Trong thời gian vừa qua, tình hình an toàn thông tin (ATTT) tại Việt Nam tiếp tục diễn biến phức tạp, các cuộc tấn công mạng, gián điệp, tội phạm mạng không ngừng gia tăng nhằm phá hoại hệ thống thông tin, đánh cắp dữ liệu, phá hủy hệ thống thông tin bằng các hình thức tấn công và khai thác lỗ hổng sử dụng công nghệ mới như: trí tuệ nhân tạo (AI), dữ liệu lớn (Big Data)…
Theo dự báo mới nhất về an ninh mạng, các cuộc tấn công mạng tới đây sẽ vượt ra ngoài các loại tấn công thông thường như DDoS, botnet... Sự phát triển của AI, Big Data sẽ dẫn đến các hình thức tấn công mới nguy hiểm hơn.
Trong bối cảnh đó, giám sát và phản ứng ATTT là một trong những giải pháp kỹ thuật quan trọng, có ý nghĩa thiết thực trong việc tăng cường năng lực đảm bảo ATTT hệ thống. Nhiều doanh nghiệp (DN) đã đầu tư các giải pháp bảo mật như: Trung tâm điều hành an toàn thông tin (Security Operations Center - SOC), hệ thống phát hiện xâm nhập (Intrusion Detection Systems - IDS), Hệ thống ngăn ngừa xâm nhập (Intrusion Prevention System - IPS), Hệ thống giám sát an ninh mạng (Security Information and Event Management - SIEM)…
Tuy nhiên, việc giám sát và phản ứng ATTT của nhiều tổ chức chưa đạt được hiệu quả cao. Nguyên nhân bởi công tác này phải đối mặt với các thách thức có thể kể đến:
Thiếu tương quan: Nhiều DN lầm tưởng trong việc định hướng phát triển ATTT của tổ chức mình, từ đó đầu tư dàn trải, thiếu tập trung. Một số DN được coi là thức thời thường đầu tư theo bối cảnh thực tế hiện nay, như các giải pháp phòng chống tấn công có chủ đích, mã độc tống tiền… Một số DN khác lại chỉ quan tâm đến việc tổng hợp, phân tích dữ liệu đầu ra từ hệ thống giám sát, mà bỏ qua các hình thức dò tìm thông tin mã độc, ngăn chặn khai thác dữ liệu đầu vào như phát hiện và phản hồi các mối nguy hại tại điểm cuối, phát hiện mối đe dọa tiên tiến…
Khi các giải pháp bảo mật hoạt động độc lập, thiếu sự gắn kết sẽ dẫn tới rất nhiều cảnh báo trùng lặp cho cùng một đối tượng. Quan trọng hơn cả là khi hệ thống giám sát chưa được tối ưu hoặc các kết quả trả về còn rời rạc thì việc tổng hợp, đánh giá các trường hợp là vô cùng khó khăn, kéo theo tốn nhiều thời gian vào việc xâu chuỗi cảnh báo, đi tìm nguyên nhân gốc cũng như các hệ thống liên quan trực tiếp đến sự cố.
Để giải quyết thách thức này, giải pháp VCS-CyCir của Công ty an ninh mạng Viettel cung cấp tính năng điều phối, tự động hoá và phản ứng an ninh mạng (SOAR) cho hệ thống CNTT của doanh nghiệp. Nền tảng này cho phép các công cụ bảo mật riêng biệt phối hợp chặt chẽ với nhau để nâng cao năng suất làm việc trong các quy trình bảo mật phức tạp. Bên cạnh đó, mô hình triển khai của VCS-CyCir còn cung cấp tầng Data Source, bao gồm các giải pháp, các API đóng vai trò cung cấp các cảnh báo đầu vào. Các dữ liệu từ các giải pháp bảo mật khác nhau sẽ được tương quan, giảm thiểu sự trùng lặp cảnh báo trên cùng một đối tượng.
Giới hạn tầm nhìn: Một nhược điểm khác khi đầu tư dàn trải hệ thống bảo mật là thiếu tầm nhìn xuyên suốt trong quá trình điểu tra, phản ứng ATTT. VCS-CyCir lưu vết tất cả các thông tin trong quá trình điều tra, phản ứng và tổng hợp, chủ động cung cấp cho chuyên gia phân tích trên một góc nhìn toàn diện về sự cố, rút ngắn thời gian phân tích, ra quyết định để phản ứng hiệu quả với sự cố.
Các thông tin mà VCS-CyCir quản lý bao gồm:
- Phối hợp vận hành: Các thành viên trong nhóm có thể dễ dàng tương tác về các vấn đề cụ thể trong từng trường hợp để nhanh chóng đưa ra các quyết định hoặc phân công công việc đến người phù hợp.
- Quản lý thông tin tình báo nguy cơ ATTT: với việc tích hợp với các nền tảng tình báo an toàn thông tin, VCS-CyCir quản lý và cung cấp các thông tin tình báo nguy cơ liên quan đến sự cố theo cách chủ động, trực quan nhất cho chuyên gia phân tích, giúp tối ưu hóa quá trình phân tích và xử lý sự cố.
