Vượt qua kỷ nguyên Mythos: Richard Bejtlich bàn về vai trò của NDR

Mặc dù có nguồn telemetry phong phú, nhiều đội ngũ vận hành an ninh vẫn gặp khó khăn trong việc trả lời các câu hỏi cơ bản khi điều tra sự cố: Chuyện gì đã xảy ra? Chúng ta có bằng chứng gì? Làm thế nào để biết chúng ta đang thấy toàn cảnh trong ngữ cảnh cụ thể? Trả lời các câu hỏi này đòi hỏi các đội ngũ phải vượt xa các cảnh báo, vốn là cơ sở phổ biến nhất để phân loại ban đầu. Nhưng các cuộc điều tra đòi hỏi bằng chứng xác thực chứ không phải những giả định.
NDR Essentials

Mặc dù có nguồn telemetry phong phú theo ý muốn của các nhà phân tích, nhiều đội ngũ vận hành an ninh vẫn gặp khó khăn trong việc trả lời một vài câu hỏi cơ bản trong quá trình điều tra sự cố: Chuyện gì đã xảy ra? Chúng ta có bằng chứng gì? Làm thế nào để biết chúng ta đang thấy toàn cảnh trong ngữ cảnh cụ thể?

Việc trả lời những câu hỏi này đòi hỏi các đội ngũ phải vượt xa các cảnh báo (alerts), vốn là cơ sở phổ biến nhất để phân loại ban đầu. Tuy nhiên, các cuộc điều tra (và kết quả của chúng) đòi hỏi bằng chứng xác thực chứ không phải những giả định mà các cảnh báo thường đưa ra.

Các cảnh báo đang trở nên ít hữu dụng hơn khi việc phát hiện lỗ hổng ngày càng tăng tốc (hay còn gọi là Kỷ nguyên Mythos). Hầu hết các tổ chức không thể điều tra khối lượng phát hiện mới với các quy trình hiện có. Ngay cả khi tăng cường tự động hóa, các đội ngũ SecOps vẫn cần bằng chứng xác thực về exploit và mức độ phơi nhiễm đang hoạt động, chứ không chỉ là thêm dữ liệu telemetry thô.

Khi AI thúc đẩy cả tấn công và phòng thủ, các đội ngũ an ninh cần đặt nền móng cho phép họ xác thực các phát hiện, hiểu hành vi của kẻ tấn công và chặn lưu lượng truy cập đáng ngờ trước khi nó dẫn đến một vụ vi phạm.

Cuốn sách NDR Essentials: A Practical Guide to Network Detection and Response của Richard Bejtlich, được xuất bản với sự hợp tác của Corelight, khám phá cách Network Detection and Response (NDR) giúp các chuyên gia điều hướng kỷ nguyên mạng hiện tại. Hướng dẫn miễn phí này là lời giới thiệu về NDR và là tài nguyên thực tế cho các đội ngũ đang muốn tăng cường Threat hunting và các cuộc điều tra có hỗ trợ của AI.

Tầm quan trọng của việc ngăn chặn mạng (Network Interdiction)

Nhiều chương trình an ninh tập trung vào việc phòng ngừa. Tuy nhiên, thực tế là các tổ chức không thể chỉ "shift left" (tập trung sớm) hoặc "shift right" (tập trung muộn). Sự chú ý và kiểm soát phải được đặt xuyên suốt toàn bộ chuỗi tấn công.

Nếu các biện pháp kiểm soát phòng ngừa là câu trả lời đơn giản, thì thông tin đăng nhập bị đánh cắp sẽ không thể hoạt động khi kẻ tấn công đã giành được chỗ đứng. Malware sẽ bị chặn ngay tại biên. Và dữ liệu sẽ không bao giờ rời khỏi môi trường lưu trữ của nó.

Tuy nhiên, những sự cố này vẫn xảy ra mọi lúc.

Vì những lý do này, Bejtlich lập luận rằng các chương trình an ninh có khả năng phục hồi nên tập trung vào việc ngăn chặn (interdiction): xác định và phá vỡ hoạt động độc hại trước khi kẻ tấn công đạt được mục tiêu của chúng.

