Vấn đề ROI trong Quản lý Bề mặt Tấn công (ASM)

Các công cụ Quản lý Bề mặt Tấn công (ASM) hứa hẹn giảm thiểu rủi ro, nhưng thực tế chúng thường mang lại nhiều thông tin hơn. Các đội ngũ an ninh triển khai ASM, danh mục tài sản tăng lên, cảnh báo tràn về và bảng điều khiển đầy ắp dữ liệu. Hoạt động diễn ra rõ ràng và có kết quả đo lường được. Tuy nhiên, khi lãnh đạo đặt câu hỏi đơn giản: “Điều này có đang giảm thiểu sự cố không?”, câu trả lời thường không rõ ràng. Khoảng cách này giữa nỗ lực và kết quả là vấn đề cốt lõi về ROI trong ASM.
Minh họa về Quản lý Bề mặt Tấn công
Minh họa về Quản lý Bề mặt Tấn công

Các công cụ Quản lý Bề mặt Tấn công (ASM) hứa hẹn giảm thiểu rủi ro. Tuy nhiên, điều chúng thường mang lại là nhiều thông tin hơn.

Các đội ngũ an ninh triển khai ASM, danh mục tài sản ngày càng mở rộng, cảnh báo bắt đầu xuất hiện liên tục và các bảng điều khiển đầy ắp thông tin. Có hoạt động rõ ràng và đầu ra có thể đo lường được. Nhưng khi lãnh đạo đặt một câu hỏi đơn giản: "Liệu điều này có đang giảm thiểu các sự cố không?" thì câu trả lời thường không rõ ràng.

Khoảng cách giữa nỗ lực và kết quả này là vấn đề cốt lõi về ROI trong ASM, đặc biệt khi ROI được đo lường chủ yếu bằng số lượng tài sản thay vì mức độ giảm thiểu rủi ro.

Lời hứa và Bằng chứng thực tế

Hầu hết các chương trình ASM được xây dựng dựa trên một ý tưởng hợp lý: bạn không thể bảo vệ những gì bạn không biết là có tồn tại. Do đó, các đội ngũ tập trung vào việc khám phá: các tên miền và tên miền phụ, IPs và tài nguyên đám mây, cơ sở hạ tầng của bên thứ ba, cùng các tài sản tạm thời hoặc tồn tại trong thời gian ngắn.

Theo thời gian, số lượng tài sản tăng lên. Các bảng điều khiển có xu hướng đi lên. Phạm vi bao phủ được cải thiện.

Tuy nhiên, không có chỉ số nào trong số đó trực tiếp trả lời liệu tổ chức có thực sự an toàn hơn hay không. Trong nhiều trường hợp, các đội ngũ trở nên bận rộn hơn mà không cảm thấy ít bị phơi nhiễm hơn.

Tại sao ASM bận rộn nhưng không hiệu quả

ASM có xu hướng tối ưu hóa phạm vi bao phủ vì phạm vi bao phủ dễ đo lường: nhiều tài sản được khám phá hơn, nhiều thay đổi được phát hiện hơn và nhiều cảnh báo được tạo ra hơn. Mỗi điều đó đều mang lại cảm giác tiến bộ.

Nhưng chúng chủ yếu đo lường đầu vào, chứ không phải kết quả đầu ra.

Trong thực tế, các đội ngũ gặp phải:

  • Tình trạng mệt mỏi vì cảnh báo (Alert fatigue)
  • Danh sách dài các tài sản "đã biết nhưng chưa được giải quyết"
  • Nhầm lẫn quyền sở hữu lặp đi lặp lại
  • Phơi nhiễm kéo dài hàng tháng

Công việc là có thật. Việc giảm thiểu rủi ro thì khó nhận thấy hơn.

Khoảng cách trong việc đo lường

Một lý do khiến ROI của ASM khó chứng minh là hầu hết các chỉ số về bề mặt tấn công tập trung vào những gì hệ thống có thể thấy, chứ không phải những gì tổ chức thực sự cải thiện.

Các chỉ số quản lý bề mặt tấn công phổ biến bao gồm:

  • Số lượng tài sản
  • Số lượng thay đổi

Các chỉ số bề mặt tấn công có ý nghĩa hơn lại hiếm khi được theo dõi:

  • Tốc độ gán quyền sở hữu cho tài sản rủi ro
  • Thời gian phơi nhiễm nguy hiểm tồn tại
  • Liệu các đường dẫn tấn công có thực sự thu hẹp theo thời gian hay không

Danh mục tài sản vẫn là nền tảng để đo lường bề mặt tấn công bên ngoài. Nếu không có việc khám phá rộng rãi, việc hiểu rõ về phơi nhiễm là không thể. Khoảng cách xuất hiện khi các chỉ số khám phá không được kết hợp với các phép đo cho thấy liệu rủi ro có thực sự được giảm thiểu hay không.

