Tại sao Breach Detection là công cụ an ninh mạng mới mà bạn cần phải có?

Các cuộc tấn công mạng là vấn đề “hot” nhất hiện nay, và dường như không có ai là không gặp phải – Home Depot, Target, Adobe và Ebay. Vậy tại sao các CIO vẫn đang chống lại các tội phạm mạng một cách đơn giản như vậy?

Đáng lo ngại, hầu hết các công ty vẫn dựa vào các phương pháp đã lỗi thời, chỉ có hiệu quả một phần để bảo vệ dữ liệu nhạy cảm của họ, chủ yếu là bằng công nghệ tập trung vào việc ngăn chặn các cuộc tấn công đến. Nhưng thực sự việc ngăn chặn những kẻ xấu tấn công vào các mạng lưới doanh nghiệp và đánh cắp dữ liệu nhạy cảm gần như là không thể trong những ngày này.

Trong thực tế, trong số các tổ chức có trên 5.000 máy tính, trên 90% vi phạm về bảo mật. Điều tồi tệ hơn, những tổ chức này có thể thậm chí không biết về nó.

Đã đến lúc các CIO bắt đầu tập trung vào hàng phòng ngự thế hệ mới trong cuộc chiến chống tội phạm mạng: một lĩnh vực đang nổi lên gọi là breach detection (phát hiện vi phạm), tập trung vào việc xác định các cuộc xâm nhập lâu dài sau khi xảy ra và giảm nhẹ thiệt hại của các công ty, một phần thông qua việc sử dụng các công nghệ dữ liệu. An ninh thông tin của công ty bạn có thể phụ thuộc vào nó.

Breach Detection – Hàng rào quan trọng của phòng vệ

Thực tế hiện nay, việc chúng ta áp dụng những biện pháp ngăn chặn như hiện nay là không đủ và hầu hết các thiệt hại xảy ra ngay sau khi có những vi phạm ban đầu.

Tất cả những yếu tố này chỉ ra sự cần thiết phải phát hiện vi phạm để cung cấp một “hàng phòng vệ quan trọng” chống lại các cuộc tấn công này, thay vì chỉ tập trung vào việc ngăn chặn làn sóng ban đầu của sự xâm nhập.

Mặc dù việc phát hiện sau khi sự việc đã xảy ra không phải là một khái niệm mới, nhưng thế hệ cũ của công nghệ SIEM (Security Information and Event Management) và IDS (Intrusion Detection Systems) thường không phát huy hiệu quả trong môi trường trung tâm dữ liệu hiện nay. Tại sao?

• Chúng dựa vào các quy tắc / chữ ký được xác định trước để phát hiện các vi phạm. Trong một thế giới của các cuộc tấn công hướng tới những tổ chức, công ty cụ thể như hiện nay, thì các giải pháp như vậy thường sẽ bỏ lỡ các cảnh báo có liên quan nhất.
• Tỷ lệ signal-to-noise thấp. Hãy tưởng tượng có hàng trăm hoặc thậm chí hàng ngàn cảnh báo bị dồn ứ mỗi ngày – mỗi một thông báo đại diện cho một sự vi phạm tiềm ẩn đối với dữ liệu nhạy cảm nhất của tổ chức. Không có gì ngạc nhiên khi Target, giống như nhiều tổ chức khác, bỏ qua những dấu hiệu cảnh báo về vụ tấn công.
• Việc hiển thị bị hạn chế do được triển khai ở vành đai bảo mật hoặc dựa vào các log file. Nếu không truy cập vào một tập dữ liệu phong phú mở rộng ra ngoài vành đai và bao gồm tất cả các thông tin thô (trái ngược với một log file, đó là một dẫn xuất của nó), thì những công cụ này sẽ bị làm suy yếu khả năng để mà có thể phát hiện đúng mối đe dọa.

Breach detection ở thế hệ tiếp theo sẽ phải giải quyết được vấn đề với dữ liệu lớn hiện nay: Để hiệu quả, các công cụ này cần phải phân tích rất nhiều dữ liệu với số lượng lớn, và với tốc độ nhanh, để xác định các vi phạm tiềm ẩn. Quan trọng nhất, các công cụ phải chính xác; Quá nhiều cảnh báo sai và báo cáo của họ sẽ nhanh chóng bị bỏ qua.

Và hiện nay có rất nhiều start-up đang tập trung vào phát hiện vi phạm, chẳng hạn như Aorato, Bit9, Cybereason, Exabeam, Fortscale, LightCyber, Seculert và Vectra Networks. Thay vì dựa vào việc phát hiện các chữ ký đã xác định trước, các công ty này kết hợp các kỹ thuật dữ liệu lớn, như máy học, với chuyên môn an ninh mạng để có thể mô tả và hiểu được mô hình hành vi của người dùng và máy tính, cho phép họ phát hiện ra kiểu tấn công mới này. Và để tránh việc các chuyên gia an ninh nhận được các cảnh báo vô ích, các công ty này cố gắng giảm thiểu số lượng cảnh báo và cung cấp các giao diện người dùng phong phú cho phép thăm dò và điều tra tương tác.

Để giúp minh họa cách các công nghệ mới này hoạt động như thế nào, hãy nghĩ đến tất cả các “breadcrumbs” trực tuyến mà kẻ tấn công không tránh khỏi trong mỗi bước của cuộc tấn công.

Ví dụ, Anh ta tạo ra các kết nối mạng cho các máy chủ lệnh và điều khiển. Anh ta di chuyển khắp tổ chức theo những cách mà hơi khác so với những gì bình thường; Anh ta có thể sử dụng bất kỳ thông tin nào mà anh ta có thể có được để truy cập các thông tin nhạy cảm. Các start-up về breach-detection mới có thể cảm nhận được tất cả những chuyển động và những thay đổi này. Kết hợp với sự hiểu biết sâu sắc về cách hacker hoạt động, họ có thể cuối cùng ghép lại tất cả các mảnh ghép trong thời gian thực trước khi có nhiều thiệt hại đáng kể đã xảy ra.

Có rất nhiều công cụ hiện nay. Nhưng các cảnh báo bảo mật đúng mới có thể sẽ trở thành một “hàng phòng vệ mới” quan trọng và là một thành phần quan trọng của ngăn xếp bảo mật doanh nghiệp thế hệ mới.

Nguồn bài viết : https://techcrunch.com