Động lực tăng trưởng của rủi ro mạng đang buộc các công ty phải thay đổi cách tiếp cận bảo mật thông tin từ phản ứng sang chủ động. Gartner đã phát triển toàn bộ khái niệm cho việc này – “quản lý tiếp xúc với mối đe dọa liên tục” (CTEM). Hãy cùng tìm hiểu xem nó là gì và liệu tinh thần của nó có mang tính cách mạng như Gartner tuyên bố hay không.
- Giới thiệu
- Bước số 1. Quy mô (Phạm vi)
- Bước số 2. Nhận dạng (Khám phá)
- Bước # 3: Ưu tiên
- Bước số 4. Xác nhận
- Bước số 5. Huy động
- Cách mạng hay tiếp thị thuần túy?
- Triển vọng cho CTEM ở Nga
- kết luận
Giới thiệu
Vào năm 2022, cơ quan Gartner lần đầu tiên nói về CTEM, nhấn mạnh rằng đây không phải là một loại sản phẩm hay giải pháp mà là một chương trình, một khái niệm, một cách tiếp cận chiến lược sẽ trở thành cơ sở cho các công ty tìm cách giảm thiểu rủi ro và giảm lượng thông tin sự cố an ninh đáng kể.
Năm 2023, CTEM được Gartner đưa vào danh sách các xu hướng an ninh mạng hàng đầu với nhận xét: “Các công ty ngày nay có rất nhiều lỗ hổng tiềm ẩn, lớn đến mức phải mất quá nhiều công sức và nguồn lực để “đóng” chúng. Nhiệm vụ của CISO là cải tiến các phương pháp đánh giá chúng nhằm hiểu được mức độ bảo vệ thực sự trước các mối đe dọa. Đây chính là mục đích của chương trình Quản lý tiếp xúc với mối đe dọa liên tục (CTEM). Gartner dự đoán rằng đến năm 2026, các tổ chức đầu tư vào bảo mật dựa trên phân tích thông qua chương trình CTEM sẽ giảm 2/3 sự cố.”
CTEM là gì? Quản lý mối đe dọa liên tục có mang tính cách mạng như Gartner tuyên bố không?
Quản lý tiếp xúc với mối đe dọa liên tục là một mô hình quản lý rủi ro mạng cung cấp cách tiếp cận chủ động và lặp đi lặp lại để xác định và phân tích các nguồn nguy hiểm, cũng như giảm mức độ đe dọa an ninh thông tin thông qua một chu kỳ liên tục gồm các bước cụ thể: xác định bề mặt tấn công, phát hiện về các lỗ hổng, mức độ ưu tiên của chúng, xác nhận tiếp theo và chuẩn bị kế hoạch ứng phó sự cố.
Có hai điểm cơ bản ở đây – phân tích sâu và tính chu kỳ. Nói cách khác, chúng ta đang nói về một quá trình không bao giờ kết thúc liên quan đến việc tìm kiếm các mối đe dọa và chuẩn bị kế hoạch ứng phó.
CISO nên nhìn công ty qua con mắt của kẻ tấn công. Chúng tôi đã quen với việc xem xét cơ sở hạ tầng từ vị trí của một người bảo vệ và không thể tưởng tượng được một hacker sẽ nhìn thấy gì trong hệ thống của chúng tôi, những hành động mà anh ta sẽ thực hiện và những tài nguyên nào anh ta có thể tiếp cận. Khuyến nghị của Gartner là liên tục đánh giá khả năng phòng thủ của công ty bằng tất cả các phương tiện có sẵn, bao gồm cả mô phỏng các cuộc tấn công và không bị giới hạn bởi dữ liệu về lỗ hổng đã có sẵn.
