Điểm mù của MDR: Tại sao các cảnh báo quan trọng vẫn bị bỏ qua và cái giá mà CISO phải trả

Lời hứa của Dịch vụ Phát hiện và Phản hồi Được Quản lý (MDR) rất rõ ràng: đội ngũ chuyên gia giám sát tình hình bảo mật của tổ chức 24/7, giảm bớt gánh nặng lớn của việc xây dựng và vận hành một Trung tâm Điều hành An ninh (SOC) nội bộ. Tuy nhiên, một mô hình sự cố đáng lo ngại đã xuất hiện, cho thấy rằng ngay cả với các khoản đầu tư đáng kể vào MDR, các cảnh báo quan trọng vẫn bị bỏ qua, dẫn đến các vụ vi phạm kéo dài nhiều ngày với hậu quả nghiêm trọng. Đây không phải là một lỗi riêng lẻ; đó là một thách thức hệ thống bắt nguồn từ khối lượng và sự phức tạp khổng lồ của các mối đe dọa hiện đại.

Điều gì đã xảy ra

kịch bản lặp đi lặp lại thường xuyên một cách đáng báo động: một tổ chức ký hợp đồng với nhà cung cấp MDR để phát hiện và ứng phó mối đe dọa toàn diện. Các cuộc tấn công ban đầu bắt đầu, tạo ra các cảnh báo trong cơ sở hạ tầng bảo mật. Tuy nhiên, những cảnh báo quan trọng này, cho thấy các giai đoạn đầu của sự xâm nhập hoặc hoạt động dai dẳng, hoặc không được leo thang, hoặc bị hạ cấp ưu tiên, hoặc đơn giản là không được xem xét. Kẻ tấn công, không bị cản trở, tiếp tục hoạt động trong nhiều ngày, đôi khi vài tuần, trước khi vi phạm cuối cùng được phát hiện, thường là bởi một bên thứ ba hoặc thông qua tác động thảm khốc. Mô hình này nhấn mạnh một lỗ hổng nghiêm trọng trong sự cảnh giác 24/7 được mong đợi của các dịch vụ MDR.

Một số phân tích cho thấy một phần đáng kể các cảnh báo có thể không được xem xét trong các doanh nghiệp lớn. Điều này cho thấy một vấn đề cơ bản đáng kể – một lượng lớn dữ liệu đo từ xa về bảo mật có thể làm quá tải ngay cả các hoạt động do con người dẫn dắt phức tạp. Khi các cảnh báo được thiết kế để báo hiệu một cuộc xâm nhập liên tục bị bỏ qua, hiệu quả của toàn bộ khung phát hiện và phản hồi sẽ bị ảnh hưởng nghiêm trọng.

Tại sao mô hình này cứ lặp lại

Hiện tượng bỏ lỡ cảnh báo, đặc biệt là những cảnh báo cho phép các vụ vi phạm kéo dài nhiều ngày, phần lớn là do tình trạng mệt mỏi cảnh báo. Đây không chỉ là vấn đề của con người; đó là vấn đề kiến trúc. Tình trạng mệt mỏi cảnh báo phát sinh từ một số yếu tố liên kết. Đầu tiên, sự tràn lan công cụ: các tổ chức thường triển khai nhiều công cụ bảo mật, mỗi công cụ tạo ra luồng cảnh báo riêng, thường có thông tin chồng chéo hoặc mâu thuẫn. Điều này tạo ra một mớ hỗn độn các thông báo mà các nhà phân tích bảo mật phải sàng lọc.

Thứ hai, dữ liệu đo từ xa và cảnh báo không được lọc: nhiều hệ thống được cấu hình để thu thập một phạm vi rộng, thu thập lượng lớn dữ liệu mà không có đủ quá trình xử lý trước hoặc ưu tiên. Điều này dẫn đến khối lượng lớn các cảnh báo có độ trung thực thấp làm lu mờ các tín hiệu thực sự quan trọng. Thêm vào đó là tỷ lệ dương tính giả cao, trong đó các hành vi hệ thống hợp pháp bị gắn cờ là đáng ngờ, càng làm cho các nhà phân tích mất nhạy cảm với các mối đe dọa thực tế. Yếu tố con người, mặc dù rất quan trọng, có thể trở thành một nút thắt cổ chai khi đối mặt với một hàng đợi thông báo không thể quản lý, dẫn đến bỏ lỡ các cảnh báo quan trọng và chậm trễ trong phản ứng sự cố. Sự gia tăng kiệt sức và luân chuyển nhân sự trong số các nhà phân tích bảo mật do áp lực không ngừng này càng làm trầm trọng thêm vấn đề.

