Liên hệ
Những thách thức trong việc vận hành thông tin tình báo về mối đe dọa

Những thách thức trong việc vận hành thông tin tình báo về mối đe dọa

  • 2:39 am

Hầu hết các đội ngũ an ninh mạng hiện nay đều phải đối mặt với một thực tế đáng lo ngại: họ thu thập quá nhiều nguồn thông tin tình báo về các mối đe dọa (threat intelligence feeds) đến mức không thể xử lý hết. Trong khi đó, những kẻ tấn công mạng vẫn liên tục giành chiến thắng.

Jawahar Sivasankaran từ Cyware đã chỉ ra nguyên nhân của tình trạng này. Ông cho rằng, ngoại trừ các tập đoàn lớn thuộc Fortune 500 và các cơ quan liên bang, nhiều tổ chức vẫn xem CTI (Cyberthreat Intelligence) như một hộp thư đến hơn là một công cụ để hành động. Họ hiểu rõ tầm quan trọng của thông tin tình báo, nhưng những công cụ cũ kỹ và sự thiếu hụt kỹ năng khiến họ phải vật lộn với ba hoặc thậm chí nhiều sản phẩm khác nhau chỉ để biến một dấu hiệu (indicator) thành một quy tắc chặn (blocking rule).

Những khó khăn này không hề xa lạ. Các công ty tầm trung thường phải dựa vào các hệ thống an ninh đã có tuổi đời từ 10 đến 15 năm và thiếu nhân sự có khả năng liên kết các tín hiệu, làm phong phú thêm ngữ cảnh và triển khai các bản cập nhật vào tường lửa hoặc các quy trình tự động SOAR. Nếu thiếu đi sự kết nối này, thông tin tình báo sẽ chỉ chất đống, trong khi các mối đe dọa thực sự vẫn lọt qua.

Trí tuệ nhân tạo (AI) đang bắt đầu hỗ trợ, nhưng không phải theo kiểu “một siêu robot có thể giải quyết mọi vấn đề”. Sivasankaran nhận thấy rằng, việc sử dụng các câu lệnh bằng ngôn ngữ tự nhiên (natural language prompts) sẽ trở thành tiêu chuẩn để tra cứu thông tin nhanh chóng (ví dụ: “Loại phần mềm độc hại này tấn công vào những lĩnh vực nào?”). Đồng thời, một phương pháp tiếp cận đa tác nhân (multi-agent approach) có thể tự động hóa các bước phản ứng lặp đi lặp lại như cách ly máy chủ, mở phiếu yêu cầu hỗ trợ, vá lỗi cấu hình dưới sự giám sát của con người.

Bối cảnh ngành nghề cũng đóng một vai trò quan trọng. Một chiến thuật gây kinh hoàng cho một ngân hàng có thể không gây ảnh hưởng đáng kể đến một nhà máy và ngược lại. Do đó, các chương trình CTI hiện nay điều chỉnh cách chấm điểm và quy trình làm việc theo từng ngành, khu vực địa lý và thậm chí cả các quy định tuân thủ. Ví dụ, tiêu chuẩn ISO 27001 phiên bản 2025 yêu cầu rõ ràng việc lập thành văn bản các quy trình thu thập và xử lý thông tin tình báo về mối đe dọa, thúc đẩy nhiều công ty phải nhanh chóng trưởng thành hơn trong lĩnh vực này.

Lời khuyên của Sivasankaran rất thẳng thắn: hãy vạch ra các tài sản quan trọng của bạn, bắt đầu với một hoặc hai nguồn cấp dữ liệu chất lượng cao và chọn một nền tảng có khả năng tổng hợp, ưu tiên và hành động dựa trên thông tin tình báo mà không đòi hỏi bạn phải có bằng tiến sĩ về viết script. Hãy thay thế tư duy “phản ứng và hối tiếc” bằng sự cảnh giác chủ động dựa trên bối cảnh thực tế. Và ông cũng không quên nhắc nhở rằng, đừng tiếp tục gia hạn các công cụ đã lỗi thời hàng thập kỷ và mong đợi những kết quả khác biệt.

Giải thích thuật ngữ:

  • Threat Intelligence (Thông tin tình báo về mối đe dọa): Là thông tin thu thập, phân tích và xử lý để hiểu rõ hơn về các mối đe dọa an ninh mạng, giúp tổ chức chủ động phòng ngừa và ứng phó.
  • Indicator (Dấu hiệu): Là các dấu hiệu cụ thể cho thấy một cuộc tấn công hoặc hoạt động đáng ngờ có thể đang diễn ra, ví dụ như địa chỉ IP độc hại, tên miền lạ, hoặc các mẫu hành vi bất thường.
  • Blocking Rule (Quy tắc chặn): Là các quy tắc được cấu hình trên các thiết bị an ninh (ví dụ: tường lửa) để ngăn chặn lưu lượng truy cập hoặc hoạt động độc hại dựa trên các dấu hiệu đã xác định.
  • SOAR (Security Orchestration, Automation and Response): Là một giải pháp cho phép tự động hóa các quy trình ứng phó sự cố an ninh mạng, giúp giảm thiểu thời gian phản ứng và nâng cao hiệu quả hoạt động.
  • Firewall (Tường lửa): Là một hệ thống bảo mật mạng có chức năng kiểm soát lưu lượng truy cập giữa các mạng, ngăn chặn các truy cập trái phép và bảo vệ hệ thống khỏi các mối đe dọa từ bên ngoài.
  • Malware (Phần mềm độc hại): Là các loại phần mềm được thiết kế để gây hại cho hệ thống máy tính, đánh cắp dữ liệu, hoặc thực hiện các hành động trái phép.
  • ISO 27001: Là một tiêu chuẩn quốc tế quy định các yêu cầu đối với hệ thống quản lý an ninh thông tin (ISMS), giúp các tổ chức bảo vệ thông tin của mình một cách toàn diện.

Chia sẻ với

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest

Bài viết liên quan

Cảnh giác với các ứng dụng giao dịch giả mạo trên Android và iOS: Chiêu trò lừa đảo “giết mổ lợn”

Những ứng dụng giao dịch giả mạo, ban đầu xuất hiện trên cả hai kho ứng dụng của Google và …

Cần cung cấp nội dung để tạo tiêu đề

Hiện tại, không có nội dung cụ thể nào được cung cấp từ trang web được chỉ định để tạo …

Không có tiêu đề

Tôi xin lỗi, nhưng trang web này dường như chỉ chứa nội dung quảng cáo và các liên kết đến …

Thông báo về việc hợp tác giữa Tible và Accuknox để triển khai giải pháp Zero Trust CNAPP

Tôi rất tiếc, tôi không thể tạo nội dung theo yêu cầu của bạn vì bài viết này dường như …