Posted on 23/07/2020 by CyRadar
SOC–AS–A–SERVICE TRUNG TÂM ĐIỀU HÀNH AN NINH MẠNG TRÊN NỀN TẢNG ĐIỆN TOÁN ĐÁM MÂY
SOC – AS – A – SERVICE
TRUNG TÂM ĐIỀU HÀNH AN NINH MẠNG TRÊN NỀN TẢNG ĐIỆN TOÁN ĐÁM MÂY
Trong phần trước chúng ta đã cùng tìm hiểu về thành phần, cấu tạo, phương thức hoạt động và lợi ích của SOC – Trung tâm điều hành An ninh mạng nội bộ. Tuy nhiên, khi xây dựng và vận hành một SOC sao cho hiệu quả đòi hỏi sự kết hợp hài hòa của rất nhiều yếu tố then chốt đã đề cập đến như “Con người – Công nghệ – Quy trình”, mà rõ ràng với các doanh nghiệp vừa và nhỏ thì đây là 3 yếu tố còn thiếu hụt và yếu kém nhất. Bài viết này sẽ phân tích kỹ hơn những yếu điểm và chỉ ra cách khắc phục sao cho hiệu quả nhất.
SIEM – Cái nhìn sai lệch của nhiều doanh nghiệp
Nhiều doanh nghiệp lầm tưởng định hướng phát triển an toàn thông tin của tổ chức mình từ đó đầu tư dàn trải, thiếu tập trung. Một số đặt nặng vấn đề đầu tư vào SIEM (Security Information and Event Management – Hệ thống giám sát an ninh mạng) mà quên mất rằng nguồn nhân lực họ có chưa đủ để vận hành SIEM hiệu quả. Bởi lẽ nếu không có đội ngũ nhân viên thường xuyên tinh chỉnh hệ thống SIEM để giảm tỉ lệ báo động nhầm (false positives) sinh ra từ các cảnh báo (alerts) sẽ dẫn đến tình trạng quá tải cho team phân tích và xử lý sự cố.
Một số khác lại chỉ quan tâm đến việc tổng hợp, phân tích dữ liệu từ SIEM (đầu ra) mà bỏ qua các hình thức dò tìm thông tin mã độc, ngăn chặn khai thác dữ liệu như EDR, Advanced Threat Detection, Secure Gateway… (đầu vào). Quan trọng hơn là khi hệ thống giám sát chưa được tối ưu hoặc các kết quả trả về còn rời rạc thì việc tổng hợp ticket (case) là vô cùng khó khăn, kéo theo thời gian tiêu tốn vào việc xâu chuỗi cảnh báo, đi tìm nguyên nhân gốc (root causes) cũng như các hệ thống (assets) liên quan trực tiếp đến sự cố. Ngoài ra khi nhân sự không có kinh nghiệm phân tích, xử lý thì việc đưa ra cảnh báo và biện pháp ngăn chặn cũng có thể bị sai lệch.
Mô hình SOC truyền thống. Nguồn: infinitygate.com.
Để giải quyết bài toán bảo mật, giảm gánh nặng chi phí hạ tầng, chi phí đào tạo và triển khai nhân lực đồng thời cải thiện quy trình ứng phó tấn công mạng, các doanh nghiệp vừa và nhỏ có thể cân nhắc sử dụng dịch vụ Trung tâm Điều hành An ninh mạng trên nền tảng đám mây.
Mô hình VSOC. Nguồn: infinitygate.com.
Dịch vụ SOC-as-a-service – Đảm bảo an toàn thông tin cho doanh nghiệp không nhất thiết được thực hiện bởi đơn vị trực thuộc doanh nghiệp đó
Bản chất của SOC-as-a-service chính là một dịch vụ đảm bảo an toàn thông tin trên nền tảng website giúp người dùng dễ dàng theo dõi tình hình an ninh mạng bên trong hệ thống theo thời gian thực. Thông qua các câu lệnh tập trung, các tính năng mới được cập nhật liên tục, SOC-as-a-service vẽ ra trước mắt nhà quản lý bức tranh toàn cảnh về hệ thống nội bộ cùng với những yếu điểm còn tồn tại, những lỗ hổng an ninh cần khắc phục và biện pháp ngăn chặn khi có sự cố xảy ra. Đằng sau dịch vụ này là một nhóm chuyên gia bảo mật giàu kinh nghiệm, tuy không trực tiếp có mặt tại tổ chức nhưng họ giám sát toàn bộ hệ thống 24/7 và không bỏ sót bất kỳ biến động nào. Mọi hoạt động của tổ chức cả trong và ngoài giờ làm việc đều được ghi lại tỉ mỉ, tổng hợp đầy đủ trên một màn hình duy nhất kèm theo gợi ý ứng phó sao cho phù hợp.
