Liên hệ
Cái giá đắt đỏ của những cảnh báo vô dụng: Tại sao SIEM không còn hợp lý

Cái giá đắt đỏ của những cảnh báo vô dụng: Tại sao SIEM không còn hợp lý

  • 7:46 chiều

Cái giá đắt đỏ của những cảnh báo vô dụng: Tại sao SIEM không còn hợp lý

Trong khoảng mười năm trở lại đây, SIEM (Security Information and Event Management) dần trở nên giống một người bạn hứa sẽ giúp bạn chuyển nhà, nhưng lại đến muộn, ăn hết pizza của bạn và vẫn đòi tiền xăng.

Chúng vốn được kỳ vọng sẽ mang lại khả năng hiển thị tập trung và điều tra nhanh hơn. Thay vào đó, hầu hết các đội SOC (Security Operations Center) lại phải đối mặt với vô số cảnh báo, hóa đơn kếch xù và các bảng điều khiển trông ấn tượng trên màn hình lớn nhưng lại không thực sự ngăn chặn được kẻ tấn công.

Vậy, tại sao chúng ta lại rơi vào tình cảnh này?

Một chút hồi ức: Khi SIEM còn hữu dụng

Vào thời điểm tường lửa vẫn còn là một khái niệm mới mẻ, SIEM đã giải quyết một vấn đề thực tế: nhật ký (log) nằm rải rác khắp nơi, các kiểm toán viên (auditor) luôn thúc ép và không có cách nào để trả lời câu hỏi “ai đã đăng nhập vào đâu, khi nào?”

Sau đó, kỷ nguyên “thế hệ tiếp theo” xuất hiện. Các nhà cung cấp hứa hẹn khả năng phát hiện thông minh hơn, tương quan (correlation) trên toàn bộ hệ thống và thậm chí cả một chút thông tin tình báo về mối đe dọa (threat intel). Lời hứa là ít dương tính giả (false positive) hơn và phản ứng nhanh hơn.

Nhưng thay vì làm giảm tiếng ồn, SIEM thế hệ mới lại khuếch đại nó. Giống như việc bạn vặn to âm lượng của một chiếc radio bị hỏng và gọi đó là một buổi hòa nhạc.

Điều gì đã đi chệch hướng?

Giá cả được thiết kế để gây đau đớn

SIEM thường tính phí dựa trên khối lượng dữ liệu thô. Điều đó có nghĩa là khả năng hiển thị càng rộng, ngân sách của bạn càng hao hụt. Nhiều nhà lãnh đạo an ninh phải vật lộn với tình huống khó xử này: “Chúng ta nên thu thập nhật ký DNS hay chỉ trả tiền thuê nhà tháng này?”

Các nhà cung cấp hưởng lợi khi khối lượng thu thập tăng lên, thúc đẩy ý tưởng rằng càng nhiều nhật ký = càng nhiều bảo mật. Trên thực tế, bạn chỉ đang trả tiền cho nhiều “rơm trong đống cỏ khô” hơn mà thôi. ESG nhận thấy rằng 65% các nhà lãnh đạo an ninh đã giảm lượng nhật ký thu thập vì áp lực chi phí – làm suy yếu khả năng hiển thị trong khi vẫn chi tiêu quá mức.

Các quy tắc tương quan không tồn tại lâu

Các quy tắc tương quan từng được xem là một bước đột phá để hiểu các nhật ký khác nhau.

Nhưng không giống như rượu vang hoặc rượu whisky, chúng nhanh chóng lỗi thời. Các kỹ thuật tấn công phát triển hàng ngày, nhưng thư viện quy tắc thường được cập nhật vài tuần hoặc vài tháng sau đó, tạo ra một khoảng trống liên tục. Những gì bắt đầu như một cơ chế phát hiện đầy hứa hẹn sẽ trở thành một nguồn gây ồn ào khi các quy tắc lỗi thời tạo ra vô số cảnh báo giá trị thấp, áp đảo các nhà phân tích thay vì hướng dẫn họ.

Hãy xem xét một ví dụ điển hình: các quy tắc kích hoạt khi đăng nhập từ các khu vực địa lý bất thường. Một thập kỷ trước, một lần đăng nhập bất ngờ từ nước ngoài có thể là một dấu hiệu mạnh mẽ của sự xâm nhập. Ngày nay, với làm việc từ xa, cơ sở hạ tầng dựa trên đám mây và nhân viên liên tục đi du lịch hoặc kết nối thông qua VPN tiêu dùng, những cảnh báo đó liên tục kích hoạt trên các hoạt động hợp pháp. Những gì từng là một tín hiệu có độ trung thực cao giờ chỉ là một luồng tiếng ồn nền khác.

