Trong thời gian vừa qua, tình hình an toàn thông tin (ATTT) tại Việt Nam tiếp tục diễn biến phức tạp, các cuộc tấn công mạng, gián điệp, tội phạm mạng không ngừng gia tăng nhằm phá hoại hệ thống thông tin, đánh cắp dữ liệu, phá hủy hệ thống thông tin bằng các hình thức tấn công và khai thác lỗ hổng sử dụng công nghệ mới như: trí tuệ nhân tạo (AI), dữ liệu lớn (Big Data)…
Theo dự báo mới nhất về an ninh mạng, các cuộc tấn công mạng tới đây sẽ vượt ra ngoài các loại tấn công thông thường như DDoS, botnet... Sự phát triển của AI, Big Data sẽ dẫn đến các hình thức tấn công mới nguy hiểm hơn.
Trong bối cảnh đó, giám sát và phản ứng ATTT là một trong những giải pháp kỹ thuật quan trọng, có ý nghĩa thiết thực trong việc tăng cường năng lực đảm bảo ATTT hệ thống. Nhiều doanh nghiệp (DN) đã đầu tư các giải pháp bảo mật như: Trung tâm điều hành an toàn thông tin (Security Operations Center - SOC), hệ thống phát hiện xâm nhập (Intrusion Detection Systems - IDS), Hệ thống ngăn ngừa xâm nhập (Intrusion Prevention System - IPS), Hệ thống giám sát an ninh mạng (Security Information and Event Management - SIEM)…
Tuy nhiên, việc giám sát và phản ứng ATTT của nhiều tổ chức chưa đạt được hiệu quả cao. Nguyên nhân bởi công tác này phải đối mặt với các thách thức có thể kể đến:
Thiếu tương quan: Nhiều DN lầm tưởng trong việc định hướng phát triển ATTT của tổ chức mình, từ đó đầu tư dàn trải, thiếu tập trung. Một số DN được coi là thức thời thường đầu tư theo bối cảnh thực tế hiện nay, như các giải pháp phòng chống tấn công có chủ đích, mã độc tống tiền… Một số DN khác lại chỉ quan tâm đến việc tổng hợp, phân tích dữ liệu đầu ra từ hệ thống giám sát, mà bỏ qua các hình thức dò tìm thông tin mã độc, ngăn chặn khai thác dữ liệu đầu vào như phát hiện và phản hồi các mối nguy hại tại điểm cuối, phát hiện mối đe dọa tiên tiến…
Khi các giải pháp bảo mật hoạt động độc lập, thiếu sự gắn kết sẽ dẫn tới rất nhiều cảnh báo trùng lặp cho cùng một đối tượng. Quan trọng hơn cả là khi hệ thống giám sát chưa được tối ưu hoặc các kết quả trả về còn rời rạc thì việc tổng hợp, đánh giá các trường hợp là vô cùng khó khăn, kéo theo tốn nhiều thời gian vào việc xâu chuỗi cảnh báo, đi tìm nguyên nhân gốc cũng như các hệ thống liên quan trực tiếp đến sự cố.
Để giải quyết thách thức này, giải pháp VCS-CyCir của Công ty an ninh mạng Viettel cung cấp tính năng điều phối, tự động hoá và phản ứng an ninh mạng (SOAR) cho hệ thống CNTT của doanh nghiệp. Nền tảng này cho phép các công cụ bảo mật riêng biệt phối hợp chặt chẽ với nhau để nâng cao năng suất làm việc trong các quy trình bảo mật phức tạp. Bên cạnh đó, mô hình triển khai của VCS-CyCir còn cung cấp tầng Data Source, bao gồm các giải pháp, các API đóng vai trò cung cấp các cảnh báo đầu vào. Các dữ liệu từ các giải pháp bảo mật khác nhau sẽ được tương quan, giảm thiểu sự trùng lặp cảnh báo trên cùng một đối tượng.
Giới hạn tầm nhìn: Một nhược điểm khác khi đầu tư dàn trải hệ thống bảo mật là thiếu tầm nhìn xuyên suốt trong quá trình điểu tra, phản ứng ATTT. VCS-CyCir lưu vết tất cả các thông tin trong quá trình điều tra, phản ứng và tổng hợp, chủ động cung cấp cho chuyên gia phân tích trên một góc nhìn toàn diện về sự cố, rút ngắn thời gian phân tích, ra quyết định để phản ứng hiệu quả với sự cố.
Các thông tin mà VCS-CyCir quản lý bao gồm:
- Phối hợp vận hành: Các thành viên trong nhóm có thể dễ dàng tương tác về các vấn đề cụ thể trong từng trường hợp để nhanh chóng đưa ra các quyết định hoặc phân công công việc đến người phù hợp.
- Quản lý thông tin tình báo nguy cơ ATTT: với việc tích hợp với các nền tảng tình báo an toàn thông tin, VCS-CyCir quản lý và cung cấp các thông tin tình báo nguy cơ liên quan đến sự cố theo cách chủ động, trực quan nhất cho chuyên gia phân tích, giúp tối ưu hóa quá trình phân tích và xử lý sự cố.
- Hỗ trợ công tác điều tra, truy vết: VCS-CyCir cung cấp cho người dùng bộ công cụ tối ưu, thuận tiện phục vụ cho quá trình điều tra, truy vết tấn công mạng.
