Positive Technologies đã công bố sự chuẩn bị cho việc phát hành một siêu sản phẩm mới, MaxPatrol Carbon. Nó sẽ bổ sung cho hệ sinh thái vốn đã bao gồm siêu sản phẩm MaxPatrol O2 và trong tương lai MaxPatrol 1-2-3 sẽ xuất hiện.
- Giới thiệu
- Mô hình an ninh mạng hiệu quả
- MaxPatrol Carbon và MaxPatrol O2
- Giao diện mới để phân tích sự cố và rủi ro
- Các phương pháp phát triển kiến trúc bảo mật cho doanh nghiệp
- kết luận
Giới thiệu
Vào tháng 11, tại Moscow Hacking Week (Standoff 12), Positive Technologies đã chính thức công bố siêu sản phẩm mới MaxPatrol Carbon. Nó bổ sung cho dòng siêu sản phẩm bảo mật thông tin mà Positive Technologies hiện đang phát triển. Nhà cung cấp phân loại chúng thành một phân khúc của các công cụ bảo mật cơ sở hạ tầng, tức là các hệ thống doanh nghiệp cấp cao phức tạp được thiết kế để tăng cường bảo vệ thông tin của doanh nghiệp trong các lĩnh vực kiến trúc khác nhau.
Theo kế hoạch đã công bố, hệ sinh thái trong tương lai sẽ bao gồm ba siêu sản phẩm:
- MaxPatrol O2 được thiết kế để tự động phát hiện hành động của những kẻ xâm nhập vào cơ sở hạ tầng CNTT. Kể từ tháng 5 năm 2023, nó đã đi vào hoạt động công nghiệp thí điểm.
- MaxPatrol Carbon được thiết kế để giám sát cơ sở hạ tầng CNTT của công ty, kiểm tra tính bảo mật và kiểm soát các thay đổi. Nó được thiết kế để đảm bảo điều kiện làm việc an toàn và phát hiện kịp thời các dấu hiệu của các cuộc tấn công mạng sắp xảy ra. Sản phẩm mới được công bố chính thức tại Standoff 12 vào tháng 11 năm 2023 và hiện đang trong giai đoạn đầu triển khai.
- MaxPatrol 1-2-3 được thiết kế để xây dựng một hệ thống doanh nghiệp nhằm tự động cập nhật cơ sở hạ tầng của các công cụ bảo mật thông tin, có tính đến việc phát hành các dịch vụ mới và công bố thông tin về các lỗ hổng đã được xác định. Sản phẩm này hiện đang được phát triển tích cực. Ngày dự kiến xuất hiện phiên bản alpha của nó là tháng 5 năm 2024.
Hình 1. Hệ sinh thái siêu sản phẩm MaxPatrol
Mô hình an ninh mạng hiệu quả
Ba siêu sản phẩm Công nghệ Tích cực được thiết kế để giúp các công ty chuyển từ khái niệm bảo vệ tài nguyên CNTT của họ sang mô hình mới về an ninh mạng hiệu quả.
Ý tưởng chính của khái niệm này là tự động hóa toàn diện tối đa hệ thống bảo vệ với sự phân bổ lại các chức năng của con người. Người ta hy vọng rằng điều này sẽ dẫn đến sự chuyển đổi từ việc thực hiện một khối lượng lớn các hoạt động thường lệ, thuần túy mang tính kỹ thuật sang giám sát và chống lại các mối đe dọa. Theo khái niệm mới, một chuyên gia an ninh thông tin sẽ làm việc như một chuyên gia để đánh giá thực trạng liên quan đến việc đảm bảo an ninh doanh nghiệp. Nhiệm vụ của người đó sẽ là quản lý hoạt động nhằm phản ứng với hành động của những kẻ tấn công, xác định các vectơ tấn công mạng, đánh giá tầm quan trọng quan trọng của chúng và kịp thời xây dựng hệ thống phòng thủ để cung cấp khả năng chống trả tối đa trước các hành động độc hại từ bên ngoài.
