Duy trì khả năng hiển thị và phát hiện mối đe dọa khi Remote Working

Duy trì khả năng hiển thị và phát hiện mối đe dọa khi Remote Working

July 29, 2020 | vietsunshine

Trong đại dịch Covid-19, với yêu cầu của chính phủ và vì sự an toàn của người lao động, các tổ chức đã nhanh chóng mở rộng hệ thống để cho phép làm việc tư xa, và từ đây văn hóa công ty cũng bắt đầu thay đổi. Khi nhân viên làm việc từ xa, nhiều người vẫn duy trì được năng suất lao động, một số thậm chí còn cao hơn khi làm việc tại công ty.

Kết quả của cuộc thí nghiệm không mong muốn này là nhiều chuyên gia và giám đốc điều hành dự đoán rằng các chính sách work-from-home có thể sẽ trở thành xu hướng ngay cả khi đại dịch đã qua đi. Nghiên cứu từ Gartner cho thấy 41% nhân viên sẽ tiếp tục làm việc tại nhà, tăng từ 30% trước khi xảy ra đại dịch, theo báo cáo của ZDNet. Ngoài ra, 13% giám đốc tài chính (CFO) đã bắt đầu cắt giảm chi phí bất động sản dành cho văn phòng. Với remote work, các chuyên gia cần có phương pháp để duy trì khả năng hiển thị, giám sát và phát hiện mối đe dọa khi chu vi mạng gần như không tồn tại.

Mặc dù có những điểm mù mới, dưới đây là bốn lĩnh vực chính trong đó giải pháp quản lý sự kiện và thông tin bảo mật tập trung (SIEM) có thể giúp các nhóm bảo mật lấy lại và tăng khả năng kiểm soát và giám sát.

Email

Những kẻ tấn công với mục tiêu cụ thể rất giỏi trong việc tạo ra cái email lừa đảo hấp dẫn, và kỹ năng của chúng ngày một nâng cao. Email là một trong những vectơ đe dọa quan trọng nhất để theo dõi, vì 94% phần mềm độc hại tiếp cận với một tổ chức được phân phối thông qua lừa đảo. Để có được những hiểu biết sớm về các mối đe dọa này và quan trọng hơn là có thể theo dõi chính xác những gì xảy ra sau khi một email lừa đảo được mở, các nhóm bảo mật cần có một cái nhìn tập trung về những gì mà xảy ra trên toàn tổ chức.

Để đạt được điều này, các nhóm trung tâm hoạt động bảo mật (SOC) có thể gửi kết hợp các sự kiện email và luồng mạng có liên quan đến một giải pháp SIEM tập trung để phân tích. Bằng cách thu thập và phân tích các sự kiện email hoặc sự kiện bảo mật email, chẳng hạn như các sự kiện từ Proofpoint hoặc Cisco IronPort, các nhà phân tích bảo mật có thể có được cái nhìn toàn diện, hiệu quả hơn về các mối đe dọa dựa trên email.

Để hiểu sâu hơn, các nhà phân tích cũng có thể tận dụng các phân tích mạng để trích xuất các thuộc tính bổ sung, chẳng hạn như người gửi email, tên tệp đính kèm, tệp băm và URL và sau đó tương quan các thuộc tính đó với threat intelligence trong thời gian thực. Do đó, cái nhìn sâu sắc ở cấp độ mạng này có thể cung cấp khả năng hiển thị và cảnh báo sớm cho các mối đe dọa đã biết và các thuộc tính đáng ngờ để có thể chỉ ra một cuộc tấn công lừa đảo.

Endpoint

Trước khi chuyển sang làm việc từ xa, thường có hai loại công ty:

  • Những công ty hoạt động gần như hoàn toàn tại văn phòng (in-office), với người dùng trên máy tính để bàn.
  • Những công ty cho phép remote work (remote-enabled), với người dùng trên máy tính xách tay có thể kết nối với mạng thông qua VPN.

Khi hầu hết người lao động làm việc từ xa, cả hai loại hình công ty trên đều sẽ phải đối mặt với các thách thức. Các tổ chức in-office cần nhanh chóng tìm ra cách kích hoạt các dịch vụ và ứng dụng cốt lõi cho nhân viên từ xa và trong một số trường hợp, lần đầu tiên triển khai một mạng riêng ảo (VPN). Các tổ chức remote-enabled đã chứng kiến sự tăng đột biến trong việc sử dụng VPN, dẫn đến quá tải và giảm tốc độ đáng kể, về cơ bản buộc người dùng phải tắt VPN để duy trì năng suất. Từ góc độ bảo mật, cả hai tình huống đều mang tới một điểm mù lớn cho hoạt động của người dùng và endpoint.

