Với các giải pháp quản lý ATTT đáp ứng một nhu cầu cụ thể, có giới hạn, các tổ chức sẽ đầu tư tập trung vào các công cụ chuyên dụng. Tuy nhiên, giám sát ATTT không phải là vấn đề về các công cụ mà về vấn đề năng lực. Khi các tổ chức hiểu được năng lực cần thiết phải có, thì có thể xem xét cách hiệu quả nhất để giải quyết chúng theo khả năng của mình. Thay vì chỉ tập trung vào việc sẵn sàng giải quyết các lỗ hổng chưa biết hay việc làm sao xử lý các lỗ hổng một cách bí mật thì việc nắm bắt được các tính năng và chức năng phù hợp với công nghệ hiện tại cũng rất quan trọng.

Bên cạnh đó, các tổ chức cũng không nên cố gắng rút ngắn các giai đoạn giám sát và sử dụng hệ thống chạy tự động vì đây là một việc làm sai lầm. Ví dụ, trong một thời gian dài, các hệ thống phòng chống xâm nhập (IPS) có thể chặn một ứng dụng quan trọng, hợp pháp vì ứng dụng này thực thi theo cách mà IPS quy định. Nếu như không có sự phân tích kịp thời từ các chuyên gia giám sát, hành động này sẽ tiếp tục tiếp diễn. Tương tự, các công cụ tự động hóa ngày nay có thể thực hiện việc sửa chữa dựa trên các cảnh báo giả liên tục do SIEM hoặc các công cụ bảo mật khác tạo ra. Điều này cũng gây lãng phí tài nguyên. Ngay cả khi giả định rằng, các cảnh báo là chính xác 100% thì quản trị viên được khuyến cáo, không sử dụng một hệ thống tự động thực hiện việc khắc phục các cảnh báo. Điều này khiến hệ thống luôn trong tình trạng khẩn cấp.

Như vậy, cần có một khuôn khổ giám sát an ATTT và năng lực cần thiết trong từng giai đoạn: phát hiện, quản lý dữ liệu, phân tích và phân loại, giải uyết/phản hổi.

Giai đoạn phát hiện

Mục tiêu của giai đoạn này là xác định hoạt động hoặc cảnh báo thể hiện có yếu tố độc hại đã qua mặt được các biện pháp phòng chống của hệ thống.

Có rất nhiều công cụ phát hiện mối đe dọa, từ công cụ phát hiện phần mềm độc hại mạng nội bộ đến công cụ bảo vệ điểm cuối. Các tổ chức nên chọn những giải pháp phù hợp, với một số lưu ý sau:

Các tổ chức nên thận trọng, tránh sử dụng các công cụ làm lãng phí thời gian. Một công cụ phát hiện chỉ thực thi chính xác nhất trong đúng môi trường mà nó hoạt động. Điều này rất quan trọng, ví dụ, một công cụ phát hiện dựa vào điểm cuối có thể truy cập trực tiếp vào tất cả khía cạnh cốt lõi của hệ thống, bao gồm hệ thống tập tin và bộ nhớ, nhưng nó không hiểu bên trong, chẳng hạn như các giao dịch mạng doanh nghiệp ngoài máy chủ.

Việc hiểu biết hoạt động tại ứng dụng hoặc các mức độ cơ sở dữ liệu của hệ thống là một công việc cần thiết. Đó là lý do giai đoạn phát hiện là một giai đoạn cần đưa ra được các giải pháp điểm (tập trung vào các mục tiêu cụ thể). Lưu ý rằng, các tổ chức cần đảm bảo vùng phát hiện trong hệ thống của mình bao quát hết trên toàn bộ tầng ứng dụng theo chiều dọc và cần được xây dựng bởi các chuyên gia.   

Giai đoạn phát hiện nên diễn ra càng gần với các ứng dụng và dữ liệu quan trọng càng tốt. Nhiều trong số chúng thường dựa trên phần mềm sử dụng như dịch vụ (SaaS) và có thể không bị giám sát bởi hệ thống hiện thời của tổ chức.

