Innostage đã đưa ra hai thông báo quan trọng tại Diễn đàn SOC 2023. Việc phát triển một phương pháp phổ quát để đánh giá khả năng phục hồi mạng của các công ty đã được công bố và thông tin chi tiết về chương trình tiền thưởng lỗi của chính họ đã được tiết lộ.
- Giới thiệu
- Đạt được khả năng phục hồi mạng tối đa
- Sự cần thiết phải tạo ra một phương pháp đánh giá khả năng phục hồi của mạng
- Con đường độc đáo hay xu hướng toàn cầu?
- Chương trình tiền thưởng lỗi Innostage
- kết luận
Giới thiệu
Tại Diễn đàn SOC 2023 vừa qua, Innostage đã thông báo rằng họ đang phát triển một phương pháp phổ quát để đánh giá an ninh mạng của các công ty. Mục tiêu là cho phép các công ty lập kế hoạch thông minh cho các hoạt động kinh doanh ninh thông tin ở Nga từ Viện Nghiên cứu Thị trường Quốc tế”>trong tương lai nhằm đạt được khả năng phục hồi mạng tối đa.
Sự phát triển của ngành an ninh thông tin ở Nga đang diễn ra với tốc độ nhanh chóng, đặc biệt là trong hai năm qua. Tuy nhiên, nước này vẫn chưa có tiêu chuẩn và phương pháp thống nhất để thành lập các đội phòng thủ mạng (Blue Teams), cũng như chưa có phương pháp thống nhất để đánh giá kết quả công việc của các đội. Do đó, vẫn chưa rõ đội ngũ bảo mật thông tin của công ty sẵn sàng thực hiện các chức năng được giao trong điều kiện mới ở mức độ nào.
Người ta cho rằng kỹ thuật mới sẽ là một tập hợp các quy trình chi tiết và phổ quát. Khi hoàn thành các phần tử riêng lẻ, điểm sẽ được tính dựa trên các hệ số trọng số khác nhau. Chúng sẽ tạo thành một chỉ số để có thể đưa ra đánh giá.
Cũng có thông báo rằng Innostage đang có kế hoạch thâm nhập vào phân khúc thị trường Bug Bounty. Công ty có ý định chiếm lĩnh thị trường trống hiện đang thu hút các hacker có đạo đức để thử nghiệm và tìm kiếm lỗ hổng trong các sản phẩm và giải pháp mới trong nước đã mọc lên như nấm sau mưa (và tiếp tục phát triển) ở thị trường nội địa.
Theo Innostage, việc phát triển niche này hiện nay là vô cùng cần thiết. Điều quan trọng là phải xây dựng niềm tin vào các sản phẩm của Nga, kể cả trong bối cảnh sắp tới sẽ tăng cường triển khai các sản phẩm này theo yêu cầu của cơ quan quản lý.
Hình 1. Họp báo Innostage tại Diễn đàn SOC 2023
Đại diện Innostage tham gia buổi họp báo:
- Ekaterina Syurtukova, trưởng bộ phận dịch vụ;
- Maxim Akimov, người đứng đầu trung tâm chống lại các mối đe dọa mạng;
- Anton Kalinin, người đứng đầu Trung tâm nghiên cứu mối đe dọa mạng.
Cuộc thảo luận được điều hành bởi Vlada Syutkina, giám đốc PR của văn phòng đại diện iTrend tại Moscow.
Đạt được khả năng phục hồi mạng tối đa
Công ty Innostage từ lâu đã được biết đến trên thị trường Nga. Cô tích cực làm việc ở đây với tư cách là nhà tích hợp, triển khai nhiều sản phẩm bảo mật thông tin khác nhau và cung cấp dịch vụ trong lĩnh vực an ninh mạng.
Như Ekaterina Syurtukova đã lưu ý, công ty cung cấp dịch vụ cho các tổ chức quan trọng ở Liên bang Nga, có quyền truy cập vào thông tin quan trọng và giải quyết các vấn đề ứng dụng của khách hàng trong lĩnh vực bảo mật thông tin. Là nhà phát triển dịch vụ bảo mật thông tin, Innostage tạo ra nhiều giải pháp kinh doanh và dịch vụ an ninh mạng khác nhau để bảo vệ trước hầu hết mọi cuộc tấn công, bao gồm cả những cuộc tấn công đã trở nên nguy hiểm nhất trong thời gian gần đây, chẳng hạn như tấn công chuỗi cung ứng. Công ty cũng cung cấp dịch vụ trung tâm giám sát an ninh thông tin (SOC). Kinh nghiệm tích lũy trở thành cơ sở cho việc phát triển một phương pháp mới để đánh giá khả năng phục hồi mạng.