Để có được khả năng hiển thị, team bảo mật có thể tận dụng sự kết hơp của hệ điều hành endpoint, VPN và EDR (endpoint detection and response) để giúp phát hiện mối đe dọa. Với log của Windows, macOS và Linux, các nhóm bảo mật có thể hiểu rõ hơn về những gì xảy ra ở cấp độ điểm cuối. Bằng cách tăng cường ghi nhật ký sự kiện Windows bằng Sysmon, các nhóm có thể đạt được những hiểu biết sâu sắc hơn về mối đe dọa, chẳng hạn như hoạt động xử lý và yêu cầu hệ thống tên miền (DNS).

Đối với các tổ chức sử dụng giải pháp EDR, chẳng hạn như Carbon Black hoặc CrowdStrike, các sự kiện bảo mật điểm cuối có thể được gửi đến giải pháp SIEM tập trung và tương quan với các dữ liệu khác để có được khả năng hiển thị mối đe dọa từ đầu đến cuối. Khi EDR được tích hợp chặt chẽ với SIEM, các hành động phản hồi có thể được bắt đầu trực tiếp từ giao diện SIEM. Cuối cùng, khi người dùng đăng nhập vào VPN hoặc xác thực dựa trên rủi ro để truy cập các ứng dụng, các giải pháp này có thể cung cấp cái nhìn sâu sắc về vị trí của điểm cuối, địa chỉ MAC, user agent và thông tin có giá trị khác có thể cung cấp thông tin chi tiết về việc đây có phải là người dùng thực không.

Khi dữ liệu có giá trị này được thu thập, các nhóm bảo mật có thể áp dụng một loạt các phân tích dựa trên máy học và tương quan để phát hiện các mối đe dọa đã biết và chưa biết. Đối với nhóm bảo mật, nó đặc biệt hữu ích khi tìm kiếm các nhà cung cấp SIEM cung cấp các trường hợp và phân tích sử dụng bảo mật được xây dựng trước để bạn không phải đầu tư thời gian và tiền bạc để nghiên cứu và phát triển chúng từ đầu.

Application

Giám sát hoạt động ứng dụng phải là trọng tâm chính cho các nhóm vì, không giống như các điểm cuối, các tổ chức vẫn kiểm soát được ngay cả ngoài mạng. Giám sát ứng dụng cũng có thể giúp vạch trần những kẻ tấn công đã ở trong mạng. Giám sát ứng dụng có thể được thi hành ở một số cấp độ:

  • Khi đăng nhập thông qua nhận dạng dưới dạng giải pháp dịch vụ (IDaaS), chẳng hạn như Cloud Identity Connect hoặc Okta.
  • Từ đăng nhập cho đến đăng xuất trực tiếp thông qua các ứng dụng như SAP, SalesForce.com hoặc Office 365.
  • Thông qua giải pháp cloud access security broker (CASB), như Zscaler, để theo dõi ai đang truy cập hoặc cố gắng truy cập ứng dụng nào.
  • Trực tiếp trong ngăn xếp ứng dụng, bao gồm các nền tảng điều phối bộ chứa hệ điều hành (như Kubernetes), tự chứa và các lệnh gọi API trong các môi trường này.

Ngoài việc theo dõi và phân tích các sự kiện ở mỗi cấp độ này, giám sát mạng có thể cung cấp cái nhìn chi tiết về cách dữ liệu ứng dụng đi qua mạng, ai và những gì đang kết nối với các hệ thống này và nếu có bất kỳ lưu lượng truy cập bất thường nào. Lớp hiểu biết bổ sung này có thể làm tăng khả năng hiển thị và hiểu biết hiện có để giúp khám phá một số hoạt động đáng ngờ nhanh hơn, chẳng hạn như các tài khoản bị xâm nhập và các nỗ lực trích xuất dữ liệu. Hơn nữa, giám sát mạng có thể đặc biệt hữu ích khi những kẻ tấn công đã giành được đủ quyền kiểm soát để sử dụng thành công các kỹ thuật trốn tránh phát hiện, chẳng hạn như vô hiệu hóa đăng nhập. Là một nguồn có độ tin cậy cao , dữ liệu mạng có thể hiển thị khi các hệ thống và ứng dụng vẫn trực tuyến mặc dù chúng không gửi nhật ký và nó cũng có thể tiếp tục cung cấp khả năng hiển thị những gì các hệ thống và ứng dụng đó đang làm.

Cloud

Với nhiều trung tâm dữ liệu vật lý tạm thời đóng cửa, các tổ chức đã phải đối mặt với một nhu cầu cấp thiết để giảm thiểu yêu cầu bảo trì vật lý tại chỗ của các hệ thống CNTT. Nhiều tổ chức đã nhanh chóng đẩy nhanh việc áp dụng cơ sở hạ tầng đám mây để hỗ trợ khối lượng công việc và ứng dụng của họ để duy trì tính liên tục trong kinh doanh. Vì nhiều trong số các di chuyển này đã được lên kế hoạch – thường là cho các mốc thời gian sau này – hầu hết các nhóm bảo mật nên mong đợi các khoản đầu tư này sẽ ở lại.

