Connect with us

An ninh mạng

Các Đội An Ninh Đang Sửa Chữa Những Mối Đe Dọa Sai. Đây Là Cách Điều Chỉnh Lại Trong Thời Đại Các Cuộc Tấn Công AI

mm
Published
Updated

Các cuộc tấn công mạng không còn là những hoạt động thủ công, tuyến tính nữa. Với AI hiện được nhúng vào các chiến lược tấn công, kẻ tấn công đang phát triển phần mềm độc hại đa hình, tự động hóa hoạt động trinh sát và vượt qua các biện pháp phòng thủ nhanh hơn nhiều so với khả năng phản ứng của các đội an ninh. Đây không phải là viễn cảnh tương lai, nó đang xảy ra ngay bây giờ. Đồng thời, hầu hết các biện pháp phòng thủ an ninh vẫn mang tính phản ứng. Chúng dựa vào việc xác định các chỉ số xâm phạm đã biết, áp dụng các mẫu tấn công lịch sử và gắn cờ rủi ro dựa trên điểm số mức độ nghiêm trọng có thể không phản ánh đúng bức tranh mối đe dọa thực tế. Các đội bị choáng ngợp bởi khối lượng, chứ không phải bởi cái nhìn sâu sắc, tạo ra một môi trường hoàn hảo để kẻ tấn công thành công. Tư duy di sản của ngành được xây dựng xung quanh danh sách kiểm tra tuân thủ, đánh giá định kỳ và công cụ phân mảnh đã trở thành một gánh nặng. Các đội an ninh đang làm việc chăm chỉ hơn bao giờ hết, nhưng thường lại sửa chữa những thứ sai.

Tại Sao Khoảng Cách Này Tồn Tại

Ngành công nghiệp an ninh mạng từ lâu đã dựa vào các điểm số rủi ro như CVSS để ưu tiên các lỗ hổng. Tuy nhiên, điểm CVSS không phản ánh bối cảnh thực tế của cơ sở hạ tầng của một tổ chức, chẳng hạn như liệu một lỗ hổng có bị phơi bày, có thể tiếp cận được hay có thể khai thác được trong một đường tấn công đã biết hay không. Kết quả là, các đội an ninh thường dành thời gian quý giá để vá các vấn đề không thể khai thác được, trong khi kẻ tấn công tìm ra những cách sáng tạo để kết hợp các điểm yếu bị bỏ qua và vượt qua các biện pháp kiểm soát. Tình hình càng phức tạp hơn bởi bản chất phân mảnh của ngăn xếp bảo mật. Các hệ thống SIEM, hệ thống phát hiện và phản ứng điểm cuối (EDR), công cụ quản lý lỗ hổng (VM) và nền tảng quản lý tư thế bảo mật đám mây (CSPM) đều hoạt động độc lập. Sự đo lường từ xa bị cô lập này tạo ra các điểm mù mà những kẻ tấn công được hỗ trợ bởi AI ngày càng thành thạo trong việc khai thác.

Phát Hiện Dựa Trên Chữ Ký Đang Mờ Nhạt Dần

Một trong những xu hướng đáng lo ngại nhất trong an ninh mạng hiện đại là giá trị ngày càng giảm của các phương pháp phát hiện truyền thống. Chữ ký tĩnh và cảnh báo dựa trên quy tắc có hiệu quả khi các mối đe dọa tuân theo các mẫu dự đoán được. Nhưng các cuộc tấn công được tạo bởi AI không chơi theo những quy tắc đó. Chúng đột biến mã, né tránh sự phát hiện và thích ứng với các biện pháp kiểm soát. Hãy lấy phần mềm độc hại đa hình, thay đổi cấu trúc của nó với mỗi lần triển khai. Hoặc các email lừa đảo được tạo bởi AI bắt chước phong cách giao tiếp của lãnh đạo với độ chính xác đáng báo động. Những mối đe dọa này có thể lọt hoàn toàn qua các công cụ dựa trên chữ ký. Nếu các đội an ninh tiếp tục dựa vào việc xác định những gì đã được nhìn thấy, họ sẽ vẫn mãi đi sau đối thủ một bước, những kẻ liên tục đổi mới.

