Mỗi tháng Mười lại mang đến một nhịp điệu quen thuộc – mọi thứ hương bí ngô tại các cửa hàng và quán cà phê, cùng với một làn sóng lời nhắc nhở, các webinar và danh sách kiểm tra trong hộp thư đến của tôi. Halloween có thể đã cận kề, nhưng đối với những người làm trong lĩnh vực an ninh mạng, Security Awareness Month mới là cột mốc quan trọng theo mùa.
Đừng nhầm lẫn, với tư cách là một chuyên gia bảo mật, tôi thực sự yêu tháng này. Được CISA và National Cybersecurity Alliance khởi xướng từ năm 2004, nó được thiết kế để biến bảo mật thành trách nhiệm chung. Nó giúp công dân bình thường, doanh nghiệp và các cơ quan công quyền xây dựng thói quen kỹ thuật số an toàn hơn. Và nó thực sự hiệu quả. Nó thu hút sự chú ý đến rủi ro dưới nhiều hình thức khác nhau, khơi dậy những cuộc trò chuyện mà lẽ ra sẽ không xảy ra, và giúp nhân viên nhận ra vai trò cá nhân cũng như ảnh hưởng của họ đối với an ninh của tổ chức.
Các sáng kiến của Security Awareness Month giúp tăng cường sự tự tin, mài giũa bản năng và giữ an ninh luôn hiện hữu trong tâm trí mọi người...cho đến khi các đồ trang trí mùa lễ hội mùa đông bắt đầu xuất hiện.
Sau đó, đà này dần mất đi. Nhận thức mà không được củng cố sẽ nhanh chóng phai nhạt. Mọi người biết phải làm gì, nhưng áp lực hàng ngày và các ưu tiên thay đổi khiến mật khẩu yếu, các cấu hình sai (misconfigurations) và các tài khoản không sử dụng lại xuất hiện. Tiến bộ thực sự cần một cấu trúc xác minh những gì mọi người ghi nhớ và phát hiện những gì họ bỏ sót – các hệ thống liên tục xác thực danh tính (identity), cấu hình (configuration) và đặc quyền (privilege).
Trong bài viết này, tôi sẽ xem xét kỹ hơn lý do tại sao nhận thức đơn thuần không thể gánh vác toàn bộ trọng trách bảo mật và cách thức săn lùng mối đe dọa chủ động (proactive threat hunting) thu hẹp khoảng cách giữa những gì chúng ta biết và những gì chúng ta thực sự có thể ngăn chặn.
Những Giới Hạn Của Nhận Thức
Security Awareness Month nhấn mạnh khía cạnh con người trong phòng thủ. Nó nhắc nhở nhân viên rằng mỗi cú nhấp chuột, mỗi thông tin xác thực (credential) và mỗi kết nối đều quan trọng. Sự tập trung này có giá trị, và tôi đã thấy các tổ chức đầu tư mạnh vào các chiến dịch sáng tạo thực sự thay đổi hành vi của nhân viên.
Tuy nhiên, nhiều tổ chức trong số này vẫn phải đối mặt với các vụ vi phạm nghiêm trọng (serious breaches). Lý do là nhiều vụ tấn công bắt đầu ở những nơi mà việc đào tạo đơn thuần không thể tiếp cận được. Riêng các cấu hình bảo mật sai (security misconfigurations) đã chiếm hơn một phần ba tổng số sự cố mạng và khoảng một phần tư các sự cố bảo mật đám mây. Tín hiệu rõ ràng: nhận thức có giới hạn của nó. Nó có thể cải thiện việc ra quyết định, nhưng không thể sửa chữa những gì mọi người không bao giờ nhìn thấy.
Một phần của vấn đề là các biện pháp phòng thủ truyền thống chủ yếu tập trung vào phát hiện và phản ứng (detection and response). EDR cảnh báo về hoạt động đáng ngờ. SIEM tương quan các sự kiện sau khi chúng xảy ra. Các công cụ quét lỗ hổng (vulnerability scanners) xác định các điểm yếu đã biết. Những công cụ này hoạt động chủ yếu ở phía bên phải của Cyber Defense Matrix, tập trung vào các giai đoạn phòng thủ mang tính phản ứng.
Phòng thủ hiệu quả cần bắt đầu sớm hơn. Phía bên trái chủ động của Matrix – nhận diện (identification) và bảo vệ (protection) – nên dựa trên sự đảm bảo, không phải giả định. Proactive threat hunting thiết lập một cơ chế cung cấp những đảm bảo này, tăng cường sức mạnh cho quá trình mà nhận thức khởi xướng. Nó tìm kiếm các cấu hình sai (misconfigurations), các thông tin xác thực bị lộ (exposed credentials) và các đặc quyền quá mức (excessive privileges) tạo ra cơ hội tấn công, sau đó loại bỏ chúng trước khi kẻ thù (adversary) có thể khai thác chúng.
Proactive Threat Hunting Thay Đổi Cuộc Chơi
Phòng thủ tốt nhất bắt đầu trước cảnh báo đầu tiên. Proactive threat hunting xác định các điều kiện cho phép một cuộc tấn công hình thành và giải quyết chúng sớm. Nó chuyển bảo mật từ việc quan sát thụ động sang hiểu rõ ràng về nơi rủi ro bắt nguồn.
