Mặc dù 82% các CISO đã đánh giá lại chính sách an toàn của họ để đáp ứng hỗ trợ cần thiết cho đội ngũ làm việc tại nhà và từ xa, nhưng điểm cuối vẫn thường chưa cài đặt đủ bản vá an toàn hoặc bị quá tải do các phần mềm xung đột. Đây là một trong những phát hiện từ báo cáo của Tập đoàn chuyên về an toàn điểm cuối và zero-trust Absolute Software (Canada) vào đầu năm 2022. Nội dung báo cáo cho biết, việc cấu hình quá nhiều cho các điểm cuối khiến chúng dễ bị tấn công và không phát huy đươc hiệu quả.
Các CISO và đội ngũ của họ có nhiều định hướng chiến lược khả thi đối với an toàn điểm cuối vào năm 2022. Xác định các xu hướng sẽ thúc đẩy kết quả tích cực đến từ các khoản đầu tư cho an toàn điểm cuối. Với mục tiêu đó, sau đây là các xu hướng sẽ cải thiện an toàn điểm cuối tốt nhất vào năm 2022.
Mô hình Zero-Trust trong an toàn điểm cuối sẽ gia tăng vào năm 2022
Các CISO cho biết rằng, các quyết định về khung an toàn zero-trust hoặc truy cập mạng zerotrust (ZTNA) là những cơ sở để xây dựng các công việc mà họ cần để có thêm vốn đầu tư trong tương lai. Khảo sát về động lực thị trường zero-trust của công ty an ninh mạng Ericom (Mỹ) công bố vào đầu năm 2022 cho thấy, 80% tổ chức có kế hoạch triển khai zero-trust trong vòng chưa đầy 12 tháng và 83% đồng ý rằng zero-trust là cần thiết trong chiến lược cho hoạt động kinh doanh đang diễn ra.
Cuộc khảo sát xác nhận rằng, các khoản đầu tư vào an ninh mạng cũng giống như một quyết định hoạt động kinh doanh. Các tổ chức cần đảm bảo khung an toàn zero-trust của họ với quản lý truy cập danh tính, an toàn mạng và an toàn website được nhất quán với tiếp cận định hướng kinh doanh để tài trợ cho khung an toàn mạng mới. Ba lĩnh vực này là trọng yếu để đảm bảo cơ sở hạ tầng công nghệ thông tin (CNTT), hệ thống vận hành và bảo vệ danh tính, dữ liệu của khách hàng, kênh mạng.
Báo cáo mới nhất của Công ty tư vấn và nghiên cứu công nghệ Gartner (Mỹ) về an toàn điểm cuối cho thấy, thế hệ ứng dụng ZTNA hiện tại đã cải thiện trải nghiệm người dùng, tăng tính linh hoạt tùy biến và cải thiện khả năng thích ứng dựa trên vai trò và cá nhân. Gartner cũng lưu ý rằng, ZTNA dựa trên đám mây cung cấp khả năng mở rộng và dễ áp dụng.
Áp dụng công cụ phát hiện và ứng phó mở rộng
Một trong những xu hướng công cụ đảm bảo an toàn thu hút sự chú ý nhất hiện tại là công cụ phát hiện và ứng phó mở rộng (Extended Detection and Respone - XDR). Theo công ty khoa học dữ liệu và tình báo về mối đe dọa an ninh mạng Bambenek (Mỹ), các tổ chức mong muốn có các cơ chế phát hiện xâm phạm mạnh mẽ như XDR để quản lý rủi ro tổng thể một cách đơn giản hơn.
Các công nghệ an toàn mới nổi, bao gồm XDR, hợp nhất các công cụ an toàn khác nhau thành một nền tảng, loại bỏ nhu cầu làm việc với các công cụ của nhiều nhà cung cấp và hi vọng tất cả chúng đều tích hợp trơn tru. XDR cải thiện khả năng phát hiện mã độc qua hệ thống phát hiện và ứng phó điểm cuối (Endpoint Detection and Response - EDR). XDR cải thiện các khả năng của EDR để triển khai các giải pháp an toàn cao cấp bằng cách sử dụng các công nghệ tân tiến, chủ động xác định và thu thập các mối đe dọa, đồng thời áp dụng các chiến lược để phát hiện các mối đe dọa an ninh mạng trong tương lai. Đây là giải pháp thay thế cho các giải pháp bảo vệ điểm cuối ứng phỏ, chẳng hạn như EDR và phân tích lưu lượng mạng.
