Mô hình Bảo mật NIST: Công cụ CNTT chuyên nghiệp

Tội phạm thích sự hỗn loạn. Trong lúc hỗn loạn bao trùm, những kẻ đe dọa di chuyển trong im lặng và tấn công, trích xuất và đòi tiền chuộc. Kể từ khi bắt đầu đại dịch, các tác nhân đe dọa đã tận hưởng bối cảnh hỗn loạn mà tất cả chúng ta đang phải đối phó. Trong khi đó, các chuyên gia CNTT đang bận rộn trong việc cấu hình lại và xây dựng các mạng lưới, chính sách, phương pháp thực hành, máy móc và đào tạo mới để tạo điều kiện cho lực lượng lao động phân tán trong bối cảnh mối đe dọa đang ngày càng mỏng đi. Khi tình hình về mối đe dọa này biến mất, các mạng lưới và hệ thống sẽ bị phá vỡ hoặc được củng cố.

Không quá khó để tội phạm mạng tìm kiếm lỗ hổng trong cơ sở hạ tầng CNTT. Nhiều tổ chức CNTT thất bại trong việc thực thi phương pháp hay nhất cơ bản như cập nhật chương trình cơ sở trên tường lửa và bộ định tuyến, chưa nói đến việc cung cấp đào tạo các phương pháp hay nhất về kỹ thuật xã hội và bảo mật CNTT cho nhân viên của họ.

Mô hình Bảo mật của Viện Công nghệ và Tiêu chuẩn Quốc gia (NIST) cung cấp một điểm khởi đầu cho các chuyên gia CNTT muốn tăng cường sự an toàn của họ. Với 5 chức năng cốt lõi, cung cấp một cái nhìn chiến lược về vòng đời của việc quản lý rủi ro an ninh mạng trong một tổ chức và nên được coi như một điểm tham chiếu chính.

Hãy cùng tìm hiểu từng chức năng trong 5 chức năng và phác thảo xem những loại công cụ nào có thể được thêm vào kho vũ khí của An toàn Thông tin (InfoSec) hoặc các chuyên gia CNTT để bảo vệ bản thân cũng như tổ chức của họ nhé.

 

#1 Xác định

Trước khi có thể hành động, bạn phải biết mình đang đối đầu với điều gì. Để tuân thủ chức năng này, mỗi tổ chức cần có tầm nhìn toàn diện về cả tài sản kỹ thuât số lẫn tài sản vật lý của họ thông qua việc thăm dò. Tầm nhìn này dẫn đến việc hiểu được các rủi ro và mức độ rủi ro hiện tại, từ đó dẫn đến việc đưa ra các biện pháp để quản lý chúng một cách hợp lý.

Có một số kỹ thuật mà chuyên gia CNTT có thể sử dụng để làm việc này:

  • Giải pháp Khám phá Tài sản
  • Đánh giá Rủi ro và Đánh giá An ninh
  • Giải pháp Quản lý Lỗ hổng
  • Kiểm tra Xâm nhập

Ưu điểm của việc sử dụng Giải pháp Khám phá Tài sản

Tầm nhìn là một yếu tố quan trọng của bất kỳ hành vi bảo mật CNTT nào – nếu bạn không thể thấy những gì đang xảy ra, bạn sẽ bị lãng quên. Các Giải pháp Khám phá Tài sản cung cấp một bản kiểm kê đầy đủ và chính xác về các nội dung CNTT của bạn, bất kể chúng được lưu trữ trên đám mây hay được đặt tại chỗ. Nó giống như có một tấm kính (hoặc bảng điều khiển) để xem tất cả các tài sản trong toàn cảnh mối đe dọa. Sử dụng phương pháp này, bạn có thể xem các chính sách cho mỗi nội dung, phiên bản chương trình cơ sở, các hành động của người dùng làm suy yếu cấu hình bảo mật và hơn thế nữa. Nếu một vi phạm được phân biệt với một hệ điều hành, thư mục hoặc nhà sản xuất cụ thể, bạn có thể dễ dàng tra cứu tất cả các nội dung này và biết khi nào và ở đâu để xử lý hiệu quả.

