CISO có một quan điểm độc đáo về thế giới. Họ nhìn thấy những mối đe dọa bảo mật mà hầu hết mọi người đều không biết đến và họ phải đối mặt với những thách thức phải đi trước một bước trước những tin tặc đang tìm cách xâm nhập vào mạng của họ. Bối cảnh mối đe dọa này được phác thảo bốn lần một năm trong “Người trong cuộc của CISO” — một báo cáo có thể hành động nhằm khám phá ba vấn đề hàng đầu có liên quan nhất trong bối cảnh mối đe dọa ngày nay.
Trong quý này, tỷ lệ phần mềm tống tiền tăng lên, lời hứa về khả năng phát hiện và phản hồi mở rộng (XDR) trong việc giúp giải quyết nhanh chóng các mối đe dọa mới nổi cũng như nhu cầu tăng cường tự động hóa và các công cụ tốt hơn để trao quyền cho các nhóm bảo mật làm được nhiều việc hơn với nguồn lực hạn chế đã được đặt lên hàng đầu. Hãy tiếp tục đọc để tìm hiểu cách bạn có thể áp dụng những hiểu biết này vào hoạt động của riêng mình.
Cách các tổ chức có thể ứng phó với hành vi tống tiền — và phần mềm tống tiền đang gia tăng
Cấu hình rủi ro của ransomware đang thay đổi khi tội phạm mạng có quyền truy cập dễ dàng hơn vào các công cụ và tự động hóa cải tiến. Khi kết hợp với tính kinh tế của các cuộc tấn công thành công, nó đã đặt ransomware trên quỹ đạo tăng trưởng nhanh chóng.
Các CISO khác nhau về chi phí thảm khốc hơn đối với doanh nghiệp: gián đoạn kinh doanh hoặc lộ dữ liệu. Bất kể, sự chuẩn bị là chìa khóa. Dưới đây là một số cách hàng đầu mà CISO có thể bảo vệ trước phần mềm tống tiền đang gia tăng.
- Chuẩn bị phòng thủ và phục hồi: Bằng cách áp dụng văn hóa nội bộ của không tin tưởng với vi phạm giả định đồng thời triển khai hệ thống khôi phục dữ liệu, sao lưu và truy cập an toàn, các tổ chức có thể cô lập các cuộc tấn công và khiến các tác nhân đe dọa khó di chuyển ngang qua mạng hơn nhiều. Chiến lược này còn có thêm lợi ích là giảm thiểu tác động của cuộc tấn công nhờ sao lưu và mã hóa, cả hai đều có thể giúp chống mất mát và lộ dữ liệu.
- Sử dụng chiến lược truy cập đặc quyền: Điều này có thể giảm thiểu khả năng bị đánh cắp thông tin xác thực và di chuyển ngang. Thông tin xác thực đặc quyền là nền tảng cho tất cả các biện pháp bảo đảm bảo mật khác — kẻ tấn công kiểm soát các tài khoản đặc quyền của bạn có thể làm suy yếu tất cả các biện pháp bảo đảm bảo mật khác. Chúng tôi khuyên các nhóm nên tập trung vào việc xây dựng một hệ thống khép kín để có quyền truy cập đặc quyền nhằm đảm bảo chỉ các thiết bị, tài khoản và hệ thống trung gian “sạch” đáng tin cậy mới được sử dụng để có quyền truy cập đặc quyền vào các hệ thống nhạy cảm với doanh nghiệp.
- Tận dụng khả năng phát hiện và ứng phó mối đe dọa tích hợp, toàn diện: Các giải pháp điểm im lặng thường dẫn đến những lỗ hổng phòng ngừa và làm chậm quá trình phát hiện cũng như phản hồi đối với các hoạt động trước khi đòi tiền chuộc. Bằng cách tích hợp thông tin bảo mật và quản lý sự kiện (SIEM) và XDR, các tổ chức có thể mở rộng khả năng ngăn chặn, phát hiện và phản hồi trên toàn bộ tài sản kỹ thuật số đa nền tảng, đa đám mây.