- Hỗ trợ công tác điều tra, truy vết: VCS-CyCir cung cấp cho người dùng bộ công cụ tối ưu, thuận tiện phục vụ cho quá trình điều tra, truy vết tấn công mạng.
Phản ứng thủ công: Việc hệ thống có quá nhiều công đoạn xử lý thủ công, gây ảnh hưởng đến lớn đến chất lượng công việc. Thách thức này đòi hòi phải có một giải pháp tự động hóa vận hành ATTT, giảm gánh nặng cho đội ngũ kỹ thuật. VCS-CyCir cung cấp module Workflow engine, nhằm cung cấp khả năng thực hiện tự động hóa chuỗi các hành động theo kịch bản định nghĩa chỉ trong vài giây, so với hàng giờ khi thực hiện thủ công. Điều này giúp giảm công sức thực hiện các công việc lặp đi lặp lại để nâng cao hiệu năng công tác phản ứng sự cố.
Đồng thời, VCS-CyCir cho phép người dùng theo dõi và can thiệp vào luồng xử lý tự động khi cần thiết. Hơn thế nữa, VCS-CyCir cung cấp giao diện trực quan, giúp người dùng xây dựng các playbook trên giao diện được hỗ trợ bằng ngôn ngữ Python.
Thiếu hụt nguồn nhân sự: Một thực tế khác hiện nay là một số DN lại đặt nặng vấn đề đầu tư vào hệ thống giám sát an ninh mạng mà quên mất rằng chưa đủ nguồn nhân lực để vận hành giám sát hiệu quả. Bởi nếu không có đội ngũ nhân viên thường xuyên tinh chỉnh hệ thống để giảm tỉ lệ báo động nhầm (false positives) sinh ra từ các cảnh báo (alerts) sẽ dẫn đến tình trạng quá tải cho nhóm phân tích và xử lý sự cố. Ngoài ra, khi nhân sự không có kinh nghiệm phân tích, xử lý thì việc đưa ra cảnh báo và biện pháp ngăn chặn cũng có thể bị sai lệch. Điều này dẫn tới tình trạng quá tải về nguồn lực, kéo theo sự giảm sút về chất lượng công việc.
Đối với VCS-CyCir, các công việc lặp lại sẽ được tự dộng hóa theo kịch bản được định nghĩa sẵn. Chỉ những sự kiện bất thường có mức độ nguy hiểm cao mới cần can thiệp từ đội ngũ chuyên gia. VCS-CyCir cũng cung cấp khả năng tùy biến linh hoạt cho phép chuyên gia can thiệt vào luồng xử lý tự động khi cần thiết. Song song, giải pháp này hỗ trợ trích xuất các báo cáo và bảng giao diện chuyên biệt cho 3 lớp người dùng của tổ chức: chuyên gia phân tích, SOC Manager và Giám đốc An ninh thông tin (CISO).
Đ.T
15:00 | 18/11/2020
09:00 | 21/10/2020
08:00 | 01/04/2021
09:00 | 21/10/2020
13:00 | 11/04/2024
Theo chuyên gia về an ninh mạng, các cuộc tấn công mạng ngày càng tinh vi, đặc biệt có sự tham gia của các nhóm tội phạm lớn quốc tế. Các hệ thống tại Việt Nam luôn ở trong tình trạng có thể bị tấn công bất cứ lúc nào. Do đó, các tổ chức, doanh nghiệp cần chủ động hơn trong việc phòng, chống.
10:00 | 28/03/2024
Một công dân Trung Quốc và là cựu kỹ sư phần mềm Google đã bị truy tố vì bị cáo buộc đánh cắp các tập tin nhạy cảm và bí mật thương mại liên quan đến công nghệ AI của Google.
14:00 | 09/03/2024
Sáng ngày 09/3, Hiệp hội An toàn thông tin Việt Nam (VNISA) đã tổ chức gặp mặt các hội viên đầu năm. Tới tham dự và phát biểu chỉ đạo có ông Nguyễn Huy Dũng, Thứ trưởng Bộ Thông tin và Truyền thông (TT&TT).
13:00 | 20/02/2024
Hệ thống thi thử trực tuyến của cuộc thi "Học sinh với an toàn thông tin" mùa thứ ba dự kiến được mở cho học sinh trung học cơ sở cả nước tập dượt từ đầu tháng 3, trước khi bước vào các vòng thi chính thức.
Chiều 17/4, tại Hà Nội diễn ra Lễ công bố quyết định và trao tặng Bằng khen của Viện trưởng Viện Kiểm sát nhân dân tối cao đối với tập thể, cá nhân Cục Cơ yếu Đảng - Chính quyền (Ban Cơ yếu Chính phủ), vì đã có thành tích xuất sắc trong việc xây dựng Quy chế phối hợp giữa Viện Kiểm sát nhân dân tối cao và Ban Cơ yếu Chính phủ.
16:00 | 19/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Theo báo cáo của Financial Times, Google đang phát triển các tính năng nâng cao hỗ trợ bởi trí tuệ nhân tạo (AI) trong dịch vụ tìm kiếm của hãng. Tuy nhiên, để trải nghiệm tính năng này, người dùng sẽ phải trả thêm một khoản phí.
09:00 | 19/04/2024