Gửi lúc: 27/09/2018 16:10:49
Bookmark and Share

Phân bổ ngân sách đầu tư an ninh mạng một cách toàn diện

Yêu cầu các quản lý cấp cao phê duyệt ngân sách cho an ninh mạng hàng năm là một nhiệm vụ không đơn giản đối với các trưởng phòng công nghệ thông tin (CNTT) hay chuyên gia bảo mật. Bởi an ninh mạng không làm gia tăng lợi nhuận nên các nhà quản lý thường xem đó là một dạng chi phí, nên các trưởng phòng CNTT phải tìm cách phân bổ ngân sách một cách hiệu quả nhất có thể. Bài viết sẽ trình bày về cách phân bổ cho việc đầu tư an ninh mạng một cách toàn diện, hợp lý.

Các khía cạnh trong việc đầu tư an ninh mạng
Có nhiều khía cạnh, lĩnh vực khác nhau để đầu tư an ninh mạng, nhưng tổ chức cần tập trung vào 3 khía cạnh cơ bản sau:

Prevention - Ngăn ngừa


Tính năng IPS của WatchGuard được tích hợp trong các thiết bị

Đây là dạng sản phẩm, dịch vụ được thiết kế để phát hiện và ngăn chặn các mối đe dọa trước khi được thực hiện thành công. Tường lửa, antivirus, hệ thống ngăn chặn xâm nhập (IPS - Intrusion Prevention System), giải pháp bảo vệ chống phần mềm độc hại tiên tiến, giải pháp lọc thư điện tử dựa trên đám mây và những giải pháp tương tự đều được xem là những công nghệ ngăn ngừa.


Detection & Response - Phát hiện và ứng phó


Cơ chế hoạt động của tính năng phát hiện và ứng phó của WatchGuard

Những giải pháp phát hiện, ứng phó giúp xác định và loại bỏ mối đe dọa sau khi đã lây nhiễm vào hệ thống. Khi có tấn công mạng hoặc phần mềm độc hại vượt qua lớp phòng thủ, những sản phẩm này giúp hiểu thêm về mối đe dọa và khắc phục. Một vài ví dụ như sản phẩm phát hiện và ứng phó tại điểm cuối (EDR - Endpoint Detection & Response), giải pháp quản lý các sự kiện và thông tin bảo mật (SIEM - Security Information & Event Management) và các công cụ xử lý sự cố khác.


Business continuity and disaster recovery (BC/DR) - Tiếp tục và phục hồi sau tấn công

Khía cạnh này bao gồm những dịch vụ và công nghệ giúp phục hồi hệ thống CNTT và dữ liệu cần thiết để tiếp tục công việc sau các thảm họa như tấn công mạng. Những sản phẩm, dịch vụ sao lưu dữ liệu, giải pháp lưu trữ ảo hoặc đám mây và bảo hiểm mạng được xem như là những khoản đầu tư cần thiết cho BC/DR.


Tỷ lệ phân bổ ngân sách đầu tư an ninh mạng hợp lý

Các chuyên gia ước tính rằng, các công ty chi 75% ngân sách cho phòng ngừa, 25% còn lại cho phát hiện, ứng phó và phục hồi sau thảm họa. Tuy nhiên, việc phân bổ ngân sách như vậy là không hợp lý. Tỷ lệ tốt nhất là 50% cho phòng ngừa, 30% cho phát hiện, ứng cứu và 20% còn lại cho phục hồi.

Có được tỷ lệ này vì hoạt động ngăn ngừa là quan trọng nhưng không thể có được sự ngăn ngừa hoàn chỉnh nhất. Các mối đe dọa tinh vi mới như mã độc tống tiền đa chức năng và phần mềm độc hại chưa được xác định là minh chứng cho việc không thể bảo vệ và ngăn ngừa được tất cả các mối đe dọa. Các phần mềm độc hại cũng thường xuyên được cập nhật và vượt qua các phương thức bảo mật dựa vào chữ ký. Bên cạnh đó, các giải pháp phần mềm độc hại dựa trên hành vi có thể giúp ích được nhiều hơn trong việc ngăn ngừa cũng không thể thực sự hoàn hảo. Các chuyên gia khuyến cáo nên đầu tư vào các công cụ ngăn chặn, đặc biệt là các giải pháp phòng chống phần mềm độc hại tiên tiến mà có khả năng tự học và phân tích hành vi để phát hiện các mối đe dọa mới. Tốt hơn hết, vẫn nên chỉ chi 50% ngân sách cho khía cạnh này.

30% ngân sách an ninh mạng có thể chi trả cho phát hiện và ngăn ngừa để giảm thiểu thời gian phát hiện mã độc cần thiết sau khi đã xâm nhập vào hệ thống. Khi tấn công đã vượt qua lớp bảo vệ, các tổ chức thường không có công cụ cần thiết để phát hiện mối đe dọa đó. Theo báo cáo của nghiên cứu “Chi phí cho thất thoát dữ liệu” của Viện nghiên cứu Ponemon và IBM, trung bình mất 190 ngày để xác định cuộc tấn công đã xâm nhập vào hệ thống hay chưa. Thời gian như vậy là rất lâu, bởi chỉ mất nhiều phút, nhiều giờ để ăn cắp hàng TB dữ liệu. Khối lượng thiệt hại mà kẻ tấn công có thể gây ra trong 190 ngày có thể là không thể tưởng tượng nổi. Các doanh nghiệp cần giảm thiểu thời gian phát hiện (hay còn gọi là thời gian dừng) với mức tốt nhất là theo từng phút. Các chuyên gia cho rằng nên tập trung một phần ngân sách đáng kể cho các công cụ phát hiện và ứng cứu.