Điều quan trọng là khi đánh giá rủi ro, theo Gartner, bạn nên cân bằng các lỗ hổng kỹ thuật với các ưu tiên kinh doanh. Những phát hiện từ việc phân tích sẽ tạo cơ sở cho việc xây dựng kế hoạch khắc phục lỗ hổng. Hóa ra trình tự thu hẹp khoảng cách phải được xác định bởi các bên quan tâm từ cả bộ phận kỹ thuật và doanh nghiệp.
Vì vậy, như đã đề cập, chương trình CTEM bao gồm năm bước. Hãy cho bạn biết thêm về họ.
Bước số 1. Quy mô (Phạm vi)
Bước đầu tiên của chương trình CTEM liên quan đến việc xác định chính xác những gì sẽ đi vào chu trình. Vì bất kỳ tổ chức nào cũng có nhiều đơn vị kinh doanh (bán hàng, sản xuất, kế toán, nhân sự, v.v.), nên việc thử CTEM cho toàn bộ công ty cùng một lúc sẽ không dẫn đến kết quả thành công. Các doanh nghiệp nhỏ có thể chọn phạm vi của mình dựa trên chức năng của bộ phận (ví dụ: bán hàng hoặc tài chính) hoặc theo loại cơ sở hạ tầng (ví dụ: tại chỗ hoặc đám mây). Các tổ chức lớn hơn có thể thấy cần phải tách biệt các chức năng hơn nữa (ví dụ: đường dẫn tín dụng, bán hàng tại hiện trường, quản lý hợp đồng, v.v.).
Việc xác định thang đo rất quan trọng vì nó cho phép bạn tạo ra một loại ranh giới và do đó giảm số lượng biến. Ngoài ra, điều này giúp đơn giản hóa đáng kể quá trình phân loại tài sản được phát hiện thành những tài sản có liên quan và không liên quan đến chu kỳ hiện tại, đồng thời việc phân chia thích hợp sẽ cho phép xác định các tài sản có thể liên quan gián tiếp đến chu kỳ hiện tại nhưng gây ra rủi ro đáng kể cho nó trong trường hợp tấn công thành công.
Quá trình xác định phạm vi liên quan đến việc tìm kiếm mối liên hệ giữa tài sản kỹ thuật và quy trình kinh doanh và do đó cần có sự tham gia của những người tham gia từ cả bộ phận kỹ thuật và phía doanh nghiệp. Cái sau xác định bối cảnh kinh doanh để thiết lập ranh giới của chu trình, trong khi cái trước xác định các hệ thống và nền tảng được cho là các thành phần chức năng của bối cảnh này. Gartner khuyến nghị không chỉ bao gồm các thiết bị, ứng dụng và ứng dụng truyền thống mà còn cả các yếu tố ít rõ ràng hơn như tài khoản mạng xã hội của công ty, kho lưu trữ mã trực tuyến và hệ thống chuỗi cung ứng tích hợp.
Bước số 2. Nhận dạng (Khám phá)
Giai đoạn xác định đòi hỏi sự hiểu biết sâu sắc về hệ thống kỹ thuật và tài sản cũng như hồ sơ rủi ro của chúng trong chu trình CTEM đang diễn ra. Ở giai đoạn này, dịch vụ bảo mật thông tin xác định bề mặt tấn công bằng các hành động sau:
- Xác định các tài sản và hệ thống kỹ thuật.
- Xây dựng kết nối giữa các hệ thống này và quy trình kinh doanh.
- Đang quét các lỗ hổng.
- Xác định các cấu hình sai của hệ thống và điều khiển.
- Giám sát những sai lệch so với các tiêu chuẩn và đường cơ sở an toàn đã được thiết lập.
Việc xác định và đánh giá phải là một quá trình liên tục đối với bất kỳ nhóm bảo mật nào, với việc giám sát liên tục các hệ thống, nền tảng mới, v.v., cũng như đánh giá các lỗ hổng và tìm kiếm các điểm bất thường.