Maxim Akimov nói thêm rằng sự hiểu biết về nhu cầu về một phương pháp phổ quát được hình thành song song với sự phát triển hoạt động kinh doanh của Innostage. Trong khi triển khai các sản phẩm bảo mật thông tin, công ty không chỉ có thể đề xuất một phương pháp mà còn có thể áp dụng các yếu tố của nó vào thực tiễn của chính mình, đánh giá tính đúng đắn của phương pháp đã chọn.
Phương pháp luận trong tương lai sẽ yêu cầu xem xét lại các quy trình hiện có và xây dựng lại chúng. Cần phải xây dựng tất cả các dịch vụ, bắt đầu từ cấp độ cơ bản, càng minh bạch càng tốt để đạt được khả năng phục hồi mạng tối đa. Phương pháp này cũng bao hàm việc kiểm kê đầy đủ các nguồn lực, kiểm toán, phân tích bảo mật cho tất cả các thành phần cơ sở hạ tầng của khách hàng và áp dụng kiểm soát thay đổi (tuân thủ). Cần lưu ý rằng mọi thay đổi được thực hiện phải minh bạch và có thể quản lý được.
Sự cần thiết phải tạo ra một phương pháp đánh giá khả năng phục hồi của mạng
Không thể nói việc triển khai các sản phẩm an toàn thông tin cho đến nay vẫn chưa được kiểm soát. Các công ty hiện có thể đánh giá an ninh mạng của mình theo nhiều cách.
Ví dụ: bạn có thể kiểm tra mức độ sẵn sàng của mình để chống lại các mối đe dọa thông qua chương trình tiền thưởng về lỗ hổng bảo mật. Điều này sẽ cho phép bạn đánh giá mức độ an ninh mạng tổng thể của công ty. Để đánh giá mức độ sẵn sàng của các nhóm bảo mật thông tin trong việc chống lại các mối đe dọa trên mạng, một hình thức như tham gia vào các cuộc chiến trên mạng hoặc thử nghiệm thâm nhập sẽ được sử dụng khi dịch vụ bảo mật thông tin đang bận đẩy lùi các cuộc tấn công từ tin tặc có đạo đức (Đội Đỏ).
Tuy nhiên, tất cả các phương pháp xác minh này đều để lại một câu hỏi mở: làm thế nào để đánh giá chất lượng bảo mật và kết quả của các thử nghiệm được thực hiện?
Ví dụ, các hoạt động mạng đã trở nên phổ biến gần đây tập trung vào việc đạt được đánh giá về tính bảo mật theo dự đoán về một “doanh nghiệp điển hình ở mức trung bình”. Mỗi cuộc chiến mạng và mỗi cuộc tập trận mạng do các công ty khác nhau tiến hành đều có cách tiếp cận rất khác nhau. Mỗi nhà tổ chức tuân thủ các tiêu chí riêng để đánh giá chất lượng dịch vụ bảo mật thông tin.
Kỹ thuật xếp hạng sẽ loại bỏ sự không chắc chắn này. Dự kiến nó sẽ giúp có thể đánh giá chất lượng của đội phòng thủ, tạo xếp hạng dựa trên đánh giá về kinh nghiệm và kỹ năng chuyên môn cũng như tham gia vào các loại bài tập mạng khác nhau.
Như Anton Kalinin đã nói, “Chúng tôi dự định lựa chọn các tiêu chí minh bạch, dễ hiểu và sẽ cung cấp các đánh giá thành phần có trọng số. Mỗi nhóm bảo mật thông tin sẽ có thể hiểu được lĩnh vực công việc của mình và những hành động cụ thể mà họ nhận được điểm này hoặc điểm kia.”
