Tuy nhiên, việc xây dựng và vận hành một SOC sao cho chuyên nghiệp, hiệu quả là điều không dễ dàng. Đặc biệt với các đơn vị thiếu chuyên môn và kinh nghiệm thì việc đầu tư dàn trải vào các công nghệ đơn lẻ, không có quy trình xử lý sự cố rõ ràng sẽ gây tốn kém cả về nhân lực và vật lực. SOC as a service chính là lời giải cho bài toán này.
SOC-as-a-service: Giải pháp tối ưu cho các tổ chức, doanh nghiệp
Thứ bảy, 26/09/2020 15:22
Trung tâm Giám sát an ninh mạng (SOC- Security Operations Center) là một giải pháp an toàn thông tin (ATTT) tuy không mới nhưng khá toàn diện và cần thiết với các tổ chức, doanh nghiệp (DN).
Hoàn thành mô hình đảm bảo ATTT 4 lớp trước ngày 30/9/2020
Bảo đảm an toàn, an ninh mạng theo mô hình 4 lớp thống nhất từ Trung ương đến địa phương là một trong những chỉ đạo quan trọng về an toàn, an ninh mạng Việt Nam cho giai đoạn tiếp theo. Đây là định hướng được Thủ tướng Chính phủ đưa ra cho các bộ, ngành, địa phương tại Chỉ thị 14 ngày 07/6/2019 về tăng cường bảo đảm an toàn, an ninh mạng nhằm cải thiện chỉ số xếp hạng của Việt Nam.
Mô hình bảo đảm ATTT chuyên nghiệp 4 lớp bao gồm: Lực lượng tại chỗ; Tổ chức hoặc DN giám sát, bảo vệ chuyên nghiệp; Tổ chức hoặc DN độc lập kiểm tra, đánh giá định kỳ; Kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia.
Trong Nghị quyết phiên họp Chính phủ trực tuyến với các địa phương và phiên họp thường kỳ tháng 6/2020, Chính phủ đã chỉ đạo các Bộ, ngành, địa phương phải hoàn thành mô hình bảo đảm ATTT 4 lớp theo hướng dẫn của Bộ TT&TT trước ngày 30/9/2020.
Theo Cục ATTT, Bộ TT&TT, việc triển khai mô hình 4 lớp đáp ứng yêu cầu hệ thống CNTT trước khi đưa vào vận hành đã được kiểm tra, đồng thời đảm bảo rằng có đội ngũ chuyên nghiệp để đánh giá thường xuyên các hệ thống. Cùng với đó, mô hình bảo vệ chuyên nghiệp 4 lớp còn đưa đến sự liên thông, kết nối dữ liệu nhằm chung tay đảm bảo ATTT cho hệ thống của các cơ quan, tổ chức nhà nước.
Tuy nhiên, việc xây dựng và vận hành một SOC sao cho chuyên nghiệp, hiệu quả là điều không dễ dàng. Đặc biệt với các đơn vị thiếu chuyên môn và kinh nghiệm thì việc đầu tư dàn trải vào các công nghệ đơn lẻ, không có quy trình xử lý sự cố rõ ràng sẽ gây tốn kém cả về nhân lực và vật lực. Nhưng với sự phát triển của công nghệ cùng với xu thế dịch chuyển lên nền tảng điện toán đám mây, giải pháp có tên gọi SOC-as-a-service (SOC dưới dạng dịch vụ) ra đời sẽ giải quyết bài toán này cho các nhà quản lý.
SIEM – Cái nhìn sai lệch của nhiều DN
Nhiều DN lầm tưởng định hướng phát triển ATTT của tổ chức mình từ đó đầu tư dàn trải, thiếu tập trung. Một số đặt nặng vấn đề đầu tư vào hệ thống giám sát an ninh mạng SIEM (Security Information and Event Management) mà quên mất rằng chưa đủ nguồn nhân lực để vận hành SIEM hiệu quả. Bởi lẽ nếu không có đội ngũ nhân viên thường xuyên tinh chỉnh hệ thống SIEM để giảm tỉ lệ báo động nhầm (false positives) sinh ra từ các cảnh báo (alerts) sẽ dẫn đến tình trạng quá tải cho nhóm phân tích và xử lý sự cố.
Một số DN khác lại chỉ quan tâm đến việc tổng hợp, phân tích dữ liệu đầu ra từ SIEM mà bỏ qua các hình thức dò tìm thông tin mã độc, ngăn chặn khai thác dữ liệu đầu vào như phát hiện và phản hồi các mối nguy hại tại điểm cuối (EDR - Endpoint Detection & Response), phát hiện mối đe dọa tiên tiến (Advanced Threat Detection)...