Hình 2. Mikhail Styugin nói về siêu sản phẩm mới MaxPatrol Carbon
Như Mikhail Styugin, người đứng đầu bộ phận tự động hóa bảo mật thông tin tại Positive Technologies, cho biết, các siêu sản phẩm mới giới thiệu các mục tiêu kinh doanh của công ty vào cấu trúc của các hành động được thực hiện. Mục tiêu chính của các biện pháp phòng thủ hiện nay là giảm tác động của các cuộc tấn công mạng đối với doanh nghiệp, tổ chức bảo vệ theo cách trước hết đảm bảo không thể chấp nhận được một số sự kiện nhất định, được chọn trước có tính đến tầm quan trọng của chúng đối với doanh nghiệp. .
Theo Positive Technologies, khái niệm mới gần hơn nhiều với việc hiểu thực tế mới liên quan đến bảo mật từ phía doanh nghiệp. Mục tiêu của tin tặc và kẻ lừa đảo được hiểu trong đó không chỉ đơn giản là nỗ lực phá vỡ hoạt động bình thường của các thành phần riêng lẻ trong cơ sở hạ tầng CNTT của công ty, mà trước hết là nỗ lực phá hủy doanh nghiệp và tính toàn vẹn của các kết nối của nó.
Theo cách giải thích mới, mục đích tồn tại của dịch vụ bảo mật thông tin trở thành nhiệm vụ xác định linh hoạt các hướng tấn công mạng, ý định và khả năng của tội phạm mạng, đồng thời tập trung chuyên môn bảo mật thông tin sẵn có vào nhiệm vụ ngăn chặn những kẻ tấn công ngay cả trước khi chúng kịp thực hiện. đến lúc gây ra thiệt hại không thể khắc phục được.
Hình 3. MaxPatrol Carbon và MaxPatrol O2 tương tác với các sản phẩm khác Công nghệ tích cực
Khái niệm bảo mật mới không phủ nhận các phương pháp tiếp cận hiện có đối với bảo mật thông tin. Nhưng nếu cho đến nay mục tiêu là loại bỏ nguyên nhân và hậu quả của các sự cố mới nổi càng nhanh càng tốt, thì với việc chuyển đổi sang siêu sản phẩm, mục tiêu của dịch vụ bảo mật thông tin trước tiên sẽ trở thành động lực loại bỏ các mối đe dọa nguy hiểm nhất.
Tính năng “sắp xếp” mới cho phép bạn tối ưu hóa việc tổ chức các biện pháp bảo vệ của dịch vụ bảo mật thông tin. Bây giờ các hoạt động thường ngày phải được chuyển sang các công cụ tự động hóa. Cho đến nay, Positive Technologies vẫn chưa đề cập rằng quá trình chuyển đổi như vậy sẽ đòi hỏi phải đánh giá lại tầm quan trọng của việc sử dụng trí tuệ nhân tạo trong bảo mật thông tin, nhưng rõ ràng, điều này sẽ đòi hỏi phải xem xét lại nghiêm túc các ưu tiên và chuyển đổi một phần (hoặc thậm chí toàn bộ) các hoạt động được thực hiện cho AI. Đồng thời, điều chủ yếu trong hoạt động của hệ thống, theo khái niệm mới, vẫn là con người – chuyên gia an toàn thông tin.
MaxPatrol Carbon và MaxPatrol O2
Sự xuất hiện của một hệ sinh thái mới gồm các siêu sản phẩm Công nghệ Tích cực có thể đặt ra câu hỏi: tại sao nhà cung cấp lại tạo ra ba sản phẩm khác nhau nếu chúng ta đang nói về một hệ thống bảo mật doanh nghiệp duy nhất? Suy cho cùng, rõ ràng là nó sẽ được xây dựng trên các cơ chế gốc có liên quan, các nguyên tắc chung và cơ sở thông tin chung là dữ liệu chuyên gia. Có lẽ đó chỉ là về tiếp thị?
Hình 4. MaxPatrol Carbon sử dụng các cảm biến tương tự như MaxPatrol O2
Mikhail Styugin lưu ý rằng khách hàng sẽ có thể hoàn lại toàn bộ chi phí mua MaxPatrol Carbon trong ba năm – nghĩa là thành phần tài chính không phải là ưu tiên chính khi phát triển hệ sinh thái mới. Tuy nhiên, điều này không trả lời được câu hỏi được nêu ở trên.
Đầu tiên, công ty có thể trở thành mục tiêu tấn công mạng của nhiều nhóm tin tặc khác nhau. Một số sẽ tiến hành tấn công, trong khi những người khác vẫn đang bận rộn triển khai các công cụ của họ trên cơ sở hạ tầng của nạn nhân. Có thể tách biệt các mối đe dọa bằng cách xử lý chúng bằng các sản phẩm khác nhau không?
Ngoài ra, nếu một công ty đã triển khai MaxPatrol O2, liệu có thực sự cần MaxPatrol Carbon không? Rốt cuộc, rõ ràng là cả hai siêu sản phẩm sẽ phản ứng với sự hiện diện của tin tặc, bất kể chúng đang ở giai đoạn tấn công nào.
Hình 5. Mục tiêu kinh doanh khi triển khai MaxPatrol Carbon
Rõ ràng, Positive Technologies được hướng dẫn không chỉ bởi mong muốn làm nổi bật “các lĩnh vực bảo mật thông tin hiện có một cách tự nhiên”. Ở đây chúng ta có thể thấy một cách tiếp cận mới, khác: mang đến cho khách hàng cơ hội chuyển dần sang khái niệm bảo mật mới.
Có vẻ như Công nghệ tích cực nhằm mục đích cung cấp cho thị trường không phải sự thay thế cho các công cụ bảo mật thông tin hiện có mà là một tiện ích bổ sung dưới dạng hệ sinh thái gồm các sản phẩm quản lý cấp cao nhất. Vì vậy, việc phân chia thành các lĩnh vực riêng biệt về bảo mật thông tin vẫn được thực hiện.
Cách tiếp cận này sẽ giúp có thể đóng dần các khu vực phòng thủ có vấn đề nhất, có tính đến phần cứng và nguồn nhân lực mà tổ chức có. Mục tiêu là chuyển đổi dần dần sang bảo vệ an ninh thông tin toàn diện bằng cách sử dụng rộng rãi các công cụ tự động hóa.
Giao diện mới để phân tích sự cố và rủi ro
Rõ ràng, khái niệm đề xuất về an ninh mạng hiệu quả sẽ yêu cầu xem xét lại cách phân tích về trạng thái các mối đe dọa mạng hiện tại. Trên thực tế, điều này đã xảy ra rồi. Đầu tiên là trong MaxPatrol O2 và bây giờ là MaxPatrol Carbon, một giao diện trình bày dữ liệu dưới dạng biểu đồ nhiều cấp đã xuất hiện.
Hình 6. Giao diện mới cho nhiệm vụ phân tích sự cố
Giao diện mới thu thập tất cả thông tin về các sự cố trong cơ sở hạ tầng được kiểm soát, hiển thị dữ liệu về các chiến thuật tấn công đã biết của hacker và chi tiết cụ thể về việc triển khai chúng cho các nhóm cụ thể. Vấn đề về sự lộn xộn và phức tạp không thể tránh khỏi của các thành phần giao diện trong trường hợp xảy ra va chạm với một cuộc tấn công mạng có mục tiêu đa chiều được giải quyết bằng các công cụ AI. Hệ thống tự động kết hợp các sự kiện đặc trưng của hành động của một hoặc một hình thức tấn công hoặc nhóm khác, cho phép các chuyên gia bảo mật thông tin đánh giá tình hình một cách đầy đủ và không mất kiểm soát.
Khó có thể nói cơ chế tổng hợp sự cố này được thực hiện tốt đến mức nào. Tuy nhiên, rõ ràng đây là một trong những tính năng chính mà người dùng sẽ đánh giá tính hiệu quả của hệ sinh thái mới.
