Khả năng quan sát và giám sát: Sự kết hợp hoàn hảo

Sống với COVID-19 có nghĩa là chúng ta đã ngập đầu trong việc giám sát, cách ly quan sát và theo dõi liên lạc. Những chủ đề này có thể còn gây tranh cãi, tôi nhận thấy rằng khi nói đến An Ninh Mạng và các ứng dụng, ý tưởng về giám sát và khái niệm về khả năng quan sát đã trở nên cực kỳ quan trọng.

Năm ngoái, báo cáo State of Cybersecurity 2020 của CompTIA cho thấy giám sát bảo mật là mối quan tâm “hàng đầu”, như được trình bày bên dưới.

Hình 1: Các kỹ năng An Ninh Mạng hàng đầu, bao gồm cả giám sát

Và năm nay, báo cáo của State of Cybersecurity 2021 đã tăng gấp đôi về tầm quan trọng của việc giám sát, cho thấy các phân tích đã trở nên quan trọng như thế nào đối với việc tuyển dụng các nhà quản lý khi nói đến vấn đề An Ninh Mạng.

Hình 2: Phân tích và giám sát An Ninh Mạng từ năm 2021 đến năm 2022

Giám sát liên quan đến việc sử dụng các công cụ đã được trải nghiệm và thử nghiệm cũng như các phương pháp hay nhất, chẳng hạn như phát hiện xâm nhập, ghi nhật ký nâng cao và nền tảng Quản lý sự kiện và Thông tin bảo mật (SIEM). Ngày nay, các tổ chức đang làm tất cả những gì có thể để thuê các nhà phân tích An Ninh Mạng có trình độ chuyên môn, một trong những vai trò định hướng về bảo mật, phát triển nhanh nhất hiện nay.

 

Khả năng quan sát: Cấp độ tiếp theo là gì?

Quan sát điển hình liên quan đến việc lắng nghe thụ động dữ liệu mạng và máy chủ lưu trữ bằng các công cụ như nhật ký bộ định tuyến và các ứng dụng như Snort, Zeek và Suricata, các công cụ SIEM và các hoạt động hướng dữ liệu và nhật ký khác. Tuy nhiên, để có thêm ngữ cảnh và đi sâu hơn vào cách thức hoạt động của các ứng dụng, dường như có một khái niệm tương đối mới: Khả năng giám sát. Hai việc này có liên quan, nhưng không giống hệt nhau. Hãy nghĩ về nó theo cách này: Giám sát giống như sử dụng Google Maps – nó thực hiện một công việc tuyệt vời là cung cấp cho bạn một ý tưởng chung về bề mặt đất. Khả năng quan sát chi tiết hơn – giống như Chế độ xem phố của Google hoặc một ứng dụng thực tế tăng cường cho phép bạn xem chính xác những gì đang diễn ra tại một thời điểm nhất định.

 

Tại sao khả năng quan sát lại quan trọng?

Từ quan điểm của nhà phân tích An Ninh Mạng, việc triển khai các công cụ giám sát thụ động hơn là chưa đủ. Chúng tôi cần các ứng dụng, dịch vụ đám mây và thiết bị cạnh để tích cực đóng góp thông tin về cách chúng đang chạy trong thời gian thực. Điều này là do tin tặc đang ngày càng tấn công các ứng dụng để lấy thông tin đăng nhập của người dùng và các thông tin nhạy cảm khác.

Hình 3: Báo cáo CompTIA State of Cybersecurity 2021, cho thấy sự gia tăng chi tiêu trên mạng cho ứng dụng, dữ liệu và bảo mật đám mây

Một việc là nó theo dõi mọi thứ đang hoạt động như thế nào. Nhưng giả sử bạn có thể có một chức năng xây dựng dành cho nhà phát triển ngay trong ứng dụng để nó liên tục báo cáo nó đang hoạt động như thế nào?

 

Cách chúng tôi xác định khả năng quan sát

Khả năng quan sát là khả năng của một ứng dụng hoặc thiết bị để chủ động báo cáo tình trạng tổng thể của nó. Ví dụ: hầu hết chúng ta đều đã trải qua khoảnh khắc tuyệt vời đó khi đèn “kiểm tra động cơ” trên ô tô của bạn đột nhiên sáng lên trên bảng điều khiển – và điều đó cũng làm sáng bừng một ngày của bạn. Chúng tôi cũng đã trải nghiệm một chuyến đi đến người thợ cơ khí, sau đó họ kết nối máy tính của cô ấy với ô tô của bạn. Hai máy tính nói chuyện với nhau và sau đó thợ máy của bạn chẩn đoán sự cố.