Phương pháp này hiện đang được phát triển trong Innostage. “Chúng tôi đang thử nghiệm nó như một phần của cơ sở đào tạo và diễn tập mạng cũng như đánh giá công việc của nhóm SOC của chúng tôi. Chúng tôi cũng sẽ áp dụng nó cho khách hàng của mình, những người cũng sẽ tham gia vào cuộc tập trận”, diễn giả nói thêm.
Cần lưu ý rằng mục đích của việc tạo ra phương pháp luận không phải là “mong muốn xác định kẻ mạnh nhất” mà là mong muốn kích thích sự cạnh tranh trong ngành bảo mật thông tin, cạnh tranh giữa các nhóm bảo mật thông tin.
Trong tương lai, Innostage có kế hoạch chuyển dịch vụ hỗ trợ xếp hạng bên ngoài công ty thành một công ty khởi nghiệp riêng biệt. Điều này sẽ đảm bảo tính độc lập và phát triển hợp tác với tất cả các phạm vi mạng. Mỗi đội sẽ có thể biết mình đang đứng ở đâu và cần làm gì để củng cố vị thế của mình.
Con đường độc đáo hay xu hướng toàn cầu?
Nhu cầu về một phương pháp phổ quát để đánh giá an ninh mạng không đơn giản như người ta tưởng. Nó phản ánh một cách tiếp cận mới đối với an ninh mạng.
Cho đến nay, cách tiếp cận vẫn còn phân cực: được bảo vệ hoặc không được bảo vệ. Cộng đồng an ninh mạng toàn cầu tích cực sử dụng ma trận MITER, ma trận này xác định các lĩnh vực kiểm soát bảo mật thông tin chính (các vectơ tấn công). Theo đó, mục tiêu phát triển an toàn thông tin được coi là “đóng cửa” các lĩnh vực này bằng cách kiểm tra xem có bảo vệ hay không.
Như Vlada Syutkina đã lưu ý, “chúng tôi chưa khẳng định tính độc đáo trong tiêu chí của mình. Chúng tôi muốn nói rằng vẫn chưa có công cụ nào để đánh giá hiệu quả của an ninh mạng và mức độ các công ty đã cải thiện bảo mật của mình. Chúng tôi mong muốn phát triển sự hợp tác với những người chơi khác trên thị trường để các kỹ thuật và công cụ chúng tôi cung cấp trở thành những tiêu chuẩn được chấp nhận rộng rãi.”
Anton Kalinin tiết lộ một số chi tiết liên quan đến phương pháp được tạo ra. “Nếu chúng tôi đánh giá phương pháp luận thì khuôn khổ phục hồi không gian mạng của chúng tôi bao gồm một tập hợp các phương pháp, kỹ thuật và phương pháp nhất định mà chúng tôi đã thực hiện trong các dự án của mình. Bây giờ chúng tôi đã thu thập nó vào một hệ thống duy nhất và sẽ sẵn sàng cung cấp nó ra thị trường ở định dạng này. Khung này sẽ bao gồm năm giai đoạn. Bằng cách hoàn thành chúng, các công ty sẽ có thể biết được mức độ phục hồi mạng mà họ đã đạt được. Bước cuối cùng, thứ năm là kiểm tra đội ngũ pentester nội bộ. Bước này hiện đang được thực hiện tại Innostage.”
Các phương pháp tương tự đang được phát triển ở các nước khác. Như Anton Kalinin đã lưu ý, chỉ phần cấp cao nhất của họ được công khai, phần này không chi tiết đến mức có thể sử dụng được. Không có tiêu chuẩn hoặc GOST nào trong lĩnh vực này trên thị trường Nga. Đồng thời, nhu cầu đánh giá như vậy đã được thảo luận trong nhiều năm.
Ví dụ, vào năm 2022, kết quả nghiên cứu về việc tạo ra một phương pháp thống nhất để đo lường mức độ bảo mật thông tin cho các tổ chức ở Estonia đã được công bố. Điểm khởi đầu để phát triển phương pháp này là một số tiêu chuẩn và tiêu chuẩn quy định của Châu Âu và quốc tế về bảo mật thông tin, ví dụ như họ tiêu chuẩn ISO/IEC 27000. Một mô hình tiêu chuẩn đã được trình bày (Hình 3).