Quan trọng hơn là khi hệ thống giám sát chưa được tối ưu hoặc các kết quả trả về còn rời rạc thì việc tổng hợp, đánh giá các trường hợp (case) là vô cùng khó khăn, kéo theo tốn nhiều thời gian vào việc xâu chuỗi cảnh báo, đi tìm nguyên nhân gốc (root causes) cũng như các hệ thống liên quan trực tiếp đến sự cố. Ngoài ra, khi nhân sự không có kinh nghiệm phân tích, xử lý thì việc đưa ra cảnh báo và biện pháp ngăn chặn cũng có thể bị sai lệch.
SOC-as-a-service: Giải pháp tối ưu cho các tổ chức, DN vừa và nhỏ
Để giải quyết bài toán bảo mật, giảm gánh nặng chi phí hạ tầng,chi phí đào tạo và triển khai nhân lực, đồng thời cải thiện quy trình ứng phó tấn công mạng, các tổ chức, DN nhỏ và vừa có thể cân nhắc sử dụng dịch vụ SOC-as-a-service.
Bản chất của SOC-as-a-service chính là một dịch vụ đảm bảo ATTT trên nền tảng website giúp người dùng dễ dàng theo dõi tình hình an ninh mạng bên trong hệ thống theo thời gian thực.
Thông qua các câu lệnh tập trung, các tính năng mới được cập nhật liên tục, SOC-as-a-service cung cấp bức tranh toàn cảnh về hệ thống nội bộ cùng với những yếu điểm còn tồn tại, những lỗ hổng an ninh cần khắc phục và biện pháp ngăn chặn khi có sự cố xảy ra.
Đằng sau dịch vụ này là một nhóm chuyên gia bảo mật giàu kinh nghiệm, tuy không trực tiếp có mặt tại tổ chức nhưng họ giám sát toàn bộ hệ thống 24/7 và không bỏ sót bất kỳ biến động nào. Mọi hoạt động của tổ chức cả trong và ngoài giờ làm việc đều được ghi lại tỉ mỉ, tổng hợp đầy đủ trên một màn hình duy nhất kèm theo gợi ý ứng phó sao cho phù hợp.
Thông thường, SOC-as-a-service sẽ được cung cấp bởi một bên thứ ba, đơn vị này sau khi lắng nghe tình trạng, mong muốn và nhu cầu bảo mật của tổ chức sẽ thiết kế, triển khai và cá nhân hóa dịch vụ SOC sẵn có sao cho phù hợp với ngân sách, hạ tầng và mục tiêu của tổ chức. Không cần phải đầu tư vào tất cả các thành phần cấu thành và nguồn lực như khi tự xây dựng SOC, các tổ chức, DN hoàn toàn có thể tách nhỏ nhu cầu để thuê ngoài, do đó vừa giảm thiểu chi phí vừa đảm bảo an toàn cho hệ thống của tổ chức.
Mô hình, cách thức hoạt động của SOC-as-a-service
SOC-as-a-service đóng vai trò như một SOC thực thụ và đem lại những lợi ích tương đương với chi phí vận hành thấp hơn rất nhiều. Nếu DN của bạn có những quy định nghiêm ngặt về quản lý rủi ro, yêu cầu bảo vệ quyền riêng tư, SOC-as-a-service với cấu trúc nâng cao hỗ trợ nhiều tài khoản phân quyền cao thấp sẽ giữ bạn ở phạm vi chống thất thoát an toàn.
Cấu trúc các lớp của dịch vụ tùy thuộc từng nhà cung cấp nhưng cơ bản có thể bao gồm SIEM, Security Data Mining, Threat Intelligent System, Forensis, Log/Backup, các thiết bị phần cứng… Mọi hoạt động trên mạng trong tổ chức đều được các công nghệ trên thu thập, phân tích và được nhóm chuyên gia xử lý, sau cùng cho ra báo cáo phù hợp với tiêu chuẩn ISO, PCI, HIPAA, SOX… trực quan, dễ hiểu.
Mô hình SOC-as-a-service không còn xa lạ với các tổ chức, DN trên thế giới, các hãng bảo mật như IBM; Raytheon; Blackstratus; Redscan; LightEdge; Sirisk; Rapid7; Stellar Cyber… hiện nay đều đang cung cấp SOC-as-a-service trên nền tảng đám mây một cách rộng rãi.
Kết luận
Bên cạnh mục tiêu đảm bảo an toàn cho hệ thống, việc cài đặt và vận hành SOC còn mang giá trị to lớn hơn nhiều khi bản thân mỗi SOC là một mắt xích trong mạng lưới truyền tin và cảnh báo nguy cơ tấn công mạng tới các tổ chức, cá nhân và trên hết là cả quốc gia. Nhưng lựa chọn nhà cung cấp dịch vụ SOC-as-a-service nào để phù hợp với hệ thống, khả năng tài chính và nhu cầu của từng đơn vị lại là một bài toán không dễ chút nào.
Các tổ chức, DN cần đánh giá tổng thể về các khía cạnh từ hạ tầng mạng, ứng dụng, con người cho đến các quy trình vận hành và nhu cầu thực tiễn tại đơn vị để đưa ra các lựa chọn triển khai SOC phù hợp nhất.