Các nhóm bảo mật hiện nay không thiếu công cụ hay dữ liệu. Họ bị quá tải bởi cả hai.
Tuy nhiên, trong hàng terabyte cảnh báo, lỗ hổng (exposures) và cấu hình sai (misconfigurations), các nhóm bảo mật vẫn chật vật để hiểu ngữ cảnh:
Hỏi: Những lỗ hổng, cấu hình sai và các yếu tố dễ bị tấn công nào liên kết với nhau để tạo ra các đường tấn công khả thi đến Crown Jewels?
Ngay cả những nhóm bảo mật giàu kinh nghiệm nhất cũng khó có thể trả lời câu hỏi đó một cách dễ dàng.
Vấn đề không nằm ở các công cụ. Vấn đề là các công cụ không giao tiếp với nhau.
Đây chính xác là vấn đề mà khuôn khổ Cybersecurity Mesh Architecture (CSMA) của Gartner được thiết kế để giải quyết – và đây cũng là những gì Mesh Security đã hiện thực hóa với nền tảng CSMA chuyên dụng đầu tiên trên thế giới.
Trong bài viết này, chúng ta sẽ tìm hiểu CSMA là gì và cách Mesh CSMA:
- Phát hiện các đường tấn công đến Crown Jewels
- Ưu tiên dựa trên các mối đe dọa đang hoạt động
- Loại bỏ các đường tấn công một cách có hệ thống
CSMA là gì và tại sao nó lại quan trọng vào thời điểm hiện tại?
Trước khi đi sâu vào nền tảng, hãy làm rõ CSMA là gì.
CSMA, theo định nghĩa của Gartner, là một lớp bảo mật phân tán, có thể kết hợp, kết nối ngăn xếp hiện có của bạn, cung cấp cho bạn sự thống nhất ngữ cảnh của một nền tảng trên các công cụ tốt nhất của bạn. Với CSMA, rủi ro có thể được hiểu một cách toàn diện thay vì theo từng silo.
Vấn đề: Các công cụ bị cô lập bỏ lỡ câu chuyện tấn công
Tất cả chúng ta đều đã thấy những phát hiện như sau nằm trên các bảng điều khiển riêng biệt:
- Một nhà phát triển đã cài đặt một trợ lý mã hóa AI trông có vẻ hợp pháp từ VS Code Marketplace
- Tiện ích mở rộng đó đã bị gắn cờ là có khả năng bị trojan hóa — nhưng cảnh báo nằm trong một công cụ, không kết nối với bất kỳ thứ gì khác
- Máy trạm của nhà phát triển có thời gian chờ phiên dài và không có chính sách cách ly thiết bị nào được thực thi
- Thông tin xác thực của nhà phát triển có quyền truy cập rộng rãi vào tài khoản AWS sản xuất
- Tài khoản AWS đó có quyền truy cập trực tiếp, không hạn chế vào cơ sở dữ liệu RDS sản xuất lưu trữ PII của khách hàng
Khi bị cô lập, mỗi tín hiệu trông có vẻ dễ quản lý: một cờ chính sách marketplace ở đây, một cấu hình sai thời gian chờ phiên ở đó. Các nhóm bảo mật nhìn thấy chúng, ghi lại chúng và hạ thấp mức độ ưu tiên. Không có cái nào trong số chúng trông giống như P1 khi đứng một mình.
Nhưng khi được xâu chuỗi lại với nhau, chúng kể một câu chuyện rất khác: một đường tấn công rõ ràng, nhiều bước từ máy trạm của nhà phát triển trực tiếp đến dữ liệu khách hàng nhạy cảm nhất của bạn. Chưa xảy ra vi phạm nào – nhưng đường dẫn đã mở, khả thi và đang chờ đợi.
Thêm thông tin tình báo về mối đe dọa, và rủi ro thậm chí còn khó bỏ qua hơn: các tác nhân đe dọa đang tích cực nhắm mục tiêu vào môi trường nhà phát triển và supply chain entry points làm chỗ đứng ưu tiên của chúng vào cơ sở hạ tầng sản xuất. Bạn có xâu chuỗi các công cụ được gắn cờ riêng biệt của mình không? Nó gần như khớp chính xác với chiến thuật của chúng.
Đây là một live threat exposure. Không phải là một vụ vi phạm, mà là một đường tấn công có thể khai thác đang tồn tại trong môi trường của bạn ngay bây giờ, vô hình vì không có công cụ nào có thể nhìn thấy tất cả cùng một lúc.
