Bài viết sau đây của ông Stephan Neumeier, Giám đốc Điều hành Kaspersky Khu vực Châu Á Thái Bình Dương (APAC) sẽ đưa ra một số gợi ý dành cho các doanh nghiệp nhỏ để lựa chọn giải pháp EDR phù hợp với nhu cầu.
Những vụ tấn công nhắm vào các doanh nghiệp vừa và nhỏ (SME) đang ngày càng trở nên tinh vi hơn, nghĩa là chúng không thể bị ngăn chặn một cách dễ dàng bằng các cơ chế bảo vệ thiết bị đầu cuối truyền thống. Trong nhiều trường hợp, cần phát hiện sự cố kịp thời để giảm thiểu bất cứ tác động tiêu cực tiềm ẩn nào. Tuy nhiên, công việc khó khăn này sẽ không thể hoàn thành nếu thiếu thông tin về thiết bị đầu cuối, khả năng phát hiện các hoạt động khả nghi và hiểu rõ quy trình thực hiện một vụ tấn công.
Dựa trên kinh nghiệm của chúng tôi, các SME hiểu rằng, họ cần phải nâng cao năng lực bảo mật bằng cách thường xuyên trao đổi với đại diện kinh doanh của chúng tôi để cập nhật thông tin về những giải pháp bảo mật cần thiết. Tuy nhiên, đối với những tổ chức mà bộ phận Công nghệ Thông tin đảm trách cả phần bảo mật – như thường thấy trong các SME – việc biến dự định này trở thành hiện thực có thể rất khó khăn. Đơn giản là vì họ không biết phải bắt đầu từ đâu. Dường như kế hoạch tối ưu nhất chính là trang bị một giải pháp tích hợp đầy đủ mọi tính năng.
Điều gì có thể xảy ra với cách tiếp cận này? Liệu các công ty có thể sàng lọc mọi dữ liệu và sự kiện mà giải pháp Phát hiện và Ứng phó của Thiết bị đầu cuối (Endpoint Detection and Response – EDR) hiện đại cung cấp, hay có khả năng phân biệt giữa cảnh báo sai và mối đe dọa bảo mật thực sự?
Trước hết là vấn đề chi phí. Một báo cáo của Kaspersky với tiêu đề: “Đặc tính kinh tế của bảo mật Công nghệ Thông tin trong năm 2019: Các doanh nghiệp đang đầu tư và tiết kiệm chi phí trong bảo mật mạng như thế nào?”, đã cho thấy tính trung bình, tỷ lệ chi tiêu vào bảo mật thông tin bằng khoảng một phần tư toàn bộ ngân sách công nghệ Thông tin. Điều đó hoàn toàn đúng với cả doanh nghiệp lớn và nhỏ, nhưng xét về con số tuyệt đối thì sẽ có sự khác biệt đáng kể. Trung bình, các tổ chức có từ 50-999 nhân viên ước tính đầu tư khoảng 267.000 USD vào bảo mật , trong khi đó, các doanh nghiệp lớn có hơn 1.000 nhân viên đầu tư trung bình khoảng 18,9 triệu USD. Do đó, giải pháp bảo mật dành cho khách hàng là doanh nghiệp lớn có thể sẽ không phù hợp với ngân sách của doanh nghiệp nhỏ hơn.
Ngoài ra, các khoản đầu tư cần thiết không chỉ cần có tiền. Các sản phẩm ở cấp độ doanh nghiệp lớn có thể rất khó lắp đặt và tích hợp với các giải pháp bảo mật của doanh nghiệp hiện tại. Một doanh nghiệp có bộ phận Công nghệ Thông tin lớn thì sẽ có nhân viên chịu trách nhiệm cho nhiệm vụ này. Tuy nhiên, điều đó lại có thể khó khăn hơn đối với công ty nhỏ với rất ít nhân viên duy trì toàn bộ hạ tầng.
Lựa chọn phương pháp thực sự phù hợp với qui mô của doanh nghiệp
Tất nhiên, tất cả những nỗ lực này đều hiệu quả khi có giải pháp bảo mật mới giúp bảo mật an ninh mạng của công ty. Tuy nhiên, trên thực tế, kể cả khi SME cố gắng bố trí ngân sách để triển khai một giải pháp ở cấp độ doanh nghiệp lớn mà không có đủ kiến thức chuyên môn về bảo mật thông tin thì sẽ rất khó có thể phát huy được hết chức năng của giải pháp.
Trước hết, các chức năng tiên tiến có thể không phù hợp với những yêu cầu nhất định của họ. Ví dụ như, nếu phát hiện một đối tượng khả nghi mà trước đó chưa được biết đến, một số tổ chức ít kinh nghiệm về an ninh mạng chỉ cần biết đó có phải là mã độc hay có cần ngăn chặn hay không. Trong khi đó, các tổ chức khác lại cần có bức tranh tổng quan hơn về các hành động của đối tượng và thông tin liên quan để tiến hành điều tra sâu hơn. Điều quan trọng là phải hiểu rõ các yêu cầu của tổ chức là gì và đội ngũ hiện tại có đủ năng lực để đáp ứng hay không. Tùy thuộc vào điều đó, công ty có thể ra quyết định về việc mua hàng.
