Các thiết bị an ninh mạng này thường có điểm chung đó là chúng đều được thiết kế dựa trên phương pháp nhận diện signature. Do các tội phạm mạng cũng có xu hướng đầu tư vào ROI và TCO giống như chính các nạn nhân của mình nên chúng đã học được rằng các cuộc tấn công có thể bị ngăn chặn bằng một signature mới sẽ sinh lời ít hơn.
Thay đổi chiến thuật
Các mối đe dọa và mã độc tống tiền tiên tiến đã bắt đầu thực hiện những chiến lược cao cấp, ví dụ như tính đa hình (polymorphism), các cuộc tấn công nhiều giai đoạn, mã độc nội trú (fileless malware) và các kỹ thuật rắc rối hóa, những hành vi này có thể dò ra và vượt mặt những giải pháp an ninh sử dụng phương pháp nhận diện chữ ký. Sân chơi nghiêng mạnh về phía các đối thủ trên không gian mạng, khiến các nhà phát triển phần mềm bảo mật phát minh ra các phương pháp phân tích hành vi và giải pháp ATP để phát hiện các cuộc tấn công vào các lỗ hổng chưa ai biết hoặc chưa được giải quyết, hay còn gọi là lỗ hổng zero-day, đồng thời xác định các hành vi bất thường và độc hại.
Trước thời kỳ chuyển đổi kỹ thuật số, việc cung cấp giải pháp bảo mật nhất quán và kịp thời ngày càng trở nên khó thực hiện. Điều này đang được thúc đẩy bởi hai yếu tố của quá trình chuyển đổi – tính kết nối liên thông và hiệu suất, cũng là hai yếu tố đang thay đổi cách chúng ta sáng tạo và tương tác với các môi trường số mới.
Cả hai điều này cũng có tác động quan trọng tới khả năng phát hiện và ứng phó với các mối đe dọa mới, nghĩa là chúng ta cần thực hiện một số thay đổi căn bản đối với cách thiết kế và áp dụng các biện pháp bảo mật.
Tính kết nối liên thông
Hệ thống mạng, thiết bị và các ứng dụng hiện nay cần phải di chuyển thông suốt giữa các nền tảng và môi trường. Tuy nhiên không may là hầu hết các giải pháp bảo mật đều không thể hoạt động giống nhau, tạo ra những khoảng trống trong khả năng hiển thị lẫn kiểm soát. Những thách thức hiện tại trong việc đảm bảo lưu lượng di chuyển từ điện toán đa đám mây sang điện toán biên chỉ là phần nổi của tảng băng chìm. Các hệ thống có tính kết nối liên thông cao như ô tô thông minh, thành phố thông minh và hệ thống mạng biên sẽ đòi hỏi các biện pháp bảo mật để mở rộng hàng chục, hàng trăm hoặc thậm chí hàng ngàn hệ thống cùng một lúc.
Hiệu suất
Các ứng dụng và dịch vụ nhập vai và tương tác mới đòi hỏi năng lượng xử lý khổng lồ. Do năng lượng điện toán luôn theo dữ liệu, các thiết bị điểm cuối và thiết bị IoT cũng đang trở nên nhanh hơn và thông minh hơn. Điều này có nghĩa là bảo mật không chỉ cần để hỗ trợ và bảo đảm công suất cao hơn, mà còn phải đưa ra các quyết định gần với thời gian thực nhất có thể.
Nhằm đáp ứng nhu cầu về tính kết nối liên thông và hiệu suất, dung lượng và chức năng mạng đã tăng nhanh một cách chóng mặt. Trong quá trình đó, nó đã vượt qua mô hình bảo mật truyền thống trong việc đặt các thiết bị bảo mật ở một vị trí cụ thể để giám sát một tập hợp dữ liệu được kiểm soát trong khi cách ly chúng ra khỏi các giải pháp khác, điều mà thật ra khi nhìn lại, dường như lại là một ý tưởng khá tồi.
Việc giải quyết các nhu cầu của thế giới số mới sẽ yêu cầu chúng ta chuyển đổi cách thức và nơi chúng ta triển khai các giải pháp bảo mật. Điều đó sẽ đòi hỏi bốn điều sau xảy ra:
1. Hệ thống mạng và các giải pháp bảo mật cần phải được tập hợp. Biện pháp an ninh sẽ không thể được kỳ vọng hiện diện ở bất kỳ nơi nào cần đến chúng, nếu các giải pháp này chỉ có thể được bao phủ trên mọi môi trường số mới khi thao tác bằng tay. Các đường biên mạng đang bùng nổ với những thiết bị, ứng dụng và luồng công việc mới, thay thế cho phạm vi truyền thống trong khi thực chất lại tạo ra hàng tỷ phương án tấn công tiềm năng mới. Đồng thời, các môi trường đã biết như điện toán đám mây tiếp tục thay đổi không ngừng, cản trở khả năng triển khai đầy đủ các thiết bị an ninh truyền thống tại nơi có sự cố của các nhóm an ninh mạng.
Chỉ bằng cách tích hợp biện pháp bảo mật vào sâu trong chính các cơ sở hạ tầng mạng, giải pháp an ninh mới có thể được kỳ vọng sẽ hiện diện ở nơi cần đến chúng, tại thời điểm cần thiết, đồng thời tự động thích ứng khi hệ thống mạng phát triển. Đạt được điều này sẽ đòi hỏi sự hợp tác giữa các nhà cung cấp mạng và giải pháp bảo mật, tuy nhiên đến thời điểm này điều đó vẫn đang là một thiếu sót trầm trọng.