Đó chính xác là những gì Mesh CSMA được tạo ra để giải quyết. Bằng cách hợp nhất ngữ cảnh trên toàn bộ ngăn xếp của bạn, Mesh làm nổi bật các đường tấn công đa miền này trước khi chúng bị khai thác – để nhóm của bạn có thể phá vỡ chuỗi trước khi kẻ tấn công kịp thực hiện.
Mesh CSMA hoạt động như thế nào
Mesh CSMA biến các tín hiệu phân mảnh thành những câu chuyện đe dọa đa miền có ý nghĩa. Nhờ đó, các nhóm bảo mật có thể tập trung vào những gì quan trọng.
Đây là cách Mesh hoạt động.
Bước 1: Kết nối – Không cần Agent, không cần thay thế
Mesh bắt đầu bằng cách tích hợp với ngăn xếp hiện có của bạn: tất cả các công cụ, data lakes và cơ sở hạ tầng. (Mesh tích hợp với những gì? Xem hơn 150 tích hợp tại đây).
Bước 2: Nhận biết – Mesh Context Graph™
Tiếp theo, Mesh tự động phát hiện Crown Jewels của bạn: cơ sở dữ liệu sản xuất, kho lưu trữ dữ liệu khách hàng, hệ thống tài chính, cơ sở hạ tầng ký mã – và neo toàn bộ mô hình rủi ro xung quanh chúng.
Đây là nguyên tắc cốt lõi khiến Mesh khác biệt: rủi ro được hiểu tương đối với những gì thực sự quan trọng đối với doanh nghiệp, chứ không phải tương đối với những cảnh báo ồn ào nhất.
Từ đó, Mesh xây dựng Mesh Context Graph™ – một biểu đồ liên tục cập nhật, lấy nhận dạng làm trung tâm của mọi thực thể trong môi trường của bạn: người dùng, máy móc, workloads, dịch vụ, kho dữ liệu và các mối quan hệ giữa chúng.
Không giống như các asset inventories chỉ cho bạn biết những gì tồn tại, Mesh Context Graph™ cho bạn biết mọi thứ kết nối với nhau như thế nào. Nó ánh xạ các đường dẫn truy cập, mối quan hệ tin cậy, entitlement chains và network exposure trong một mô hình thống nhất duy nhất – tất cả đều được truy ngược về Crown Jewels của bạn.
Bước 3: Đánh giá – Phát hiện đường tấn công khả thi
Đây là nơi Mesh khác biệt với các công cụ exposure management truyền thống.
Các nền tảng CTEM và vulnerability scanners làm nổi bật các CVE và cấu hình sai. Nhưng một lỗ hổng CVSS 9.8 trên một tài sản bị cô lập, hướng ra internet mà không có đường dẫn đến bất kỳ thứ gì nhạy cảm, là một rủi ro rất khác so với một cấu hình sai CVSS 5.5 trên một service account có quyền truy cập trực tiếp vào cơ sở dữ liệu sản xuất của bạn. Mesh hiểu sự khác biệt này.
Nền tảng này đối chiếu các phát hiện trên các miền – cloud posture misconfigurations, identity entitlement overreach, detection blind spots, các lỗ hổng chưa được vá – và truy vết chúng theo Context Graph để xác định sự kết hợp nào tạo ra các chuỗi tấn công đa bước khả thi đến Crown Jewels. Sau đó, nó ưu tiên dựa trên live threat intelligence.
Kết quả: một danh sách được xếp hạng, có thể hành động về các đường tấn công đa miền hoàn chỉnh, mỗi đường hiển thị:
- Điểm vào (Entry point): kẻ tấn công sẽ giành được quyền truy cập ban đầu như thế nào
- Chuỗi xoay vòng (Pivot chain): mỗi bước trung gian trong môi trường
- Mục tiêu (Target): Crown Jewel nào có thể tiếp cận được
- Tại sao nó khả thi (Why it's viable): các cấu hình sai cụ thể, đường dẫn truy cập hoặc khoảng trống phát hiện cho phép nó
- Ngữ cảnh mối đe dọa (Threat context): liệu các tác nhân đe dọa đang hoạt động có đang khai thác điều này hay không
Với Mesh, bạn có thể nhấp vào mỗi Live Threat Exposure và hình dung đường tấn công, biến các tín hiệu bị cô lập thành một lộ trình khắc phục rủi ro có ý nghĩa.
Bước 4: Loại bỏ – Phá vỡ chuỗi
Việc làm nổi bật các đường tấn công chỉ là một nửa giá trị. Mesh sẽ đóng chúng lại.
