Hệ thống CAASM (Quản lý bề mặt tấn công tài sản mạng, quản lý bề mặt tấn công cho tài sản mạng) được thiết kế để giám sát và nhận dạng liên tục tất cả các tài sản kỹ thuật số, cũng như để trực quan hóa và ưu tiên các rủi ro. Nhờ đó, phạm vi mục tiêu và khả năng của những kẻ tấn công bị thu hẹp.
- Giới thiệu
- CAASM là gì
- Các thành phần chính của CAASM
- 3.1. Khám phá tài sản
- 3.2. Đánh giá tính dễ bị tổn thương
- 3.3. Ưu tiên rủi ro
- 3.4. Tích hợp với các công cụ bảo mật
- 3.5. Giám sát liên tục
- 3.6. Khắc phục và giảm thiểu
- 3.7. Báo cáo và phân tích
- Lợi ích của việc triển khai CAASM
- So sánh CAASM với các công cụ quản lý bề mặt tấn công khác
- Đánh giá lợi ích của việc thực hiện CAASM
- kết luận
Giới thiệu
Quá trình số hóa rộng rãi cuộc sống của con người hiện đại ngày càng mở ra cho anh ta nhiều cơ hội hơn trong không gian thông tin để giải quyết các vấn đề cá nhân và công việc. Các sự kiện trong những năm gần đây – đại dịch và mâu thuẫn địa chính trị – đã đẩy nhanh sự phát triển của các công cụ tấn công và phòng thủ trong môi trường mạng.
Các khái niệm mới xuất hiện cách đây vài năm hiện đang được cập nhật, chứng minh trên thực tế tính hiệu quả của các phương pháp tiếp cận hiện đại đối với quản lý rủi ro kỹ thuật số, giúp xây dựng hệ thống phòng thủ mạng của công ty để ứng phó với những thách thức mới.
Hình 1. Các vectơ tấn công chính của kẻ tấn công
Các nhà phân tích của Gartner trong báo cáo “Xu hướng chính về an ninh mạng năm 2022” được chỉ định “Mở rộng bề mặt tấn công” là một trong những rủi ro chính đối với môi trường mạng doanh nghiệp trong những năm tới. Những đối tượng có nguy cơ cao nhất là hệ thống vật lý không gian mạng, thiết bị IoT, hệ thống nguồn mở, ứng dụng đám mây và chuỗi cung ứng kỹ thuật số phức tạp.
Hàng năm, nhu cầu về các khái niệm như EASM (Quản lý bề mặt tấn công bên ngoài) và CAASM trong kiến trúc bảo mật của công ty ngày càng tăng, điều này cũng được phản ánh trong biểu đồ “cường điệu” của Gartner.
Hình 2. Sự cường điệu về công nghệ an ninh mạng theo Gartner, 2022
Dự báo cho thấy các công nghệ dựa trên khái niệm CAASM và EASM sẽ có nhu cầu trên thị trường bảo mật thông tin trong vòng 5–10 năm tới.
Chúng tôi đã xem xét chi tiết cách nền tảng EASM giúp giảm thiểu rủi ro ở phạm vi bên ngoài của công ty. Bây giờ chúng ta hãy xem xét khái niệm CAASM, tập trung vào việc xác định và kiểm soát tất cả tài sản kỹ thuật số của một tổ chức: cả bên trong và bên ngoài.
CAASM là gì
CAASM giúp bộ phận CNTT có được khả năng hiển thị toàn diện về tài sản mạng của công ty. Cách tiếp cận này tạo thành một bức tranh đầy đủ hơn về trạng thái thực của cơ sở hạ tầng và cho phép dịch vụ bảo mật phản ứng kịp thời không chỉ với các mối đe dọa hiện tại mà còn với các mối đe dọa tiềm ẩn trong tương lai.
Các sản phẩm và giải pháp dựa trên CAASM tích hợp với nhiều nguồn dữ liệu và công cụ bảo mật. CAASM tích lũy và tổng hợp dữ liệu cũng như phân tích lưu lượng truy cập ở vành đai để có cái nhìn đa chiều liên tục về toàn bộ bề mặt tấn công.
Tính sẵn có của dữ liệu tài sản cập nhật giúp các nhà quản lý bảo mật thông tin trực quan hóa cơ sở hạ tầng và thu hẹp các lỗ hổng bảo mật, ưu tiên bảo vệ tài sản và tạo ra cái nhìn thống nhất về tình hình bảo mật thực sự của tổ chức, mở đường cho các biện pháp quản lý rủi ro chủ động.