Thứ hai, các sản phẩm bảo mật mạng được phát triển dành cho các chuyên gia phân tích bảo mật sẽ không phù hợp với quan điểm “đã cài đặt rồi thì không cần phải quan tâm nữa”. Ví dụ như, giải pháp EDR nhiều tính năng đòi hỏi đội ngũ chuyên gia phân tích với khả năng tinh chỉnh logic phát hiện và xây dựng các quy tắc mới để liên tục nâng cao khả năng phát hiện. Nếu không, khả năng chủ động tìm kiếm các dấu hiệu xâm nhập của giải pháp sẽ không phát huy hiệu quả.
Điều phổ biến trong các SME là có một nhà quản trị hệ thống giúp quản lý giải pháp bảo vệ thiết bị đầu cuối. Nhưng kể cả EDR, với khả năng cung cấp những năng lực cần thiết, cũng đòi hỏi một nhân viên có những kiến thức bảo mật cơ bản. Tất nhiên, việc tuyển dụng một đội ngũ các chuyên gia chuyên săn tìm mối đe dọa bảo mật hay các chuyên gia phân tích bảo mật mạng cấp cao là rất khó vì những người này luôn đòi hỏi mức lương rất cao. Do đó, các doanh nghiệp nên bắt đầu từ một nhân viên có kiến thức chuyên môn về bảo mật thông tin. Việc kết hợp với năng lực hiểu biết về bối cảnh Công nghệ Thông tin cho phép xác nhận các cảnh báo, loại bỏ các mối đe dọa bảo mật đồng thời tính đến rủi ro của hành động của doanh nghiệp, chẳng hạn như cô lập một máy trạm hay máy chủ nhất định, hoặc việc dừng một quy trình nghiệp vụ quan trọng.
EDR, khi không phát huy hiệu quả, chính là sự lãng phí ngân sách của SME. Đối với những tổn thất như vậy ở thời điểm ban đầu có thể làm cho các nhà lãnh đạo công ty nhụt chí trong việc phát triển các sáng kiến an ninh mạng: nếu họ không thấy được lợi ích thì chẳng có lý do gì để doanh nghiệp đầu tư vào các sản phẩm bảo mật khác?
Do đó, một tổ chức trước hết cần phải quyết định việc họ đã sẵn sàng tuyển dụng một nhân viên chịu trách nhiệm về các vấn đề bảo mật thông tin hay chưa. Nếu không, lựa chọn hiệu quả nhất chính là tìm kiếm sự trợ giúp từ các chuyên gia bên ngoài để phát hiện và ứng phó với sự cố bảo mật mạng.
Đối với những doanh nghiệp đã quyết định tự phát triển năng lực này, đầu tiên họ phải xác định được một giải pháp thật sự hữu ích mà không đòi hỏi đầu tư quá lớn vào các tài nguyên bổ sung – bao gồm cả tiền bạc và con người. Và để tránh những sai sót trên, chúng tôi đề xuất những hướng dẫn dưới đây:
- Để cung cấp thông tin về “các điểm mù” và các tính năng đáp ứng được tập trung hóa, EDR cần phải được tích hợp với một Nền tảng Bảo vệ Thiết bị đầu cuối (Endpoint Protection Platform – EPP). Nâng cao năng lực an ninh mạng là cả một quá trình cần tiến hóa từng bước. Sau khi một công ty có thể phát hiện các đối tượng độc hại bằng một giải pháp bảo vệ thiết bị đầu cuối, nó có thể mở rộng công nghệ hiện tại với năng lực hiểu rõ là đối tượng đó đến từ đâu và tìm kiếm, phát hiện mối đe dọa bảo mật này trên các máy trạm khác.
- Nếu một giải pháp EDR có thể được tích hợp một cách liền mạch với các giải pháp bảo mật thiết bị đầu cuối hiện tại theo một cách thức được tập trung hóa, điều đó sẽ giúp rút ngắn thời gian triển khai cần thiết. Do đó, trước khi mua một sản phẩm, hãy kiểm tra xem nó có hỗ trợ khả năng tích hợp sẵn với các EPP của bạn không.
- Nếu doanh nghiệp có một số ít nhân viên chịu trách nhiệm về vấn đề bảo mật, hãy đảm bảo rằng bạn lựa chọn được một giải pháp EDR với khả năng cung cấp thông tin và tính năng tự động hóa tốt để không làm quá tải công việc của một chuyên gia với thông tin không liên quan. Để đơn giản hóa hoạt động phân tích mối đe dọa bảo mật, tất cả thông tin về sự cố, từ giao diện đến đường đi của các cuộc tấn công nên được hiển thị bằng hình ảnh cụ thể. Chức năng tìm kiếm tự động các dấu hiệu chiếm quyền và các tính năng ứng phó với sự cố bảo mật sẽ góp phần tăng tốc độ mạng và nâng cao năng suất làm việc của nhân viên.