Đây là một ví dụ về khả năng quan sát: Xe ô tô ngày nay có mã được ghi vào máy tính và các ứng dụng giúp loại bỏ mã, thông báo cho thợ máy của bạn về một vấn đề cụ thể. Suy nghĩ ở đây là quyền truy cập vào các mã thời gian thực này giúp loại bỏ nhu cầu đoán xe của bạn có vấn đề gì. Các mã cho bạn biết chính xác điều gì đang xảy ra.

Trong thế giới DevSecOps, khả năng quan sát là nơi bạn – chuyên gia bảo mật – làm việc với nhà phát triển để tạo ứng dụng có chứa mã nhúng. Mã này cho phép các chuyên gia CNTT và An Ninh Mạng xem xét các ứng dụng này đang hoạt động như thế nào trong thời gian thực. Trên thực tế, khả năng quan sát ngụ ý khả năng ứng dụng báo cáo chính xác hoạt động của ứng dụng. Đây là một ý tưởng khá hay. Thay vì phải triển khai các công cụ phân tích và hành vi của người dùng cuối (UEBA) và hy vọng điều tốt nhất, bạn có các ứng dụng chủ động báo cáo trạng thái của chúng. Hãy tưởng tượng dữ liệu về khả năng quan sát sẽ hữu ích như thế nào nếu nó được định tuyến thông qua các công cụ phân tích máy học (ML). Những công cụ này có thể dễ dàng xác định các vấn đề về bảo mật và ngừng hoạt động tiềm ẩn hơn.

Hình 4 dưới đây cho thấy một ý tưởng đơn giản về cách hoạt động của khả năng quan sát. Một ứng dụng chứa thông tin thời gian thực thông báo cho các thành viên của trung tâm hoạt động bảo mật (SOC) về trạng thái hiện tại của nó.

Hình 4: Các ứng dụng cung cấp thông tin chạy thời gian thực cho SOC

 

Đưa khả năng quan sát vào công việc

Để biến khả năng quan sát thành hiện thực, các chuyên gia An Ninh Mạng làm việc chặt chẽ với các nhà phát triển ứng dụng. Họ cùng nhau nhúng mã và chức năng vào một ứng dụng. Quy tắc này hoạt động theo bốn nguyên tắc:

  1. Ghi nhật ký: Đây là những nguyên liệu thô – sự thật – đến từ nhiều thiết bị khác nhau, từ rìa, thông qua các điểm cuối, ứng dụng và giao diện lập trình ứng dụng (API). Đây là yếu tố chính – một trong những lý do khiến nhiều người coi khả năng quan sát là “giám sát trên steroid”.
  2. Chỉ số: Đây không chỉ là các tệp nhật ký thông thường mà một thiết bị hoặc ứng dụng tạo ra. Thông tin này bao gồm việc sử dụng CPU, bộ nhớ khả dụng (hoặc tiêu thụ) và thời gian phản hồi.
  3. Theo dõi: Đây là đường dẫn mà ứng dụng hoặc quy trình phải đi xuống để thực hiện một yêu cầu cụ thể.
  4. Trực quan: Đây là khả năng biến nhật ký, số liệu và dấu vết thành một bản tường thuật hữu ích. Mục đích là để trực quan hóa thông tin có thể hành động. Đôi khi, điều này liên quan đến việc sử dụng máy học hoặc các tính từ khác để cung cấp thêm ngữ cảnh và đưa ra các đề xuất.
Hình 5: Bốn nguyên tắc của khả năng quan sát

 

Lợi ích của khả năng quan sát

Lời hứa đằng sau hoạt động truy tìm – và khả năng quan sát nói chung – là có thể xác định nhanh hơn các cuộc tấn công đang diễn ra và mang lại nhiều bối cảnh hơn cho các chuyên gia An Ninh Mạng. Tất nhiên, nó sẽ không tự động hóa và giải quyết mọi thứ. Cũng giống như việc bạn cần một thợ máy giỏi để đọc các mã do ô tô cung cấp, chúng tôi sẽ cần các nhà phân tích An Ninh Mạng giỏi để đưa ra kết luận đúng đắn.

Bất cứ lúc nào chúng ta có thể sử dụng một công cụ – chẳng hạn như khả năng quan sát – để bổ sung thêm ngữ cảnh và thông tin chi tiết về cách các ứng dụng đang chạy, điều đó luôn đáng giá. Với khả năng quan sát, các chuyên gia An Ninh Mạng có thể tiến gần hơn đến mục tiêu phân tích dự đoán dựa trên AI và thông tin hữu ích, tương quan trước.

 

CompTIA Cybersecurity Analyst (CySA+) bao gồm giám sát và khả năng quan sát. Nhận các kỹ năng bạn cần với bản dùng thử miễn phí CertMaster Learn+ Labs cho CySA+.

Nguồn James Stanger