Mệt mỏi vì cảnh báo ở quy mô lớn

Nghiên cứu của Ponemon cho thấy rằng 25% thời gian của nhà phân tích bị lãng phí để đuổi theo các dương tính giả – thời gian lẽ ra nên được dành để điều tra các mối đe dọa thực sự. Nghiên cứu Hiệu quả SOC của Security Boulevard năm 2024 báo cáo rằng gần một phần ba số cảnh báo là dương tính giả, trong khi phần còn lại thường là bản sao hoặc tiếng ồn dư thừa. Và Verizon DBIR năm 2024 đưa ra một góc nhìn khác: trong 74% các vụ xâm phạm, cảnh báo đã được tạo ra nhưng bị bỏ qua – thường là do các nhà phân tích bị quá tải về số lượng.

Bức tranh rất nhất quán: các nhà phân tích bị chôn vùi dưới hàng nghìn cảnh báo mỗi ngày và vấn đề tín hiệu trên tạp âm đang làm cạn kiệt hiệu quả và tinh thần làm việc.

Không có câu trả lời hữu ích

SIEM vượt trội trong việc kích hoạt và hiển thị cảnh báo, nhưng không phải trong việc cung cấp lý do tại sao hoặc bước tiếp theo là gì. Các nhà phân tích chỉ còn lại một ánh đèn đỏ nhấp nháy và hầu như không có gì khác. Nghiên cứu của ESG cho thấy SOC trung bình sử dụng hơn 20 công cụ để hoàn thành một cuộc điều tra, bởi vì SIEM không thể kết nối các điểm – một trường hợp điển hình của “bảo mật ghế xoay”. Thay vì một quy trình làm việc tập trung và hợp lý, các nhóm bị buộc phải thực hiện các trục thời gian để thu thập đủ bối cảnh để quyết định tính độc hại của cảnh báo.

Thiệt hại về con người

Nếu bạn hỏi bất kỳ nhà phân tích SOC nào, bạn sẽ thường nghe thấy những lời than thở quen thuộc:

  • Đóng hàng loạt vé chỉ để giữ cho đầu mình không bị chìm.
  • Dành nhiều thời gian hơn để trông nom các quy tắc tương quan hơn là điều tra và ngăn chặn các mối đe dọa thực sự.
  • Chứng kiến hóa đơn SIEM tăng lên trong khi các số liệu an ninh quan trọng như MTTD (Mean Time To Detect) và MTTR (Mean Time To Resolve) vẫn không thay đổi.

Không có gì ngạc nhiên khi tình trạng kiệt sức của SOC đang ở mức cao nhất mọi thời đại. Nhiều nghiên cứu cho thấy rằng hơn 70% các nhà phân tích báo cáo mức độ căng thẳng cao và không hài lòng với công việc và thời gian làm việc trung bình cho một vai trò nhà phân tích SOC hiện nay là dưới hai năm. Nguồn cung nhân tài cũng không theo kịp. Đơn giản là không có đủ các chuyên gia có kinh nghiệm để lấp đầy các vị trí đang bị bỏ trống.

Một công ty Fortune 500 mà chúng tôi đã làm việc cùng đã chi hàng triệu đô la mỗi năm cho việc thu thập SIEM. Đoán xem điều gì đã gây ra vụ xâm phạm của họ? Một cảnh báo đã tắt nhưng bị bỏ qua, bị chôn vùi dưới 5.000 dương tính giả hàng ngày.

Bạn đã bao giờ nghe ai đó nói, “Tôi yêu SIEM của mình” chưa? Chắc chắn là chưa rồi. (:

Sự kết thúc của kỷ nguyên SIEM

Không, chúng sẽ không biến mất vào ngày mai. Chúng sẽ tồn tại như các công cụ tuân thủ và kho lưu trữ nhật ký quá lớn, nhưng vai trò của chúng trong việc thúc đẩy các kết quả an ninh hàng ngày đang nhanh chóng phai nhạt.

Trái tim đang đập của SOC? Những ngày đó rõ ràng đã qua. SIEM hiện nay:

  • Ưu tiên tuân thủ, thứ hai là an ninh.
  • Chậm chạp ở những nơi cần tốc độ.
  • Có động cơ tài chính để tăng khối lượng công việc của bạn, không phải giảm nó.

Nhiều SOC coi chúng như chiếc máy in khó tính ở góc văn phòng. Nó vẫn hoạt động, nhưng không ai tin tưởng nó cho các nhiệm vụ quan trọng.