Nếu không có các phép đo định hướng kết quả, ASM trở nên khó bảo vệ trong các cuộc họp xét duyệt ngân sách, ngay cả khi mọi người đều đồng ý rằng việc hiển thị tài sản là cần thiết.

ROI có ý nghĩa trông sẽ như thế nào?

Thay vì hỏi: "Chúng ta đã khám phá được bao nhiêu tài sản?", một câu hỏi hữu ích hơn là: "Chúng ta đã xử lý phơi nhiễm nhanh hơn và an toàn hơn đến mức nào?"

Việc định hình lại này chuyển ROI từ khả năng hiển thị sang chất lượng phản hồi và thời gian phơi nhiễm. Những yếu tố này có mối tương quan chặt chẽ hơn nhiều với rủi ro trong thế giới thực.

Ba chỉ số kết quả thực sự quan trọng

1. Thời gian trung bình để gán quyền sở hữu tài sản (Mean Time to Asset Ownership)

Phải mất bao lâu để trả lời câu hỏi cơ bản: "Ai sở hữu tài sản này?"

Các tài sản không có quyền sở hữu rõ ràng:

  • Tồn tại lâu hơn
  • Được vá lỗi muộn hơn
  • Có nhiều khả năng bị lãng quên hoàn toàn

Việc giảm thời gian gán quyền sở hữu giúp rút ngắn khoảng thời gian phơi nhiễm tồn tại mà không có trách nhiệm giải trình. Đây là một trong những tín hiệu rõ ràng nhất cho thấy các phát hiện của ASM đang được chuyển hóa thành hành động.

2. Giảm các điểm cuối thay đổi trạng thái không xác thực (Reduction in Unauthenticated, State-Changing Endpoints)

Không phải tất cả các tài sản đều quan trọng như nhau.

Việc theo dõi số lượng điểm cuối bên ngoài có thể thay đổi trạng thái, số lượng yêu cầu xác thực và cách những con số đó thay đổi theo thời gian sẽ cung cấp tín hiệu mạnh mẽ hơn nhiều về việc liệu bề mặt tấn công có đang thu hẹp ở những nơi quan trọng hay không.

Một môi trường với hàng nghìn tài sản tĩnh nhưng ít đường dẫn thay đổi trạng thái không xác thực sẽ an toàn hơn đáng kể so với một môi trường có ít tài sản hơn nhưng lại có nhiều điểm truy cập rủi ro.

3. Thời gian ngừng hoạt động sau khi mất quyền sở hữu (Time to Decommission After Ownership Loss)

Phơi nhiễm thường vẫn tồn tại sau:

  • Thay đổi đội ngũ
  • Ngừng sử dụng ứng dụng
  • Di chuyển nhà cung cấp
  • Tái cơ cấu

Việc đo lường tốc độ loại bỏ tài sản sau khi quyền sở hữu biến mất là một trong những chỉ số mạnh nhất về vệ sinh hệ thống lâu dài và là một trong những chỉ số ít được theo dõi nhất.

Nếu các tài sản bị bỏ rơi vẫn tồn tại vô thời hạn, thì việc khám phá đơn thuần sẽ không giúp giảm thiểu rủi ro.

Điều này trông như thế nào trong thực tế

Các chỉ số trừu tượng dễ chấp nhận nhưng khó đưa vào hoạt động thực tế. Mục tiêu không phải là một bảng điều khiển mới hay một bộ cảnh báo khác, mà là sự thay đổi trong những gì được hiển thị: khoảng trống về quyền sở hữu, thời gian phơi nhiễm và rủi ro chưa được giải quyết mà nếu không sẽ hòa lẫn vào số lượng tài sản.

Giao diện hiển thị ASM
Giao diện hiển thị tập trung vào quyền sở hữu tài sản và rủi ro chưa được giải quyết.

Thay vì nhấn mạnh tổng số lượng tài sản, chế độ xem này hiển thị rõ:

  • Những tài sản nào thuộc quyền sở hữu
  • Những tài sản nào chưa được giải quyết
  • Thời gian quyền sở hữu không rõ ràng là bao lâu

Mục tiêu không phải là nhiều cảnh báo hơn mà là giải quyết nhanh hơn.

