Mô hình cốt lõi của trung tâm vận hành bảo mật (SOC) ngày nay là có các công cụ phù hợp được ghép nối với các công nghệ phù hợp và sử dụng tự động hóa để hiểu được núi dữ liệu. Hầu như không thể hiểu được rằng các SOC từng là một nhà phân tích trước một máy tính để phát hiện và điều tra các mối đe dọa – tiêu chuẩn hiện tại của chúng ta là hàng trăm nghìn cuộc tấn công vào các tổ chức lớn mỗi ngày.
Mặc dù tự động hóa là một phần trong ba công việc lớn của quá trình hiện đại hóa SOC, nhưng nó sẽ không làm biến mất một cách kỳ diệu cuộc chiến khó khăn giữa công việc kết hợp, môi trường kết hợp và tin tặc gan dạ. Nhiều giám đốc an ninh thông tin (CISO) đã đầu tư vào máy học (ML) hoặc tự động hóa để hợp lý hóa các hoạt động và giúp giảm tải các nhiệm vụ thông thường từ các nhà phân tích bảo mật. Nhưng thực tế là, học máy ngày nay là tiền cược. Hầu hết các nhà cung cấp bao gồm ML trong các dịch vụ của họ và chúng tôi vẫn đang đấu tranh để hiện đại hóa SOC.
Nếu công nghệ, công cụ và tự động hóa là không đủ, thì cuối cùng sẽ cần gì để trả lại sự hài hòa cho SOC khi những kẻ tấn công ưa chuộng ransomware, phần mềm tống tiền và phần mềm độc hại tinh vi? Nó bắt đầu với các kiến trúc và khuôn khổ để khôi phục trật tự cần thiết để phản ứng lại các mối đe dọa một cách hiệu quả và hiệu quả.
Chuyển đổi từ tại chỗ sang đám mây
Khi các tổ chức chuyển đổi từ chủ yếu kiến trúc tại chỗ sang kết hợp giữa cơ sở hạ tầng tại chỗ và trong đám mây, SOC cần một chiến lược mới. Bảo mật lấy mạng làm trung tâm như hệ thống phát hiện xâm nhập (IDS) từng cho phép các nhà phân tích xem tất cả lưu lượng đến và đi, nhưng giờ đây lưu lượng đến từ mọi nơi và trên mọi thiết bị, đòi hỏi một lớp mới để đáp ứng các nhu cầu khác nhau.
Người ta nói rằng đám mây vốn dĩ không kém an toàn hơn các giải pháp tại chỗ, nhưng nó vẫn yêu cầu các giao thức và yêu cầu bảo mật riêng biệt so với các ứng dụng dựa trên máy chủ cơ bản hoặc thậm chí những ứng dụng chạy trong một máy chủ ảo hóa.
Đang tiến hành kiểm tra các chính sách và hành động của Zero Trust
Nếu chúng ta kết hợp nhu cầu về kiến trúc và khuôn khổ với việc chuyển đổi sang đám mây, thì có một con đường rõ ràng – Zero Trust. Giờ đây, không có chu vi trong thế giới hỗn hợp, việc bảo vệ tài nguyên (ví dụ: dữ liệu, danh tính và dịch vụ) bất kể vị trí là điều hợp lý nhất.
Chân lý cốt yếu của Zero Trust là “đừng bao giờ tin tưởng, hãy luôn xác minh.” Sử dụng cách tiếp cận này, sự tin tưởng ngầm sẽ bị loại bỏ và thay thế bằng việc xác nhận liên tục các giao dịch kỹ thuật số. Mặc dù các SOC thường không đặt ra các loại chính sách bảo mật này, nhưng chúng đóng một vai trò không thể thiếu trong sự thành công của nó. Là một lớp xác minh bổ sung để giảm thiểu rủi ro hơn nữa, SOC trở thành một chức năng kiểm tra liên tục để phát hiện và ngăn chặn các cuộc tấn công trong suốt vòng đời của cuộc tấn công mạng.
Giả sử vi phạm, chủ động săn lùng
Với các nguyên tắc Zero Trust được áp dụng, nếu tổ chức luôn cho rằng có sự vi phạm, thì việc chủ động tìm kiếm các mối đe dọa là hợp lý nhất. Để làm được điều này, nhiều tổ chức tận dụng khuôn khổ MITRE ATT & CK ™ cùng với các tiêu chuẩn như Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST).
Chỉ riêng đề xuất này có thể không liên quan đối với các SOC đã bị tấn công bởi một lượng lớn dữ liệu nhật ký và sự kiện từ các sản phẩm điểm, nhưng điều đó không có nghĩa là việc áp dụng các khuôn khổ như MITRE ATTACK ™ là ngoài tầm với. Dựa trên khả năng của các hoạt động bảo mật của mình, bạn có thể đảm bảo khung sẽ không trở thành một nguồn dữ liệu mối đe dọa chưa được sử dụng khác bằng cách ánh xạ nó đến giai đoạn trưởng thành của bạn.
- Dữ liệu tham chiếu và làm giàu: Thông qua một công cụ giúp dễ dàng truy cập và chia sẻ giữa các nhóm, các nhà phân tích bảo mật có thể sử dụng dữ liệu từ khuôn khổ làm nguồn chi tiết để làm phong phú thêm phân tích các sự kiện và cảnh báo của họ theo cách thủ công.
- Phản ứng theo hướng sự kiện hoặc chỉ báo: Các nhà phân tích có thể kết hợp các khả năng trong quy trình hoạt động của họ như tự động tương quan các sự kiện với các chỉ số từ khuôn khổ. Điều này chiếu sáng về ai, cái gì, khi nào, tại sao và cách thức tấn công để tăng tốc quá trình ưu tiên.
- Săn bắt mối đe dọa chính thức, chủ động: Các SOC tinh vi có thể tận dụng tối đa khuôn khổ, thay vì chỉ tập trung vào các bit và mẩu dữ liệu đáng ngờ. Bằng cách bắt đầu từ hồ sơ rủi ro của tổ chức và hiểu các chiến thuật, kỹ thuật và quy trình (TTP) của kẻ tấn công, các nhà phân tích có thể chủ động tìm kiếm các cuộc tấn công có thể gây tổn hại nhất cho doanh nghiệp.
Để cải thiện độ chính xác và quy mô phát hiện mối đe dọa, các SOC có thể sử dụng giải pháp SIEM như LogRhythm để hiển thị các MITRE ATT & CK ™. Với nội dung tạo sẵn được ánh xạ tới khuôn khổ, SOCs có được khả năng hiển thị sâu sắc về các đối thủ để SecOps có thể thực hiện hành động.