Bảo vệ an ninh mạng trong thời kỳ khủng hoảng: Cách bảo mật điều gì thực sự quan trọng

Cuộc xâm lược tàn ác của Nga đối với Ukraine và hàng loạt cuộc tấn công mạng hủy diệt trước đó đã khiến nhiều người đặt câu hỏi rằng họ có thể làm gì để đảm bảo an toàn cho chính mình trong thời kỳ khủng hoảng. Để giúp các tổ chức điều hướng thông qua và cuối cùng giảm thiểu sự phức tạp của môi trường đe dọa mạng ngày nay, bài viết này đề xuất phương pháp tiếp cận bốn bước đối với khả năng phục hồi trên không gian mạng: Xác định, Bảo mật, Giám sát và Lập kế hoạch. Lập luận trung tâm là trước khi có thể thực hiện các biện pháp bảo mật hiệu quả, các tổ chức phải xác định các hệ thống quan trọng của họ và bề mặt tấn công đối mặt với internet của họ. Bài viết cung cấp tài liệu tham khảo về các tài nguyên thực hành cho từng bước trong quá trình hướng tới khả năng phục hồi trên không gian mạng.
Đó là tất cả về sự sống còn
Nhờ quá trình tiến hóa hàng nghìn năm, cơ thể con người đã phát triển các hệ thống sinh học tiên tiến giúp bảo vệ chúng ta trước các mối đe dọa có hại. Tuy nhiên, trong thế giới kỹ thuật số, chúng ta không có cơ chế bảo vệ tự nhiên nào như vậy. Vì vậy, để đảm bảo sự tồn tại của các công nghệ kỹ thuật số quan trọng trong thời kỳ khủng hoảng, chúng ta phải ăn gian sự tiến hóa. Một cách để làm điều này là áp dụng những bài học sinh tồn mà chúng ta đã học được trong thế giới vật chất vào thế giới mạng.
Bài học số một là trước tiên chúng ta phải làm quen không chỉ với kẻ thù mà còn với chính chúng ta (cơ sở hạ tầng kỹ thuật số quan trọng của chúng ta và bề mặt tấn công đối mặt với internet). Bài học về nội tâm như một con đường tiến tới an ninh này có thể được bắt nguồn từ những năm 500 trước Công nguyên, nơi chiến lược gia quân sự Trung Quốc Tôn Tử đã nói một cách nổi tiếng rằng “nếu biết địch, biết mình, thì không cần sợ kết quả trăm trận”. May mắn thay, nhờ vào báo cáo Cảnh quan về mối đe dọa toàn cầu tuyệt vời của CrowdStrike, chúng tôi đã biết rất nhiều về kẻ thù. Và vì chúng ta biết nhiều chiến thuật của kẻ thù, sẽ có nhiều thứ hơn để đạt được nếu chúng ta tập trung vào việc xác định cơ sở hạ tầng kỹ thuật số quan trọng và bề mặt tấn công của chúng ta.
Bài học số hai là một khi chúng ta đã vạch ra những hệ thống quan trọng này, chúng phải được vá, bảo mật và cứng lại. Một lần nữa, không cần phải phát minh lại bánh xe. Các chuyên gia tư vấn an ninh mạng như CISA, NCSC, DoD và Mandiant đã xuất bản (và tiếp tục xuất bản) các hướng dẫn và chỉ dẫn tuyệt vời giải thích cách các hệ thống kỹ thuật số phổ biến có thể được bảo mật. Những điều này sẽ được tham chiếu rõ ràng trong suốt bài viết.
Bài học số ba là chúng ta phải thiết lập khả năng hiển thị môi trường xung quanh, trong trường hợp này là cơ sở hạ tầng kỹ thuật số quan trọng và bề mặt tấn công kỹ thuật số của chúng ta. Cũng giống như các cửa hàng sử dụng camera CCTV để phát hiện kẻ trộm và điều tra các vụ cướp, các tổ chức nên sử dụng công cụ ghi nhật ký và phát hiện điểm cuối và phản hồi (EDR) để phát hiện, giảm thiểu và phục hồi sau các cuộc tấn công mạng.
Bài học số bốn là chúng ta phải rèn luyện khi chiến đấu. Khả năng phục hồi là khả năng phục hồi nhanh chóng sau những khó khăn; dội ngược về. Trong bối cảnh an ninh mạng phòng thủ, khả năng phục hồi là khả năng vừa chống chịu vừa phục hồi sau các cuộc tấn công mạng và các sự cố an toàn thông tin khác. Như với tất cả các kỹ năng khác, cách tốt nhất để cải thiện khả năng này là thông qua lập kế hoạch chặt chẽ (ví dụ: thông qua phân tích kịch bản và phát triển các quy trình khẩn cấp) và đào tạo (ví dụ bằng cách thực hành các quy trình khôi phục dữ liệu và bằng cách thực hiện các bài kiểm tra bảo mật vành đai và các bài tập của đội đỏ ).
