Hãy chấp nhận kịch bản bị xâm nhập (Assume the breach). Các lỗ hổng Zero-Day liên tục xuất hiện, AI đang viết exploit nhanh hơn bất kỳ ai có thể vá lỗi, và chiến lược "vá mọi thứ kịp thời" đã không còn hiệu quả từ nhiều năm trước. Đừng đặt cược sự an toàn của tổ chức vào cuộc đua này. Bạn không thể kiểm soát lỗ hổng nào sẽ xuất hiện, nhưng bạn có thể kiểm soát những gì nó có thể tiếp cận được khi đã xâm nhập thành công.
Đó là vấn đề về cấu trúc mạng lưới của bạn, và hầu hết các đội ngũ đều đang hiểu sai về cấu trúc đó. HD Moore, người sáng tạo ra Metasploit và hiện là CEO của runZero, sẽ dành buổi hội thảo này để cho bạn thấy cấu trúc đó từ phía kẻ tấn công.
Đăng ký chỗ ngồi cho buổi LIVE session, hoặc đăng ký ngay để nhận bản ghi hình sau buổi hội thảo.
Sự phân tách mạng (segmentation) mà bạn nghĩ mình đang có
Một giả định sai lầm phổ biến: các hệ thống quan trọng nằm sau tường lửa hoặc được đặt trên một phân đoạn riêng biệt, do đó một điểm xâm nhập ở bên này không thể trở thành một thảm họa ở bên kia. Hãy gọi đó là ảo giác về sự phân tách mạng (segmentation illusion). Nó chỉ đúng cho đến khi có ai đó thực sự lập bản đồ mạng lưới một cách nghiêm túc.
Sau đó, các lỗ hổng bắt đầu lộ diện. Một thiết bị được cắm vào hai mạng cùng lúc, âm thầm tạo cầu nối giữa các vùng mà bạn muốn giữ tách biệt. Những thiết bị kết nối mà không ai đăng ký, phản hồi trên một phân đoạn lẽ ra nó không được phép hiện diện. Toàn bộ các dàn máy ẩn sau một gateway giao thức công nghiệp, vô hình trước các trình quét của bạn, nhưng có thể tiếp cận bởi bất kỳ ai biết gateway đó tồn tại. Không có thứ nào trong số này nằm trong danh sách tài sản (asset list). Tất cả chúng đều đi vòng qua các lớp kiểm soát mà bạn đang tin tưởng.
Kiểm kê chỉ là một danh sách. Kẻ tấn công đọc một bản đồ.
Bạn duy trì một bản kiểm kê, một danh sách tĩnh các thứ bạn sở hữu. Kẻ tấn công không quan tâm đến danh sách của bạn. Họ quan tâm đến các con đường: cách một điểm xâm nhập dẫn đến điểm tiếp theo, cho đến khi chạm tới thứ gì đó có thể gây thiệt hại. Hai cái nhìn này hiếm khi khớp nhau, và sự khác biệt chính là phần mạng lưới mà bạn không thấy nhưng kẻ tấn công thì có. Moore đã xây dựng Metasploit, framework mà một nửa ngành an ninh mạng dùng để học về tấn công, và hiện đang điều hành công ty chuyên tìm kiếm các tài sản và kết nối mà các tổ chức thậm chí không biết là mình có.
Giữ chỗ ngay và xem góc nhìn đó được áp dụng trực tiếp vào chính môi trường của bạn.
Những gì bạn có thể thực hiện
- Tìm kiếm các tài sản mà bạn không biết mình đang sở hữu: Các thiết bị IT không được phê duyệt (Unsanctioned IT), Shadow IoT, và các tài sản phụ đằng sau các OT protocol gateway nơi trình quét của bạn không bao giờ chạm tới.
- Tìm các cầu nối phá vỡ phân tách mạng (segmentation): Các thiết bị multi-homed và tài sản bị lãng quên kết nối các vùng mà bạn tin rằng đã được cô lập.
- Nhìn thấy các con đường, không chỉ là các bộ phận: Thay đổi từ kiểm kê tĩnh sang bản đồ đường đi của cuộc tấn công trực tiếp (live attack-path mapping) để thấy cách một điểm xâm nhập thực sự di chuyển.
- Khắc phục những thứ thực sự quan trọng: Tập trung xử lý vào các tài sản và liên kết giúp rút ngắn lộ trình gây thiệt hại của kẻ tấn công.
Mạng doanh nghiệp, nhà máy, hoặc cả hai đan xen với nhau: nếu IT, IoT và OT chia sẻ cùng một môi trường, các điểm nối giữa chúng là nơi mọi thứ bắt đầu đi chệch hướng. Hãy nhìn mạng lưới của bạn theo cách mà kẻ tấn công đang làm, trước khi họ ra tay.