Phản ứng thủ công: Việc hệ thống có quá nhiều công đoạn xử lý thủ công, gây ảnh hưởng đến lớn đến chất lượng công việc. Thách thức này đòi hòi phải có một giải pháp tự động hóa vận hành ATTT, giảm gánh nặng cho đội ngũ kỹ thuật. VCS-CyCir cung cấp module Workflow engine, nhằm cung cấp khả năng thực hiện tự động hóa chuỗi các hành động theo kịch bản định nghĩa chỉ trong vài giây, so với hàng giờ khi thực hiện thủ công. Điều này giúp giảm công sức thực hiện các công việc lặp đi lặp lại để nâng cao hiệu năng công tác phản ứng sự cố.
Đồng thời, VCS-CyCir cho phép người dùng theo dõi và can thiệp vào luồng xử lý tự động khi cần thiết. Hơn thế nữa, VCS-CyCir cung cấp giao diện trực quan, giúp người dùng xây dựng các playbook trên giao diện được hỗ trợ bằng ngôn ngữ Python.
Thiếu hụt nguồn nhân sự: Một thực tế khác hiện nay là một số DN lại đặt nặng vấn đề đầu tư vào hệ thống giám sát an ninh mạng mà quên mất rằng chưa đủ nguồn nhân lực để vận hành giám sát hiệu quả. Bởi nếu không có đội ngũ nhân viên thường xuyên tinh chỉnh hệ thống để giảm tỉ lệ báo động nhầm (false positives) sinh ra từ các cảnh báo (alerts) sẽ dẫn đến tình trạng quá tải cho nhóm phân tích và xử lý sự cố. Ngoài ra, khi nhân sự không có kinh nghiệm phân tích, xử lý thì việc đưa ra cảnh báo và biện pháp ngăn chặn cũng có thể bị sai lệch. Điều này dẫn tới tình trạng quá tải về nguồn lực, kéo theo sự giảm sút về chất lượng công việc.
Đối với VCS-CyCir, các công việc lặp lại sẽ được tự dộng hóa theo kịch bản được định nghĩa sẵn. Chỉ những sự kiện bất thường có mức độ nguy hiểm cao mới cần can thiệp từ đội ngũ chuyên gia. VCS-CyCir cũng cung cấp khả năng tùy biến linh hoạt cho phép chuyên gia can thiệt vào luồng xử lý tự động khi cần thiết. Song song, giải pháp này hỗ trợ trích xuất các báo cáo và bảng giao diện chuyên biệt cho 3 lớp người dùng của tổ chức: chuyên gia phân tích, SOC Manager và Giám đốc An ninh thông tin (CISO).
Đ.T
15:00 | 18/11/2020
09:00 | 21/10/2020
08:00 | 01/04/2021
09:00 | 21/10/2020
14:00 | 17/05/2024
Mới đây tại bang Kerala (Ấn Độ), một bác sĩ 53 tuổi đã bị lừa 34 triệu rupee (khoảng 10,4 tỷ đồng) thông qua hình thức giao dịch chứng khoán trực tuyến. Thủ đoạn của các đối tượng lừa đảo là chủ động liên hệ nạn nhân, giới thiệu mô hình giao dịch chứng khoán trực tuyến và đưa ra cơ hội kiếm tiền tiềm năng.
09:00 | 19/04/2024
Quảng Ninh xác định triển khai thực hiện chuyển đổi số toàn diện trên cả ba lĩnh vực chính quyền số, kinh tế số, xã hội số, phấn đấu trở thành mô hình mẫu của cả nước về chuyển đổi số nhằm thúc đẩy phát triển toàn diện về kinh tế, văn hóa, xã hội. Để đạt được mục tiêu đó, việc nâng cao chất lượng đội ngũ cán bộ, nhân viên Cơ yếu bắt kịp xu thế chuyển đổi số toàn diện là một trong những yếu tố then chốt.
12:00 | 12/04/2024
Theo một nghiên cứu của công ty công nghệ Veritas (Mỹ) công bố, cứ 11 giây trôi qua thế giới lại ghi nhận một vụ tấn công mạng nhằm vào các tổ chức, doanh nghiệp lớn, đặc biệt là lĩnh vực tài chính.
10:00 | 10/04/2024
Bộ Y tế Hoa Kỳ đã đưa ra cảnh báo rằng tin tặc hiện đang sử dụng các chiến thuật lừa đảo để nhắm mục tiêu vào các bộ phận trợ giúp công nghệ thông tin (CNTT) trong lĩnh vực Chăm sóc sức khỏe và Y tế Công cộng.
Thời gian gần đây qua công tác nắm tình hình, lực lượng Công an phát hiện tình trạng một số đối tượng lừa đảo đã lập các nhóm chat (Group), giả danh các chuyên gia dụ dỗ nhà đầu tư tham gia hội nhóm kín trên mạng xã hội, cài đặt Website, App, gửi tiền đầu tư chứng khoán. Khi nạn nhân không còn khả năng gửi thêm tiền hoặc phát giác, nghi ngờ thì các đối tượng khóa tài khoản, chiếm đoạt số tiền của bị hại.
14:00 | 20/05/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Ngày 8/5, Intel cho biết doanh số bán hàng của công ty sẽ bị ảnh hưởng sau khi Mỹ thu hồi một số giấy phép xuất khẩu của nhà sản xuất chip này đối với một khách hàng ở Trung Quốc.
16:00 | 18/05/2024