Hình 7. Ví dụ về sơ đồ lập mô hình mối đe dọa trong MaxPatrol Carbon
Theo Positive Technologies, các dịch vụ bảo mật thông tin sẽ có thể giám sát hiệu quả sự phát triển của các cuộc tấn công của hacker vào cơ sở hạ tầng doanh nghiệp. Đồng thời, họ sẽ có thể xem xét mức độ nghiêm trọng của các mối đe dọa đối với các ưu tiên kinh doanh chính. Theo kế hoạch của nhà cung cấp, điều này sẽ giúp xây dựng hiệu quả các biện pháp đối phó về mặt bảo mật thông tin, kiểm soát toàn bộ tình hình hiện tại và vô hiệu hóa các cuộc tấn công một cách hiệu quả.
Theo các đợt pentest do Positive Technologies thực hiện vào năm 2021–2022, 68% các cuộc tấn công mạng yêu cầu tin tặc phải vượt qua không quá sáu chướng ngại vật trên đường đến mục tiêu. Tình hình hiện tại cho thấy rõ ràng rằng các công ty cần khẩn trương xem xét lại chiến lược phòng thủ của mình. Sự xuất hiện của các công cụ hack tự động có thể dẫn đến những kết quả rất đau đớn nếu một người vẫn giữ nguyên vị trí trong tổ chức bảo mật.
Hình 8. Thống kê việc thực hiện các sự kiện không được chấp nhận trong các công ty năm 2022
Các phương pháp phát triển kiến trúc bảo mật cho doanh nghiệp
Cách tiếp cận mới do Positive Technologies đề xuất có liên quan chặt chẽ đến câu hỏi về cách xây dựng hệ thống bảo mật thông tin trong các công ty. Cho đến nay, phương pháp xây dựng kiến trúc bảo mật trong doanh nghiệp thường là một quá trình rất khó hiểu.
Theo truyền thống, hoạt động kinh doanh tập trung vào việc tổ chức bảo vệ cơ sở hạ tầng và ứng dụng. Kiến trúc của hệ thống phát sinh “một cách tự nhiên” từ một bộ công cụ nhất định để thực hiện các nhiệm vụ ngăn chặn và loại bỏ các lỗ hổng, phát hiện hành động tấn công của tin tặc và điều chỉnh hành động của những người bảo vệ dựng lên chướng ngại vật và ngăn chặn sự phát triển của các cuộc tấn công.
Người ta tin rằng phương pháp tốt nhất là xây dựng một hệ thống kiểm soát chỉ đạo dựa trên các chính sách bảo mật và các thủ tục được chuẩn bị sẵn để vô hiệu hóa những tác động có hại nhất định. Tuy nhiên, cho đến nay, các doanh nghiệp vẫn tiếp tục xem bảo mật thông tin là hoạt động phụ “để chiều lòng cơ quan quản lý”. Đồng thời, trong hơn 10 năm, các phương pháp mới đã được phát triển có thể liên kết các mục tiêu kinh doanh với các rủi ro bảo mật thông tin. Đáng kể nhất là các phương pháp sau: SABSA, COBIT và TOGAF.
SABSA
SABSA (Kiến trúc bảo mật doanh nghiệp ứng dụng Sherwood) là một phương pháp kinh doanh nhằm xây dựng bảo mật thông tin cho doanh nghiệp. Nó dựa trên việc tính đến các rủi ro và liên quan đến việc lựa chọn các biện pháp đối phó. SABSA không nêu tên các biện pháp kiểm soát cụ thể nhưng nó đạt được sự liên kết giữa các mục tiêu an ninh và kinh doanh.
Hình 9. Các cấp độ của cấu trúc SABSA (Sách trắng SABSA, 2009)
Phương pháp SABSA có sáu cấp độ, trong đó có năm cấp độ bằng nhau. Cấp độ thứ sáu (theo chiều dọc) “thâm nhập” vào các cấp độ khác.