Các thành phần chính của CAASM
Cách tiếp cận CAASM hướng dẫn các chuyên gia bảo mật thông qua một loạt công cụ cần thiết để quản lý hiệu quả bề mặt tấn công của tổ chức và ứng phó với rủi ro.
Khám phá tài sản
Việc thiếu khả năng hiển thị tất cả tài sản của tổ chức sẽ làm tăng nguy cơ bị tấn công bởi các tác nhân độc hại. Các sản phẩm Quản lý bề mặt tấn công tài sản mạng tự động phát hiện và lập danh mục mọi thứ trong cơ sở hạ tầng kỹ thuật số của công ty, bao gồm các hệ thống cục bộ, đám mây và từ xa.
Một công ty sử dụng CAASM có cái nhìn tổng quan rõ ràng về tất cả các ứng dụng web, máy chủ, thiết bị mạng và dịch vụ đám mây đã triển khai của mình. CAASM giúp bạn kiểm kê toàn diện các thiết bị, ứng dụng, mạng và người dùng tạo nên bề mặt tấn công của công ty.
Đánh giá tính dễ bị tổn thương
Cũng cần phải biết các yếu tố rủi ro mà mỗi tài sản tạo ra. Ví dụ: điều này có thể bao gồm việc không có bản cập nhật bảo mật mới nhất hoặc không có quyền truy cập vào dữ liệu nhạy cảm mà không có biện pháp kiểm soát thích hợp.
Giải pháp CAASM tích hợp dữ liệu tài sản để giúp nhóm bảo mật xác định các lỗ hổng, cấu hình sai và các rủi ro tiềm ẩn khác.
Phân tích tính đến các phiên bản phần mềm, bản vá và cấu hình mà kẻ tấn công có thể sử dụng để thực hiện một cuộc tấn công.
Ưu tiên rủi ro
Hệ thống CAASM cũng đánh giá mức độ nghiêm trọng của các lỗ hổng và tài sản được phát hiện, giúp ưu tiên và giảm thiểu những rủi ro tiềm ẩn đáng kể nhất từ các cuộc tấn công mạng. Điều này rất hữu ích cho bộ phận CNTT của công ty vì không phải tất cả các chuyên gia đều tham gia giám sát tính bảo mật của tài sản và nhận thức được các đối tượng tiềm ẩn rủi ro.
Giả sử các nhà phát triển tại một công ty đang sử dụng thư viện nguồn mở có lỗ hổng Log4j đã biết. Trong trường hợp này, CAASM sẽ giúp các chuyên gia CNTT xác định tất cả tài sản bị ảnh hưởng bởi lỗ hổng này và ưu tiên nó trong bối cảnh có các rủi ro khác, chuyển thông tin về rủi ro cho bộ phận an toàn thông tin.
Tích hợp với các công cụ bảo mật
Khả năng hiển thị rộng rãi của các đối tượng cơ sở hạ tầng đạt được thông qua việc tích hợp các giải pháp CAASM với các công cụ phòng thủ mạng hiện có, chẳng hạn như:
- Sản phẩm giám sát và bảo vệ Active Directory.
- Máy quét lỗ hổng.
- Nền tảng EPP (Bảo vệ điểm cuối, bảo vệ điểm cuối).
- Giải pháp lớp EASM, v.v.
Giám sát liên tục
Các sản phẩm CAASM liên tục giám sát bề mặt tấn công của tổ chức để phát hiện những thay đổi và lỗ hổng mới. Điều này bao gồm phần cứng, phần mềm và dữ liệu, cả tại chỗ và trên đám mây.
Ví dụ: nếu phân đoạn lưu trữ đám mây mới được triển khai mà không có biện pháp kiểm soát truy cập thích hợp, CAASM sẽ phát hiện cấu hình không an toàn và thông báo cho bộ phận bảo mật.
Khả năng hiển thị theo thời gian thực này cho phép các chuyên gia nhanh chóng xác định và loại bỏ các mối đe dọa mới nổi, từ đó làm giảm cơ hội cho một cuộc tấn công tiềm tàng của các tác nhân độc hại.