Ông Steven Kent, Giám đốc kỹ thuật của Công ty tư vấn an ninh mạng onShore (Mỹ) cho biết, các tổ chức đang thấy được rằng các công cụ cung cấp khả năng phát hiện và ứng phó tốt hơn sẽ tập trung vào các thiết bị đầu cuối và đội ngũ từ xa, đám mây.
Điểm cuối tự phục hồi sẽ có một năm đột phá
Các tổ chức đang đẩy nhanh việc áp dụng các nền tảng điểm cuối tự phục hồi, vì họ cần bảo đảm an toàn điểm cuối một cách bền bỉ, linh hoạt để cung cấp khả năng hiển thị và kiểm soát tốt hơn. Các CISO từ mọi lĩnh vực như chăm sóc sức khỏe, bảo hiểm, dịch vụ tài chính và sản xuất đã cho biết rằng, điểm cuối tự phục hồi là ưu tiên hàng đầu năm 2022, với tiềm năng mang lại quy mô, an toàn và tốc độ lớn hơn cho các hoạt động CNTT và an ninh mạng.
Điểm cuối tự phục hồi có khả năng tự chẩn đoán, được thiết kế để khi kết hợp với thông tin thích ứng sẽ xác định các hành vi xâm phạm và thực hiện hành động ngay để ngăn chặn chúng. Sau đó, các điểm cuối tự phục hồi sẽ tự tắt, kiểm tra lại tất cả các phiên bản hệ điều hành và ứng dụng, bao gồm cả các cập nhật bản vá và tự đặt lại về cấu hình an toàn, tối ưu hóa. Tất cả những hoạt động này diễn ra mà không có sự can thiệp của con người. Mạng tự phục hồi của Absolute Software, Akamai, Blackberry, Cisco, Ivanti, Malwarebytes, McAfee, Microsoft 365,… và nhiều doanh nghiệp khác đều tuyên bố rằng các điểm cuối của họ có thể tự phục hồi một cách tự động.
Công nghệ trí tuệ nhân tạo (AI), phân tích hành vi, các công nghệ nhúng Firmwware sẽ góp phần quản lý điểm cuối
Cách tiếp cận độc đáo của Absolute Software trong việc cung cấp các điểm cuối tự phục hồi dựa trên các kết nối nhúng firmware không thể bị xóa từ mọi điểm cuối trên máy tính để bàn, kết hợp với khả năng hiển thị và kiểm soát thiết bị điểm cuối theo thời gian thực, khiến chúng trở thành một ví dụ điển hình về sự đổi mới đang diễn ra đối với an toàn điểm cuối ngày nay. Khách hàng của Absolute Software cho biết, công nghệ Persistence của họ bảo vệ hiệu quả các điểm cuối, mang lại khả năng phục hồi và phản ứng tự động đối với các nỗ lực xâm phạm.
Một cải tiến khác trong an toàn điểm cuối đến từ công ty giải pháp phần mềm an ninh mạng Ivanti (Mỹ) với nền tảng Neurons dựa trên AI với các bot để xác định các điểm bất thường và truy tìm mối đe dọa theo thời gian thực, loại bỏ các mối đe dọa. Một trong những mục tiêu thiết kế của Neurons là cải thiện quản lý dịch vụ CNTT và quản lý tài sản CNTT, để đội ngũ CNTT có một bức tranh toàn cảnh về các tài sản CNTT trên đám mây và tại chỗ.
