Nguyễn Đoàn Khắc Huy
Administrator
Chúng ta đã từng xem các bộ phim về chủ đề phòng chống tấn công mạng, họ phát hiện và xác định hành vi của từng hacker trong mạng local của công ty. Nhưng đó là phim ảo, bạn có bao giờ tự đặt câu hỏi trong đời sống thực, liệu có một công nghệ hay một giải pháp nào có công dụng ấy chưa. Trong bài viết ngày hôm nay, mình sẽ giới thiệu về một bộ giải pháp của Trend Micro, dựa trên giải pháp Network detection and response (NDR).
I. Định nghĩa
Network detection and response (NDR) là bộ giải pháp sử dụng kết hợp các công nghệ và phương pháp an ninh mạng tiên tiến để xác định dị thường và đối phó với các mối đe dọa mà các biện pháp bảo mật khác có thể bỏ lỡ. Có thể nói đơn giản đây là bộ giải pháp giúp phát hiện được các mối đe dọa và gửi cảnh báo về người quản trị.
II. Các thành phần chính
NDR cung cấp khả năng giám sát và phân tích liên tục lưu lượng mạng bằng cách sử dụng
- kiểm tra sâu gói tin (deep packet inspection)
- phân tích hành vi (behavioral analytics)
- học máy (machine learning).
Để thực hiện các chức năng này, NDR cần một tập hợp các khả năng liên quan chặt chẽ, bao gồm:
- Khả năng mô hình hóa lưu lượng mạng để các bất thường trở nên nổi bật và phát hiện dựa trên hành vi thay vì tìm kiếm các chữ ký cụ thể. Điều này đòi hỏi học máy và phân tích nâng cao.
- Tỷ lệ cảnh báo sai thấp một cách đáng tin cậy sau khi giải pháp được tinh chỉnh đúng cách, giúp đội ngũ SOC tin tưởng vào kết quả nhận được.
- Khả năng tổng hợp và liên kết các cảnh báo thành các "sự cố có cấu trúc" (structured incidents) như Gartner mô tả, giúp các chuyên gia bảo mật dễ dàng điều tra các mối đe dọa hơn.
- Khả năng ngăn chặn hoặc chặn đứng các mối đe dọa thông qua phản ứng tự động.
III. Ý nghĩa
Tại sao lại cần NDR?
Đối với một số tài nguyên phần cứng như các thiết bị không được cài đặt các tác nhân bảo mật (Security agent), hoặc có cấu hình bảo mật bị sai hoặc lỗi thời. Cái phần cứng này không được quản lý nên rất khó để tìm và vá lỗi. Chúng cũng hiếm khi hoặc có thể nói là không bao giờ được quét để tìm lỗ hỏng bảo mật, một số trường hợp còn không thể quét được lỗ hỏng bảo mật.
Vì lý do đó, những hacker có thể tận dụng những thiết bị này, đây là nơi lẩn trốn lý tưởng cho các chúng để thu thập và thậm chí là tấn công mã hóa dữ liệu của công ty. Kẻ tấn công có thể sử dụng các công cụ để hòa mình vào mạng local để di chuyển trong mạng lưới giữa các thiết bị không được quản lý mà không gây chú ý, ẩn mình trong nhiều tuần hoặc thậm chí nhiều tháng.
Các công nghệ và phương pháp bảo mật như Extended Detection and Response - EDR, Identity Threat Detection and Response - ITDR và Attack Surface Management - ASM không được thiết kế để phát hiện các mối đe dọa ẩn nấp trong các tài nguyên nói trên hoặc để theo dõi trong traffic mạng. Công nghệ Network Detection and Response – NDR lấp đầy khoảng trống này, giúp phát hiện và liên kết ngay cả những bất thường nhỏ nhất do các mối đe dọa gây ra, những mối đe dọa mà nếu không có NDR có thể dễ dàng bị bỏ sót.
Những thử thách mà NDR giải quyết cho các quản trị viên?
Số lượng log một ngày từ vài nghìn cho đến vài trăm triệu log, cho nên đối với một quản trị viên việc bỏ sót một vài log hoặc xác định sai log là một chuyện không thể tránh. Dẫn đến nhiều cảnh báo sai và các cuộc tấn công bị bỏ sót. Ngay cả với lượng cảnh báo lớn như vậy, họ thường thiếu dữ liệu cần thiết để hiểu rõ các sự cố một cách đầy đủ. Có quá nhiều "nhiễu" và quá ít thông tin chính xác, cụ thể và có thể hành động.