Áp Lực Quy Định Đang Gia Tăng

Vấn đề không chỉ là kỹ thuật, mà giờ đây còn là quy định. Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) gần đây đã giới thiệu các quy tắc công bố thông tin an ninh mạng mới, yêu cầu các công ty đại chúng báo cáo các sự cố an ninh mạng trọng yếu và mô tả chiến lược quản lý rủi ro của họ theo thời gian thực. Tương tự, Đạo luật về Khả năng Phục hồi Hoạt động Kỹ thuật số (DORA) của Liên minh Châu Âu đòi hỏi một sự chuyển dịch từ đánh giá định kỳ sang quản lý rủi ro mạng liên tục, được xác thực. Hầu hết các tổ chức không chuẩn bị cho sự thay đổi này. Họ thiếu khả năng cung cấp các đánh giá theo thời gian thực về việc liệu các biện pháp kiểm soát an ninh hiện tại của họ có hiệu quả trước các mối đe dọa ngày nay hay không, đặc biệt là khi AI tiếp tục phát triển những mối đe dọa đó với tốc độ máy.

Việc Ưu Tiên Mối Đe Dọa Đã Hỏng

Thách thức cốt lõi nằm ở cách các tổ chức ưu tiên công việc. Hầu hết vẫn dựa vào các hệ thống chấm điểm rủi ro tĩnh để xác định điều gì được sửa chữa và khi nào. Các hệ thống này hiếm khi tính đến môi trường mà một lỗ hổng tồn tại, cũng như liệu nó có bị phơi bày, có thể tiếp cận được hay có thể khai thác được hay không. Điều này đã dẫn đến việc các đội an ninh dành nhiều thời gian và nguồn lực đáng kể để sửa các lỗ hổng không thể tấn công được, trong khi kẻ tấn công tìm cách kết hợp các vấn đề có điểm thấp hơn, bị bỏ qua để giành quyền truy cập. Mô hình “tìm và sửa” truyền thống đã trở thành một cách quản lý rủi ro mạng kém hiệu quả và thường không hiệu quả. An ninh phải phát triển từ việc phản ứng với cảnh báo sang việc hiểu hành vi của đối thủ—cách một kẻ tấn công thực sự di chuyển qua một hệ thống, những biện pháp kiểm soát nào chúng có thể vượt qua và điểm yếu thực sự nằm ở đâu.

Một Cách Tốt Hơn Để Tiến Lên: Phòng Thủ Chủ Động, Được Dẫn Dắt Bởi Đường Tấn Công

Sẽ thế nào nếu, thay vì phản ứng với cảnh báo, các đội an ninh có thể liên tục mô phỏng cách những kẻ tấn công thực sự sẽ cố gắng xâm phạm môi trường của họ, và chỉ sửa chữa những gì quan trọng nhất? Cách tiếp cận này, thường được gọi là xác thực an ninh liên tục hoặc mô phỏng đường tấn công, đang được thúc đẩy như một sự thay đổi chiến lược. Thay vì coi các lỗ hổng một cách riêng lẻ, nó lập bản đồ cách kẻ tấn công có thể kết hợp các cấu hình sai, điểm yếu danh tính và tài sản dễ bị tổn thương để tiếp cận các hệ thống quan trọng. Bằng cách mô phỏng hành vi của đối thủ và xác thực các biện pháp kiểm soát theo thời gian thực, các đội có thể tập trung vào các rủi ro có thể khai thác thực sự làm lộ doanh nghiệp, không chỉ là những rủi ro được gắn cờ bởi các công cụ tuân thủ.

Khuyến Nghị Cho Các Giám Đốc An Ninh Thông Tin (CISO) và Lãnh Đạo An Ninh

Đây là những gì các đội an ninh nên ưu tiên ngay hôm nay để luôn dẫn trước các cuộc tấn công được tạo bởi AI:

  • Triển Khai Các Mô Phỏng Tấn Công Liên Tục Áp dụng các công cụ mô phỏng đối thủ tự động, được dẫn dắt bởi AI để kiểm tra các biện pháp kiểm soát của bạn theo cách mà những kẻ tấn công thực sự sẽ làm. Những mô phỏng này nên được thực hiện liên tục, không chỉ dành riêng cho các bài tập đội đỏ hàng năm.
  • Ưu Tiên Khả Năng Khai Thác Hơn Mức Độ Nghiêm Trọng Vượt ra ngoài điểm CVSS. Kết hợp phân tích đường tấn công và xác thực ngữ cảnh vào các mô hình rủi ro của bạn. Hãy hỏi: Lỗ hổng này có thể tiếp cận được không? Nó có thể bị khai thác ngay hôm nay không?
  • Thống Nhất Sự Đo Lường Từ Xa An Ninh Của Bạn Hợp nhất dữ liệu từ các nền tảng SIEM, CSPM, EDR và VM thành một cái nhìn tập trung, tương quan. Điều này cho phép phân tích đường tấn công và cải thiện khả năng phát hiện các cuộc xâm nhập phức tạp, nhiều bước của bạn.
  • Tự Động Hóa Việc Xác Thực Phòng Thủ Chuyển từ kỹ thuật phát hiện thủ công sang xác thực được hỗ trợ bởi AI. Sử dụng máy học để đảm bảo chiến lược phát hiện và phản ứng của bạn phát triển song song với các mối đe dọa mà chúng nhằm ngăn chặn.
  • Hiện Đại Hóa Báo Cáo Rủi Ro Mạng Thay thế các bảng điều khiển rủi ro tĩnh bằng các đánh giá mức độ phơi nhiễm theo thời gian thực. Căn chỉnh với các khung như MITRE ATT&CK để chứng minh cách các biện pháp kiểm soát của bạn ánh xạ tới các hành vi đe dọa trong thế giới thực.

Các tổ chức chuyển sang xác thực liên tục và ưu tiên dựa trên khả năng khai thác có thể mong đợi những cải thiện có thể đo lường được trên nhiều khía cạnh của hoạt động an ninh. Bằng cách chỉ tập trung vào các mối đe dọa có thể hành động, tác động cao, các đội an ninh có thể giảm mệt mỏi cảnh báo và loại bỏ sự phân tâm gây ra bởi dương tính giả hoặc các lỗ hổng không thể khai thác. Sự tập trung được tinh gọn này cho phép phản ứng nhanh hơn, hiệu quả hơn với các cuộc tấn công thực sự, giảm đáng kể thời gian tồn tại và cải thiện việc ngăn chặn sự cố. Hơn nữa, cách tiếp cận này nâng cao sự phù hợp với quy định. Xác thực liên tục đáp ứng các yêu cầu ngày càng tăng từ các khung như quy tắc công bố thông tin an ninh mạng của SEC và quy định DORA của EU, cả hai đều yêu cầu khả năng hiển thị theo thời gian thực vào rủi ro mạng. Có lẽ quan trọng nhất, chiến lược này đảm bảo phân bổ nguồn lực hiệu quả hơn và cho phép các đội đầu tư thời gian và sự chú ý của họ vào nơi quan trọng nhất, thay vì dàn trải mỏng trên một bề mặt rộng lớn của rủi ro lý thuyết.

Thời Gian Thích Ứng Là Ngay Bây Giờ

Kỷ nguyên tội phạm mạng được dẫn dắt bởi AI không còn là một dự đoán, nó là hiện tại. Kẻ tấn công đang sử dụng AI để tìm đường đi mới vào. Các đội an ninh phải sử dụng AI để đóng chúng lại. Vấn đề không phải là thêm nhiều cảnh báo hơn hay vá nhanh hơn. Mà là biết mối đe dọa nào quan trọng, liên tục xác thực biện pháp phòng thủ của bạn và căn chỉnh chiến lược với hành vi của kẻ tấn công trong thế giới thực. Chỉ khi đó, những người phòng thủ mới có thể giành lại thế thượng phong trong một thế giới mà AI đang viết lại các quy tắc tham gia.

Related Topics:
mm

//www.tuskira.ai/">Tuskira. Với bằng Cử nhân và Thạc sĩ Khoa học Máy tính, Om mang đến chuyên môn sâu rộng về bảo mật đám mây, tuân thủ và phần mềm doanh nghiệp. Trước đây, ông từng đảm nhiệm các vai trò cấp cao về an ninh và sản phẩm tại các công ty hàng đầu như CrowdStrike, Tenable, GE và AutoGrid. Trước Tuskira, ông cũng đồng sáng lập Accurics, một công ty tiên phong về CNAPP đã được Tenable mua lại. Om được biết đến với việc xây dựng các giải pháp bảo mật, có khả năng mở rộng để giải quyết các thách thức an ninh mạng hiện đại.