Một số lợi ích trong các khả năng phát hiện có thể mở rộng thành giải pháp để quản lý dữ liệu của tổ chức. Điều này đặc biệt phù hợp để giám sát các ứng dụng và môi trường máy chủ hoạt động ngoài sự kiểm soát của người dùng. Việc sử dụng các công cụ học máy và phát hiện dị thường có thể hữu ích, nhưng cần đảm bảo các chính sách của nhà cung cấp phù hợp với môi trường và dữ liệu đặc biệt của tổ chức. Tương tự đối với các cảnh báo và nguồn cung cấp dữ liệu.

Quản lý dữ liệu

Mục tiêu của giai đoạn này là củng cố về môi trường giám sát, trong đó các mối đe dọa và hoạt động nguy hiểm đã được phát hiện càng nhiều càng tốt.

Hãy chú ý những dữ liệu cần thu thập để giám sát an ninh. Bên ngoài các nghi ngờ thông thường như chứng thực, tường lửa và các bản ghi proxy, hãy xem xét đến nơi dữ liệu quan trọng được lưu, ứng dụng nào quản lý dữ liệu đó, các truy cập vào dữ liệu mà đã được cung cấp và kiểm soát, các kiểu tấn công tiềm tàng chống lại dữ liệu đó và loại thông tin mà nhóm phản ứng sự cố của tổ chức cần thu thập trong trường hợp có vi phạm dữ liệu.

Trong trường hợp lý tưởng, dữ liệu hoạt động cần được thu thập từ mọi hệ thống, mạng và ứng dụng (đầy đủ stack) có liên quan đến việc quản lý các tài sản dữ liệu quan trọng của tổ chức. Việc giám sát các công cụ phòng chống cũng nên có phạm vi. Các tổ chức cần có khả năng để nắm bắt được các trường hợp xảy ra, kể cả khi việc phòng chống thành công hay thất bại, đây là điều tối quan trọng để cải thiện trạng thái bảo mật của hệ thống.

Trước kia, nhiều dữ liệu ghi có dung lượng lớn và giá trị thấp, không thu thập được do hiệu suất không cao và chi phí cho giải pháp lớn. Tuy nhiên, ngày nay các giải pháp nguồn mở đã có khả năng mở rộng cao, nên các tổ chức có thể thu thập và phân tích được tất cả các bản ghi (máy trạm cục bộ, giao dịch cơ sở dữ liệu và bản ghi ứng dụng). Ngoài các bản ghi sự kiện này, tổ chức cũng cần có dữ liệu theo ngữ cảnh, chẳng hạn như tài sản, danh mục ứng dụng, cấu hình cơ sở hạ tầng…. từ đó lập danh sách tất cả dữ liệu và kết hợp sử dụng một công cụ quản lý tài nguyên tốt. Bên cạnh đó, tổ chức cũng cần thực hiện việc trích xuất dữ liệu thường xuyên, lưu trữ chúng trong các kho dữ liệu lớn và tương quan dữ liệu với các thông tin khác trong bản ghi của mình.           

Dữ liệu thu thập phải được mô hình hóa và chuẩn hóa. Mô hình hóa bao gồm việc sắp xếp dữ liệu bản ghi cấu trúc thành các trường giống nhau. Các ứng viên điển hình nhất cho trường khai thác là các bản ghi của một số dịch vụ Unix nhất định. Điều này có thể thực hiện được, do hầu hết các giải pháp hiện nay đều có khả năng tạo ra dữ liệu đăng nhập trong cấu trúc JSON hoặc một vài dạng khóa/giá trị khác. Mối quan tâm lớn hơn là tiêu chuẩn hóa dữ liệu trên nhiều giải pháp và các nhà cung cấp. Các dữ liệu phải phù hợp theo cùng một tiêu chuẩn tốt.Ví dụ, mô hình thông tin chung (Common Information Model - CIM) là một lựa chọn tốt và khả thi, mô hình dữ liệu mở (Open Data Model - ODM) từ dự án Apache Spot cũng là một lựa chọn hàng đầu cho các tổ chức. Chúng có phạm vi phong phú về cả sự kiện và các cấu trúc dữ liệu theo ngữ cảnh, bao gồm các mô hình theo ngữ cảnh cho User, Endpoint, VPN và Network. ODM cung cấp một nền tảng tốt cho việc theo dõi và phân tích bảo mật mã nguồn mở với tất cả lợi ích của khả năng mở rộng theo dữ liệu lớn.

Phân tích và phân loại

Mục tiêu của giai đoạn này là cung cấp cho các nhà phân tích ATTT một môi trường tốt để nhanh chóng xác định những cảnh báo tấn công và tiến hành điều tra sự cố bảo mật.

Cảnh báo được phân loại yêu cầu thông tin theo ngữ cảnh sẽ giảm bớt khối lượng công việc khi phân tích. Với khối lượng lớn các cảnh báo được báo cáo bởi các công cụ phát hiện khác nhau, danh sách hàng đợi cần xử lý của các nhà phân tích sẽ rất dài. Trong khí đó, hầu hết các nhóm chỉ có khả năng điều tra 5 - 10% các cảnh báo hàng ngày. Nếu một nhà phân tích có thể xác định một cảnh báo thực hay giả càng nhanh thì họ có thể sớm chuyển sang công việc khác quan trọng hơn.

Một khi các nhà phân tích đã thu thập được đủ bằng chứng để xác định một cảnh báo là thật, công việc cần làm sẽ là: tái tạo lại toàn bộ kịch bản về sự thỏa hiệp từ điểm xuất phát, đến các bước tiếp theo bao gồm mọi hệ thống liên quan, chứng chỉ và truy cập điểm dữ liệu thành công. Thách thức lớn nhất trong giai đoạn này là đảm bảo hiệu suất tương tác đầy đủ cho các nền tảng dữ liệu phân tán.

Các nhà phân tích cần có thời gian nghiên cứu xuyên suốt hệ thống và các sự kiện ứng dụng, có thể cần sự giúp đỡ của chuyên gia để làm cho môi trường phân tích của mình nhanh hơn. Các khả năng khác cần thiết cho giai đoạn phân tích là sự hợp tác và duy trì hiểu biết.

Mỗi tổ chức đều có nhân viên nắm giữ hầu hết thông tin về hệ thống. Các tổ chức cần đảm bảo rằng, việc thu thập và phân tích dữ liệu không bị gián đoạn khi những nhân viên này rời tổ chức. Đồng thời, các kết quả phân tích nên được chia sẻ với các thành viên trong nhóm hoặc tổ chức. Các thủ thuật, kiến thức về các sự kiện đã xảy ra, các chỉ số, các trường hợp tấn công nên được chia sẻ theo cách có liên quan đến các sự kiện cụ thể và có dữ liệu bổ sung để hoàn thiện sự kiện.

Cuối cùng, các tổ chức cần phải có một khung tiến trình công việc đảm bảo an toàn ở mức cao nhất.

Giải quyết/ Phản hồi

Mục tiêu của giai đoạn này là đóng các lỗ hổng bảo mật nhanh chóng và triệt để khi có phát hiện một sự cố bảo mật.

Trong nhiều năm, các nhóm ứng phó sự cố thường sử dụng các kịch bản khắc phục đã có. Tuy nhiên, gần đây việc điều phối bảo mật đã trở thành một xu thế mới. Việc sử dụng các công cụ khắc phục tự động là chìa khóa để đóng các lỗ hổng, đặc biệt là trong một sự cố thực sự. Điều quan trọng là việc này phải đáp ứng được nhanh chóng chứ không nên chỉ đánh dấu các sự cố để xử lý sau vì trong quá trình đó kẻ tấn công vẫn có thể truy cập hê thống mạng.

Kết luận

SIEM là giải pháp hàng đầu trong môi trường giám sát ATTT. Bên cạnh đó, các giải pháp điểm đang tăng nhanh chóng trong các TC/DN. Tuy nhiên, nhiều môi trường mạng giám sát đang thay đổi do tác động của dữ liệu lớn và dịch vụ đám mây, do đó, việc cần có một phương pháp tiếp cận theo năng lực sẽ trở nên quan trọng. Khi tổ chức xây dựng chương trình giám sát ATTT cần đặt trọng tâm vào các năng lực nền tảng, sau đó mới đến công nghệ. Khi đó, các nhà phân tích ATTT sẽ có cơ sở cần thiết để xác định, phân tích và khắc phục các sự cố một cách hiệu quả.