Kế hoạch hành động của kẻ tấn công từng bước một

Kẻ tấn công nhận thức rõ các lỗ hổng này và khai thác chúng một cách có hệ thống. Kế hoạch hành động của chúng thường bắt đầu bằng việc truy cập ban đầu, tận dụng lừa đảo, các lỗ hổng chưa được vá hoặc thông tin đăng nhập bị xâm phạm. Khi đã vào được bên trong, chúng di chuyển chậm rãi và có chủ ý. Các hành động ban đầu của chúng – trinh sát, leo thang đặc quyền hoặc thiết lập sự kiên trì – có thể tạo ra các cảnh báo khối lượng thấp hoặc mơ hồ mà, riêng lẻ, không báo hiệu "vi phạm". Tuy nhiên, những cảnh báo có vẻ vô hại này, khi được tương quan, vẽ nên một bức tranh rõ ràng hơn về ý định độc hại.

Biết rằng một phần đáng kể các cảnh báo có thể không được xem xét, kẻ tấn công có thể hoạt động với một mức độ tự tin nhất định rằng việc thăm dò ban đầu và di chuyển ngang của chúng có thể không kích hoạt phản ứng ưu tiên cao ngay lập tức từ con người. Chúng khai thác sự chậm trễ giữa việc tạo cảnh báo và việc xem xét cảnh báo đó, sử dụng khoảng thời gian này để củng cố chỗ đứng, trích xuất dữ liệu dần dần hoặc chuẩn bị cho một giai đoạn có tác động lớn hơn, chẳng hạn như triển khai ransomware. Vi phạm kéo dài nhiều ngày không phải là một tai nạn; nó thường là hậu quả của việc kẻ tấn công kiên nhẫn điều hướng qua sự nhiễu loạn và quá tải cảnh báo vốn có trong nhiều môi trường bảo mật doanh nghiệp.

Những gì các nhà phòng thủ đã bỏ lỡ

Các nhà phòng thủ, hay nói chính xác hơn, các dịch vụ MDR mà họ tin cậy, thường bỏ lỡ bức tranh tổng thể. Lỗi chính không nhất thiết là thiếu công nghệ phát hiện, mà là thiếu sự ưu tiên và tương quan hiệu quả. Các cảnh báo riêng lẻ có thể tồn tại trong hệ thống, nhưng các nhà phân tích con người, bị gánh nặng bởi sự mệt mỏi cảnh báo, hoặc bỏ qua chúng hoặc hiểu sai ý nghĩa tổng hợp của chúng. Điều này dẫn đến bỏ lỡ các cảnh báo quan trọng và, do đó, chậm trễ trong phản ứng sự cố. Nguy hiểm ở đây là rất lớn: phản ứng chậm trễ có thể làm tăng đáng kể thiệt hại và chi phí của một vụ vi phạm, biến một sự cố được kiểm soát thành một cuộc khủng hoảng toàn diện.

Vấn đề cốt lõi nằm ở việc không thể liên tục phân biệt giữa nhiễu lành tính và các chỉ báo mối đe dọa thực sự ở quy mô và tốc độ. Mặc dù MDR kết hợp công nghệ phát hiện, thông tin tình báo về mối đe dọa và các nhà phân tích con người, nhưng yếu tố con người có thể bị quá tải bởi khối lượng lớn. Trọng tâm thường vẫn là phân tích phản ứng các cảnh báo riêng lẻ thay vì săn lùng chủ động các mẫu hoạt động độc hại tinh vi, tương quan có thể kéo dài nhiều ngày hoặc nhiều tuần. Điều này cho phép kẻ tấn công duy trì sự ẩn mình và đạt được mục tiêu của chúng trong một thời gian dài.

Khối lượng lớn các cảnh báo bảo mật, thường không được ưu tiên và có tỷ lệ dương tính giả cao, đã vô tình tạo ra lợi thế chiến lược cho những kẻ tấn công kiên nhẫn, biến lời hứa 24/7 của MDR thành phản ứng chậm trễ trong thực tế.

Danh sách kiểm tra phòng thủ thực tế

Để giảm thiểu rủi ro bỏ lỡ cảnh báo và các vụ vi phạm kéo dài nhiều ngày, các CISO và kỹ sư bảo mật nên thực hiện một chiến lược đa chiều:

• Tối ưu hóa ngưỡng và quy tắc cảnh báo: Liên tục xem xét và tinh chỉnh các cấu hình công cụ bảo mật để giảm dương tính giả và nâng cao tỷ lệ tín hiệu trên nhiễu của các cảnh báo. Tập trung vào các chỉ báo xâm nhập có độ trung thực cao.
• Triển khai các khung ưu tiên cảnh báo mạnh mẽ: Phát triển và thực thi các sơ đồ ưu tiên rõ ràng, tự động hóa để leo thang các cảnh báo thực sự quan trọng dựa trên ngữ cảnh, mức độ quan trọng của tài sản và thông tin tình báo về mối đe dọa.
• Hợp nhất và tích hợp dữ liệu đo từ xa về bảo mật: Hướng tới một cái nhìn thống nhất về dữ liệu bảo mật, tích hợp các cảnh báo từ các công cụ khác nhau vào một SIEM hoặc hồ dữ liệu trung tâm để cho phép tương quan đa nền tảng.
• Kiểm tra hiệu quả của MDR thường xuyên: Thực hiện các thử nghiệm thâm nhập định kỳ, thực tế và các bài tập đội đỏ được thiết kế đặc biệt để kích hoạt cảnh báo và đánh giá khả năng phát hiện và phản ứng của nhà cung cấp MDR.
• Tập trung vào phân tích hành vi: Vượt ra ngoài phát hiện dựa trên chữ ký để tận dụng phân tích hành vi có thể xác định hoạt động người dùng hoặc hệ thống bất thường cho thấy các mối đe dọa nâng cao, ngay cả với các cảnh báo khối lượng thấp.
• Nâng cao khả năng săn lùng mối đe dọa: Bổ sung phát hiện tự động bằng cách săn lùng mối đe dọa chủ động, do con người dẫn dắt để khám phá các chỉ báo xâm nhập tinh vi có thể thoát khỏi các hệ thống tự động.
• Thiết lập các giao thức liên lạc rõ ràng với MDR: Xác định SLA nghiêm ngặt để xem xét và phản ứng cảnh báo, đảm bảo các đường dẫn leo thang nhanh chóng cho các sự cố quan trọng và các vòng phản hồi rõ ràng để cải tiến liên tục.

Cách thức kiểm thử tấn công hiện đại đã phát hiện ra điều này

Vấn đề dai dẳng về bỏ lỡ cảnh báo làm nổi bật nhu cầu cấp thiết về xác thực chủ động các biện pháp kiểm soát bảo mật. Đây là nơi kiểm thử tấn công hiện đại, đặc biệt là kiểm thử tấn công tự động với các bằng chứng khái niệm (PoC) có thể thực thi, trở nên không thể thiếu. Kiểm thử thâm nhập truyền thống, mặc dù có giá trị, chỉ cung cấp một cái nhìn tổng quan tại một thời điểm. Điều cần thiết là kiểm thử liên tục, thích ứng, phản ánh các phương pháp của kẻ tấn công trong thế giới thực.

Các nền tảng thực hiện kiểm thử tấn công tự động với các PoC có thể thực thi có thể giải quyết trực tiếp vấn đề này. Thay vì chỉ mô phỏng một cuộc tấn công, chúng thực hiện các kỹ thuật tấn công trong thế giới thực chống lại các biện pháp phòng thủ của tổ chức, bao gồm cả dịch vụ MDR của nó. Quá trình xác thực liên tục này sẽ tạo ra chính các cảnh báo mà kẻ tấn công thường kích hoạt. Bằng cách quan sát xem liệu các cảnh báo được tạo ra bởi PoC có thể thực thi này có được nhà cung cấp MDR phát hiện, ưu tiên và hành động trong khung thời gian chấp nhận được hay không, các tổ chức có thể có được cái nhìn sâu sắc theo thời gian thực về các điểm mù tiềm ẩn. Cách tiếp cận này kiểm tra hiệu quả toàn bộ chuỗi phát hiện và phản ứng, xác định nơi các cảnh báo bị bỏ lỡ hoặc xử lý sai trước khi một đối thủ thực sự khai thác những điểm yếu đó.

Những điều cần theo dõi tiếp theo

Bối cảnh an ninh mạng đang phát triển nhanh chóng, với cả kẻ tấn công và nhà phòng thủ đều áp dụng AI. Cuộc chạy đua vũ trang này chắc chắn sẽ tác động đến các dịch vụ MDR. Các cuộc thảo luận gần đây trong ngành đã nhấn mạnh sự cần thiết phải 'Suy nghĩ lại về MDR khi kẻ tấn công và nhà phòng thủ áp dụng AI'. Khi các công cụ do AI hỗ trợ trở nên phổ biến hơn cho cả tấn công và phòng thủ, khối lượng và sự tinh vi của các cảnh báo sẽ chỉ tăng lên. Các nhà cung cấp MDR đã và đang tích hợp hỗ trợ do AI hỗ trợ để nâng cao khả năng của họ, nhưng thách thức cơ bản của việc sàng lọc một lượng lớn dữ liệu và xác định các mối đe dọa thực sự sẽ vẫn còn.

Các CISO nên theo dõi chặt chẽ cách các nhà cung cấp MDR tích hợp AI không chỉ để tạo cảnh báo mà còn để tương quan cảnh báo thông minh, ưu tiên và phản ứng ban đầu tự động. Tương lai của MDR hiệu quả có thể sẽ phụ thuộc vào khả năng tận dụng AI để loại bỏ sự nhiễu loạn, trao quyền cho các nhà phân tích con người tập trung vào các mối đe dọa quan trọng nhất, có độ trung thực cao. Xác thực liên tục thông qua kiểm thử tấn công tự động sẽ trở nên quan trọng hơn nữa để đảm bảo rằng các biện pháp phòng thủ dựa trên AI đang phát triển này thực sự hiệu quả chống lại một bối cảnh mối đe dọa cũng đang phát triển tương tự.