Thành công phòng thủ thực sự phụ thuộc vào khả năng của một tổ chức trong việc cô lập và ngăn chặn các tác nhân độc hại sau khi bị xâm nhập ban đầu nhưng trước khi xảy ra một vụ vi phạm toàn diện. Ông lập luận rằng việc ngăn chặn sẽ chuyển trọng tâm từ các blocklists cơ bản sang việc chủ động phá vỡ mối đe dọa bên trong phạm vi mạng. Nó cho phép giảm thiểu lỗ hổng và ngăn chặn mối đe dọa, giúp dừng cuộc tấn công trước khi đối thủ đạt được nhiệm vụ cốt lõi.

Hướng dẫn giải thích cách NDR hỗ trợ ngăn chặn bằng cách cung cấp khả năng hiển thị lưu lượng truy cập di chuyển khắp mạng. Bốn nguồn bằng chứng mạng chính đáng để khám phá sâu là:

  • Full packet captures (Chụp toàn bộ gói tin)
  • Các tệp được trích xuất (Extracted files)
  • Transaction logs (Nhật ký giao dịch)
  • Cảnh báo và phát hiện (Alerts and detections)

Thay vì hoạt động như một rào cản thụ động, NDR hiện đại tạo điều kiện cho sự can thiệp chủ động. Nó cung cấp cho các đội ngũ an ninh nhận thức tình huống và ngữ cảnh để ngăn chặn sự lây lan của một cuộc tấn công và bảo tồn bằng chứng mạng có độ trung thực cao.

Threat hunting bắt đầu từ một giả thuyết

Một trong những chương hay nhất của cuốn sách tập trung vào cách các tổ chức có thể phát triển Threat hunting để phù hợp với các kỹ thuật tấn công hiện tại, vốn có khả năng trốn tránh các ranh giới phát hiện truyền thống.

Theo Bejtlich, Threat hunting không được dựa trên việc theo dõi cảnh báo. Thay vào đó, nó nên bắt đầu bằng một giả thuyết về các kỹ thuật của đối thủ. Sau khi một giả thuyết được hình thành, nhà phân tích sẽ thực hiện các truy vấn đối với nhật ký mạng và các phiên làm việc để xác thực hoặc bác bỏ lý thuyết đó.

Bằng chứng mạng vẫn là trung tâm của cuộc điều tra. Các kỹ thuật dựa trên mạng hỗ trợ Threat hunting chủ động bao gồm:

  • Xác định các tệp thực thi
  • Điều tra các giao thức bất thường
  • Theo dõi các đợt chuyển dữ liệu lớn ra bên ngoài (outbound)
  • Phát hiện di chuyển ngang (lateral movement)
  • Phân tích mức độ phơi nhiễm chứng chỉ (certificate exposure)

Trọng tâm của cuộc săn tìm nên là các điểm bất thường cụ thể, có thể quan sát được thay vì các cảnh báo an ninh chung chung, vốn là những gì có thể thu được từ việc quan sát các giao dịch mạng.

AI trong Network Detection and Response

Trí tuệ nhân tạo đã thay đổi khả năng phòng thủ mạng, giống như cách nó đã thay đổi các cuộc tấn công chống lại mạng. Trong chương 5 của hướng dẫn, Bejtlich mô tả cách các nhà phân tích SOC có thể sử dụng AI vì lợi ích chung — tạo ra hiệu quả, giảm tải nhận thức và cải thiện việc thu thập bằng chứng.