Xây dựng khả năng phục hồi kỹ thuật số: Áp dụng bốn chiến lược tồn tại cho cơ sở hạ tầng quan trọng và bề mặt tấn công
Bây giờ chúng ta đã hiểu các chiến lược giúp chúng ta tồn tại trong thế giới vật chất – xác định điểm yếu của chúng ta để chúng ta có thể bảo vệ chúng, theo dõi xung quanh và đào tạo khi chúng ta chiến đấu - chúng ta có thể bắt đầu áp dụng chúng vào cơ sở hạ tầng kỹ thuật số của mình. Hãy coi mỗi giai đoạn riêng lẻ trong cách tiếp cận bốn bước này như một viên gạch hỗ trợ trong trò chơi Jenga. Loại bỏ một và toàn bộ tòa tháp - toàn bộ vị trí an ninh của tổ chức bạn - sụp đổ.

Nhận dạng
Đầu tiên, các hệ thống kỹ thuật số quan trọng phải được xác định. Hệ thống quan trọng là các tài sản (cho dù vật lý hay ảo) rất quan trọng đối với tổ chức của bạn đến mức việc chúng bị mất khả năng hoạt động hoặc bị phá hủy sẽ gây ra tác động suy nhược. Không có danh sách chính xác về những gì cấu thành một hệ thống quan trọng; điều này sẽ rất khác nhau giữa các ngành. Nếu không có cần trục và hệ thống radio, một bến cảng sẽ không hoạt động. Nếu không có hệ thống email và VPN công ty của họ, một công ty tư vấn đa quốc gia lớn sẽ không thể hoạt động.
Trong cả thời bình và thời kỳ khủng hoảng, việc duy trì một kho tài sản kỹ thuật số được cập nhật và chính xác là điều quan trọng. Logic đằng sau điều này rất đơn giản: Không thể bảo vệ những tài sản mà bạn không biết là có tồn tại.
Một cách chung để giữ cái nhìn tổng quan có cấu trúc về tài sản trong mạng công ty là thông qua sơ đồ mạng. Sơ đồ mạng là sự trình bày trực quan các mối quan hệ giữa các hệ thống vật lý và logic và các thiết bị giao tiếp qua mạng và / hoặc chuyển tiếp lưu lượng mạng, chẳng hạn như tường lửa, bộ định tuyến, bộ chuyển mạch, máy in và máy trạm. Sơ đồ mạng trực quan hóa việc phân đoạn mạng, địa chỉ IP của từng máy chủ và các hệ thống từ xa như các giải pháp Đám mây và (B2B) VPN.
Tài nguyên A: Hướng dẫn cuối cùng của Webscout để tạo sơ đồ mạng
Mặc dù không thể đưa ra danh sách các hệ thống quan trọng có thể áp dụng rộng rãi, nhưng có thể tạo một danh sách có thể tổng quát hóa rộng rãi các vectơ tấn công phổ biến, mà kẻ thù nhắm mục tiêu để đạt được chỗ đứng ban đầu trong phần lớn các trường hợp. Bảo mật các vectơ tấn công này gần như quan trọng như việc tạo và duy trì danh sách các tài sản kỹ thuật số quan trọng, đưa chúng ta đến bước tiếp theo trong quá trình đạt được khả năng phục hồi không gian mạng trong thời kỳ khủng hoảng: Bảo mật và củng cố các hệ thống quan trọng đã được xác định và cuộc tấn công thường bị khai thác bề mặt.

Chắc chắn
Thứ hai, các hệ thống quan trọng đã được xác định và các vectơ tấn công phổ biến phải được bảo mật và vá lỗi. Nhiều hệ thống quan trọng không được tiếp xúc với internet mở và do đó sẽ không thể truy cập được đối với những kẻ tấn công quét tổ chức của bạn để tìm các lỗ hổng và vectơ tấn công. Ví dụ về các hệ thống như vậy là PLC, môi trường SCADA và các hệ thống điều khiển công nghiệp khác. Tuy nhiên, các công nghệ kỹ thuật số được sử dụng và triển khai rộng rãi nhất đều tiếp xúc với Internet mở và đồng thời rất quan trọng.

Một số hệ thống kỹ thuật số bị tấn công thường xuyên nhất cũng thường được coi là nghiêm trọng là:
- Hệ thống e-mail như Microsoft Exchange tại chỗ hoặc Microsoft O365
- Các ứng dụng web tiếp xúc với Internet mở xác thực dựa trên Active Directories
- Các VPN công ty như Cisco AnyConnect hoặc Citrix GateWay
- Hệ thống lưu trữ đám mây như Amazon S3 hoặc Azure Blob
- Bộ chứa đám mây và máy ảo như Amazon EC2 hoặc Azure VM
May mắn thay, các chuyên gia trong lĩnh vực an ninh mạng như CISA, Microsoft, Mandiant và Cisco đã xuất bản (và tiếp tục xuất bản) những lời khuyên xuất sắc để bảo mật chúng.
