Iworld.com.vn gửi tới độc giả tin tức về Cải thiện khả năng phát hiện lỗ hổng an ninh mạng tại Nhà Trắng
Lần công bố ban đầu của Sắc lệnh Hành pháp (EO) về cải thiện an ninh mạng của Quốc gia vào ngày 12/05 và cuối tháng 7. Sau đó, một loạt hoạt động của các bộ và cơ quan tiếp tục diễn ra, để giải quyết các lỗ hổng bảo mật tiềm ẩn. Sau khi xác định giải pháp, các phân tích này sẽ tạo điều kiện cho các thực hiện các yêu cầu và tăng cường hơn nữa các biện pháp phòng ngừa hiện có của các cơ quan, để cải thiện tình hình an ninh mạng. Do nhiều vụ vi phạm an ninh mạng trên phạm vi rộng đã xảy ra trong năm qua, một trong những lĩnh vực chính được nhấn mạnh trong Sắc lệnh là nâng cao khả năng của Chính phủ liên bang, để chủ động hơn trong việc phát hiện các lỗ hổng và ngăn chặn các sự cố an ninh mạng trong toàn bộ mạng của cơ quan. Bằng cách giới thiệu giải pháp phản hồi và phát hiện đầu cuối (EDR) cho môi trường doanh nghiệp.
Tổn thất và tác động tiềm ẩn của một cuộc tấn công mạng không còn bị giới hạn trong một silo duy nhất trong mạng của cơ quan hoặc một tập hợp nhỏ các thiết bị. Nó có thể nhanh chóng leo thang rủi ro và ảnh hưởng đến nhiệm vụ của một cơ quan trong vài giây. Đó là lý do tại sao Lệnh hành pháp tuyên bố rằng điều quan trọng là một sáng kiến trong toàn chính phủ được thực hiện, bằng cách phát triển một chiến lược bảo mật toàn diện, để ngăn chặn các cuộc tấn công trước khi chúng xảy ra.
Nhiều cuộc tấn công mạng sử dụng nhiều cơ chế tấn công, yêu cầu một cách tiếp cận khác để giữ cho doanh nghiệp của chúng ta an toàn trước các tác nhân độc hại. Các nền tảng bảo vệ đầu cuối vẫn đóng một vai trò quan trọng, trong việc bảo vệ tài sản của cơ quan, nhưng chúng chỉ là một thành phần của phương pháp tiếp cận nhiều lớp đối với một chiến lược an ninh mạng mạnh mẽ. May mắn thay, nền tảng bảo vệ đầu cuối của McAfee Enterprise cung cấp khả năng phát hiện mối đe dọa, cho phép kết hợp giải pháp thế hệ tiếp theo (EDR), để theo dõi các mối đe dọa tiềm ẩn nếu chúng vượt qua lớp biện pháp đối phó đầu tiên.
Bằng cách kết hợp phát hiện và phản hồi đầu cuối (EDR), các tổ chức có khả năng kiểm soát chi tiết và khả năng hiển thị đối với các đầu cuối của họ, để phát hiện hoạt động đáng ngờ. Là một dịch vụ đám mây, EDR có thể kết hợp các tính năng và dịch vụ mới theo cách linh hoạt hơn nhiều so với các giải pháp khác. MVISION EDR có thể phát hiện và chặn các mối đe dọa trong giai đoạn trước khi thực hiện, điều tra các mối đe dọa thông qua phân tích và giúp đưa ra kế hoạch ứng phó sự cố. Ngoài ra, bằng cách tận dụng AI và máy học, để tự động hóa các bước trong quy trình điều tra, những người săn mối đe dọa có kinh nghiệm hơn có thể tập trung vào phân tích sâu các cuộc tấn công tinh vi và các thành viên khác của nhóm SOC có thể khám phá những phát hiện chính, để loại bỏ các mối đe dọa tiềm ẩn nhanh hơn nhiều. Những khả năng mới này có thể tìm hiểu các hành vi cơ bản của cơ quan và sử dụng thông tin này từ các nguồn thông tin tình báo về mối đe dọa đa dạng khác nhau.
Khi bề mặt tấn công tiếp tục phát triển, cần có một cách tiếp cận toàn diện hơn để phát hiện. Mặc dù EDR rất quan trọng, để phát hiện các mối đe dọa bất thường và hành vi độc hại cho các máy trạm, máy chủ và khối lượng công việc đám mây, phạm vi ảnh hưởng của chúng chỉ giới hạn trong phép đo từ xa do đầu cuối cung cấp. Nhận thấy EDR là mạng ẩn và SIEM là ẩn đầu cuối, nên chúng tôi đã tích hợp công nghệ McAfee Enterprise EDR và SIEM, để làm đa dạng thêm các cuộc điều tra. Tuy nhiên, cần có thêm các nguồn đo từ xa để tiết lộ tất cả các mối đe dọa tiềm ẩn mà một doanh nghiệp có thể gặp phải. Đây là nơi phát hiện và phản hồi mở rộng (XDR), hỗ trợ các tổ chức mở rộng bảo mật ngoài đầu cuối và cho phép họ thu hẹp nhiều phạm vi hơn nữa.