Ông đề cập sâu đến ba lĩnh vực chức năng:

  1. Khung cảnh báo được tối ưu hóa: dữ liệu lưu lượng được thu thập ở đâu và như thế nào — tại biên và/hoặc trung tâm — và mỗi cách ảnh hưởng đến phân tích như thế nào.
  2. Phân loại tác nhân (Agentic triage) để tăng tốc chu kỳ phản ứng sự cố: cách các tác nhân tự trị nên được sử dụng để thực thi playbooks, và quan trọng không kém, là nâng cao khả năng ra quyết định chiến lược của các nhà phân tích con người.
  3. Khả năng tương tác của công cụ: mặc dù mạng thường được gọi là "ground truth" (sự thật cơ sở), việc điều tra tấn công hiện đại đòi hỏi một cái nhìn tổng thể về mạng, thiết bị đầu cuối, nền tảng đám mây, ứng dụng, v.v. Sự điều phối của AI giúp kết nối các công cụ riêng biệt và đầu ra của chúng.

Để đạt được hiệu quả tối đa, các chuyên gia có thể tích hợp các mô hình AI này vào quy trình làm việc hàng ngày cho các trường hợp sử dụng cụ thể của họ.

Mặc dù AI là điều tất yếu trong hệ sinh thái kỹ thuật số ngày nay, nhưng sự xác nhận của con người vẫn là một điểm kiểm soát quan trọng. Ít nhất là trong tương lai gần, tự động hóa phải được quản trị để ngăn chặn tình trạng "ảo giác" (hallucinations) hoặc các hậu quả không mong muốn. Khi được sử dụng đúng cách, AI là một thắng lợi cho các cuộc điều tra và các nhà phân tích quản lý chúng.

Hai bài học để vận hành tốt hơn

Các đội ngũ vận hành thành công liên tục tìm kiếm sự cải tiến quy trình. Người vận hành phải phát triển các kỹ thuật điều tra để phù hợp với tốc độ và sự tinh vi ngày nay, và mạng lưới cung cấp nền tảng đó. Cuốn sách đưa ra nhiều khuyến nghị vận hành, và hai trong số đó nổi bật về tính hiệu quả:

  • Điểm cơ sở cảnh báo ban đầu (Initial alert baselines): Quá nhiều quy tắc được bật sẵn dẫn đến tình trạng mệt mỏi vì cảnh báo (alert fatigue). Ngược lại, alert fatigue làm tê liệt và/hoặc vùi lấp các đội ngũ an ninh. Do đó, Bejtlich khuyến nghị các tổ chức áp dụng chiến lược "zero-baseline".
  • Định nghĩa cảnh báo (Alert definitions): Người vận hành nên coi một cảnh báo là điểm bắt đầu của một cuộc điều tra thay vì là định nghĩa cuối cùng của một sự kiện. Việc làm này tạo điều kiện cho việc thu thập bằng chứng sâu để hỗ trợ hoặc bác bỏ một giả thuyết, đảm bảo rằng, khi kết thúc cuộc điều tra, nhà phân tích có thể trả lời một cách thuyết phục: Chuyện gì đã xảy ra? Chúng ta có bằng chứng gì? Làm thế nào để biết chúng ta đang thấy toàn cảnh trong ngữ cảnh cụ thể?

Tại sao ngăn chặn mạng lại quan trọng lúc này

Các tác nhân đe dọa tiếp tục phát triển chiến thuật của chúng, nhưng bằng chứng mạng vẫn là nguồn sự thật xác thực cho phòng thủ. Các chuyên gia muốn xây dựng một kiến trúc an ninh hiện đại, linh hoạt có thể tìm thấy các chiến lược khả thi trong eBook này.

Giá trị của NDR Essentials không chỉ đơn thuần là giải thích về NDR. Nó cung cấp một khung làm việc thực tế để tư duy về các cuộc điều tra hiện đại.

Giải pháp Network Detection and Response của Corelight

Corelight cung cấp giải pháp Network Detection and Response (NDR) giúp tăng tốc các cuộc điều tra đe dọa thông qua phòng thủ do AI cung cấp. Sử dụng khả năng hiển thị mạng toàn diện, phân tích hành vi và phát hiện dựa trên bằng chứng, Nền tảng Open NDR của Corelight kết hợp telemetry mạng chuyên sâu với ngữ cảnh có thể hành động. Các nhà phân tích có thể xác định các mối đe dọa nhanh hơn, xác thực các phát hiện với sự tự tin và hành động một cách rõ ràng.