Ưu điểm của việc sử dụng Đánh giá Rủi ro và Đánh giá Bảo mật

Bất kể thế trận an ninh hiện tại của bạn yếu hay mạnh đến mức nào, sẽ có những lỗ hổng. Đánh giá Bảo mật được thiết kế để giúp xác định các lỗ hổng để có thể thực hiện điều gì đó về chúng trước khi chúng trở thành vấn đề. Cần lưu ý rằng phương pháp hay nhất ở đây là sử dụng kết hợp các nhà cung cấp để tiến hành đánh giá bảo mật của bạn. Các nhà cung cấp khác nhau xem xét các cơ sở dữ liệu khác nhau và cũng có thế mạnh thực hành của riêng họ về biện pháp khắc phục mà họ có thể cung cấp trong nhà so với bên ngoài. Như bạn có thể tưởng tượng, họ sẽ tập trung nhiều hơn vào những gì họ có thể tự khắc phục sau khi đánh giá. Điều đó cho thấy rằng, điều quan trọng là phải thực hiện đa dạng từ các công ty bảo mật khác nhau một vài lần một năm (hoặc nhiều hơn tùy thuộc vào yêu cầu tuân thủ của bạn).

Ưu điểm của việc sử dụng các giải pháp Quản lý Lỗ hổng Bảo mật

Các giải pháp này tìm kiếm các cấu hình hệ thống không an toàn, chẳng hạn như hai hệ thống giao tiếp với nhau khi không có nhu cầu trực tiếp thực sự. Một ví dụ khác là quản lý lỗ hổng – các giải pháp này sẽ cảnh báo bạn khi tín hiệu đã lỗi thời. Hãy nhớ rằng các công cụ này thực sự chỉ quét, vì vậy vẫn phải có một chuyên gia InfoSec thực sự tham gia và thực hiện tất cả các thay đổi do nhà cung cấp giải pháp quản lý lỗ hổng đề xuất.

Ưu điểm của việc Sử dụng các Bài Kiểm tra Xâm nhập

Một Hacker Mũ Trắng xâm nhập vào hệ thống của bạn và cung cấp một báo cáo chi tiết về nơi chúng đã xâm nhập, chúng đã đi được bao xa và loại dữ liệu thụ động nào thu thập được phần mềm độc hại mà chúng sẽ gieo nếu chúng là một tin tặc mũ đen thực sự. Một lần nữa, điều quan trọng là phải xoay chuyển các hacker với phương pháp này. Mỗi hacker đều có những kỹ thuật và chuyên môn riêng của họ, và bạn muốn đảm bảo rằng bạn đang tiếp xúc với sự đa dạng của suy nghĩ.

 

#2 Bảo vệ

Nếu bước một về bản chất là do thám, thì bước hai là nơi hành động xảy ra. Một khi tổ chức của bạn biết các rủi ro và lỗ hổng bảo mật của nó nằm ở đâu, đã đến lúc thực hiện các biện pháp bảo vệ thích hợp để ngăn chặn hoặc hạn chế tác động của một cuộc tấn công mạng.

Bảo vệ tài sản không phải là một công việc duy nhất. Có nhiều góc độ cần xem xét, cụ thể là:

  • Bảo vệ Điểm cuối
  • Email/ Lọc thư rác
  • Nhận thức Người dùng cuối và Tấn công Giả mạo
  • Truy cập Mô hình Bảo mật từ xa Zero Trust
  • Quản lý Hệ thống Phát hiện và Ngăn chặn Xâm nhập

Thực hiện Bảo vệ Điểm cuối

Nói một cách đơn giản, bảo vệ điểm cuối là bảo vệ chống vi-rút và phần mềm độc hại. Đây có lẽ là giải pháp an ninh mạng phổ biến nhất được tìm thấy trong hầu hết các cửa hàng CNTT. Tuy nhiên, nó không phải là một viên đạn bạc. Đó là một giải pháp phản ứng bị giới hạn bởi tính toàn vẹn của cơ sở dữ liệu mà nó lấy từ đó. Nó cũng không đưa ra kế hoạch nếu hoặc khi vi phạm xảy ra.

Triển khai Email và Lọc thư rác

Email và các dịch vụ lọc thư rác thường được ghép nối với một tường lửa. Thực tiễn tốt nhất vào năm 2021 là có một tường lửa được lưu trữ để cho phép khả năng mở rộng cao hơn và quản lý thay đổi trong nền tảng khi tổ chức của bạn thay đổi.

Triển khai Đào tạo Nâng cao Nhận thức Người dùng cuối và Tấn công Giả mạo

Đào tạo người dùng cuối là khoản đầu tư quan trọng nhất mà tổ chức có thể thực hiện. Kỹ thuật xã hội và các mưu đồ lừa đảo chiếm phần lớn các vụ vi phạm trong đại dịch. Khi bạn kết hợp một người dùng cuối không được đào tạo và không thể giải mã email độc hại trông như thế nào với bề mặt tấn công rộng lớn, bạn có một công thức cho thảm họa.

Triển khai Mô hình Bảo mật từ xa Zero Trust

Đây là một trong những nền tảng sáng tạo và thú vị nhất là một phần của NIST. Giá trị của không tin cậy là các giao thức, quy định và đặc quyền truy cập sẽ thay đổi dựa trên vị trí của điểm cuối và ai đang truy cập nó. Cùng một cá nhân sẽ có các đặc quyền truy cập khác nhau trên mạng gia đình, mạng công ty hoặc Wi-Fi công cộng của họ. Các chính sách này giúp buộc nhân viên vào cơ sở hạ tầng được mã hóa để truy cập vào các hệ thống hoặc thư mục nhất định. Các proxy dựa trên đám mây quy định vị trí và liệu người dùng có được phép đến những địa điểm nhất định hay không.

Triển khai Quản lý Hệ thống Phát hiện và Ngăn chặn Xâm nhập

Hệ thống phát hiện xâm nhập (IDS) giám sát lưu lượng mạng của bạn và cảnh báo cho bạn khi có điều gì đó tín hiệu giống như một cuộc tấn công. Hệ thống ngăn chặn xâm nhập (IPS) cũng làm điều tương tự trong khi phân loại lưu lượng. IPS tạm dừng lưu lượng truy cập cho đến khi bất kỳ ai đang quản lý IPS đi vào và mở nó trở lại. Cách tiếp cận phản ứng này là tuyệt vời, nhưng nó có các nhận định sai có thể ảnh hưởng đến người dùng truy cập hệ thống.

 

#3 Phát hiện

Mặc dù đã cố gắng hết sức, các cuộc tấn công mạng ở một mức độ nào đó sắp xảy ra. Khi chúng xảy ra, tổ chức của bạn phản hồi nhanh như thế nào là rất quan trọng. Điều này có nghĩa là phải theo dõi liên tục và săn lùng mối đe dọa là điều đương nhiên.

Có một vài phương pháp đã thử và chính xác của giám sát các mối đe dọa:

  • Quản lý Phát hiện và Ứng phó (MDR)
  • Quản lý Trung tâm Điều hành Bảo mật như một Dịch vụ (SOCaaS)
  • Dịch vụ Truy cập An toàn Edge (SASE)

Triển khai Quản lý Phát hiện và Ứng phó (MDR)

MDR là một dịch vụ bảo mật thuê ngoài bao gồm một nhóm phản ứng chiến thuật để truy lùng và vô hiệu hóa các mối đe dọa. Một điều cần lưu ý ở đây là rất nhiều nhà cung cấp tự động hóa quy trình này thay vì nhờ các chuyên gia nhạy bén vào cuộc và xử lý vi phạm. Sự kết hợp của cả hai cách tiếp cận là lý tưởng. Yếu tố quan trọng ở đây là khả năng theo ngữ cảnh để tiếp nhận mối đe dọa và quyết định trong thời gian thực loại phản ứng thúc đẩy nào là cần thiết – biết hệ thống và người dùng nào cần được cô lập, khóa hoặc theo dõi chứ không phải là thứ có thể “thiết lập và quên đi”. MDR thường cũng liên quan đến phát hiện và phản hồi điểm cuối (EDR). Rốt cuộc, điểm kết thúc là điểm bắt đầu cho các vi phạm.

Triển khai Trung tâm Điều hành Bảo mật được Quản lý như một Dịch vụ (SOCaaS)

SOC với tư cách là một dịch vụ tăng cường có thể phù hợp nhất cho một tổ chức thích tập trung vào hoạt động kinh doanh cốt lõi của họ thay vì xây dựng một nhóm bảo mật nội bộ. Một liên lạc viên trong tổ chức có thể dẫn dắt nhóm Managed SOCaaS đến các kết quả ứng phó sự cố phù hợp với các mục tiêu kinh doanh. Cách tiếp cận này cho phép các tổ chức quy mô trung bình một mô hình phản hồi bảo mật “theo mặt trời” khi họ được phủ sóng 24/7.

Triển khai Dịch vụ Truy cập An toàn Edge (SASE)

SASE là viết tắt của Dịch vụ Truy cập An toàn (Secure Access Service Edge). Đây là một phương pháp luận hơn là một giao thức hoặc ngôn ngữ phân phối. SASE sử dụng phương pháp không tin cậy và đưa nó lên cấp độ tiếp theo. Mạng diện rộng do phần mềm xác định (SDWAN), tường lửa như một dịch vụ (FWaaS), nhà môi giới dịch vụ truy cập đám mây (CASB) và cổng web an toàn (SWG) đều là những dịch vụ được bao gồm trong dịch vụ SASE. SASE cung cấp cho các tổ chức một cây quyết định thời gian thực theo ngữ cảnh và thông minh về các giao thức bảo mật và các hành động cần thực hiện. Vì đây là một cách tiếp cận và không phải là một chiếc hộp trên kệ, nên việc bóc mở sẽ khó hơn khi cuộc tấn công bắt đầu.

 

#4 Ứng phó

Nếu một cuộc tấn công mạng xảy ra, bạn xử lý tác động như thế nào mới là vấn đề quan trọng. Để tuân thủ, bạn phải có một kế hoạch ứng phó sự cố xác định rõ ràng giao tiếp giữa các bên liên quan cụ thể, thu thập và phân tích thông tin về cuộc tấn công, làm việc để loại bỏ mối đe dọa và sau đó rút ra các bài học kinh nghiệm.

Các tổ chức nên có các biện pháp sau đây, đề phòng trường hợp:

  • Nhóm Ứng phó Sự cố
  • Tiền Điện tử

Tạo nhóm ứng phó sự cố

Các nhóm ứng phó sự cố thường liên quan nhiều hơn một chút so với mô hình SOC 24/7 “làm theo mặt trời” ở chỗ họ cung cấp các dịch vụ hỗ trợ cho nhóm. Các chuyên gia này sẽ tự triển khai vào môi trường mạng của bạn để tiến hành một cuộc điều tra pháp lý chu đáo giữa sự cố ransomware (vi-rút mã hóa). Các nhóm ứng phó sự cố có thể huấn luyện bạn và nhóm của bạn thông qua vi phạm liên quan đến quan hệ báo chí, thương lượng ransomware cũng như công việc thám tử bẩn.