Dữ liệu kể câu chuyện

Sự thay đổi không chỉ là giai thoại – nghiên cứu chứng minh điều đó.

Một hệ thống phân loại hiện đại đã cắt giảm cảnh báo tới 61% trong khi vẫn giữ âm tính giả ở mức chỉ 1,36%, cho thấy rằng tự động hóa thông minh hơn có thể giảm tiếng ồn mà không bỏ lỡ các mối đe dọa thực sự. Các nhà nghiên cứu Oxford nhấn mạnh rằng hầu hết các cảnh báo là vô hại và cần bối cảnh phong phú hơn. Khuyến nghị của họ: thiết kế các báo động Đáng tin cậy, Có thể giải thích, Phân tích, Theo ngữ cảnh và Có thể chuyển giao (REACT) để xây dựng lòng tin và giảm mệt mỏi.

Các yếu tố kinh tế cũng rõ ràng không kém. Ponemon báo cáo rằng SOC doanh nghiệp trung bình hiện có chi phí 5,3 triệu đô la hàng năm, tăng 20% trong một năm, nhưng chỉ một nửa số nhóm coi kỹ thuật của họ là hiệu quả. 85% các nhà phân tích mô tả công việc SOC là đau đớn hoặc rất đau đớn, nhấn mạnh rằng ngân sách tiếp tục tăng trong khi tinh thần tiếp tục giảm. SIEM thường là mục hàng lớn nhất, nhưng liên tục mang lại giá trị ít nhất trong hệ thống.

Và sự phức tạp làm tăng thêm sự xúc phạm. Ponemon nhận thấy rằng 75% TCO (Tổng chi phí sở hữu) của SIEM dành cho bảo trì, không phải cấp phép, trong khi gần một nửa số người dùng không hài lòng với thông tin tình báo mà họ nhận được từ nó. Một con số đáng kinh ngạc 78% nói rằng cần nỗ lực đáng kể để cấu hình hiệu quả – khiến nó trở thành một trong những công cụ tiêu tốn nhiều tài nguyên nhất trong SOC.

Nếu SIEM và SOAR không hoạt động, thì bước tiếp theo là gì?

Các khối xây dựng cho hoạt động an ninh hiện đại đã có ở đây. Các công nghệ gốc đám mây (Cloud-native) để thu thập, lưu trữ và truy vấn dữ liệu an ninh hiện có sẵn rộng rãi và không còn là miền độc quyền của các nhà cung cấp SIEM. Điều đó có nghĩa là SOC không còn phải chấp nhận các ràng buộc, chi phí và khóa chặt của các nền tảng truyền thống.

Một mô hình khác đang nổi lên, một mô hình nhẹ hơn, nhanh hơn và mô-đun:

  • Quản lý nhật ký có thể mở rộng, giá cả phải chăng: Nền tảng dữ liệu gốc đám mây cho phép các nhóm thu thập và lưu trữ mọi thứ mà không phải trả giá đắt. Nhật ký nằm trong kho lưu trữ đám mây linh hoạt, chi phí thấp thay vì các kho tiền của nhà cung cấp quá đắt, mang lại cho các tổ chức cả quy mô và quyền sở hữu dữ liệu của họ với chi phí thấp hơn tới 80%. Các nhà cung cấp tập trung vào khách hàng nhất tiến thêm một bước, cho phép các nhóm tận dụng cơ sở hạ tầng của riêng họ để mở khóa mức tiết kiệm và kiểm soát lớn hơn nữa.
  • Phân loại và điều tra tự động: Các nhà phân tích SOC AI đại diện lọc ra các dương tính giả, làm phong phú thêm bối cảnh và chỉ hiển thị các mối đe dọa thực sự – mà không cần kỹ thuật sách lược phức tạp. Thay vì chết đuối trong tiếng ồn, các nhà phân tích có thể tập trung thời gian của họ vào các sự cố có giá trị cao.
  • Quy trình phản hồi tích hợp Sau khi cảnh báo được xác thực là độc hại, quy trình làm việc hợp lý và tự động hóa cho phép các sự cố được giải quyết trong vài phút, không phải vài giờ – giảm thời gian dừng và làm cho SOC chủ động hơn.

SOC của tương lai sẽ ít giống một nhà máy sản xuất vé hơn và giống một hoạt động tập trung, hiệu quả, theo kịp những kẻ tấn công đồng thời giữ cho các nhà phân tích tỉnh táo.

Về Radiant: Cách làm SOC mới

Radiant được thành lập để phá vỡ chu kỳ quá tải cảnh báo và các công cụ không hiệu quả.

