Bảo vệ Cơ sở Hạ tầng Chống lại Tấn công Tống Tiền – Lãnh đạo Tư duy

By Dr. Aviv Yehezkel, đồng sáng lập và CTO, Cynamics

Từ các bệnh viện đến các trường học đến các nhà máy đóng gói thịt, không có ngành nào là không đáng kể đối với những kẻ tấn công tống tiền. Tấn công tống tiền sẽ khiến các công ty ở Mỹ mất 3,68 tỷ đô la trong năm nay alone. Các nhà điều hành mạng và bảo mật cần có phạm vi bảo vệ mạng ở mức cao để ngăn chặn và giảm thiểu các cuộc tấn công tống tiền. Sự phức tạp ngày càng tăng của kiến trúc – bao gồm các thành phần trên cơ sở, ảo và đám mây đang chạy trên mạng – đã khiến việc có được tầm nhìn hoàn chỉnh gần như không thể. Hiện trạng không hoạt động. Một cách tiếp cận mới là cần thiết.

Giải pháp hiện tại không thể đáp ứng nhu cầu của mạng

Ngoài việc trở nên phức tạp hơn, các mạng cũng đã tăng về quy mô, phạm vi và khối lượng. Trong các lĩnh vực, các mạng này đang xử lý một lượng lớn dữ liệu mà tiếp tục tăng về khối lượng và liên quan đến nhiều điểm cuối, nhiều kết nối (nội bộ và bên ngoài) và nhiều trang web mạng (vật lý và / hoặc logic). Trong khi các mạng đang tăng trưởng theo cấp số nhân về quy mô và phức tạp, hầu hết các giải pháp bảo mật vẫn dựa trên các phương pháp truyền thống như thiết bị và đại lý. Và những giải pháp này không được thiết kế cho mức độ phức tạp và khối lượng dữ liệu này.

Các giải pháp phát hiện và phản hồi mạng (NDR) hiện tại vẫn dựa trên một phương pháp dành cho các mạng thuộc thời kỳ đơn giản hơn. Các giải pháp này đòi hỏi nhiều công sức, tốn kém để triển khai và hiệu quả giảm dần. Chúng bao gồm việc đặt thiết bị, cảm biến và / hoặc đầu dò để thu thập và phân tích dữ liệu mạng. Tuy nhiên, không thể bao phủ toàn bộ mạng với các thiết bị này. Chúng đòi hỏi phải phân tích 100% dữ liệu mạng – điều này không thực tế. Điều đó buộc các công ty phải妥協 mỗi ngày bằng cách hạn chế phạm vi bảo vệ và phát hiện đối với các phần nhỏ của mạng, để lại hầu hết mạng là một điểm mù dễ bị tấn công.

Ngoài ra, hầu hết các nhà cung cấp NDR sử dụng phương pháp dựa trên thiết bị mà chặn hoặc mở rộng cổng để phân tích lưu lượng mạng. Điều này không dễ dàng mở rộng và làm tăng diện tích tấn công của một tổ chức như một cánh cửa hậu trực tiếp vào lõi mạng của khách hàng như đã được nhận thấy nhiều lần vào năm ngoái với các cuộc tấn công “đại dịch” chuỗi cung ứng. Trong môi trường kỹ thuật số liên kết ngày nay, phương pháp này không cung cấp đủ tính minh bạch trên các mạng thông minh ngày càng phức tạp và để lại các tổ chức dễ bị tổn thương bởi các điểm mù.

Vấn đề về tầm nhìn và tính mới

Hầu hết các cuộc tấn công tống tiền bắt đầu với một sự xâm phạm mạng mà thường có thể thực hiện được thông qua một lỗ hổng trong mạng ngoại vi. Và những kẻ tấn công sẽ bắt đầu di chuyển qua mạng của bạn và cố gắng tối đa hóa thiệt hại, nhảy từ nơi này sang nơi khác, cho đến khi nhiễm đủ máy chủ để được sử dụng cho cuộc tấn công. Họ sẽ tìm thấy các điểm mù mà không được theo dõi – khi bạn để lại các khu vực không được bảo vệ, bạn tạo ra nhiều không gian cho các tội phạm mạng để lẻn vào.

Có một vấn đề quan trọng khác: với hầu hết các giải pháp phát hiện, tính mới không được chú ý. Chúng được đào tạo để tìm kiếm các chữ ký và quy tắc rất cụ thể liên quan đến các hoạt động tống tiền đã biết. Nhưng các biến thể và loại tấn công tống tiền mới đang được phát triển mọi lúc – và thậm chí một sự thay đổi nhỏ từ các chữ ký mà các công cụ này được đào tạo để phát hiện và đánh dấu có thể khiến cuộc tấn công không được chú ý.

Vai trò của Trí tuệ nhân tạo và Học máy

Các nhà phân tích con người, dù thông minh và có khả năng đến đâu, đơn giản là không thể theo dõi các mạng ngày nay một mình – và bạn không thể bao phủ toàn bộ mạng với các thiết bị và đại lý. Nhưng để lại các phần của mạng không được bảo vệ không phải là một lựa chọn. Những kẻ tấn công và tội phạm mạng luôn tìm kiếm cách xâm nhập và lẻn vào.

Làm thế nào để bạn vượt qua những thách thức này? Các kỹ thuật Trí tuệ nhân tạo và Học máy (ML) có thể đóng một vai trò quan trọng trong việc phát hiện và phản hồi mạng. ML có thể được sử dụng để suy luận về hành vi của 100% lưu lượng mạng, dựa trên việc lấy mẫu chỉ một phần nhỏ của dữ liệu mạng. Và sau đó, nó có thể tự động học nếu một mẫu mạng là hợp pháp hoặc đáng ngờ và tự động “hiểu” các xu hướng thay đổi trong mạng.

Điều khiến ML và Trí tuệ nhân tạo trở nên hữu ích là khả năng của chúng trong việc phát hiện các mẫu ẩn cho thấy các cuộc tấn công – để tiết lộ những gì thực sự đang xảy ra trên các mạng trong thời gian thực. Điều này loại bỏ nhu cầu không thực tế và tốn kém để bao phủ toàn bộ mạng. Điều này cũng giúp giải quyết vấn đề được đề cập ở trên về sự tiến hóa liên tục của các hình thức tấn công tống tiền mới.

Sự đổi mới cần thiết

Tấn công tống tiền là không ngừng nghỉ. Điều rõ ràng ở thời điểm này là các giải pháp bảo mật truyền thống không hoạt động hoặc không theo kịp với cảnh quan mối đe dọa đang phát triển. Đó là một tai họa khiến các tổ chức mất hàng tỷ đô la; nó dường như không thể ngăn chặn, nhưng nó phải được ngăn chặn. Nhưng điều đó dễ nói hơn làm khi hầu hết các mạng đang trở nên ngày càng phức tạp và bao gồm một hỗn hợp của các thành phần cũ và mới.

Các tội phạm mạng đang tận dụng Trí tuệ nhân tạo, vì vậy các nhà điều hành mạng cũng cần làm như vậy. Một chiến lược bảo mật mới nên bao gồm phát hiện và phản hồi mạng dựa trên Trí tuệ nhân tạo, mẫu. Các giải pháp thuộc loại này sử dụng một phần nhỏ của lưu lượng mạng để học những gì là bình thường cho toàn bộ mạng, cho phép tầm nhìn mà không thể có được theo cách khác. Đó là một ví dụ về các giải pháp đổi mới cần thiết để vượt qua tấn công tống tiền và nhiều mối đe dọa mạng khác đang hoạt động ngày nay.