Bước # 3: Ưu tiên
Giai đoạn ưu tiên xác định tính cấp bách và tầm quan trọng của việc loại bỏ một lỗ hổng cụ thể. Quyết định được đưa ra dựa trên dữ liệu về cấu trúc liên kết hệ thống, cấu hình và tầm quan trọng của nó đối với các quy trình kinh doanh quan trọng.
Việc ưu tiên không chỉ dựa trên các chỉ số thống kê mà còn dựa trên sự kết hợp của các yếu tố như mức độ nghiêm trọng của lỗ hổng, mức độ phổ biến của việc khai thác, tính sẵn có của các biện pháp bảo vệ và kiểm soát, các lựa chọn giảm thiểu và rủi ro của những điều này đối với doanh nghiệp. Cũng cần phải tính đến mức độ rủi ro khi tiếp xúc với các tài sản có giá trị cao và khả năng sẵn có các biện pháp đền bù.
Điều cực kỳ quan trọng là đánh giá khả năng khai thác một lỗ hổng cụ thể, đặc biệt nếu chúng ta đang nói về các tài nguyên dùng chung hỗ trợ hoạt động của một số quy trình kinh doanh, vì các yếu tố từ bối cảnh kinh doanh khác có thể ảnh hưởng đến bối cảnh hiện tại. Kế hoạch khắc phục được ưu tiên sẽ tập trung chủ yếu vào việc giải quyết các tác động có rủi ro cao.
Bước số 4. Xác thực
Ở giai đoạn xác thực, xác suất thành công của cuộc tấn công được đánh giá, các “sự phá hủy” tiềm ẩn được phân tích và phản ứng của nhóm bảo mật thông tin đối với hành động của kẻ tấn công trong chu kỳ hiện tại được kiểm tra.
Ở đây, theo quy định, cần phải tiến hành một loạt nghiên cứu kỹ thuật nhằm xác định mức độ bảo mật của tổ chức, chẳng hạn như thử nghiệm thâm nhập, mô phỏng tấn công và mô hình vi phạm, định thời gian lại và phân tích quỹ đạo tấn công. Sau đó, nhóm bảo mật thông tin phải liên kết kết quả của các đánh giá kỹ thuật này với rủi ro kinh doanh: cùng với đại diện doanh nghiệp, họ phải quyết định xem rủi ro có thể chấp nhận được hay không.
Trong bối cảnh chương trình CTEM, giai đoạn xác nhận sẽ tạo và sàng lọc kế hoạch hành động cần thiết để đảm bảo an toàn một cách hiệu quả và phù hợp với quan điểm của công ty.
Bước số 5. Huy động
Trong giai đoạn huy động, các nhiệm vụ được giao và nguồn lực được phân bổ để thực hiện kế hoạch khắc phục và lỗ hổng được xác định trong giai đoạn xác nhận.
Giai đoạn này liên quan đến việc hợp lý hóa các quy trình phê duyệt, triển khai và phát triển các chiến lược giảm thiểu nhằm tạo điều kiện thuận lợi cho các nỗ lực bảo mật của tổ chức.
Điều này đạt được thông qua sự hợp tác giữa CNTT, bảo mật thông tin và kinh doanh. Cái trước xác định các chiến lược phục hồi có thể có và tác động của chúng đối với cơ sở hạ tầng. Sau này nghiên cứu thông tin này và cung cấp phản hồi: liệu những đề xuất này có khả thi hay không và liệu chúng có mâu thuẫn với bối cảnh kinh doanh hay không. Cách tiếp cận này yêu cầu thiết lập các giao thức liên lạc rõ ràng và quy trình phê duyệt chính thức giữa các nhóm.
Vì vậy, chương trình CTEM có thể được coi là hoạt động hiệu quả nếu các bước sau được thực hiện hiệu quả và đầy đủ:
- Bề mặt tấn công cho từng đơn vị kinh doanh và/hoặc quy trình kinh doanh được xác định.
- Khả năng khai thác lỗ hổng đã được xác nhận.