Biến ASM thành một công cụ kiểm soát

ASM không gặp khó khăn vì các đội ngũ không làm việc đủ chăm chỉ. Nó gặp khó khăn vì nỗ lực không được gắn kết một cách nhất quán với các kết quả mà ban lãnh đạo quan tâm.

Việc định hình lại ROI xoay quanh tốc độ, quyền sở hữu và thời gian phơi nhiễm giúp có thể thể hiện tiến bộ thực sự. Ngay cả khi số lượng tài sản thô không bao giờ thay đổi. Trong nhiều trường hợp, những chiến thắng có ý nghĩa nhất đến từ việc khiến bề mặt tấn công trở nên "nhàm chán" trở lại (ít rủi ro hơn).

Điểm khởi đầu cụ thể

Một cách để kiểm tra các chỉ số ASM dựa trên kết quả là làm cho khả năng hiển thị tài sản được tiếp cận rộng rãi trên các đội ngũ, thay vì bị giới hạn bởi các kho công cụ riêng biệt. Chúng tôi nhận thấy rằng khi các đội ngũ kỹ thuật, an ninh và cơ sở hạ tầng đều có thể thấy các khoảng trống về quyền sở hữu và thời gian phơi nhiễm, tốc độ giải quyết sẽ tăng lên mà không cần thêm cảnh báo.

Suy nghĩ đó đã dẫn chúng tôi đến việc phát hành phiên bản cộng đồng của nền tảng ASM của mình, hiển thị khả năng khám phá tài sản và quyền sở hữu mà không mất phí hoặc giới hạn. Mục tiêu không phải là thay thế các công cụ hiện có, mà là cung cấp cho các đội ngũ một cách để đo lường xem liệu phơi nhiễm có thực sự giảm dần theo thời gian hay không.

Nếu bạn muốn kiểm tra ROI của chương trình ASM của mình, hãy thử điều này: Bỏ qua số lượng tài sản bạn có.

Thay vào đó, hãy hỏi:

  • Các tài sản rủi ro không có quyền sở hữu tồn tại trong bao lâu?
  • Có bao nhiêu đường dẫn thay đổi trạng thái không xác thực tồn tại hôm nay so với quý trước?
  • Các tài sản bị bỏ rơi biến mất nhanh như thế nào?

Nếu những câu trả lời đó không được cải thiện, việc khám phá thêm sẽ không thay đổi kết quả.

Kết luận: Đo lường những gì thực sự thay đổi rủi ro

Quản lý bề mặt tấn công trở nên đáng tin cậy khi nó được đo lường bằng những gì thay đổi, chứ không chỉ những gì tích lũy. Việc khám phá sẽ luôn quan trọng. Khả năng hiển thị sẽ luôn quan trọng khi đo lường bề mặt tấn công. Nhưng cả hai đều không đảm bảo rằng phơi nhiễm đang được giảm thiểu, mà chỉ là nó đang được quan sát.

ROI của quản lý bề mặt tấn công thể hiện khi các tài sản rủi ro được xác nhận quyền sở hữu nhanh hơn, khi các đường dẫn nguy hiểm biến mất sớm hơn và khi cơ sở hạ tầng bị bỏ rơi không tồn tại vô thời hạn. Danh mục tài sản cung cấp chiều rộng cần thiết; các chỉ số định hướng kết quả cung cấp chiều sâu cần thiết để hiểu rõ việc giảm thiểu rủi ro thực sự.

Tại Sprocket Security, chúng tôi cố gắng suy nghĩ về quản lý bề mặt tấn công không chỉ về số lượng tài sản tồn tại, mà còn về thời gian phơi nhiễm có ý nghĩa kéo dài bao lâu và tốc độ giải quyết nó nhanh như thế nào. Điều quan trọng nhất là các chỉ số về bề mặt tấn công làm cho tiến độ trở nên rõ ràng, chứ không chỉ là sự tăng trưởng về danh mục.

Logo Sprocket Security
Logo của Sprocket Security

Nếu một chương trình quản lý bề mặt tấn công không thể trả lời liệu phơi nhiễm có đang thu hẹp theo thời gian hay không, thật khó để lập luận rằng nó đang làm nhiều hơn là chỉ báo cáo vấn đề.

Lưu ý: Bài viết này được viết chuyên sâu và đóng góp bởi Topher Lyons, Kỹ sư Giải pháp tại Sprocket Security.

Thẻ liên quan
#ASM #An ninh mạng #Quản lý rủi ro #ROI #Bảo mật tài sản