Con người xứng đáng có danh tiếng là mắt xích yếu nhất trong an ninh mạng của bất kỳ tổ chức quy mô nào. Cho dù đó là chuyên gia CNTT định cấu hình sai cài đặt tường lửa, kỹ sư DevOps không bảo mật nhóm lưu trữ đám mây hay người dùng doanh nghiệp không may rơi vào bẫy lừa đảo, thì phần lớn các vi phạm an ninh mạng chủ yếu là do lỗi của con người tạo ra các lỗ hổng có thể khai thác được. Kết quả là nhiều điểm yếu có thể tránh được đang bị những kẻ cơ hội tội phạm truy đuổi bằng các công cụ tội phạm mạng dồi dào, rẻ tiền trong thương mại.
Rất may, những người làm việc trong trung tâm điều hành an ninh (SOC), các nhà phân tích Cấp 1 và Cấp 2 ở tuyến đầu phòng thủ mạng, là mắt xích mạnh nhất trong các hoạt động an ninh mạng. Chúng phải được cập nhật, lý tưởng nhất là thực hiện các nhiệm vụ có giá trị cao hơn là luôn “để mắt tới kính” để xem xét phép đo từ xa về bảo mật.
Công cụ hỗ trợ, không thay thế, con người
Tìm đến công nghệ để giúp chúng ta bảo mật công nghệ là cách tiếp cận đúng đắn. Các máy chủ, ứng dụng Web, điểm cuối, thiết bị mạng và các biện pháp bảo mật trong bối cảnh kỹ thuật số của công ty tạo ra khối lượng lớn dữ liệu đo từ xa và cảnh báo về bảo mật phải được theo dõi và phân tích, nhưng hầu hết đều vô hại.
Xác định các cảnh báo có ý nghĩa trong các luồng sự kiện có khối lượng lớn là công việc hoàn hảo cho các quy tắc tương quan và không bị giám sát học máy (ML) các thuật toán kết hợp kiến thức của con người và thông tin về mối đe dọa với quá trình học hỏi và cải tiến liên tục. Máy có thể xử lý tốc độ và quy mô cần thiết cho quá trình sàng lọc ban đầu đối với luồng nhật ký sự kiện và cảnh báo có khối lượng lớn. Ngoài ra, các thuật toán không gây mệt mỏi hoặc mất tập trung, đi nghỉ hoặc gọi điện báo ốm.
Tự động hóa khía cạnh này của các hoạt động SOC cho phép Các công cụ dựa trên AI thực hiện công việc tẻ nhạt là chọn lọc ra các kết quả dương tính giả, tương quan và hiển thị các cảnh báo thực trong thời gian thực. Tự động hóa cũng có thể tiến thêm một bước nữa, áp dụng các quy tắc trong sách phát để làm phong phú thêm các cảnh báo với ngữ cảnh (máy hoặc người dùng nào, điều gì đã xảy ra, khi nào), chứa hoạt động đáng ngờ trong mạng và kích hoạt phản hồi tự động trong các trường hợp sử dụng được xác định rõ.
Kết quả là có thể giảm thiểu khối lượng cảnh báo theo hệ số 10 trở lên, từ 10,000 một ngày xuống 1,000 hoặc ít hơn. Việc giảm tiếng ồn này giúp tiết kiệm đến 50% lao động SOC của chuyên gia, tăng đáng kể hiệu suất và hiệu quả của SOC.
Con người là người bắt tội phạm mạng đang hành động
Loại tự động hóa này giải phóng các chuyên gia phân tích con người sử dụng kinh nghiệm, kỹ năng, trực giác và khả năng giải quyết vấn đề của họ trong việc săn lùng tội phạm mạng đang hoạt động trong môi trường của bạn. Việc tự động hóa cung cấp nguồn cấp dữ liệu cho các nhà phân tích SOC cơ sở, những người đã phân loại các phát hiện bằng cách áp dụng trí thông minh của con người để nhận dạng các mẫu, đánh giá các điểm bất thường, loại bỏ dương tính giảvà xác định các cảnh báo cần con người đánh giá thêm.
Ví dụ: John trong bộ phận nhân sự thường truy cập hai cơ sở dữ liệu trong giờ làm việc thông thường. Một cảnh báo xuất hiện thông báo rằng John đã truy cập vào cơ sở dữ liệu thứ ba vào ngày thứ Bảy. Chỉ con người mới có thể xác định xem hành vi mới này có dị thường nhưng không gây nguy hiểm hay không. Sau khi nhà phân tích SOC thông báo cho bộ phận CNTT về hoạt động cơ sở dữ liệu không mong muốn, CNTT xác nhận rằng John đã được cấp quyền truy cập tạm thời vào dữ liệu bổ sung, liên quan đến nhân sự.
Sau khi được các nhà phân tích cấp cao của SOC phân tích, các cảnh báo có mức độ ưu tiên cao sẽ được chuyển tiếp đến các nhà phân tích cấp cao của SOC. Các chuyên gia bảo mật lành nghề này có nhiệm vụ điều tra các cảnh báo và xác định nơi xuất phát của một cuộc tấn công, các nhóm tội phạm mạng đứng sau cuộc tấn công, các phương pháp chúng đang sử dụng, chuyển động bên được quan sát và thời gian cư trú của những kẻ tấn công. Các chuyên gia SOC cũng đề xuất các chiến lược giảm thiểu và loại trừ.
Con người là yếu tố cần thiết nhất khi xác định các cuộc tấn công cắt ngang các hệ thống, ứng dụng và phương thức truy cập khác nhau. Chính những con người có kỹ năng đã phát hiện ra hoạt động mới của Hafnium. Tội phạm mạng cấp quốc gia đã khai thác các lỗ hổng trong máy chủ Microsoft Exchange để đánh cắp email, xâm nhập mạng và di chuyển ngang qua các tổ chức bị ảnh hưởng. Những cuộc xâm nhập này diễn ra trong ba tháng trước khi khám phá được ghi nhận bởi Microsoft cho các nhà nghiên cứu tại các công ty bảo mật Volexity và Dubex.
Chìa khóa chính
Các tổ chức thuộc bất kỳ quy mô nào, nhưng đặc biệt là các doanh nghiệp vừa và lớn hơn, có thể hưởng lợi từ việc các SOC của họ sử dụng trí thông minh nhân tạo, ML không giám sát và tự động hóa để loại bỏ gánh nặng sàng lọc nhật ký sự kiện cấp một từ các nhà phân tích cấp dưới và cung cấp thông tin thông minh mà các nhà phân tích cấp cao có thể sử dụng điều tra. Tự động hóa như vậy là cần thiết để xử lý khối lượng ngày càng tăng, tốc độ và sự đa dạng của phép đo từ xa bảo mật. Tuy nhiên, nó không thể loại bỏ nhu cầu về chuyên gia phân tích con người.
Các nhà phân tích của SOC không cần phải lo lắng về an ninh công việc khi đối mặt với ML và tự động hóa. Thay vào đó, họ nên hoan nghênh năng suất được cải thiện và tự động hóa cung cấp để sử dụng trí thông minh và sự sáng tạo của họ cho các hoạt động có giá trị cao hơn như nghiên cứu, phân tích mối đe dọa, khắc phục và săn lùng mối đe dọa.
