Trung tâm điều hành an ninh mạng của các doanh nghiệp sẽ phải đối mặt với điều gì vào năm 2023

07:42 | 12/06/2023
Trần Nhật Long (Trung tâm Công nghệ thông tin và Giám sát an ninh mạng) , Ban Cơ yếu Chính phủ)

Khi vai trò của an ninh mạng trong các doanh nghiệp lớn tăng lên đáng kể qua từng năm thì tầm quan trọng của các Trung tâm Điều hành An ninh mạng (SOC) cũng sẽ trở nên tối quan trọng. Công ty bảo mật Kaspersky đã đưa ra những dự đoán về SOC từ nhiều khía cạnh khác nhau. Trước tiên, từ bên ngoài, đó là dự đoán về những mối đe dọa mới nhất mà tất cả các SOC có thể phải đối mặt vào năm 2023. Cùng với đó là những thách thức đối với các nhà quản lý liên quan đến nhân sự, ngân sách và chức năng từ bên trong nội bộ trong mối liên hệ chặt chẽ với những mối đe dọa đang rình rập các tập đoàn vào năm 2023.

NHỮNG MỐI ĐE DỌA TỪ BÊN NGOÀI MÀ SOC PHẢI ĐỐI MẶT TRONG NĂM 2023

Mã độc tống tiền phá hủy dữ liệu Không gian mạng phản ánh chương trình nghị sự toàn cầu và sự hỗn loạn địa chính trị ảnh hưởng đến bề mặt tấn công mạng. Đó là lý do tại sao vào năm 2023, dư âm của chiến tranh mạng vẫn sẽ tiếp tục. Các kịch bản tấn công phổ biến nhất khi đó sẽ là: Tấn công kỹ nghệ xã hội, tấn công vào cơ sở hạ tầng công nghệ thông tin (ví dụ như tấn công DDoS), cũng như các cuộc tấn công vào cơ sở hạ tầng quan trọng. Một xu hướng khác bắt đầu vào năm 2022 và vẫn sẽ tiếp tục vào năm 2023 là mã độc tống tiền với các hành vi phá hủy thay vì mã hóa dữ liệu. Mối đe dọa này bao trùm lên các tổ chức là đối tượng của các cuộc tấn công có động cơ chính trị.

Khai thác các ứng dụng công khai

Dựa trên một số lỗ hổng ảnh hưởng nghiêm trọng đến hệ thống máy chủ Exchange, vào năm 2021 và 2022, các chuyên gia của Kaspersky đã quan sát thấy sự gia tăng số lượng các tấn công vượt qua các lớp phòng thủ của các tổ chức và đạt được các truy cập ban đầu, với tỷ lệ truy cập ban đầu thành công tăng gấp đôi vào năm 2022 so với năm 2021. Việc xâm nhập từ vùng vành đai mạng, hay còn gọi là vùng DMZ (Demilitarized Zone) không yêu cầu quá nhiều sự chuẩn bị so với tấn công lừa đảo và các lỗ hổng cũ chưa cập nhật bản vá. Kaspersky nhận định rằng xu hướng này vẫn sẽ tiếp tục vào năm 2023.

Nhiều cuộc tấn công chuỗi cung ứng thông qua hạ tầng viễn thông

Các chuyên gia tại Kasperksy đã quan sát thấy sự quan tâm của tin tặc đối với các công ty công nghệ thông tin và viễn thông. Theo báo cáo của Kaspersky MDR, vào năm 2021, lần đầu tiên ngành viễn thông chứng kiến sự áp đảo về số lượng các sự cố có mức độ nghiêm trọng cao so với các sự cố có mức độ nghiêm trọng trung bình và thấp: trung bình 79 sự cố trên 10.000 hệ thống được giám sát so với 42 sự cố ở mức độ nghiêm trọng trung bình và 28 sự cố ở mức độ nghiêm trọng thấp. Vào năm 2022, sự quan tâm của tội phạm mạng đối với các công ty viễn thông tiếp tục tăng cao, mặc dù tỷ lệ các sự cố có mức độ nghiêm trọng cao đã giảm xuống (khoảng 12 sự cố trên 10.000 máy tính so với 60 ở mức trung bình và 22 ở mức nghiêm trọng thấp). Có một số tình huống tin tặc thực hiện tấn công các công ty viễn thông để nhắm mục tiêu vào khách hàng của họ. Vào năm 2023, Kaspersky dự đoán số vụ tấn công chuỗi cung ứng thông qua các nhà cung cấp dịch vụ viễn thông cung cấp các dịch vụ có quản lý bổ sung sẽ tăng lên.