Khắc phục và giảm thiểu
Nền tảng CAASM cung cấp thông tin và đề xuất để giải quyết các lỗ hổng đã xác định, cấu hình sai tài sản và các công cụ bảo mật.
Điều này có thể bao gồm ứng dụng tự động và triển khai các bản vá, điều chỉnh cấu hình hoặc các biện pháp cần thiết khác nhằm giảm bề mặt tấn công tổng thể của tổ chức.
Báo cáo và phân tích
Khả năng báo cáo và phân tích toàn diện của các sản phẩm CAASM cho phép công ty giám sát trạng thái bảo mật cơ sở hạ tầng theo thời gian, đo lường hiệu quả của các nỗ lực bảo mật và thể hiện sự tuân thủ các yêu cầu quy định.
Hãy xem xét những lợi ích mà công ty nhận được sau khi triển khai các sản phẩm CAASM.
Lợi ích của việc triển khai CAASM
Tầm nhìn toàn diện về tài sản của công ty và quản lý rủi ro. Chế độ xem cập nhật về tài sản mạng trải rộng trên tất cả các hệ thống tại chỗ, đám mây và từ xa. Bằng cách tự động hóa việc kiểm kê tài sản và giảm sự phụ thuộc vào quy trình thu thập dữ liệu thủ công thông thường, CAASM hợp lý hóa việc quản lý tài sản, giúp việc xác định vị trí tài sản và thu hẹp các lỗ hổng bảo mật trở nên dễ dàng hơn.
Quản lý mối đe dọa ưu tiên và trạng thái bảo vệ hiện tại. Bằng cách đánh giá mức độ quan trọng của tài sản và mức độ nghiêm trọng của các lỗ hổng được phát hiện, CAASM giúp công ty ưu tiên hóa, đảm bảo rằng những rủi ro quan trọng nhất sẽ được giải quyết trước tiên. Ngoài ra, CAASM còn cung cấp thông tin có giá trị về các biện pháp kiểm soát bảo mật hiện tại của công ty cũng như trạng thái của các biện pháp kiểm soát đó cũng như mối quan hệ của chúng với các tài sản khác, cho phép các chuyên gia không chỉ nhìn thấy các yếu tố dễ bị tổn thương mà còn tối ưu hóa các cấu hình bảo mật không hiệu quả.
Tích hợp và giám sát trong thời gian thực. Giám sát và giám sát bề mặt tấn công để biết những thay đổi và lỗ hổng mới trong thời gian thực cho phép các nhóm bảo mật nhanh chóng xác định và khắc phục các mối đe dọa mới nổi, áp dụng các biện pháp phòng ngừa và tăng khả năng phục hồi mạng tổng thể của công ty. Các tùy chọn linh hoạt để tích hợp giải pháp CAASM vào cơ sở hạ tầng tạo điều kiện thuận lợi cho việc thu thập và trao đổi dữ liệu cũng như phản ứng phối hợp trong hệ sinh thái bảo mật toàn diện, dẫn đến cách tiếp cận toàn diện và hiệu quả hơn cũng như các giải pháp chiến lược hơn khi xây dựng hệ thống phòng thủ mạng.
Tuân thủ và Hiệu suất. Việc triển khai CAASM giúp các tổ chức giám sát việc tuân thủ và loại bỏ các lỗ hổng tiềm ẩn trước khi những kẻ tấn công có thể khai thác chúng. Bằng cách tự động hóa các quy trình thu thập và xử lý dữ liệu tài sản thông thường, CAASM cho phép các chuyên gia tập trung vào các nhiệm vụ chiến lược và cải thiện năng suất trong tổ chức.
So sánh CAASM với các công cụ quản lý bề mặt tấn công khác
Hãy xem xét những khác biệt chính giữa CAASM và các phương pháp liên quan. Hãy thực hiện phân tích so sánh bằng cách sử dụng một số tiêu chí ở dạng bảng cho hệ thống EASM và CSPM (Quản lý tình trạng bảo mật đám mây, quản lý trạng thái bảo mật đám mây). Các sản phẩm CSPM nhằm mục đích tự động hóa việc quản lý tất cả tài sản và dịch vụ đám mây của một công ty.
So sánh CAASM, EASM và CSPM
Bảng 1. Bảng so sánh các giải pháp của lớp CAASM, EASM và CSPM
|
Tiêu chí so sánh |
CAASM (Quản lý bề mặt tấn công tài sản mạng) |
EASM (Quản lý bề mặt tấn công bên ngoài) |
CSPM (Quản lý tình trạng bảo mật đám mây) |
|
Định hướng sản phẩm |
Tập trung vào toàn bộ phạm vi tài sản mạng của công ty, bao gồm hệ thống cục bộ, đám mây, từ xa và thiết bị IoT |
Tập trung vào các nguồn lực bên ngoài của công ty: các ứng dụng, máy chủ, dịch vụ đám mây và các thành phần của bên thứ ba có sẵn công khai |
Tập trung vào cơ sở hạ tầng đám mây, cài đặt và tuân thủ các chính sách bảo mật của tổ chức |
|
Xử lý mối đe dọa |
Xử lý cả các mối đe dọa bên trong và bên ngoài. Để lấy dữ liệu ngoài, các sản phẩm CAASM tích hợp với các công cụ EASM |
Xử lý các mối đe dọa đến từ các nguồn bên ngoài hoặc từ những kẻ tấn công |
Giải quyết các cấu hình sai và không tuân thủ chính sách bảo mật đám mây |
|
Hiển thị |
Cái nhìn toàn diện về bề mặt tấn công của tổ chức, bao gồm tài sản, cấu hình sai và lỗ hổng |
Hiểu bề mặt tấn công bên ngoài của công ty từ góc độ của kẻ tấn công |
Cung cấp khả năng hiển thị về trạng thái bảo mật đám mây của tổ chức thông qua giám sát liên tục môi trường đám mây |
|
Hội nhập |
Tích hợp với nhiều công cụ bảo mật và nguồn dữ liệu để xác định các điểm yếu tiềm ẩn và ưu tiên khắc phục |
Sử dụng các kỹ thuật như quét tự động, trinh sát và phân tích mối đe dọa để xác định và đánh giá rủi ro liên quan đến tài sản bị lộ |
Tích hợp thông qua API với các công cụ của nhà cung cấp dịch vụ đám mây để đánh giá, giám sát và thực thi các chính sách bảo mật |
|
Kiểm soát khu vực tấn công |
Giúp kiểm soát và giảm thiểu bề mặt tấn công thông qua việc giám sát liên tục, phát hiện các lỗ hổng và ưu tiên các hành động khắc phục |
Giúp quản lý bề mặt tấn công bên ngoài bằng cách xác định các điểm xâm nhập tiềm năng để khai thác vi phạm |
Cải thiện bảo mật đám mây bằng cách xác định và loại bỏ các rủi ro về cấu hình sai và tuân thủ |
|
Nhiệm vụ |
Nhằm mục đích cải thiện tình trạng bảo mật tổng thể bằng cách loại bỏ kịp thời các rủi ro trên toàn bộ tài sản của tổ chức |
Mục tiêu là giảm thiểu kịp thời nguy cơ bị tấn công từ bên ngoài và rò rỉ dữ liệu bằng cách giảm thiểu bề mặt tấn công bên ngoài của tổ chức. |
Được thiết kế để cải thiện trạng thái bảo mật của môi trường đám mây theo các tiêu chuẩn và thông lệ tốt nhất |
Như bạn có thể thấy, CAASM là một hệ thống thông tin bảo mật phổ quát hơn bao gồm tất cả các tài sản kỹ thuật số của công ty và liên tục giám sát việc bảo vệ chúng khỏi các mối đe dọa bên ngoài và bên trong.
Sự kết hợp của các sản phẩm dựa trên CAASM này góp phần tạo ra nhiều dữ liệu có giá trị – kết hợp với cả EASM và các công cụ khác để giám sát tài sản bên ngoài của công ty.
Đánh giá lợi ích của việc thực hiện CAASM
Có thể đánh giá hiệu quả của CAASM sau khi tích hợp vào hệ thống phòng thủ mạng của công ty bằng cách theo dõi các chỉ số khác nhau.
Chúng ta hãy xác định các thông số chính trên cơ sở đó có thể thực hiện đánh giá này.
Bảo hiểm tài sản
Chỉ số quan trọng nhất về tính hiệu quả của CAASM là mức độ tài sản của tổ chức được bảo đảm. Cả tài sản vật lý và kỹ thuật số đều được tính đến: máy chủ, thiết bị, ứng dụng, cơ sở dữ liệu, mạng và tài nguyên đám mây.
CAASM càng thấy nhiều tài sản liên quan đến một công ty thì sự hiểu biết rõ ràng hơn về bề mặt tấn công tiềm ẩn và các biện pháp bảo vệ chống lại các mối đe dọa càng tốt hơn.
Thời gian tồn kho trung bình
Tham số MTTI (Thời gian tồn kho trung bình) phản ánh khoảng thời gian khám phá và tích hợp nội dung mới vào CAASM.
Phát hiện nhanh hơn cho thấy cách tiếp cận tích cực hơn để xác định và quản lý tài sản.
Tốc độ phát hiện và loại bỏ lỗ hổng
Tỷ lệ phát hiện và khắc phục lỗ hổng bảo mật đo lường tỷ lệ các lỗ hổng được xác định đã được giải quyết trong một khoảng thời gian nhất định.
Giải quyết kịp thời các vấn đề cho thấy một cách tiếp cận hiệu quả hơn để giảm thiểu rủi ro bảo mật của công ty.
Thời gian phát hiện và phản hồi trung bình
MTTD (Thời gian trung bình để phát hiện) đo tốc độ phát hiện sự cố bảo mật. MTTR (Thời gian phản hồi trung bình) đo lường thời gian phản hồi và phục hồi.
Giá trị MTTD và MTTR thấp có nghĩa là hiệu suất CAASM trong công ty hiệu quả hơn.
Tuân thủ quy định
Thông số này thể hiện tỷ lệ tài sản tuân thủ các chính sách nội bộ và tiêu chuẩn quy định. Chỉ số này càng cao thì việc quản lý tài sản càng hiệu quả và nguy cơ xảy ra các sự kiện bảo mật không thể chấp nhận được càng thấp.
Sự cố và vi phạm an ninh
Việc giám sát liên tục tần suất và mức độ nghiêm trọng của sự cố cũng như các vi phạm an ninh khác trong thời gian dài cũng cung cấp cái nhìn sâu sắc về hiệu quả của CAASM.
Tiết kiệm chi phí và lợi tức đầu tư
Giảm thời gian ngừng hoạt động, giảm chi phí ứng phó sự cố, tránh bị phạt theo quy định, v.v. – tất cả những điều này cuối cùng cũng ảnh hưởng đến lợi tức đầu tư và lợi ích tài chính chung của công ty.
Bằng cách theo dõi các số liệu này và các số liệu hiệu suất khác mà mỗi công ty yêu cầu theo ngành, các chuyên gia có thể hiểu rõ hơn về lợi ích của việc triển khai CAASM, xác định các số liệu và lĩnh vực cần tối ưu hóa đó, đồng thời thực hiện các hành động cần thiết để cuối cùng sẽ cải thiện tình trạng bảo mật tổng thể của công ty. .
kết luận
Các giải pháp CAASM tạo thành một cái nhìn toàn diện về tất cả các tài sản kỹ thuật số của công ty, cả về phạm vi bảo mật bên ngoài và nội bộ. CAASM giúp tạo bản đồ tổng quan về bề mặt tấn công của tổ chức, đánh giá các tài nguyên ngầm của công ty để xác định các rủi ro tiềm ẩn liên quan đến dấu chân kỹ thuật số của tổ chức.
Mục tiêu của các sản phẩm CAASM là giảm bề mặt tấn công bằng cách xác định tất cả các tài sản kỹ thuật số, liên tục theo dõi chúng, trực quan hóa dữ liệu được thu thập và ưu tiên các rủi ro để loại bỏ các lỗ hổng.
Việc triển khai CAASM cải thiện tình hình chung về an ninh mạng và khả năng phục hồi mạng đồng thời giúp đáp ứng các yêu cầu quy định cũng như tối ưu hóa hiệu suất tổng thể của các nguồn lực của công ty.
CAASM sẽ hữu ích cho các tổ chức trưởng thành hơn có cơ sở hạ tầng mạnh mẽ và thay đổi liên tục để quản lý. Việc giám sát liên tục tất cả tài sản, bao gồm cả tài sản ngầm, cho phép các công cụ bảo vệ thích ứng kịp thời với cả các mối đe dọa hiện tại và các mối đe dọa tiềm ẩn trong tương lai, khiến CAASM trở thành một thành phần có giá trị trong chiến lược an ninh mạng của công ty.