Công nghệ XDR không phải là một sản phẩm hoặc giải pháp đơn lẻ mà là một mô hình thống nhất, vì nó đề cập đến việc tổng hợp nhiều sản phẩm và công nghệ bảo mật tạo thành một nền tảng thống nhất. Cách tiếp cận XDR sẽ thay đổi các quy trình và có khả năng hợp nhất và khuyến khích sự phối hợp chặt chẽ hơn, giữa các chức năng khác nhau như nhà phân tích SOC, săn tìm đe dọa, người ứng phó sự cố và quản trị viên CNTT.
SIEM phần lớn theo hướng dữ liệu, có nghĩa là chúng cần định nghĩa dữ liệu, quy tắc phân tích cú pháp tùy chỉnh và gói nội dung được tạo sẵn, để cung cấp mô hình tình huống dựa trên dữ liệu mà chúng đã nhập. Ngược lại, XDR được định hướng theo giả thuyết, khai thác sức mạnh của công cụ học máy và trí tuệ nhân tạo, để phân tích dữ liệu về mối đe dọa có độ trung thực cao từ nhiều nguồn trên khắp môi trường và hỗ trợ các dòng điều tra cụ thể được ánh xạ tới khung MITER ATT & CK.
Về mặt kỹ thuật, XDR là một nền tảng hội tụ tận dụng một ngôn ngữ phân loại chung và thống nhất. Một XDR hiệu quả phải tập hợp được nhiều tín hiệu không đồng nhất và đưa ra hình ảnh phân tích và hình ảnh đồng nhất. XDR phải chỉ ra các tương quan an ninh tiềm ẩn mà SOC nên tập trung vào. Giải pháp như vậy một mặt sẽ không trùng lặp thông tin, nhưng sẽ nhấn mạnh các cuộc tấn công thực sự có nguy cơ cao, đồng thời lọc bỏ thông tin nhiễu. Kết quả mong muốn sẽ không đòi hỏi quá nhiều công việc thủ công lặp đi lặp lại. Thay vào đó, nó sẽ cho phép các nhóm SOC tập trung vào các cuộc điều tra hàng đầu và giảm thiểu các cuộc tấn công. Việc trình bày dữ liệu của XDR sẽ được lưu ý về ngữ cảnh và nội dung, tận dụng công nghệ tiên tiến, nhưng đủ đơn giản để các nhà phân tích hiểu và hành động.
Khi nhiều tổ chức bắt đầu áp dụng các giải pháp EDR, họ cũng phải xem xét cách giải pháp này cho phép họ chuyển sang kiến trúc Zero Trust. Sự đa dạng của thông tin sẽ có sẵn trong một nền tảng có khả năng chắt lọc từ xa mối đe dọa không chỉ từ các thiết bị đầu cuối, mạng mà họ đang truy cập và các dịch vụ đám mây mà họ sử dụng sẽ tạo ra những lợi thế thực sự. Nó sẽ cải thiện đáng kể mức độ chi tiết, tính linh hoạt và độ chính xác của các công cụ chính sách cấp quyền truy cập vào tài nguyên doanh nghiệp và sử dụng mức độ tin cậy đó, để xác định mức độ quyền truy cập được cấp trong ứng dụng.
Giải pháp lý tưởng phải cung cấp khả năng phát hiện và phản hồi nâng cao trên các thiết bị đầu cuối, mạng và cơ sở hạ tầng đám mây. Nó cần ưu tiên và dự đoán các mối đe dọa quan trọng trước cuộc tấn công và quy định các biện pháp đối phó cần thiết cho phép tổ chức chủ động bảo mật môi trường của họ. Giải pháp lý tưởng cũng phải kết hợp Zero Trust và nó phải được xây dựng trên một hệ sinh thái bảo mật mở.
McAfee Enterprise đã sớm nhận ra rằng một hệ sinh thái bảo mật đa nhà cung cấp là yêu cầu quan trọng, để xây dựng một nền quốc phòng chuyên sâu về thực hành an ninh. Một trong những khối xây dựng chính là Lớp trao đổi dữ liệu (DXL), sau đó đã được cung cấp dưới dạng một dự án nguồn mở (OpenDXL) cho cộng đồng, để phát triển thêm sự sáng tạo. Điều này cho phép hệ sinh thái đa dạng của các đối tác của chúng tôi, từ các nền tảng thông minh về mối đe dọa đến các công cụ điều phối, sử dụng một cơ chế truyền tải chung và giao thức trao đổi thông tin, do đó khuyến khích các nhà cung cấp tham gia không chỉ thông báo chi tiết về mối đe dọa quan trọng, mà còn các giải pháp bảo mật được kết nối nên thực hiện.
Khi bạn kết hợp XDR và một hệ sinh thái bảo mật mở cho các khả năng XDR, các cơ quan sẽ có một nền tảng vững chắc, để nâng cao khả năng hiển thị và phát hiện trên toàn bộ cơ sở hạ tầng mạng của họ.
Trân trọng cám ơn quý độc giả./.
Biên dịch: Lê Toản – Iworld.com.vn