Now Reading: Sau một cuộc tấn công, doanh nghiệp cần biết điều gì?

Loading
svg
Open

Sau một cuộc tấn công, doanh nghiệp cần biết điều gì?

09/07/202613 min read

Trong những năm gần đây, các chương trình Detection & Response đã phát triển đáng kể. EDR, XDR, SIEM hay MDR giúp các tổ chức phát hiện sớm hơn các dấu hiệu tấn công, rút ngắn thời gian điều tra và cải thiện khả năng ứng phó sự cố. So với một thập kỷ trước, doanh nghiệp ngày nay có nhiều khả năng quan sát hơn đối với endpoint, network và identity.

Tuy nhiên, khi chuyển từ giai đoạn xử lý kỹ thuật sang đánh giá tác động của sự cố, một câu hỏi khác lại trở nên quan trọng hơn:

Liệu dữ liệu của doanh nghiệp có bị xâm phạm hay không?

Đây không chỉ là câu hỏi của đội SOC. Ban điều hành cần biết để đánh giá rủi ro kinh doanh, bộ phận pháp chế cần biết để xác định nghĩa vụ thông báo vi phạm dữ liệu, còn CISO cần biết để quyết định phạm vi điều tra và các biện pháp khắc phục tiếp theo.

Điều đáng chú ý là đây cũng là câu hỏi khó trả lời nhất trong nhiều cuộc điều tra sự cố.

Chúng ta đang quan sát rất tốt hạ tầng, nhưng chưa chắc đã quan sát được dữ liệu

Hầu hết các giải pháp Detection & Response hiện nay được thiết kế để theo dõi hành vi của attacker trên các lớp hạ tầng công nghệ thông tin.

Một hệ thống EDR có thể phát hiện tiến trình bất thường trên endpoint. Một nền tảng XDR có thể liên kết các sự kiện từ endpoint, email và identity. MDR giúp doanh nghiệp có đội ngũ chuyên gia giám sát và điều tra sự cố 24/7.

Những năng lực này rất quan trọng vì chúng trả lời được các câu hỏi như:

  • Attacker đã xâm nhập bằng cách nào?
  • Thiết bị hoặc tài khoản nào bị compromise?
  • Kỹ thuật nào đã được sử dụng?
  • Cuộc tấn công đã diễn ra trong bao lâu?

Tuy nhiên, khi chuyển sang đánh giá tác động đối với dữ liệu, nhiều tổ chức lại thiếu khả năng quan sát tương ứng.

Ví dụ, sau khi một tài khoản Microsoft 365 bị chiếm quyền, doanh nghiệp có thể biết thời điểm đăng nhập, địa chỉ IP, thiết bị sử dụng và các hoạt động xác thực. Nhưng để xác định tài khoản đó đã truy cập những tài liệu nào, các tài liệu đó có chứa dữ liệu nhạy cảm hay không, hoặc liệu có dấu hiệu exfiltration hay không lại là một bài toán khác.

Nói cách khác, khả năng phát hiện cuộc tấn công không đồng nghĩa với khả năng đánh giá mức độ ảnh hưởng đối với dữ liệu.

Mục tiêu cuối cùng của attacker hiếm khi là endpoint

Phần lớn các cuộc tấn công hiện đại không dừng lại ở việc chiếm quyền một endpoint hoặc một tài khoản.

Endpoint là điểm khởi đầu.

Identity là phương tiện.

Dữ liệu mới là mục tiêu.

Đối với ransomware, dữ liệu bị mã hóa để gây áp lực. Đối với các nhóm APT, dữ liệu là đối tượng cần đánh cắp để phục vụ hoạt động gián điệp. Trong các vụ insider threat, dữ liệu thường là tài sản được sao chép trước khi nhân viên rời tổ chức.

Điểm chung của các kịch bản này là giá trị kinh doanh nằm ở dữ liệu chứ không nằm ở thiết bị hay tiến trình đang chạy trên thiết bị.

Nếu quá trình điều tra chỉ tập trung vào hạ tầng mà không đánh giá được tác động đối với dữ liệu, doanh nghiệp sẽ rất khó xác định mức độ nghiêm trọng của sự cố.

Một khoảng trống trong nhiều chương trình Detection & Response

Điều này dẫn đến một khoảng trống đáng chú ý trong nhiều chương trình bảo mật hiện nay.

Sau khi một sự cố được phát hiện và kiểm soát, đội SOC thường có thể kết luận rằng:

  • cuộc tấn công đã được ngăn chặn;
  • endpoint đã được cô lập;
  • tài khoản đã bị vô hiệu hóa.

Nhưng vẫn còn nhiều câu hỏi chưa có lời giải:

  • Dữ liệu nào đã được truy cập?
  • Dữ liệu đó có chứa thông tin nhạy cảm không?
  • Quyền truy cập của người dùng có phù hợp hay đã bị lạm dụng?
  • Có dấu hiệu sao chép hoặc exfiltration dữ liệu không?
  • Phạm vi ảnh hưởng của sự cố đến tài sản dữ liệu là gì?

Đây không đơn thuần là một hạn chế về quy trình điều tra. Trong nhiều trường hợp, nguyên nhân nằm ở việc các nguồn telemetry truyền thống được xây dựng để quan sát endpoint, network và identity thay vì chính dữ liệu.

Từ Threat-Centric đến Data-Centric

Sự phát triển của các nền tảng bảo mật trong nhiều năm qua chủ yếu tập trung vào việc hiểu hành vi của attacker.

Một hướng tiếp cận mới đang dần được quan tâm hơn là hiểu hành vi đối với dữ liệu.

Thay vì chỉ theo dõi tiến trình, kết nối mạng hay sự kiện xác thực, doanh nghiệp cần biết:

  • Dữ liệu nào đang được truy cập?
  • Mức độ nhạy cảm của dữ liệu đó là gì?
  • Người dùng có thực sự cần quyền truy cập đó không?
  • Hành vi truy cập có phù hợp với vai trò thông thường hay không?
  • Có dấu hiệu dữ liệu đang bị lạm dụng hoặc đưa ra ngoài tổ chức không?

Khác biệt giữa hai cách tiếp cận không phải ở việc thay thế EDR hay MDR, mà ở việc bổ sung một góc nhìn còn thiếu trong quá trình điều tra sự cố.

Kết luận

Một chương trình Detection & Response hiệu quả cần trả lời hai nhóm câu hỏi.

Nhóm thứ nhất liên quan đến cuộc tấn công: attacker là ai, họ đã làm gì và bằng cách nào.

Nhóm thứ hai liên quan đến tài sản: dữ liệu nào bị ảnh hưởng, mức độ ảnh hưởng ra sao và doanh nghiệp cần phản ứng như thế nào.

Trong nhiều năm, ngành an ninh mạng đã đầu tư rất nhiều vào nhóm câu hỏi đầu tiên. Khi dữ liệu ngày càng trở thành tài sản có giá trị nhất của doanh nghiệp, nhóm câu hỏi thứ hai sẽ ngày càng quan trọng.

Có lẽ, sau mỗi sự cố, câu hỏi đầu tiên mà một CISO nên đặt ra không chỉ là:

“Làm thế nào attacker xâm nhập?”

mà còn là:

“Dữ liệu của chúng ta có bị xâm phạm hay không?”

How do you vote?

0 People voted this article. 0 Upvotes - 0 Downvotes.
Loading
svg