- Các giải pháp khả thi được xác định.
- Tác động tiềm ẩn của nguy cơ khai thác lỗ hổng đối với hoạt động kinh doanh được dự đoán.
- Tác động kinh doanh tiềm năng của việc khắc phục lỗ hổng được dự đoán.
Cách mạng hay tiếp thị thuần túy?
Như bạn đã nhận thấy, khái niệm CTEM bao gồm việc chẩn đoán các vấn đề (xác định phạm vi, xác định các mối đe dọa, ưu tiên các lỗ hổng) và một tập hợp các hành động cụ thể để giải quyết chúng (xác nhận và sửa chữa).
Chúng ta đã làm điều này trước đây chưa? Họ đã làm. Trên thực tế, các công ty vượt ra ngoài phạm vi bảo mật “giấy” đã làm được điều đó. Nhưng! Đại đa số đang chẩn đoán sự cố cho từng hệ thống một cách riêng biệt, không phải lúc nào cũng xây dựng mối liên hệ với các quy trình kinh doanh. Hơn nữa, việc chẩn đoán thường được thực hiện mà không sử dụng các công cụ tự động hóa để đảm bảo tính đều đặn và phạm vi bao phủ rộng hơn. Đó là một tấm chăn chắp vá đến mức bạn cũng phải đấu tranh để giành được nó: thực tế không phải là phân khúc của bạn sẽ bị kiểm tra tiếp theo.
Gartner trong CTEM đã liên kết các quy trình và giải pháp mà trước đây họ đã xem xét trong các lớp riêng biệt, chẳng hạn như Pentest tự động, Mô phỏng tấn công và vi phạm (BAS), Quản lý bề mặt tấn công (ASM), Quản lý lỗ hổng (VM), v.v. bộ công cụ đã đạt đến một mức độ trưởng thành nhất định và có thể cung cấp một lớp thông tin bổ sung, trên cơ sở đó có thể ưu tiên các lỗ hổng và thu hẹp danh sách của chúng xuống một con số không gây hoảng sợ và mong muốn thay đổi nghề nghiệp. Ngày nay, hoàn toàn có thể tách biệt dữ liệu báo cáo khỏi “khung màu đỏ” của dữ liệu báo cáo, cho phép bạn xác định các vectơ tấn công cụ thể và xác định rủi ro.
Tuy nhiên, như thực tế cho thấy, ngay cả khi không biết về CTEM, khách hàng Nga vẫn sử dụng một kịch bản tương tự, sử dụng tính năng tự động kiểm tra để ưu tiên các lỗ hổng: dữ liệu từ máy quét được bổ sung thông tin bổ sung và bộ phận CNTT không chỉ nhận được từ nhóm bảo mật thông tin một “trang” báo cáo nhưng là một tài liệu trong đó chỉ ra những lỗ hổng nghiêm trọng nào đã bị khai thác trong quá trình tự động dồn nén và điều gì đã trở thành điểm cuối.
Chỉ tiến hành kiểm tra tự động bằng cách sử dụng các công cụ trên, tách biệt với chẩn đoán được mô tả ở bước số 1, 2 và 3, rất có thể sẽ không đạt được kết quả như Gartner dự đoán, cụ thể là giảm 2/3 số sự cố trong vòng 3 năm. năm. Tuy nhiên, các sản phẩm thuộc lớp BAS và Automated Pentest cho phép bạn mở “hộp đen” và xem những gì trước đây bị bao phủ trong bóng tối.
Triển vọng cho CTEM ở Nga
Phổ biến thông tin về Quản lý tiếp xúc với mối đe dọa liên tục (CTEM) là bước đầu tiên và rất quan trọng để đảm bảo rằng các công ty bắt đầu “thử” CTEM cho chính mình.
Cho đến năm 2022, những “người truyền bá” trong lĩnh vực đổi mới ở Nga đều là các cơ quan tư vấn toàn cầu, đặc biệt là Big Four. Họ đã phát triển các khái niệm quy mô lớn cho các doanh nghiệp lớn, bao gồm tất cả các xu hướng mới nhất và ở cấp độ quy trình mà không đi sâu vào chi tiết về phương tiện kỹ thuật cụ thể mà các quy trình này cần được hỗ trợ. Chiến lược của các doanh nghiệp lớn đã được các doanh nghiệp vừa áp dụng, và sau đó những định đề tương tự bắt đầu xuất hiện trong các tài liệu mà các nhà tích hợp hệ thống viết cho khách hàng của họ như một phần của việc cung cấp dịch vụ tư vấn. Do đó, việc phổ biến cách tiếp cận khái niệm này hay cách tiếp cận khái niệm khác đã diễn ra: từ trên xuống dưới.
Có tính đến thực tế là tại thời điểm hoạt động của “Big Four” ở Nga đã bị đình chỉ, phương án này không còn có thể được coi là hiệu quả. Có lẽ những gì còn lại là sự truyền miệng và các cuộc hội thảo, các bài báo trên các phương tiện truyền thông, các ấn phẩm trên trang web của công ty.
Còn một điểm quan trọng nữa chắc chắn sẽ ảnh hưởng đến tốc độ “chấp nhận” khái niệm CTEM. Từ năm 2022, thị trường Nga bắt đầu có thói quen thay thế các công cụ bảo mật thông tin của nước ngoài. Việc thỏa mãn những “nhu cầu” cơ bản trở thành ưu tiên hàng đầu và các nhiệm vụ trần tục được chú trọng. Cuối cùng, mọi chuyện cũng giống như những ưu tiên trong cuộc sống của một người nói chung: có một việc quan trọng nhưng không cấp bách sẽ mang lại nhiều lợi ích trong tương lai và đưa nó lên một tầm phát triển mới, và có một việc gì đó cấp bách và “cháy bỏng”, điều này không thực sự ảnh hưởng đến chiến lược mà lại lấy hết sức lực của tôi.
kết luận
Không rõ chúng ta sẽ “dập lửa” trong bao lâu nữa. Chúng ta sẽ mất bao lâu để phát triển các công cụ tự động hóa – nội địa – của riêng mình cũng chưa rõ ràng. Hiện tại, trên thị trường chỉ có một BAS của Nga trong hoạt động công nghiệp – CtrlHack. Một số công cụ khác đang được phát triển. Nếu so sánh đồng hồ của mình với phương Tây, chúng ta sẽ phải mất vài năm. Tuy nhiên, tôi thực sự muốn tin vào các siêu anh hùng! Cả giữa các nhà cung cấp trong nước và giữa các khách hàng, những người tham gia vào quá trình tạo ra một giải pháp hoàn thiện không thể được đánh giá quá cao. Suy cho cùng, chính phản hồi sau các cuộc thử nghiệm “chiến đấu” cho phép người sáng tạo tinh chỉnh sản phẩm của mình theo tiêu chuẩn mong muốn.
Về mặt tinh thần, thị trường đã hoàn toàn đạt đến mức trưởng thành khi có thể vượt lên trên các nhiệm vụ “trần thế” và nỗ lực xem xét lại thái độ của chúng ta đối với các quy trình hiện có ở một giai đoạn phát triển mới, nâng cao chất lượng cho số lượng.
Thời gian sẽ trả lời liệu CTEM có bén rễ được trên đất Nga hay không. Tuy nhiên, tôi muốn trả lời câu hỏi liên quan đến bản chất mang tính cách mạng của chương trình CTEM bằng một giai thoại: “Mọi người đều có thể vẽ như Malevich. Bạn thử bán nó như thế xem…”
Tác giả:
Maxim Pyatakovđồng sáng lập CtrlHack
Igor ChudinGiám đốc An ninh mạng tại ITD Group