Tạo một Ví tiền Điện tử

Đôi khi các giám đốc điều hành bật cười khi tôi nói điều này, nhưng tôi tin rằng tất cả các doanh nghiệp có tài sản CNTT phức tạp cần phải làm quen với tiền điện tử. Một thiết lập cơ bản sẽ liên quan đến việc tạo một ví tiền điện tử và có trong tay một lượng nhỏ Bitcoin (BTC) hoặc Etherium (ETH). Trong trường hợp vi phạm, nếu bạn đã có ví tiền điện tử, bạn sẽ có thể tập trung vào tài sản CNTT của mình thay vì tìm cách tạo ví tiền điện tử kỹ thuật số. Mỗi giây đều tính. Hãy coi đây là ví thắt lưng của bạn khi bạn đi du lịch nước ngoài. Bạn không muốn rơi vào một tình huống tồi tệ thậm chí còn tồi tệ hơn do bạn thiếu sự chuẩn bị.

 

#5 Phục hồi

Sau chấn thương, con người cần hồi phục. Tình trạng an ninh của bạn cũng cần được chăm sóc và chú ý giống vậy. Kế hoạch khôi phục của bạn rõ ràng phải bao gồm các hoạt động khôi phục, nhưng cũng cần bao gồm các cập nhật thông qua các bài học kinh nghiệm.

Bao gồm các phương pháp hay nhất này trong kế hoạch phục hồi của bạn:

  • Đánh giá Kế hoạch Ứng phó Sự cố
  • Hoạt động Đánh giá Hồi phục liên tục sau thảm họa trong kinh doanh
  • Bảo hiểm Kỹ thuật số

Đánh giá Kế hoạch Ứng phó Sự cố

Lý tưởng nhất là xây dựng một kế hoạch ứng phó sự cố là việc cần làm ngay khi bắt đầu hành trình bảo vệ an ninh mạng của bạn. Nhưng trong giai đoạn này của khuôn khổ NIST, bạn sẽ thực sự đưa kế hoạch đó vào hoạt động. Bạn có thể tìm thấy các bảng định hướng cho loại kế hoạch này trực tuyến, nhưng hãy đảm bảo rằng bạn đang xã hội hóa nó và tùy chỉnh nó với các nhà lãnh đạo doanh nghiệp khác nhau trong tổ chức của bạn.

Đánh giá phục hồi liên tục sau thảm họa trong kinh doanh

Dịch vụ CNTT chỉ là một thành phần của kế hoạch phục hồi sau thảm họa và tính liên tục của doanh nghiệp. Điều này được liệt kê tách biệt với ứng phó sự cố đơn giản vì có nhiều khía cạnh để khôi phục hơn là khởi động và chạy hệ thống CNTT. Tương tự như kế hoạch ứng phó sự cố, đây là thứ nên được tạo sớm hơn trong quá trình này nhưng sẽ không thực sự được giải quyết cho đến khi có một số thời điểm để thở và tiến hành khám nghiệm liên quan đến vụ tấn công.

Bảo hiểm Kỹ thuật số

Bảo hiểm Kỹ thuật số không phải là điều cần thiết cho tất cả các ngành, nhưng chắc chắn nó là thứ bạn nên xem xét bất kể yêu cầu tuân thủ hoặc quy mô kinh doanh của bạn. Việc có bảo hiểm này có thể làm dịu đi cú đánh tài chính của việc khôi phục sau vi phạm, vì bạn có thể phải mở rộng băng ghế dự bị của mình cho các công ty bên ngoài, thay thế công nghệ hoặc xây dựng một môi trường mới được phân khúc từ đầu do kết quả điều tra của bạn.

Khung NIST là một khung hữu ích, nhưng nó thiếu chi tiết cần thiết để hướng một chuyên gia CNTT đến các loại dịch vụ và giải pháp mà họ nên đầu tư để hoàn thành vòng kết nối. Hy vọng rằng phần giải thích chi tiết hơn này đã cung cấp cho bạn một số góc nhìn về những loại công cụ mà bạn có thể bắt đầu nghiên cứu sơ bộ để mang lại một thế trận an toàn hơn cho tổ chức của mình. Bạn có thể tìm hiểu những kỹ năng này và nhiều hơn nữa về Khung An ninh Mạng NIST trong Lộ trình Nghề nghiệp về Bảo mật Không gian Mạng CompTIA.

 

Nguồn: Dave Landsberger