Đối với mỗi đường tấn công được xác định, Mesh tạo ra các hành động khắc phục cụ thể, được ưu tiên, ánh xạ tới các công cụ hiện có trong ngăn xếp của bạn. Thay vì hướng dẫn chung chung như "vá CVE này", Mesh cho bạn biết: thu hồi liên kết vai trò (role binding) cụ thể này, thực thi MFA trên service account này, cập nhật chính sách CSPM này, cách ly workload này.
Điều quan trọng là, Mesh điều phối việc khắc phục trên các miền – một đường tấn công duy nhất có thể yêu cầu sửa lỗi trong công cụ CSPM của bạn, thay đổi trong nền tảng IGA của bạn và cập nhật chính sách trong giải pháp ZTNA của bạn. Mesh phối hợp các hành động đó mà không buộc nhóm của bạn phải chuyển đổi ngữ cảnh thủ công giữa các bảng điều khiển.
Bước 5: Phòng thủ – Xác thực liên tục và bao phủ khoảng trống phát hiện
Mesh không dừng lại ở tư thế bảo mật (posture). Nó cũng liên tục xác thực lớp phát hiện của bạn – xác định các điểm mù nơi các kỹ thuật tấn công sẽ thành công nhưng không tạo ra cảnh báo.
Điều này khép lại vòng lặp giữa phòng ngừa và phát hiện. Các nhóm bảo mật không chỉ có thể thấy kẻ tấn công có thể đi đến đâu mà còn họ sẽ đi đâu mà không bị phát hiện nếu thử. Các khoảng trống phát hiện được làm nổi bật cùng với các khoảng trống tư thế bảo mật trong cùng một mô hình rủi ro thống nhất, cho phép ưu tiên phản ánh rủi ro kinh doanh thực sự.
Mesh liên tục đánh giá lại môi trường khi cơ sở hạ tầng thay đổi, các công cụ mới được tích hợp và thông tin tình báo về mối đe dọa được cập nhật. Bản đồ đường tấn công không bao giờ là một ảnh chụp nhanh tại một thời điểm – nó là một mô hình sống động.
Điều gì khiến điều này khác biệt so với SIEM, XDR hoặc CTEM?
SIEM và XDR phát hiện các mối đe dọa sau khi các tín hiệu được tạo ra. Chúng dựa vào các sự kiện đã xảy ra và yêu cầu điều chỉnh đáng kể để giảm thiểu các cảnh báo sai. Chúng không mô hình hóa các đường tấn công một cách chủ động.
Các nền tảng CTEM ưu tiên các lỗ hổng dựa trên điểm số khả năng khai thác (exploitability scores), nhưng hầu hết hoạt động trong một miền duy nhất (cloud, endpoint, identity) và khó khăn trong việc mô hình hóa cách các rủi ro từ các miền khác nhau liên kết với nhau.
Các nhà cung cấp nền tảng lớn đạt được sự thống nhất ngữ cảnh nhưng phải trả giá bằng việc bị ràng buộc bởi nhà cung cấp (vendor lock-in) và buộc phải thay thế các công cụ chuyên biệt.
Mesh áp dụng một cách tiếp cận khác. Phù hợp chính xác với những gì Gartner đã hình dung cho CSMA, Mesh hợp nhất ngữ cảnh trên tất cả các công cụ, data lakes và cơ sở hạ tầng hiện có, cho phép loại bỏ lỗ hổng liên tục mà không yêu cầu bạn loại bỏ bất cứ thứ gì.
Mesh được xây dựng cho ai?
Mesh CSMA được xây dựng cho các nhóm bảo mật đã đầu tư vào các công cụ best-of-breed và hiện đang đối phó với hậu quả của bảo mật phân mảnh:
- Hàng chục bảng điều khiển, không có ngữ cảnh
- Dữ liệu bảo mật rời rạc, tạo ra nhiễu thay vì thông tin chi tiết
- Đối chiếu thủ công, kết nối các điểm giữa các công cụ
Nền tảng này gần đây đã hoàn tất vòng gọi vốn Series A trị giá 12 triệu USD do Lobby Capital dẫn đầu với sự tham gia của Bright Pixel Capital và S1 (SentinelOne) Ventures.
Bước tiếp theo của bạn: Tìm hiểu thêm về Mesh CSMA
Các công cụ bảo mật hiển thị các rủi ro bị cô lập. Mesh hiển thị các đường tấn công đến Crown Jewels – và loại bỏ chúng.
Bạn muốn xem các live threat exposures trong môi trường của mình? Hãy dùng thử Mesh miễn phí trong 7 ngày.
Hoặc đăng ký webinar trực tiếp: Ai có thể tiếp cận Crown Jewels của bạn? Mô hình hóa đường tấn công với Mesh CSMA để xem Mesh xác định các đường tấn công thực tế trực tiếp.
