàu bằng Exposure Intelligence
Các công cụ detection truyền thống tạo ra alerts dựa trên signatures và behavioral patterns, nhưng thiếu ngữ cảnh môi trường. Continuous exposure management thay đổi điều này bằng cách cung cấp ngữ cảnh thời gian thực về các hệ thống, cấu hình và vulnerabilities liên quan đến mỗi alert.
- Khi một detection được kích hoạt, các nhà phân tích SOC ngay lập tức hiểu rõ những exposures nào tồn tại trên hệ thống bị ảnh hưởng, những attack techniques nào khả thi dựa trên cấu hình hiện tại, blast radius tiềm năng trông như thế nào và alert này phù hợp với các attack paths đã biết ra sao.
- Alert triage trở nên hiệu quả hơn đáng kể khi các nhà phân tích có thể đánh giá ngay lập tức risk potential thực sự của mỗi alert. Thay vì triage dựa trên generic severity scores, exposure management cung cấp một ngữ cảnh rủi ro cụ thể cho môi trường.
- Trong quá trình investigation, continuous exposure management cung cấp cho các nhà phân tích phân tích attack path chi tiết, cho thấy chính xác cách một adversary có thể exploit alert hiện tại như một phần của một chiến dịch rộng lớn hơn. Điều này bao gồm việc hiểu tất cả các viable attack paths dựa trên network topology, access relationships và system configurations thực tế.
- Nó cũng bao gồm việc đi sâu vào root cause của một breach, giúp các nhà phân tích xác định các breach points và paths mà attacker có khả năng cao sẽ thực hiện nhất.
- Các hoạt động response trở nên chính xác hơn khi được hướng dẫn bởi exposure intelligence. Thay vì các biện pháp containment rộng rãi có thể làm gián đoạn hoạt động kinh doanh, các nhóm SOC có thể triển khai các surgical responses giải quyết các exposures cụ thể đang bị exploit.
- Giai đoạn remediation mở rộng ra ngoài incident response ngay lập tức để giảm exposure một cách có hệ thống, tự động tạo tickets giải quyết không chỉ incident trước mắt, mà còn cả các điều kiện cơ bản đã tạo điều kiện cho nó. Khi các hoạt động remediation hoàn tất, các quy trình kiểm thử tương tự được sử dụng để khám phá các security gaps có thể được sử dụng để xác thực rằng các thay đổi đã triển khai thực sự hiệu quả và rủi ro đã được giảm bớt.
Với continuous exposure management được tích hợp vào workflow của SecOps, mỗi incident trở thành một cơ hội học hỏi giúp tăng cường khả năng detection và response trong tương lai. Hiểu được exposures nào dẫn đến các cuộc tấn công thành công trong quá trình red teaming và validation testing giúp tinh chỉnh và triển khai các compensating controls và/hoặc điều chỉnh detection rules để phát hiện hoạt động tương tự sớm hơn trong attack chain.
Tương lai của Hoạt động SOC
Tương lai của hoạt động SOC không nằm ở việc xử lý nhiều alerts nhanh hơn, mà ở việc ngăn chặn các điều kiện tạo ra các alerts không cần thiết, đồng thời phát triển các khả năng tập trung cao độ để chống lại các mối đe dọa quan trọng nhất. Continuous exposure management cung cấp nhận thức về môi trường giúp biến các công cụ an ninh chung thành các công cụ chính xác.
Trong một kỷ nguyên mà threat actors ngày càng tinh vi và dai dẳng, các SOC cần mọi lợi thế có thể có. Khả năng chủ động định hình "chiến trường", loại bỏ exposures, tinh chỉnh detections và phát triển các khả năng tùy chỉnh dựa trên thực tế môi trường có thể là sự khác biệt giữa việc luôn dẫn trước các mối đe dọa và việc liên tục chạy theo.
Lưu ý: Bài viết này được viết và đóng góp bởi Ryan Blanchard, hiện là Giám đốc Marketing Sản phẩm tại XM Cyber. Ông bắt đầu sự nghiệp bằng cách phân tích thị trường IT và dịch vụ chuyên nghiệp cũng như các chiến lược GTM, hiện đang giúp chuyển đổi các lợi ích công nghệ phức tạp thành những câu chuyện kết nối đổi mới, kinh doanh và con người.