Hiện nay, các giải pháp phát hiện và ứng cứu tại điểm cuối ngày càng trở nên phổ biến. Những giải pháp này chạy trên thiết bị đầu cuối và sử dụng rất nhiều phương thức khác nhau để loại bỏ phần mềm độc hại được cài đặt trên thiết bị. Những giải pháp phát hiện và ứng cứu tại điểm cuối tiên tiến cũng có thể tự động dọn dẹp hoặc loại bỏ các mối đe dọa tìm được. Các tổ chức nên cân nhắc những công cụ phát hiện và ứng cứu có thể tương quan cả điểm cuối và các điểm mạng để phát hiện những vùng lây lan tiềm ẩn và phức tạp.

Cuối cùng, các doanh nghiệp nên đầu tư ít nhất 20% ngân sách an ninh mạng cho những công cụ và dịch vụ có thể nhanh chóng phục hồi những tiện ích CNTT cần thiết cho doanh nghiệp trong trường hợp khẩn cấp. Điều này sẽ giúp giảm thiểu thời gian phục hồi từ những thảm họa an ninh mạng và giảm thiểu thất thoát lợi nhuận trong suốt quá trình đó. Nếu những mối đe dọa mạng như mã độc tống tiền hoặc tấn công DDoS làm thiệt hại các nguồn tài nguyên CNTT của doanh nghiệp, thì sẽ mất chi phí rất lớn để phục hồi. Trong khi đó, hầu hết BC/DR chỉ là một quy trình, và hiện tại có rất nhiều sản phẩm, dịch vụ sao lưu, lưu trữ và ảo hóa giúp ích được cho tổ chức rất nhiều.

Trong khi đa số các doanh nghiệp sử dụng các công cụ sao lưu dữ liệu, thì chỉ có số ít có kế hoạch phục hồi sau thảm họa. Các doanh nghiệp sẽ tốn thời gian và chi phí để ứng phó các cuộc tấn công mạng khi không có kế hoạch rõ ràng. Thêm vào đó, rất nhiều doanh nghiệp có sử dụng công cụ sao lưu không cân nhắc đến việc phải mất bao nhiêu thời gian để phục hồi dữ liệu. Nếu chỉ mất 2 ngày để lấy lại các dữ liệu sao lưu sau khi bị tấn công mã độc tống tiền, thì vẫn khiến nạn nhân mất đi một chi phí không nhỏ. Chuyên gia đề nghị nên xem xét đến việc lưu trữ đám mây, đẩy nhanh quá trình phục hồi. Bảo hiểm mạng cũng là một hạng mục đầu tư cho BC/DR rất tốt vì có thể giảm thiểu được một phần chi phí sau những cuộc tấn công mạng.

Kết luận

Những khuyến cáo trên là một phân bổ toàn diện để cân bằng ngân sách an ninh mạng. Có rất nhiều lĩnh vực, khía cạnh tiềm năng quan trọng khác trong an ninh mạng cần đầu tư, như cảnh báo và đào tạo người dùng đầu cuối, tuân thủ và kiểm toán, dự đoán rủi ro. Tuy nhiên, vấn đề chính là việc đầu tư quá nhiều ngân sách cho ngăn ngừa, trong khi mất hàng tháng để doanh nghiệp tìm thấy vi phạm mà lại không có kế hoạch ứng phó.

Nếu các chuyên gia bảo mật và trưởng phòng CNTT cắt giảm ngân sách cho ngăn ngừa xuống còn 50%, thì có thể giành 30% cho các công cụ phát hiện mối đe dọa và 20% còn lại cho phục hồi sau thảm họa. Phân bổ này có thể giúp các nhà điều hành dễ dàng chấp nhận phương án đầu tư ngân sách vào an ninh mạng cho năm sau.


Dòng thiết bị M series mới nhất của hãng WatchGuard với hiệu suất cao cùng nhiều tính năng được cập nhật liên tục

Hãng bảo mật WatchGuard (Mỹ) cung cấp các dòng sản phẩm an ninh mạng phù hợp cho mọi quy mô doanh nghiệp lớn nhỏ. Các giải pháp đơn giản, dễ sử dụng sẽ giúp bảo vệ hệ thống toàn diện nhất. Công ty ITMAP ASIA là nhà phân phối chính thức của hãng WatchGuard tại Việt Nam. Để nhận được tư vấn chi tiết và cơ hội dùng thử miễn phí, hãy liên lạc với ITMAP ASIA qua hòm thư điện tử info@itmapasia.com hoặc điện thoại 028 5404 0717.

Thu Trang