Trước bối cảnh các cuộc tấn công mạng ngày càng đa dạng cả về quy mô và mục đích, các tổ chức/doanh nghiệp (TC/DN) đang gia tăng đầu tư ngân sách cho lĩnh vực an toàn thông tin (ATTT). Trong đó, Trung tâm điều hành ATTT (Security Operations Center - SOC) được đánh giá là một giải pháp bảo mật toàn diện và cần thiết đối với các TC/DN hiện nay.
Tuy vậy, tại Việt Nam vẫn tồn tại việc đầu tư dàn trải, chưa mang tính đồng bộ với các công cụ, giải pháp riêng lẻ khiến các TC/DN phải đối mặt với các thách thức như: Các giải pháp hoạt động độc lập, thiếu sự gắn kết dẫn tới nhiều cảnh báo trùng lặp cho cùng một đối tượng; Thiếu tầm nhìn xuyên suốt trong quá trình điều tra, phản ứng; Quá nhiều công đoạn xử lý thủ công; Thiếu hụt nhân sự có kỹ năng để vận hành, làm chủ các công cụ về ATTT. Nhận thức được sự khó khăn đó, Viettel Cyber Security đã nghiên cứu và phát triển thành công Giải pháp điều phối, tự động hoá và phản ứng an ninh mạng (Security Orchestration, Automation and Response) - với tên gọi là VCS-CyCir.
Thừa hưởng các tính năng truyền thống của nền tảng SOAR, giải pháp VCS-CyCir có khả năng xác định, ưu tiên và tiêu chuẩn hóa các chức năng ứng phó sự cố, giải quyết toàn bộ các thách thức trên. Được xây dựng dựa trên công nghệ tự động hóa thông qua việc tích hợp với các công nghệ bảo mật thông tin, theo các kịch bản xử lý được định nghĩa tự động, VCS-CyCir giúp tổ chức đạt được mục tiêu tối ưu hóa hiệu quả trong quá trình quản lý và vận hành các hệ thống ATTT.
Ngoài ra, VCS-CyCir còn có những tính năng bảo mật nổi bật như:
Điều phối các giải pháp ATTT: VCS-CyCir cho phép các công cụ bảo mật riêng biệt phối hợp chặt chẽ với nhau để nâng cao năng xuất làm việc trong các quy trình bảo mật phức tạp. Bên cạnh việc hỗ trợ sẵn các công cụ và kịch bản (playbook) phổ biến, VCS-CyCir cung cấp khả năng tùy biến để tích hợp các công nghệ bảo mật và phát triển playbook theo nhu cầu của TC/DN.
Tự động hóa vận hành ATTT: Workflow engine được tích hợp trong VCS-CyCir nhằm cung cấp khả năng thực hiện tự động hóa chuỗi các hành động theo kịch bản định nghĩa chỉ trong vài giây, nhanh hơn việc xử lý thủ công trong hàng giờ. Điều này giúp giảm công sức thực hiện các công việc lặp đi lặp lại để nâng cao hiệu năng công tác phản ứng sự cố.
Đồng thời, VCS-CyCir cho phép người dùng theo dõi và can thiệp vào luồng xử lý tự động khi cần thiết. Hơn thế nữa, VCS-CyCir cung cấp giao diện trực quan giúp người dùng xây dựng các playbook trên giao diện được hỗ trợ bằng ngôn ngữ Python.
Quản lý sự cố và phối hợp vận hành: VCS-CyCir giúp lưu vết tất cả thông tin trong quá trình điều tra, phản ứng và tổng hợp, chủ động cung cấp cho chuyên gia phân tích trên một giao diện quản trị tập trung duy nhất. Qua đó, chuyên gia có được góc nhìn toàn diện về sự cố, rút ngắn thời gian phân tích, ra quyết định để phản ứng hiệu quả với sự cố. Các thông tin quản lý bao gồm: Phối hợp vận hành; Quản lý thông tin trình báo nguy cơ ATTT và Hỗ trợ công tác điều tra, truy vết.
Dashboard và báo cáo ATTT: VCS-CyCir hỗ trợ các công cụ trích xuất ra các báo cáo và dashboard chuyên biệt cho cả 3 lớp người dùng của các tổ chức: Chuyên gia phân tích, SOC Manager và Giám đốc An ninh thông tin (CISO). Các sự kiện, hành động được lưu trữ giúp cho tổ chức đo lường được hiệu quả của đội ngũ vận hành SOC qua nhiều góc nhìn khác nhau.
Để phù hợp với mọi hệ thống bảo mật của TC/DN, VCS-CyCir triển khai theo mô hình phân cấp, rõ ràng cho từng đối tượng khác nhau. Cụ thể, tầng Data Source bao gồm các giải pháp, API đóng vai trò cung cấp các cảnh báo đầu vào cho hệ thống VCS-CyCir. Trong khi đó, 3rd Party Products là tầng cung cấp các công nghệ, giải pháp ATTT được tích hợp với VCS-CyCir, hỗ trợ làm giàu dữ liệu trong quá trình điều tra, phân tích. Đồng thời đưa ra hành động cụ thể cho các giải pháp ATTT khác trong hệ thống để thực hiện ứng phó khi có sự cố ATTT. Cuối cùng là VCS-CyCir Core Engine gồm 3 thành phần: Workflow, Orchestration, Automation.
Việc triển khai VCS-CyCir sẽ đem lại rất nhiều lợi ích cho các TC/DN như: Tối đa hiệu quả vận hành, giám sát và xử lý sự cố; Tự động hóa và tiêu chuẩn quy trình phản ứng; Giảm tải vận hành, nâng cao hiệu xuất làm việc. Giải pháp là chìa khóa giúp nâng cao hiệu quả quá trình vận hành, phản ứng sự cố ATTT cho mỗi TC/DN.