Để hiểu rõ hơn về rủi ro và các mối đe dọa trong các môi trường này, các nhóm bảo mật có thể theo dõi một loạt các sự kiện bao gồm hoạt động của người dùng, hoạt động ứng dụng và thay đổi tài nguyên và cấu hình. May mắn thay, các nhà cung cấp đám mây công cộng lớn, như AWS, IBM, Azure và Google Cloud, cung cấp một tập hợp dữ liệu nhật ký, sự kiện và lưu lượng mạng phong phú có thể được đưa vào một giải pháp SIEM tập trung để có được khả năng hiển thị và phát hiện tại chỗ và môi trường đa đám mây.

Bằng thu thập dữ liệu này và áp dụng các trường hợp sử dụng bảo mật cho nó, các nhà phân tích có thể hiểu rõ hơn về một số hoạt động đáng ngờ, chẳng hạn như:

  • Hoạt động tài khoản và người dùng bất thường, chẳng hạn như hoạt động xác thực bất thường, nhiều lần đăng nhập từ các khu vực địa lý khác nhau hoặc hoạt động người dùng root đáng ngờ.
  • Hoạt động khối lượng công việc (workload) bất thường, bao gồm các lệnh gọi API bất thường, hoạt động chứa đáng ngờ hoặc các dịch vụ không chuẩn truy cập tài nguyên.
  • Thay đổi cấu hình rủi ro cao, chẳng hạn như IAM đáng ngờ hoặc thay đổi chính sách của nhóm bảo mật, thay đổi chính sách S3 bucket, certificates mới hoặc thay đổi.
  • Thay đổi tài nguyên đáng ngờ, chẳng hạn như các trường hợp đám mây riêng ảo không chuẩn (VPC) hoặc EC2 hoặc tăng nhanh số lượng hoặc kích thước của các phiên bản EC2 có khả năng biểu thị khai thác tiền điện tử.

Trong khi nhiều nhà cung cấp đám mây có khả năng bảo mật riêng, không có chế độ xem tập trung vào dữ liệu bảo mật trên các môi trường, các nhà phân tích buộc phải làm việc trong các silos dữ liệu phức tạp. Ngày nay, 62% người dùng đám mây công cộng sử dụng hai hoặc nhiều đám mây, và trung bình, các tổ chức sử dụng tổng cộng 4,8 môi trường đám mây riêng và công cộng riêng biệt. Đối với một nhà phân tích đang cố gắng theo kịp khối lượng công việc ngày càng tăng, việc có được khả năng hiển thị trên nền tảng đám mây tập trung kết hợp với khả năng tự động phân tích, phát hiện và theo dõi các mối đe dọa khi chúng phát triển qua các môi trường khác nhau, là rất quan trọng.

Một giải pháp SIEM tập trung mà có khả năng ăn sâu và phân tích sự kiện và truyền dữ liệu qua đám mây và môi trường tại chỗ có thể giúp các nhà phân tích phát hiện nhanh chóng và hiệu quả hơn các mối đe dọa trước khi chúng leo thang và gây thiệt hại nghiêm trọng.

Hãy để tất cả chúng cùng nhau

Do sự chuyển đổi nhanh chóng sang làm việc từ xa, nhiều tổ chức CNTT hiện có công nghệ hỗ trợ nhân viên từ xa. Và trong vài tháng qua, các nhân viên đã chứng minh rằng họ có thể vẫn làm việc hiệu quả ở nhà. Khi chúng ta tiến tới một trạng thái bình thường mới (new normal), một thay đổi rõ ràng ở đây là chính sách làm việc linh hoạt, thân thiện hơn từ xa. Do đó, các nhóm hoạt động an ninh cần một chiến lược lâu dài, bền vững để duy trì khả năng hiển thị và phát hiện mối đe dọa trên một mạng có điểm mù mới và hầu như không có chu vi.

Bằng cách nhân đôi các phân tích bảo mật tập trung, tập trung đặc biệt vào các use case, điểm cuối, ứng dụng và bảo mật đám mây, các nhà phân tích bảo mật có thể có được những hiểu biết mới để bù đắp cho khả năng hiển thị bị mất và cuối cùng giúp củng cố tư thế bảo mật của các tổ chức của họ. Trong hoàn cảnh này, các giải pháp SIEM được tích hợp chặt chẽ SOAR sẽ giúp phát hiện dễ dàng hơn và cải thiện giá trị tổng thể và cung cấp tích hợp chặt chẽđể đẩy nhanh chu trình phát hiện, điều tra và ứng phó mối đe dọa từ đầu đến cuối.

Lược dịch theo bài viết “Visibility and Threat Detection in a Remote Working World” của Lauren Horaist, Program Director, QRadar SIEM Offering Management, IBM Security

Xem thêm:

Tags: , ,