Công nghệ NDR (Network Detection and Response) giải quyết những khó khăn này bằng cách giám sát lưu lượng mạng và hành vi của các thiết bị trong mạng. Bất kỳ hoạt động nào xung quanh một thiết bị không được quản lý đều có thể được phát hiện, phân tích và xác định là bất thường, ngay cả khi bản thân thiết bị đó không hoạt động. Khả năng liên kết dữ liệu của NDR giúp sàng lọc các mẫu hành vi và kết nối các điểm dữ liệu để phân biệt chính xác hơn giữa các mối đe dọa tiềm ẩn hợp pháp và hoạt động vô hại.
Với một giải pháp NDR hiệu quả, các đội ngũ quản trị viên có thể phát hiện các tài nguyên không được quản lý trong mạng, đồng thời phát hiện và liên kết những "tín hiệu yếu" để xác định các mối đe dọa và loại bỏ kẻ tấn công. "Tín hiệu yếu" về cơ bản là các cảnh báo hoặc sự kiện có độ tin cậy thấp, không đủ thông tin để xác định liệu có một cuộc tấn công đang diễn ra hay không.
Đặc biệt khi được tích hợp với các giải pháp bảo mật khác như EDR (Extended Detection and Response), ITDR (Identity Threat Detection and Response), và ASM (Attack Surface Management)—cho phép hành động gần như theo thời gian thực, với thời gian phát hiện nhanh hơn, chi phí thấp hơn và giảm thiểu các cảnh báo sai.
Công nghệ NDR (Network Detection and Response) giải quyết những khó khăn này bằng cách giám sát lưu lượng mạng và hành vi của các thiết bị trong mạng. Bất kỳ hoạt động nào xung quanh một thiết bị không được quản lý đều có thể được phát hiện, phân tích và xác định là bất thường, ngay cả khi bản thân thiết bị đó không hoạt động. Khả năng liên kết dữ liệu của NDR giúp sàng lọc các mẫu hành vi và kết nối các điểm dữ liệu để phân biệt chính xác hơn giữa các mối đe dọa tiềm ẩn hợp pháp và hoạt động vô hại.
Với một giải pháp NDR hiệu quả, các đội ngũ quản trị viên có thể phát hiện các tài nguyên không được quản lý trong mạng, đồng thời phát hiện và liên kết những "tín hiệu yếu" để xác định các mối đe dọa và loại bỏ kẻ tấn công. "Tín hiệu yếu" về cơ bản là các cảnh báo hoặc sự kiện có độ tin cậy thấp, không đủ thông tin để xác định liệu có một cuộc tấn công đang diễn ra hay không.
Đặc biệt khi được tích hợp với các giải pháp bảo mật khác như EDR (Extended Detection and Response), ITDR (Identity Threat Detection and Response), và ASM (Attack Surface Management)—cho phép hành động gần như theo thời gian thực, với thời gian phát hiện nhanh hơn, chi phí thấp hơn và giảm thiểu các cảnh báo sai.
IV. Tổng kết
Trong một thế giới mà các mối đe dọa mạng ngày càng tinh vi và khó lường, Network Detection and Response (NDR) không chỉ là một công nghệ, mà còn là một người hùng thầm lặng, âm thầm bảo vệ những tài nguyên quý giá nhất của doanh nghiệp. NDR không chỉ phát hiện những bất thường nhỏ nhất, mà còn kết nối những tín hiệu yếu để vẽ nên bức tranh toàn cảnh về các mối đe dọa.
Khi được tích hợp với các giải pháp bảo mật khác, NDR không chỉ giúp giảm thiểu chi phí và thời gian phản ứng, mà còn mang lại sự an tâm tuyệt đối cho các quản trị viên. Đây không chỉ là một công cụ, mà là một bước tiến lớn trong hành trình bảo vệ thế giới số.
Hãy tưởng tượng một ngày, khi mọi mối đe dọa đều bị phát hiện và vô hiệu hóa trước khi chúng kịp gây hại. Đó không còn là giấc mơ, mà là hiện thực mà NDR đang mang lại.
Bài viết trên dựa vào kiến thức và ý kiến cá nhân cho nên không thể tránh khỏi thiếu sót, nếu có bất kì ý kiến hoặc thắc mắc nào vui lòng trả lời bài viết vào mục reply bên dưới. Cám ơn bạn đã xem.
Sửa lần cuối: