Quản lý mối đe dọa (Threat Management) là gì, Thách thức và thực tiễn

Quản lý mối đe dọa (Threat Management) là gì? Thách thức và thực tiễn

February 7, 2020 | hieulx

Quản lý mối đe dọa (Threat management), hay quản lý mối đe dọa trên mạng (cyber threat management), là một khung (framework) thường được sử dụng bởi các chuyên gia an ninh mạng để quản lý vòng đời của mối đe dọa nhằm nỗ lực xác định và ứng phó với tốc độ và sự chính xác.

Nền tảng của quản lý mối đe dọa là sự tích hợp liền mạch giữa con người, quy trình và công nghệ để đi trước các mối đe dọa.

Tại sao việc quản lý mối đe dọa là quan trọng?

Theo báo cáo Cost of a Data Breach Report năm 2019, các tổ chức có thể tiết kiệm trung bình 1,2 triệu đô la khi vi phạm được phát hiện sớm hơn. Với sự gia tăng liên tục về số lượng các mối đe dọa và sự phức tạp của các cuộc tấn công, các tổ chức đang cố gắng để theo kịp. Quản lý mối đe dọa là quan trọng đối với các tổ chức hơn bao giờ hết vì nó làm tăng sự hợp tác giữa con người, quy trình và công nghệ, giúp các tổ chức có cơ hội tốt nhất để phát hiện các mối đe dọa sớm hơn và phản ứng nhanh hơn.

Các tổ chức áp dụng và thực hiện thành công framework quản lý mối đe dọa thường được hưởng lợi từ:

  • Rủi ro thấp hơn với phát hiện mối đe dọa nhanh hơn, điều tra nhất quán và phản ứng nhanh hơn.
  • Cải tiến liên tục thông qua đo lường và báo cáo quy trình tích hợp.
  • Tăng cường kỹ năng, hiệu quả và tinh thần của security team.

3 thách thức phổ biến của việc quản lý mối đe dọa

Tại sao nó rất khó để bảo vệ chống lại các mối đe dọa dai dẳng (persistent threats) và các mối đe dọa trong nội bộ (insider threats)?

Khi IBM Security thảo luận với các nhà lãnh đạo an ninh trong tất cả các lĩnh vực, ba thách thức chung luôn xuất hiện:

1. Thiếu tầm nhìn

Các nhóm bảo mật không có khả năng hiển thị toàn cảnh mối đe dọa của họ với bối cảnh có liên quan, bao gồm các nguồn nội bộ (HR, người dùng, cơ sở dữ liệu, đám mây) và dữ liệu bên ngoài (social media, OSINT, dark web, v.v.). Điều này thường được gây ra bởi các silo tồn tại giữa các nhóm bảo mật, thiếu tích hợp giữa các giải pháp điểm và các quy trình không xác định hoặc không nhất quán trong toàn tổ chức. Theo ước tính của IBM, các doanh nghiệp sử dụng tới 80 sản phẩm bảo mật khác nhau từ 40 nhà cung cấp.

2. Thiếu cái nhìn sâu sắc và báo cáo Out-of-the-Box

Các nhóm bảo mật không có thông tin chi tiết về KPI mà họ nên theo dõi và cách lấy số liệu thực tế (ví dụ: ROI, MTTD, MTTR). Cũng không có cách dễ dàng để tạo báo cáo để hiển thị về các tiêu chuẩn và sự tuân thủ do thiếu tích hợp giữa các giải pháp điểm của họ. Ngoài ra, nếu các nhóm bảo mật khác nhau được đo theo các KPI khác nhau, thường sẽ rất khó để sắp xếp chúng theo một mục tiêu chung cho tổ chức. Theo các nghiên cứu phân tích thì sự phức tạp của môi trường CNTT là một trong những thách thức bảo mật lớn nhất mà doanh nghiệp phải đối mặt.

3. Thiếu hụt kỹ năng và sự đuối sức của nhân viên

Do sự thiếu hụt kỹ năng trên thị trường và sự ‘kiệt sức’ của các nhà phân tích, các nhà lãnh đạo an ninh đang gặp khó khăn trong việc tuyển dụng nhân tài có trình độ và giữ cho các nhân viên hiện tại có động lực. Do sự khó khăn trong việc nhân viên bổ sung, và các nhà lãnh đạo an ninh phải tìm ra những cách sáng tạo để vay mượn tài năng từ các đơn vị chức năng chéo khác như hỗ trợ khách hàng (customer support), kỹ thuật bán hàng (technical sales), v.v. và sau đó đào tạo họ để có hiệu quả trong lĩnh vực này.

Thực tiễn tốt nhất để quản lý mối đe dọa hiệu quả

Để thành công và phát triển nhanh chóng, một tổ chức cần kết hợp phòng thủ và phản ứng để ngăn chặn các mối đe dọa nhanh hơn và hiệu quả hơn. Quản lý mối đe dọa hiệu quả đạt được khi áp dụng khung sau:

  • Hiểu biết sâu sắc (Insight): Hiểu biết sâu sắc về các hoạt động đe dọa hiện tại với các dịch vụ toàn cầu, qua đó có thể được điều chỉnh tại để đáp ứng nhu cầu phù hợp với tổ chức/doanh nghiệp.
  • Hiển thị (Visibility) Tầm nhìn vào bối cảnh mối đe dọa, từ trong ra ngoài, với các dịch vụ để kiểm tra khả năng phục hồi và công nghệ không gian mạng để có thể tích hợp các nguồn dữ liệu bảo mật và không bảo mật.
  • Phát hiện (Detection): Phát hiện các mối đe dọa quan trọng nhất đối với một tổ chức thông qua tích hợp AI, mô hình tấn công và thông tin mối đe dọa (threat intelligence) có được từ nhiềm năm kinh nghiệm trong việc đảm bảo an ninh mạng cho các công ty thuộc Fortune 500.
  • Điều tra (Investigation): Điều tra được hỗ trợ bởi AI và các phân tích nâng cao trên các nguồn dữ liệu có cấu trúc và không cấu trúc cùng với nhiều mức độ khả năng tương quan, phân tách.
  • Phản ứng (Response): Phản hồi cung cấp các hành động tự động chống lại các mối đe dọa phổ biến nhất và các playbook để có được sự phối hợp trên toàn tổ chức giữa con người, quy trình và công nghệ.

Khi các tổ chức tiếp tục đấu tranh với các cuộc tấn công ngày càng thường xuyên và phức tạp, điều cần thiết là họ phải kết hợp con người, xử lý và công nghệ để ngăn chặn các mối đe dọa nhanh hơn và hiệu quả hơn. Quản lý mối đe dọa cung cấp một framework tuyệt vời để cung cấp cái nhìn sâu sắc về bối cảnh mối đe dọa, giúp các tổ chức phát hiện các mối đe dọa nhanh hơn, điều tra thông minh với AI và các phân tích nâng cao và khắc phục nhanh chóng với việc phối hợp và tự động hóa.

Cuối cùng, điều cần thiết là phải nhận ra rằng phương pháp quản lý mối đe dọa mang lại nhiều lợi ích cho các tổ chức thuộc mọi quy mô – từ các doanh nghiệp vừa và nhỏ (SMB) đến các tập đoàn lớn. Tùy thuộc vào quy mô tổ chức của bạn, bạn có thể quyết định triển khai nền tảng self-service hoặc threat management service.

Lược dịch theo bài viết của What Is Threat Management? Common Challenges and Best Practices của Parag Pathak, Product Marketing Leader, IBM.

Xem thêm:

Tags: ,