Một sự đổi mới khác của Microsoft Defender 365 có khả năng phát hiện dựa trên hành vi và học máy (Machine Learning - ML) để tự hồi phục các điểm cuối. Với việc liên tục quét mọi đối tượng trong Outlook 365, Microsoft Defender 365 là một trong những chương trình chống virus với điểm cuối tự phục hồi tiên tiến nhất trong việc tìm mối liên hệ trong dữ liệu từ email, điểm cuối, định danh và ứng dụng. Khi nghi ngờ có mối đe dọa, kết quả điều tra tự động sẽ phân loại mối đe dọa tiềm ẩn là độc hại, đáng ngờ hoặc không tìm thấy mối đe dọa nào. Sau đó, Defender 365 thực hiện hành động một cách tự động để xử lý mã độc hoặc đối tượng đáng ngờ.
Chuyển sang hướng tiếp cận dựa trên AI và ML chống lại mã độc tống tiền
Năm 2021 là năm có tình hình tấn công mã độc tống tiền đáng e ngại, với các trường học và bệnh viện nằm trong số các tổ chức bị tấn công nhiều nhất trên toàn cầu. Tin tặc tập trung vào những đối tượng này trước vì có ngân sách an toàn mạng nhỏ nhất và khả năng phòng thủ yếu nhất. Theo Báo cáo Mối đe dọa Không gian mạng của công ty giải pháp an ninh mạng Sonicwall (Mỹ) năm 2021, trong sáu tháng đầu năm 2021, mã độc tống tiền toàn cầu đạt kỷ lục 304,7 triệu cuộc tấn công có chủ đích, vượt qua 304,6 triệu cuộc tấn công có chủ đích trong suốt năm 2020. Một số cuộc tấn công mã độc tống tiền cao cấp, bao gồm Colonial Pipeline, Kaseya và JBS Meat Packing, phản ánh cách tin tặc tập trung vào sự gián đoạn quy mô lớn để thúc đẩy các khoản thanh toán bitcoin và tiền điện tử cao hơn. Khi các CISO dựa vào các phương pháp tiếp cận dựa trên tài sản để bảo vệ điểm cuối, có khả năng không phải tất cả các bản cập nhật vá lỗi sẽ được áp dụng nhất quán trên từng thiết bị điểm cuối.
Thay vì dựa vào các phương pháp tiếp cận dựa trên tài sản, năm 2022 các CISO và đội ngũ bảo mật sẽ áp dụng nhiều phương pháp tiếp cận dựa trên AI và ML hơn, tận dụng các thuật toán ML có giám sát và mạng nơ-ron phức hợp, kết hợp với công nghệ bot để xác định sự bất thường trong dữ liệu nhanh hơn cách tiếp cận dựa trên tài sản. Bot có thể xác định điểm cuối nào cần cập nhật và mức độ rủi ro có thể xảy ra, tạo dữ liệu lịch sử và dữ liệu mới nhất để xác định các cập nhật bản vá cụ thể và trình tự xây dựng mà một thiết bị điểm cuối cần.
Việc Microsoft mua lại Công ty an ninh mạng RiskIQ (Mỹ) và Ivanti mua lại công ty nền tảng an ninh mạng RiskSense (Mỹ) là dấu hiệu về các vụ mua bán và sáp nhập tiếp theo vào năm 2022, để tập trung vào việc ngăn chặn các cuộc tấn công mã độc tống tiền. Ivanti đã có được tập dữ liệu lớn nhất và đa dạng nhất về các cuộc tấn công mã độc tống tiền hiện có bằng cách mua lại RiskSense, cùng với các công cụ thông tin tình báo lỗ hổng và đánh giá rủi ro lỗ hổng của họ. Công cụ Risk Rating của RiskSense bao gồm quản lý bản vá hướng dữ liệu, ưu tiên và định lượng rủi ro dựa trên các yếu tố như thông tin về mối đe dọa, xu hướng khai thác lỗ hổng trong thực tế và xác nhận của nhà phân tích bảo mật. Việc sử dụng bot để tự động hóa việc quản lý bản vá bằng cách xác định và ưu tiên các mối đe dọa và rủi ro là đáng trông đợi với những nhà cung cấp hàng đầu trong lĩnh vực, như Công ty công nghệ an ninh mạng CrowdStrike, Ivanti và Microsoft.