OODA là viết tắt của từ quan sát (Observe), định hướng (Orient), quyết định (Decide) và hành động (Act) - được phát triển bởi Đại tá không quân Hoa Kỳ John Boyd, nó mô tả một chu trình ra quyết định mà các phi công máy bay chiến đấu có thể đánh bại đối thủ.

Lý thuyết tương tự này cũng được áp dụng cho các hoạt động bảo mật, tuy nhiên, hiện tại, các chuyên gia vẫn chưa tìm ra phương thức để chu kỳ hoạt động này nhanh hơn so với tin tặc. Vì vậy, có một câu hỏi được đặt ra rằng tại sao các hoạt động an ninh của người dùng luôn thiếu sự nhanh nhạy cần thiết để quan sát, định hướng, quyết định và hành động nhanh hơn tin tặc?

Đầu tiên và rất quan trọng là phải có nền tảng vững chắc làm cơ sở cho sự nhanh nhẹn. Ví dụ, phi công máy bay chiến đấu luôn bắt đầu khi đã nắm rõ các thao tác chiến đấu cơ bản. Trên hết, họ học cách đưa ra quyết định và sáng tạo đúng thời điểm để đẩy nhanh thời gian phản ứng và ngăn chặn các cuộc tấn công. Các đội an ninh cũng cần phải hoạt động theo phương thức như vậy.

Thực hiện đúng quy trình kỹ thuật an ninh mạng cũng là một cách nhằm giảm thiểu rủi ro. Tuy nhiên, các nhóm bảo mật cũng cần sự linh hoạt để có thể định hướng, thích ứng ngay khi các mối đe dọa mới xuất hiện.

Thách thức về công nghệ và quy trình

Có thể sử dụng mã độc tống tiền để minh họa tác động của chúng đối với sự linh hoạt của hoạt động bảo mật. Các sự cố về mã độc tống tiền ngày càng gia tăng và phát triển theo thời gian khi tin tặc thay đổi chiến thuật tấn công cho đến khi nạn nhân không có thể đối phó được nữa. Nhiều tổ chức đã không thể điều chỉnh quy trình và công nghệ của mình ngay lập tức để theo kịp tin tặc, do đó, họ thường phải hứng chịu các cuộc tấn công bằng phần mềm tống nhiều lần.

Phần mềm độc hại truyền thống thường được xử lý bằng cách cô lập hệ thống bị ảnh hưởng, sau đó xóa phần mềm độc hại, tạo, tải lại hệ thống và đưa nó hoạt động trở lại. Sau đó, mã độc tống tiền bắt đầu thay đổi, xâm nhập vào nhiều hệ thống và mạng chính với mục đích mã hóa các dữ liệu quan trọng. Lúc này, các phương pháp phản ứng bảo mật truyền thống không còn hoạt động. Các tổ chức đã nhanh chóng định hướng lại quy trình của họ để tạo và duy trì các bản sao lưu dữ liệu có giá trị của họ được an toàn. Nhưng hầu hết các tổ chức đều mất từ hàng tháng đến hàng năm để thay đổi quy trình và công nghệ của họ cho phù hợp. Đến lúc đó thì mã độc tống tiền đã lại thay đổi, tin tặc đã tiếp tục tấn công, đánh cắp/mã hóa dữ liệu của nạn nhân và đe dọa sẽ tiết lộ dữ liệu công khai nếu nạn nhân không trả tiền chuộc.

Để vượt qua được các mối đe dọa khi chúng xuất hiện và phát triển, các nhóm làm về bảo mật muốn hoạt động được hiệu quả phải được trao quyền để thay đổi các quy trình và đưa vào các công nghệ mới khi công nghệ đó được đảm bảo. Tuy nhiên, vì bảo mật không phải là trọng tâm mà chỉ được coi là một chức năng, nên các tổ chức chỉ có xu hướng đầu tư những gì cần thiết.

Các công ty cần đầu tư cho đội ngũ bảo mật của họ để có thể thích ứng với hoàn cảnh mới, đặc biệt là đầu tư vào công nghệ mới và tìm hiểu những thông tin về chiến thuật, kỹ thuật và thủ đoạn của tin tặc, các giải pháp phát hiện và phản hồi điểm cuối, hệ thống giám sát an ninh mạng thế hệ tiếp theo hoặc dịch vụ phát hiện và phản hồi được quản lý... Các ưu tiên kinh doanh và các rủi ro của công ty phải phù hợp với các ưu tiên bảo mật, để đội ngũ bảo mật được phép làm những gì họ cần làm.

Hãy nhớ rằng mặc dù chu kỳ lập ngân sách thường là hàng năm nhưng những kẻ tấn công hoạt động theo lịch trình của riêng chúng. Do vậy, các tổ chức phải xây dựng tính linh hoạt trong việc cấp vốn để ngân sách luôn sẵn sàng cho việc để giải quyết các mối đe dọa mới.

Con người cần phải làm chủ công nghệ

Con người chính là một nhân tố quan trọng trong hoạt động an ninh có tính linh hoạt. Trong một cuộc khảo sát truy tìm mối đe dọa năm 2020, 85% tổ chức cho biết họ đã áp dụng phương pháp truy tìm mối đe dọa và có xu hướng chuyển dịch chức năng quản lý lỗ hổng bảo mật từ quản trị rủi ro và tuân thủ sang các hoạt động bảo mật - nơi các nhóm có kỹ năng và công cụ để chủ động giảm thiểu rủi ro.

Hơn nữa, các chuyên gia bảo mật luôn muốn phát triển các kỹ năng trong các lĩnh vực mới. Điều này thúc đẩy sự hài lòng trong công việc và góp phần duy trì việc làm cho người lao động. Trong một khu vực thị trường có tỷ lệ thất nghiệp cao thì điều này rất có giá trị. Nhưng trên thực tế, mọi người cần phải được hỗ trợ với các quy trình và công nghệ phù hợp để thúc đẩy hiệu quả bảo mật.

Các nhóm bảo mật có thể kêu gọi kinh phí từ việc tăng cường cập nhật thường xuyên và báo cáo với ban lãnh đạo về các nguy cơ rủi ro. Việc báo cáo thường xuyên các chỉ số quan trọng đối với đơn vị kinh doanh và hội đồng quản trị sẽ xây dựng được một mối liên kết với lãnh đạo để phổ biến và tạo nên sự tin tưởng. Khi một cuộc tấn công xảy ra, họ có thể nắm rõ được các thông tin để biết rằng ai đang nhắm mục tiêu vào họ, những gì họ biết và các bước họ đang thực hiện để giảm thiểu thiệt hại. Với các mối quan hệ đã được thiết lập và sự tin tưởng tại tổ chức, sẽ hiệu quả hơn cho họ trong việc thu thập thêm các nguồn lực khi cần thiết để đẩy nhanh quá trình phát hiện và phản ứng.

Sự linh hoạt của hoạt động bảo mật dựa vào sự tương tác giữa con người, quy trình và công nghệ. Điều này không thể thực hiện được khi các nhóm bảo mật có những công cụ, quy trình lỗi thời và sự thông tin liên lạc kém. Để quan sát, định hướng, quyết định và hành động nhanh hơn đối thủ, cần phải xem xét nơi có thể sử dụng sự linh hoạt, vì vậy các đội ngũ bảo mật mới có thể thay đổi phương thức hoạt động một cách nhanh chóng.