XDR có thể giúp tăng tốc việc phát hiện và ứng phó với mối đe dọa
Ngoài việc phòng ngừa, doanh nghiệp nên ứng phó thế nào trong trường hợp bị tấn công? Nhiều nhà lãnh đạo bảo mật đang chuyển sang XDR để có được lợi thế đa nền tảng. XDR giúp điều phối các tín hiệu trên toàn bộ hệ sinh thái — không chỉ các điểm cuối — để tạo điều kiện phát hiện và ứng phó mối đe dọa nhanh hơn. Và mặc dù khả năng phát hiện và phản hồi điểm cuối (EDR) là một tài sản đã được chứng minh rằng nhiều CISO trong báo cáo “CISO Insider” đã triển khai, XDR là bước phát triển tiếp theo.
XDR giúp tập hợp dữ liệu từ các hệ thống khác nhau, cho phép các nhóm bảo mật trực quan hóa toàn bộ sự việc từ đầu đến cuối. Các giải pháp điểm có thể gây khó khăn cho việc hiển thị toàn diện này vì chúng chỉ hiển thị một phần của cuộc tấn công và dựa vào nhóm bảo mật thường xuyên bị áp đảo để tương quan thủ công nhiều tín hiệu mối đe dọa từ các cổng khác nhau. Khi chúng tôi nghĩ về bối cảnh mối đe dọa năng động ngày nay, XDR đặc biệt hấp dẫn vì phạm vi bao phủ và tốc độ của nó trong việc giúp phát hiện và ngăn chặn các mối đe dọa.
Tự động hóa để nâng cao đội ngũ bảo mật
Các nhà lãnh đạo an ninh đang phải đối mặt với tình trạng thiếu nhân tài về an ninh. Tự động hóa là một cách để họ giúp giải phóng lực lượng lao động hiện tại khỏi những công việc nhàm chán để họ có thể tập trung vào việc bảo vệ trước các mối đe dọa.
Hầu hết các CISO báo cáo việc áp dụng tự động hóa dựa trên quy tắc hoặc kích hoạt sự kiện, nhưng có cơ hội lớn hơn chưa được khai thác để tận dụng trí tuệ nhân tạo tích hợp và khả năng học máy cho phép đưa ra các quyết định truy cập dựa trên rủi ro, theo thời gian thực. Tự động hóa có thể đóng vai trò như một hệ thống cảnh báo sớm cho các cuộc tấn công mạng trong tương lai và những bất tiện của nó có thể được giảm thiểu hoặc loại bỏ. Quá trình tự động hóa hiệu quả nhất hoạt động cùng với người vận hành để trí tuệ nhân tạo của nó có thể vừa thông báo vừa được trí tuệ con người kiểm tra.
Tùy chỉnh an ninh mạng để đáp ứng nhu cầu riêng của nhóm bạn
Cuối cùng, trong khi các mối đe dọa mạng tiếp tục phát triển và tiến hóa cùng với Internet, các nhóm bảo mật vẫn có thể xử lý biện pháp phòng ngừa để giúp bảo vệ hoạt động của họ. Một số có tính quy định cao hơn những cái khác — như tận dụng mức độ tin cậy bằng không, quyền truy cập đặc quyền cũng như khả năng phát hiện và ứng phó mối đe dọa tích hợp. Nhưng điều quan trọng nữa là các tổ chức phải tận dụng tối đa công suất của bộ công cụ hiện có thông qua các tính năng tự động hóa và phát hiện bảo mật tích hợp. Bằng cách học hỏi từ các CISO đi đầu trong lĩnh vực an ninh mạng, các tổ chức có thể hiểu rõ hơn cách bảo vệ hoạt động của chính mình.
Tìm hiểu thêm Quan điểm của đối tác từ Microsoft.