Tài nguyên B: Hướng dẫn của Microsoft về việc tăng cường O365
Tài nguyên C: Hướng dẫn của NSA về bảo mật VPN
Tài nguyên D: Hướng dẫn của CISA về bảo mật Đám mây
Màn hình
Thứ ba, các hệ thống quan trọng và thường xuyên bị tấn công đã được xác định phải được giám sát chặt chẽ và liên tục để phát hiện, ngăn chặn và ứng phó kịp thời với các sự cố an ninh. Một quan niệm sai lầm phổ biến là việc ghi nhật ký có thể đạt được bằng cách đặt dấu kiểm trong giao diện quản lý của phần mềm. Mặc dù điều này không hoàn toàn sai, nhưng cấu hình cơ sở của hầu hết mạng 'out of the box' và ghi nhật ký sự kiện bỏ qua nhiều đồ tạo tác quan trọng nhất cần thiết để các chuyên gia pháp y xác định phạm vi và nguồn gốc của một thỏa hiệp. Một ví dụ phổ biến về điều này là các máy chủ web theo mặc định không giữ địa chỉ IP bên ngoài của hệ thống gốc (X-Forwarded-For) trong nhật ký truy cập của chúng. Một ví dụ khác là nhật ký tường lửa chỉ ghi nhật ký các giao thức nhất định, không xác định được số byte trong một phiên hoặc không xác định được độ dài phiên.
Lý tưởng nhất, khả năng hiển thị nên được thiết lập thông qua ghi nhật ký (tập trung) các sự kiện máy chủ và mạng. Điều này có thể được thực hiện với hệ thống Quản lý Sự kiện và Thông tin Bảo mật (SIEM) thu thập nhật ký mạng từ các thiết bị chuyển mạch và tường lửa; truy cập nhật ký từ các ứng dụng web như VPN, thư và đám mây; nhật ký kiểm tra và bảo mật từ (các) Bộ điều khiển miền; và ghi nhật ký từ các máy chủ có hệ thống Phản hồi và Phát hiện Điểm cuối (EDR) được triển khai và định cấu hình. Bất kể hình thức ghi nhật ký là gì, chất lượng của việc giám sát sẽ được xác định bởi mức độ hiển thị, kiến thức và cái nhìn sâu sắc của mạng được giám sát và mức độ chi tiết của các chi tiết được ghi lại.
Tài nguyên E: Bảng gian lận của OWASP để ghi nhật ký
Kế hoạch
Thứ tư và cuối cùng, kế hoạch quản lý tình huống khẩn cấp và liên tục trong kinh doanh phải được phát triển và quan trọng là được diễn tập. Cũng như tất cả các kỹ năng khác, chỉ có thể đạt được kiến thức chuyên môn về an ninh mạng phòng thủ thông qua thực hành nghiêm ngặt. Cách tốt nhất để thực hành các quy trình khẩn cấp không gian mạng là huấn luyện khi chúng ta chiến đấu với huấn luyện. Vì vậy, hãy tự hỏi bản thân những câu hỏi sau:
- Chúng tôi có thể khôi phục hệ thống và dữ liệu từ các bản sao lưu ngoại tuyến không?
- Có thể tìm thấy những bản sao lưu này ở đâu và ai chịu trách nhiệm về quá trình khôi phục?
- Làm cách nào chúng ta có thể tự bảo vệ mình khỏi các cuộc tấn công DDoS và các nguyên nhân khác khiến lưu lượng truy cập tăng đột biến?
- Chúng tôi có thể liên hệ với ai nếu chúng tôi cần Ứng phó Sự cố khẩn cấp?
- Làm thế nào chúng ta có thể duy trì liên lạc với các tác nhân chính nếu hệ thống thư không hoạt động?
Sự kết luận
Với mục đích giúp các tổ chức tự vệ trong thời kỳ khủng hoảng, bài báo đã đề xuất một khuôn khổ bốn bước về khả năng phục hồi trên không gian mạng. Khung lập luận rằng một chu trình xác định, bảo mật và giám sát các hệ thống quan trọng và các vectơ tấn công phổ biến có thể đảm bảo sự tồn tại và tính liên tục của hoạt động kinh doanh, nhưng chỉ khi lập kế hoạch và đào tạo khẩn cấp được thể chế hóa.
Nếu bạn thích bài viết này hoặc thấy nó hữu ích, vui lòng đăng ký webscout và tham gia danh sách chờ thông qua biểu mẫu ở cuối trang đích của chúng tôi để được thông báo về các tính năng mạnh mẽ mới. Cảm ơn bạn đã đọc. Giữ an toàn!
Đôi nét về tác giả
Jonathan A. (@deadsyn_), người sáng lập webscout.io.