Splunk Phantom – dũng sĩ tốc độ trên nền tảng SOAR

283 cuộc tấn công đã diễn ra tại Việt Nam chỉ trong tháng 1 năm 2020 (gồm 30 cuộc Deface – tấn công thay đổi giao diện, 40 cuộc Malware – tấn công cài mã độc và 213 cuộc Phishing – tấn công lừa đảo). Ngoài ra, cũng trong tháng 1, số lượng địa chỉ IP của Việt Nam nằm trong các mạng máy tính ma đã lên tới 432.162 địa chỉ.

Đó là các con số thống kê cho thấy hiện trạng báo động trong lĩnh vực an toàn thông tin với các diễn biến ngày càng phức tạp như hiện nay. Trong bối cảnh như vậy,  tốc độ phản ứng và thời gian xử lý từ lúc phát hiện đến lúc ngăn chặn các cuộc tấn công đang dần trở thành yếu tố sống còn trong việc đảm bảo an ninh mạng cho các đơn vị và doanh nghiệp.

Kết quả hình ảnh cho thống kê số cuộc tấn công mạng thành công tại việt nam 2020

Từ việc phát hiện mối đe dọa đến việc ngăn chặn và phản ứng – tốc độ càng nhanh, hệ thống thông tin của chúng ta sẽ càng an toàn. Đó là lý do tại sao các số liệu như dell-time, MTTD (thời gian trung bình để phát hiện) hay MTTR (thời gian trung bình để phản hồi) vẫn đang là các thước đo quan trọng trong lĩnh vực an ninh mạng. Việc giảm tối đa các thông số kể trên là mục tiêu chính của tất cả các chuyên gia bảo mật. Tuy nhiên, thực tế cho thấy các số liệu này hiện tại đều đang ở mức cao đáng báo động.

Giải quyết cảnh báo thủ công rất mất thời gian

Số lượng các cuộc tấn công mạng vẫn đang gia tăng hàng ngày, và mỗi cuộc tấn công sẽ sinh ra rất nhiều các cảnh báo bảo mật trên hệ thống an toàn thông tin. Trong khi đó, tùy vào mỗi loại cảnh báo thì trung bình chúng ta có thể mất từ 10 đến 40 phút để phân tích cũng như xử lý các dữ liệu liên quan . Điều này dẫn đến việc không có đủ thời gian để điều tra tất cả các sự cố phát sinh, khiến chúng ta bỏ qua hoặc chậm xử lý một số các luồng thông tin nhất định, tạo cơ hội cho các mối đe dọa bùng nổ nếu không được chú ý trong thời gian dài.

Kết quả hình ảnh cho cyber attack time

Sử dụng nhiều công cụ bảo mật một cách không phù hợp sẽ làm bạn chậm lại

Một số doanh nghiệp, tổ chức sử dụng rất nhiều sản phẩm bảo mật khác nhau với hy vọng có được sự bảo mật toàn diện, nhưng đôi khi điều đó lại gây ra sự phức tạp và làm chậm chúng. Nguyên nhân là khi sử dụng nhiều sản phẩm riêng biệt, việc tổng hợp thông tin từ các công cụ hầu hết là thủ công, mất thời gian và dễ nhầm lẫn. Bạn dễ dàng trở thành anh chàng trên ghế xoay, xoay vòng từ sản phẩm này sang sản phẩm khác, luôn phải theo dõi để giám sát, cố gắng hiểu ý nghĩa của tất cả các thông tin được gửi từ mỗi công cụ bảo mật. Bạn phải tiếp xúc liên tục với nhiều giao diện quản lý và điều đó thường gây khó khăn trong quá trình làm việc.

Kết quả hình ảnh cho security tools

Thiếu quy trình làm việc hợp lý cũng làm giảm hiệu quả

Việc thiếu các quy trình vận hành, làm việc hoặc quy trình chưa đủ hiệu quả cũng có thể làm chúng ta chậm lại trong việc chống lại các cuộc tấn công mạng. Nguy hiểm hơn, quy trình chưa hợp lý sẽ khiến chúng ta bị động trong phản ứng và phối hợp giữa các nguồn lực khác nhau, giảm thiểu năng lực đáng có từ hệ thống an ninh thông tin đã được đầu tư.

Đó chính là vấn đề!

Vậy làm thế nào để loại bỏ những trở ngại này, hoặc ít nhất là giảm tác động xấu của chúng, để có thể tăng tốc độ phản ứng nhằm chống lại các cuộc tấn công mạng vào các doanh nghiệp và tổ chức của bạn? Điều phối và tự động hóa từ nền tảng SOAR có thể khắc phục được những điểm yếu đó nhờ một số cơ sở sau.

Tự động hóa để giảm dell-time, MTTD và MTTR

Đầu tiên, SOAR là một nền tảng giúp giảm đáng kể dell-time, MTTD MTTR bằng cách sử dụng hệ thống phân tích và phản ứng tự động “Playbook”. Khi các cảnh báo bảo mật được kích hoạt từ hệ thống SIEM hoặc các hệ thống bảo mật khác, một loạt các tiến trình tự động – đã được định nghĩa và tối ưu trước đó – sẽ được khởi chạy ngay lập tức mà không cần sự tương tác nào từ phía con người. Điều này loại bỏ thời gian chết giữa thời điểm cảnh báo kích hoạt và thời điểm chuyên gia có thể bắt đầu điều tra, giúp giảm thiểu tối đa thời gian phân tích và xử lý các cảnh báo từ 30 – 40 phút trước đó xuống còn dưới một phút.

Kết quả hình ảnh cho automation

Xử lý mọi cảnh báo, mọi thời điểm

Giờ đây, bạn có thể giải quyết từng cảnh báo nhanh hơn, điều đó có nghĩa là bạn có thể giải quyết nhiều cảnh báo hơn mỗi ngày, không có một mối đe dọa nào bị bỏ lỡ. Các chuyên gia an ninh mạng hoàn toàn có thể chủ động hơn trong việc giám sát an toàn thông tin cho toàn hệ thống.

Kết quả hình ảnh cho timing

Phối hợp hiệu quả các quy trình và hệ thống công cụ bảo mật

Với nền tảng SOAR, các công cụ bảo mật hiện tại của bạn có thể liên kết và tương tác lẫn nhau để tự động phản ứng lại các mối đe dọa một cách hiệu quả. Thay vì hoạt động một cách độc lập với nhau, mỗi giải pháp bảo mật có thể tham gia tích cực vào chiến lược phòng thủ của hệ thống. Bạn không còn phải xoay vòng giữa nhiều giao diện quản lý khi phản ứng với các một sự cố. Nền tảng SOAR thực hiện công việc cho bạn bằng cách tối ưu và hợp nhất các quy trình thủ công phức tạp thành một tiến trình tự động một cách hiệu quả hơn cho hệ thống của bạn.

Splunk Phantom là một nền tảng SOAR có thể giúp bạn tăng đáng kể tốc độ của các hoạt động bảo mật theo những cách hiệu quả được nêu ở trên! VNCS tự hào là nhà phân phối và phát triển sản phẩm Splunk tại thị trường Việt Nam.

Leave a Comment

Your email address will not be published.