Các nhà phân tích SOC AI đại diện của nó phân loại 100% cảnh báo từ bất kỳ nguồn nào, tự động đóng các dương tính giả và chỉ leo thang các mối đe dọa thực sự thành các sự cố, không cần đào tạo trước. Mỗi sự cố bao gồm một báo cáo điều tra chi tiết với đầy đủ bối cảnh và lý luận AI, cũng như một kế hoạch khắc phục một cú nhấp chuột để phản hồi nhanh hơn với các mối đe dọa. Quản lý nhật ký tích hợp cung cấp khả năng thu thập không giới hạn và tìm kiếm cực nhanh trong đám mây của khách hàng, loại bỏ gánh nặng kinh tế và khóa chặt của SIEM truyền thống.

Xem video giải thích ngắn gọn hoặc đặt bản demo ngay hôm nay để tìm hiểu thêm về chúng tôi.

Shahar Ben-Hador — CEO và Đồng sáng lập tại Radiant Security

Bạn thấy bài viết này thú vị? Bài viết này là một phần đóng góp từ một trong những đối tác quý của chúng tôi. Theo dõi chúng tôi trên Twitter và LinkedIn để đọc thêm nội dung độc quyền mà chúng tôi đăng.

Giải thích thuật ngữ

  • SIEM (Security Information and Event Management): Hệ thống quản lý thông tin và sự kiện bảo mật, giúp thu thập và phân tích dữ liệu từ nhiều nguồn khác nhau để phát hiện các mối đe dọa bảo mật.
  • SOC (Security Operations Center): Trung tâm điều hành an ninh mạng, nơi các chuyên gia giám sát, phân tích và phản ứng với các sự cố bảo mật.
  • Log (Nhật ký): Bản ghi các sự kiện xảy ra trong hệ thống máy tính hoặc mạng, được sử dụng để theo dõi hoạt động và phát hiện các vấn đề.
  • Auditor (Kiểm toán viên): Người thực hiện kiểm tra hệ thống và quy trình để đảm bảo tuân thủ các tiêu chuẩn và quy định.
  • Correlation (Tương quan): Quá trình liên kết các sự kiện hoặc dữ liệu khác nhau để tìm ra mối quan hệ và hiểu rõ hơn về tình hình.
  • Threat Intel (Thông tin tình báo về mối đe dọa): Thông tin về các mối đe dọa bảo mật tiềm ẩn, được sử dụng để phòng ngừa và ứng phó.
  • False Positive (Dương tính giả): Cảnh báo sai, khi hệ thống báo động về một mối đe dọa nhưng thực tế không có.
  • DNS (Domain Name System): Hệ thống phân giải tên miền thành địa chỉ IP, giúp người dùng truy cập website dễ dàng hơn.
  • VPN (Virtual Private Network): Mạng riêng ảo, tạo kết nối an toàn giữa thiết bị của người dùng và internet.
  • MTTD (Mean Time To Detect): Thời gian trung bình để phát hiện ra một sự cố bảo mật.
  • MTTR (Mean Time To Resolve): Thời gian trung bình để giải quyết một sự cố bảo mật.
  • Cloud-native (Gốc đám mây): Các ứng dụng và dịch vụ được thiết kế để tận dụng tối đa các lợi ích của điện toán đám mây.
  • TCO (Total Cost of Ownership): Tổng chi phí sở hữu, bao gồm tất cả các chi phí liên quan đến việc mua, sử dụng và bảo trì một sản phẩm hoặc dịch vụ.
  • SOAR (Security Orchestration, Automation and Response): Giải pháp điều phối, tự động hóa và phản ứng an ninh, giúp tự động hóa các tác vụ và quy trình bảo mật.

Chia sẻ với

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest

Bài viết liên quan

Trung Tâm Tin Cậy và AI Thay Thế Bảng Hỏi An Ninh, Thúc Đẩy Bán Hàng B2B

Trong những tuần cuối cùng của một quý kinh doanh, có một điều kỳ lạ thường xảy ra. Dù các …

Công cụ mạnh mẽ để bảo vệ danh tính phi con người

Các tổ chức đang ngày càng chú trọng việc tăng cường khả năng phòng thủ trước các mối đe dọa …

Sendmarc Bổ Nhiệm Rob Bowker Thúc Đẩy DMARC tại Bắc Mỹ

Sendmarc vừa công bố Rob Bowker sẽ đảm nhận vị trí lãnh đạo khu vực Bắc Mỹ, mở ra một …

6 Bí quyết vàng để bảo vệ an ninh vật lý theo chuẩn CMMC

6 Bí quyết vàng để bảo vệ an ninh vật lý theo chuẩn CMMC Chữ C đầu tiên trong CMMC là …