Cấp độ ngữ cảnh (trên cùng) bao gồm các yêu cầu và mục tiêu kinh doanh. Cấp độ khái niệm tạo ra ý tưởng về kiến trúc cần thiết của các công cụ bảo mật thông tin. Mức logic mô tả mối quan hệ giữa các yếu tố bảo mật thông tin. Ở cấp độ vật lý, một mô tả được đưa ra về cách sử dụng các công cụ bảo mật thông tin trên thực tế. Ở cấp độ thành phần, cấu trúc của các phần tử bảo mật thông tin được xác định. Lớp “từ đầu đến cuối” xác định kiến trúc của các điều khiển hiện diện ở các mức độ khác nhau ở năm lớp “lõi”.
COBIT
Phương pháp COBIT (Mục tiêu kiểm soát thông tin và công nghệ liên quan) đã được phát triển từ năm 1992. Nó được điều hành bởi ISACA (Hiệp hội Kiểm toán và Kiểm soát Hệ thống Thông tin) và ITGI (Viện Quản trị CNTT).
Phương pháp COBIT liên kết các quy trình kinh doanh và bộ công cụ liên quan, giúp tích hợp các mục tiêu kỹ thuật, rủi ro kinh doanh và yêu cầu quy trình kỹ thuật. Trên thực tế, dòng sản phẩm COBIT là một tập hợp các phương pháp thực hành theo hướng này hay hướng khác.
Hình 10: Cấu trúc của Hướng dẫn thực hành COBIT
Khái niệm COBIT dựa trên các nguyên tắc sau:
- Phù hợp với mục tiêu của chủ doanh nghiệp (nhà nước, cổ đông).
- Theo dõi nhiệm vụ trên tất cả các lĩnh vực của doanh nghiệp.
- Áp dụng một phương pháp thống nhất cho tất cả các cơ cấu công ty.
- Một cách tiếp cận toàn diện để thực hiện các nhiệm vụ.
- Tách biệt nhiệm vụ hoạch định chiến lược và quản lý hiện tại.
Các phương pháp SABSA và COBIT có thể bổ sung cho nhau. R. Ghaznavi-Zadeh, chuyên gia và cố vấn bảo mật thông tin của ISACA, đã đề xuất một phương pháp thống nhất để xây dựng kiến trúc bảo mật trong doanh nghiệp. Công thức của nó được thể hiện trong hình dưới đây.
Hình 11. Phương pháp kết hợp SABSA và COBIT (R. Ghaznavi-Zadeh)
TOGAF
Phương pháp TOGAF (Khung kiến trúc nhóm mở) dựa trên việc xem xét hoạt động kinh doanh ở nhiều mặt phẳng khác nhau và xây dựng các yêu cầu cho từng khu vực. Đây là một quy trình lặp đi lặp lại phù hợp nhất cho các doanh nghiệp mới bắt đầu xây dựng kiến trúc bảo mật của mình.
Hình 12. Chu trình phát triển của hệ thống bảo mật doanh nghiệp trong khuôn khổ khái niệm TOGAF
kết luận
Positive Technologies đang phát triển một hệ sinh thái mới gồm các siêu sản phẩm bảo mật thông tin cho phép các doanh nghiệp xây dựng bảo mật theo cách mới. Vào tháng 11, một nguyên tố mới đã xuất hiện trong thành phần của nó – MaxPatrol Carbon. Sản phẩm này hiện đang được phát hành ở phiên bản đầu tiên. Vào tháng 1 năm 2024, những “phi công” đầu tiên sẽ bắt đầu với những khách hàng đặc quyền. Đợt bán hàng chính của MaxPatrol Carbon dự kiến bắt đầu vào tháng 5 năm 2024 (PHDays 2024).
Một hệ sinh thái hoàn chỉnh bao gồm các siêu sản phẩm MaxPatrol O2, Carbon và 1-2-3 sẽ cho phép các công ty xây dựng khả năng bảo vệ tự động toàn diện dựa trên các sản phẩm Công nghệ Tích cực. Điều này sẽ cho phép chúng tôi kết hợp quyền kiểm soát tính bảo mật của cơ sở hạ tầng CNTT và quy trình kinh doanh.
Mục đích chính của việc sử dụng siêu sản phẩm Công nghệ Tích cực là không thể nhận ra các rủi ro mạng có thể gây ra thiệt hại không thể khắc phục.