Tái diễn các cuộc tấn công có chủ đích

Từ năm 2016, theo các báo cáo từ Kaspersky đã ghi nhận các cuộc tấn công có chủ đích nhắm mục tiêu đến nhiều ngành nghề khác nhau và cả chính phủ. Nhiều tổ chức, doanh nghiệp và cá nhân đang bị đe dọa bởi các cuộc tấn công có chủ đích, đặc biệt là các doanh nghiệp lớn và tổ chức phi lợi nhuận. Đáng chú ý, ngay cả trong một số trường hợp không có dấu hiệu của các cuộc tấn công nhắm mục tiêu trực tiếp, các chuyên gia an ninh mạng vẫn có thể tìm thấy các bằng chứng, dấu vết từ các cuộc tấn công có chủ đích trước đó.

Điều này khẳng định nguy cơ các cuộc tấn công sẽ tiếp tục diễn ra vào năm 2023. Các tổ chức đã khôi phục lại hệ thống sau tấn công hoặc chưa bị tấn công thành công đều có khả năng tiếp tục trở thành mục tiêu tấn công lâu dài của tin tặc. Điều này đặc biệt đáng chú ý trong các tổ chức chính phủ, bởi các nhóm tin tặc được tài trợ thường có xu hướng tấn công các tổ chức này.

Các xung đột quốc tế thường đi kèm với chiến tranh thông tin, trong đó các phương tiện truyền thông đại chúng chắc chắn đóng một vai trò quan trọng. Trong những năm gần đây, các chuyên gia của Kaspersky đã quan sát thấy sự gia tăng liên tục các cuộc tấn công vào lĩnh vực này và được thể hiện rõ ràng trong số liệu thống kê trong năm 2022, trong đó phương tiện truyền thông đại chúng cùng với các tổ chức chính phủ là một trong những mục tiêu chính của tin tặc.

Vào năm 2023, hai lĩnh vực này rất có thể sẽ vẫn nằm trong số những mục tiêu bị tấn công thường xuyên nhất, với tỷ lệ các sự cố có mức độ nghiêm trọng cao có thể tăng lên. Để bảo vệ hiệu quả chống lại các cuộc tấn công có chủ đích, cần chủ động triển khai giải pháp tìm kiếm các mối đe dọa kết hợp với phát hiện và phản hồi được quản lý (Managed Detection and Response - MDR).

NHỮNG THÁCH THỨC MÀ HỆ THỐNG SOC SẼ PHẢI ĐỐI MẶT TRONG NỘI BỘ: CÁC QUY TRÌNH VÀ TÍNH HIỆU QUẢ

Hệ thống SOC sẽ buộc phải nâng cao các yêu cầu, trong khi thiếu hụt nguồn nhân lực có kinh nghiệm

Các hệ thống SOC phức tạp đòi hỏi các yêu cầu về kỹ năng, trình độ của chuyên gia khai thác, vận hành. Tương lai phát triển SOC không phải mở rộng mà nằm ở sự tăng trưởng chuyên sâu, nghĩa là giá trị mà nhân sự mang lại cho SOC ngày càng tăng. Phát triển các kỹ năng của nhân sự SOC là một biện pháp đã được chứng minh có hiệu quả để chống lại số lượng mối đe dọa ngày càng tăng mà mọi SOC sẽ phải đối mặt vào năm 2023. Đào tạo nhân sự ứng phó sự cố và tất cả các dạng bài tập SOC như: diễn tập ứng phó sự cố, Purple Team (sự kết hợp của Red Team và Blue Team) và mô phỏng cuộc tấn công của đối thủ là một phần quan trọng trong chiến lược SOC 2023. Điều này giúp SOC nâng cao chất lượng, kiến trúc và hoạt động để có hiệu suất tốt hơn. Đối với các hệ thống SOC đã có kinh nghiệm trong khai thác và vận hành, đó chỉ là vấn đề thời gian, trong khi các hệ thống SOC mới thường gặp vấn đề với kinh nghiệm và thiếu tầm nhìn phát triển.