Thông thường, dịch vụ Trung tâm điều hành An ninh mạng trên nền tảng đám mây sẽ được cung cấp bởi một bên thứ ba, đơn vị này sau khi lắng nghe tình trạng, mong muốn và nhu cầu bảo mật của tổ chức sẽ thiết kế, triển khai và cá nhân hóa dịch vụ SOC sẵn có sao cho phù hợp với ngân sách, hạ tầng và mục tiêu của tổ chức. Không cần phải đầu tư vào tất cả các thành phần cấu thành và nguồn lực như khi tự xây dựng SOC, các tổ chức, doanh nghiệp hoàn toàn có thể tách nhỏ nhu cầu để thuê ngoài, ví dụ như: thuê SIEM, thuê vận hành giám sát SIEM, phân tích cảnh báo level 2, threat hunting, xử lý sự cố, phân tích mã độc, điều tra số… Các tính năng này hầu hết đều được tích hợp trong SOC-as-a-service.
Mô hình, cách thức hoạt động của SOC-as-a-service
SOC-as-a-service đóng vai trò như một SOC thực thụ và đem lại những lợi ích tương đương với chi phí vận hành thấp hơn rất nhiều. Nếu doanh nghiệp của bạn có những quy định nghiêm ngặt về quản lý rủi ro, yêu cầu bảo vệ quyền riêng tư, SOC-as-a-service với cấu trúc nâng cao hỗ trợ nhiều tài khoản phân quyền cao thấp sẽ giữ bạn ở phạm vi chống thất thoát an toàn. Cấu trúc các lớp của dịch vụ tùy thuộc từng nhà cung cấp nhưng cơ bản có thể bao gồm SIEM, Security Data Mining, Threat Intelligent System, Forensis, Log/Backup, các thiết bị phần cứng… Mọi hoạt động trên mạng trong tổ chức đều được các công nghệ trên thu thập, phân tích và được nhóm chuyên gia xử lý, sau cùng cho ra báo cáo phù hợp với tiêu chuẩn ISO, PCI, HIPAA, SOX… trực quan, dễ hiểu.
SOC-as-a-Service cung cấp nhiều tính năng trên nền tảng cloud. Nguồn: datasecc.com.
Mô hình SOC-as-a-service không còn xa lạ với các tổ chức, doanh nghiệp trên thế giới, các hãng bảo mật như IBM; Raytheon; Blackstratus; Redscan; LightEdge; Sirisk; Rapid7; Stellar Cyber… hiện nay đều đang cung cấp SOC-as-a-Service trên nền tảng cloud một cách rộng rãi.
Tại Việt Nam, một số đơn vị đi đầu trong việc xây dựng và điều hành dịch vụ Trung tâm Giám sát An ninh mạng có thể kể đến Công ty Cổ phần An toàn thông tin CyRadar. Không chỉ đảm bảo việc ứng phó và xử lý sự cố, CyRadar còn là một trong tám đơn vị được Bộ Thông tin và Truyền thông chứng nhận đạt yêu cầu kết nối thông tin về Trung tâm Giám sát An toàn không gian mạng quốc gia thông qua sản phẩm CyRadar NextGen SOC.
Vậy CyRadar NextGen SOC có những ưu điểm gì? Sự kết hợp giữa Con người – Công nghệ – Quy trình bên trong CyRadar NextGen SOC có điểm đặc biệt nào dẫn đến một sản phẩm đột phá trong cuộc chiến trên không gian mạng?
Tất cả sẽ có trong phần tiếp theo: Phần III: CyRadar NextGen SOC