Hình 2. Mô hình đánh giá khả năng phục hồi mạng của các công ty (M. Seeba, S. Mäses & R. Matulevičius)
Các nhà nghiên cứu từ Estonia lưu ý rằng nhiều tiêu chuẩn hiện có đã có mức độ hoàn thiện cao, nhưng chúng thiếu giải pháp hoặc mô hình tham chiếu có thể so sánh một cách đáng tin cậy các kết quả thu được trong lĩnh vực đánh giá bảo mật thông tin của công ty. Cũng cần lưu ý rằng có những công cụ thương mại có thể cung cấp các số liệu đánh giá bảo mật và liên kết chúng với mức độ quản lý lỗ hổng và tuân thủ chính sách đạt được. Nhưng những công cụ này có xu hướng thiếu minh bạch. Chúng thực tế không có sẵn để sử dụng ở cấp công ty.
Các tác giả của nghiên cứu cũng công bố các ví dụ về sơ đồ cho phép người ta đánh giá mức độ an ninh mạng đạt được trong các lĩnh vực khác nhau, cũng như so sánh nó với các chỉ số của các bài kiểm tra điểm chuẩn.
Hình 3. Sơ đồ đánh giá và so sánh khả năng phục hồi mạng của một công ty với các tiêu chuẩn
Chương trình tiền thưởng lỗi Innostage
Trong cuộc họp báo, Ekaterina Syurtukova cũng nhắc lại rằng chương trình thưởng Innostage Bug Bounty cho các lỗ hổng dự kiến ra mắt vào tháng 5 năm 2024. Điều này được công bố lần đầu tiên tại diễn đàn quốc tế Tuần lễ kỹ thuật số Kazan 2023.
Một số chi tiết đã được cung cấp liên quan đến tính chuyên môn hóa của nền tảng mạng tương lai này. Đầu tiên là tập trung nghiên cứu sâu rộng các sản phẩm trong nước. Thứ hai là phát triển phương pháp riêng của chúng tôi để đánh giá khả năng phục hồi không gian mạng của các công ty, đã được thảo luận ở trên. Điều này không chỉ cho phép bạn có được phạm vi phủ sóng rộng rãi để phát triển và triển khai thêm mà còn giúp đánh giá khách quan các sản phẩm để tham gia vào chương trình Bug Bounty của riêng bạn. Đánh giá này có thể trở thành một tiêu chí độc đáo, hấp dẫn đối với khách hàng.
Ekaterina Syurtukova lưu ý: “Chúng tôi tin rằng Bug Bounty sẽ trở thành một tiêu chuẩn mới trong thị trường bảo mật thông tin”. — Công cụ này là một liên kết cần thiết để có được đánh giá cuối cùng về công việc xây dựng hệ thống phòng thủ mạng trong các công ty. Tất nhiên, có những phương pháp thực hành khác, chẳng hạn như pentest và Red Teaming, nhưng chúng chỉ giới hạn ở chuyên môn của một công ty. Thứ hai, họ cũng hạn chế khách hàng bằng cách không đảm bảo tăng cường an ninh mạng. Những người Pentesters có thể không tìm thấy những sai sót đáng kể, mặc dù khách hàng vẫn sẽ phải chịu những khoản chi phí đáng kể. Ngoài ra, dịch vụ này cho phép bạn chỉ phân tích các phân đoạn riêng lẻ, trong khi Bug Bounty không giới hạn phạm vi đánh giá.”
Hơn nữa, Innostage sẵn sàng gửi cơ sở hạ tầng của riêng mình để đánh giá độc lập công khai như một phần của chương trình Bug Bounty. Các hoạt động chuẩn bị cuối cùng hiện đang được tiến hành. Thông tin chi tiết sẽ xuất hiện trong quý đầu tiên của năm 2024.
kết luận
Innostage đang chuẩn bị cung cấp cho thị trường Nga một phương pháp phổ quát mà nhờ đó các công ty có thể đánh giá mức độ phục hồi mạng mà họ đã đạt được. Dự án đang ở giai đoạn phát triển cuối cùng.
Innostage không có kế hoạch biến kỹ thuật này thành tài sản riêng của mình và có kế hoạch mở rộng nó cho toàn bộ cộng đồng bảo mật thông tin ở Nga.
Sự phát triển này có giá trị trên thị trường bảo mật thông tin toàn cầu. Các nhóm nghiên cứu ở nước ngoài hiện đang phát triển các phương pháp tương tự.