Sự chuyển đổi từ quan sát sang hiểu biết chủ động này tạo thành cốt lõi của một chương trình bảo mật hiện đại: Continuous Threat Exposure Management (CTEM). Thay vì một dự án một lần, một chương trình CTEM cung cấp một khuôn khổ có cấu trúc, có thể lặp lại để liên tục mô hình hóa các mối đe dọa, xác thực các kiểm soát và bảo vệ doanh nghiệp. Đối với các tổ chức sẵn sàng xây dựng khả năng này, A Practical Guide to Getting Started With CTEM cung cấp một lộ trình rõ ràng.
Những kẻ tấn công đã đi theo mô hình này. Các chiến dịch của những threat actors ngày nay liên kết việc lạm dụng danh tính (identity misuse), tái sử dụng thông tin xác thực (credential reuse) và di chuyển ngang (lateral movement) qua các môi trường lai (hybrid environments) với tốc độ máy móc. Tự động hóa dựa trên AI lập bản đồ và trang bị toàn bộ cơ sở hạ tầng chỉ trong vài phút. Các nhóm kiểm tra môi trường của họ từ góc độ của kẻ tấn công có thể thấy cách những sơ suất nhỏ kết nối thành các con đường tấn công (attack paths) hoàn chỉnh, cho phép các threat actors len lỏi qua các lớp phòng thủ. Điều này biến dữ liệu rủi ro phân tán thành một bức tranh sống động về cách thức một sự xâm phạm (compromise) phát triển và cách ngăn chặn nó sớm.
Những người phòng thủ cần độ sâu của khả năng hiển thị theo ngữ cảnh (contextual visibility) mà những kẻ tấn công đã có. Proactive threat hunting tạo ra khả năng hiển thị đó – xây dựng sự sẵn sàng qua ba giai đoạn:
- Thu thập dữ liệu phù hợp (Get the Right Data) – Thu thập dữ liệu về lỗ hổng (vulnerability), thiết kế mạng, và khả năng kết nối, danh tính (identity) (cả SSO và dữ liệu được lưu trữ trên hệ thống), và cấu hình (configuration) của từng hệ thống từ mọi phần của môi trường để tạo ra một cái nhìn tập trung vào kẻ tấn công duy nhất. Mục tiêu là để thấy những gì một kẻ thù (adversary) sẽ thấy, bao gồm các thông tin xác thực yếu (weak credentials), các lỗ hổng tư thế đám mây (cloud posture gaps) và các mối quan hệ đặc quyền (privilege relationships) tạo ra các điểm vào (entry points). Một digital twin (bản sao số) cung cấp một cách thực tế để sao chép môi trường một cách an toàn và xem tất cả các rủi ro (exposures) ở một nơi.
- Lập bản đồ các con đường tấn công (Map the Attack Paths) – Sử dụng digital twin để kết nối các rủi ro và tài sản (assets), minh họa cách một sự xâm phạm (compromise) có thể tiến triển qua môi trường và tác động đến các hệ thống quan trọng. Bản đồ này tiết lộ các chuỗi khai thác (exploitation) quan trọng. Nó thay thế các giả định bằng bằng chứng, cho thấy chính xác cách nhiều rủi ro nhỏ hội tụ để hình thành một attack path.
- Ưu tiên theo tác động kinh doanh (Prioritize by Business Impact) – Liên kết mỗi attack path đã được xác thực với các tài sản và quy trình hỗ trợ hoạt động kinh doanh. Giai đoạn này chuyển các phát hiện kỹ thuật thành rủi ro kinh doanh, tập trung khắc phục (remediation) vào các rủi ro có thể gây ra sự gián đoạn kinh doanh lớn nhất. Kết quả là sự rõ ràng – một tập hợp các hành động đã được xác minh, ưu tiên, trực tiếp tăng cường khả năng phục hồi (resilience).
Nhận thức là một khối xây dựng quan trọng. Nhưng proactive threat hunting mang lại cho những người phòng thủ điều mà nhận thức đơn thuần không bao giờ có thể cung cấp – bằng chứng. Nó cho thấy chính xác vị trí của tổ chức và tốc độ có thể thu hẹp khoảng cách giữa khả năng hiển thị (visibility) và phòng ngừa (prevention).
Từ Nhận Thức Đến Khả Năng Sẵn Sàng
Security Awareness Month nhắc nhở chúng ta rằng nhận thức là một bước thiết yếu. Tuy nhiên, tiến bộ thực sự bắt đầu khi nhận thức dẫn đến hành động. Nhận thức chỉ mạnh mẽ khi có các hệ thống đo lường và xác thực nó. Proactive threat hunting biến nhận thức thành sự sẵn sàng bằng cách giữ sự chú ý vào những gì quan trọng nhất – những điểm yếu hình thành cơ sở cho các cuộc tấn công của ngày mai.
Nhận thức dạy mọi người nhìn thấy rủi ro. Threat hunting chứng minh liệu rủi ro đó có còn tồn tại hay không. Cùng với nhau, chúng tạo thành một chu trình liên tục giúp bảo mật duy trì hiệu quả rất lâu sau khi awareness campaigns kết thúc. Tháng Mười này, câu hỏi cho mỗi tổ chức không phải là có bao nhiêu nhân viên đã hoàn thành khóa đào tạo, mà là bạn tự tin đến mức nào rằng các hệ thống phòng thủ của bạn sẽ đứng vững hôm nay nếu ai đó kiểm tra chúng. Nhận thức xây dựng sự hiểu biết. Sẵn sàng mang lại sự bảo vệ.
Lưu ý: Bài viết này được viết và đóng góp bởi Jason Frugé, CISO in Residence, XM Cyber.