Một xu hướng khác liên quan đến việc thiếu nhân sự có kỹ năng và kinh nghiệm sẽ tiếp tục xuất hiện vào năm 2023 chính là nhu cầu về các quy trình SOC luôn cần được xác định rõ ràng. Vì vậy, Kaspersky dự đoán vai trò ngày càng tăng đối với việc phát triển quy trình SOC và các dịch vụ liên quan.

Ngân sách lớn hơn cùng tính hiệu quả là nền tảng của các quy trình SOC

Trong bối cảnh mối đe dọa ngày càng tăng đang đẩy ngân sách an ninh mạng và SOC lên cao. Xu hướng này sẽ tập trung sự chú ý vào chi tiêu ngân sách, đặt ra câu hỏi “Tại sao? Hiệu quả là gì? Nó mang lại giá trị gì?” Đây sẽ là những câu hỏi cần lời giải đáp từ các nhà quản lý SOC.

Với cách tiếp cận hoàn chỉnh, tình huống này dẫn đến việc áp dụng “quản lý hiệu quả SOC”. Là một phần của thực tiễn này, các công ty sẽ đánh giá chi phí vi phạm và ánh xạ chúng vào hiệu suất của SOC trong việc giảm thiểu những tổn thất đó. Kết hợp với phân tích các sự cố đã được ngăn chặn, điều này có thể cho phép đánh giá các giá trị mà SOC mang lại về mặt kinh tế. Tuy nhiên, trước khi triển khai phương pháp này, SOC sẽ cần triển khai và phân tích các chỉ số hiệu quả, cũng như các quy trình quản trị SOC đã thiết lập.

Xây dựng thông tin tình báo toàn diện về mối đe dọa và săn tìm mối đe dọa

Sự gia tăng của các cuộc tấn công mạng và các mối đe dọa sẽ dẫn đến nhu cầu cao về dự đoán các cuộc tấn công và kỹ thuật của tin tặc, từ đó làm tăng giá trị của tình báo đe dọa mạng (Cyber Threat Intelligence - CTI). Theo Kaspersky, thực tiễn hiện nay nhiều hoạt động CTI của SOC chỉ tập trung vào việc quản lý nguồn cấp dữ liệu IOC. Cách tiếp cận này không hiệu quả đối với các cuộc tấn công zero-day và APT. Xu hướng hiện tại đã chuyển sang thiết lập các khả năng CTI toàn diện trong các công ty và trong hầu hết các SOC đều có một đơn vị CTI chuyên dụng. Xu hướng đó sẽ ngày càng phát triển hơn nữa vào năm 2023.

Các trường hợp tấn công thành công nhưng không được theo dõi trong một thời gian dài vẫn còn phổ biến và sẽ tiếp diễn vào năm 2023 do sự gia tăng liên tục của các cuộc tấn công có chủ đích. Mô hình vi phạm giả định (giả sử hệ thống bị xâm nhập) cũng sẽ phát triển vào năm 2023, điều đó có nghĩa là việc săn tìm mối đe dọa nhiều khả năng cũng sẽ trở thành một xu hướng.

Vì vậy, Kaspersky tin rằng việc săn tìm mối đe dọa sẽ là một phần quan trọng trong chiến lược phát triển của bất kỳ SOC nào. Hiện nay các SOC đều phải thực hiện mô hình này, nhưng vẫn có một số trường hợp không sử dụng, điều này có thể được giải thích là do hiểu biết về cách tiến hành, triển khai săn tìm mối đe dọa hoặc cách tiếp cận để sử dụng. Tuy nhiên, vì săn tìm mối đe dọa là một phần khả năng phát hiện của SOC, khả năng này sẽ bị thách thức bởi các mối đe dọa đang phát triển, nên giai đoạn tiếp theo nhiều công ty sẽ xem xét tiến hành săn tìm mối đe dọa một cách thường xuyên với các mục tiêu rõ ràng và tăng hiểu biết về cách tiếp cận chúng một cách liên tục.