2. Giải pháp bảo mật cần phải nhanh và nhanh hơn nhiều nữa. Không ai chịu đựng được sự chậm chạp khi trải nghiệm ứng dụng nhập vai chỉ bởi vì một bộ phận trong hệ thống bảo mật không thể theo kịp khi xử lý các nội dung được phát trực tiếp. Việc bắt kịp tốc độ sẽ đòi hòi triển khai đồng thời bộ xử lý phần cứng và bộ xử lý ảo có thể bảo mật và xử lý dữ liệu ở tốc độ số.
3. Giải pháp bảo mật sẽ cần phải được kết nối liên thông với nhau. Khi dữ liệu và các luồng công việc đi qua giữa các thiết bị, hệ thống mạng và hệ sinh thái, những thứ như chính sách bảo mật, thẻ và giao thức sẽ cần phải đi theo chúng qua và giữa các môi trường mạng khác nhau, bao gồm vận hành một cách tự nhiên trên mọi nền tảng đám mây chính và cung cấp đầy đủ hỗ trợ cần thiết cho nhánh mới và công nghệ mạng 5G.
4. Cuối cùng, giải pháp bảo mật sẽ cần phải thông minh hơn. Bởi vì các ứng dụng và dịch vụ mới đang ngày càng kết nối liên thông với nhau (như ô tô và thành phố thông minh) và các ứng dụng ít phải chịu các vấn đề về độ trễ (như các thiết bị VR / AR và các giải pháp tương tác, nhập vai), hệ thống bảo mật không thể chờ đợi quyết định về một sự kiện đi một đường dài từ thiết bị cảm ứng qua các công cụ bảo mật trên điện toán đám mây. Khi xe của bạn đâm phải một tảng băng ở tốc độ 60 dặm một giờ, bạn muốn công nghệ dẫn động 4 bánh (AWD) của bạn hoạt động ngay lập tức. Điều này đòi hỏi các giải pháp có thể ra quyết định cục bộ và tự động trong thời gian thực.
Các giải pháp bảo mật nâng cao
Để các giải pháp bảo mật tiếp tục không chỉ hiệu quả mà còn thực sự đón đầu được những bối cảnh mới về các mối đe dọa đang phát triển nhanh chóng, một thế hệ các công cụ mới, như phân tích hành vi nâng cao, phân khúc dựa trên ý định, tự động hóa, học máy và trí tuệ nhân tạo sẽ cần được phát triển và kết hợp vào chiến lược bảo mật của mỗi công ty. Điều này có thể bắt đầu bằng cách tự động hóa không chỉ hệ thống phát hiện và bảo vệ, mà còn cả các hệ thống dự đoán giúp tăng khả năng phòng ngừa các mối nguy hại.
Chúng ta cũng cần có khả năng dạy máy móc xác định các mối đe dọa và phản ứng lại theo một cách thức phù hợp. Điều này bắt đầu với một bộ giao thức được quy định trước và hệ thống quyết định được lập trình sẵn, đó là điều mà hầu hết các nhà cung cấp đều hướng tới khi họ tuyên bố đã nhúng công nghệ AI vào hệ thống của họ. Nhưng điều chúng ta thực sự cần là khả năng tương quan trí thông minh về các mối đe dọa trên khắp các công cụ khác nhau như công cụ phân tích để xác định một kịch bản tấn công phức tạp, đặc biệt được tạo thành từ các sự kiện tấn công quy mô nhỏ hơn. Điều này cũng sẽ yêu cầu ứng dụng các giải pháp trí tuệ nhân tạo AI để đẩy nhanh quá trình khám phá và ứng phó với các sự kiện, đặc biệt là những sự kiện chưa từng thấy bao giờ.
Việc bảo mật mạng hôm nay đòi hỏi phải tự động hóa việc xác định, phát hiện và khắc chế các chiến thuật độc hại, đặc biệt là các kỹ thuật được thiết kế để tránh bị phát hiện. Thậm chí còn khó khăn hơn, việc tạo ra các kỹ thuật tìm kiếm mới vượt ra ngoài các khuôn mẫu về hành vi mã hóa và sử dụng phần mềm độc hại.
Và bây giờ, trí thông minh tiên tiến đó đang được tích hợp vào một bộ thiết bị bảo mật đang phát triển đi cùng với các phương pháp phân tích và bảo mật dựa trên ý định, dành cho cả việc triển khai vật lý và trên điện toán đám mây. Điều này cho phép các tổ chức phân bổ lại nguồn nhân lực có giá trị cho các nhiệm vụ khác, cấp cao hơn, trong khi các công cụ tự động có thể phát hiện, ngăn chặn và thậm chí dự đoán các mối đe dọa nhằm “ngắt mạch” các cuộc tấn công trước khi chúng có thể gây thiệt hại.
Những kẻ thù địch xấu xa sẽ tiếp tục phát triển các cuộc tấn công để khai thác thành công bề mặt tấn công được mở rộng. Việc chiếm ưu thế đòi hỏi những biện pháp mạnh mẽ hơn là chơi trò đuổi bắt với những kẻ xấu gây ra các mối đe dọa này. Điều đó nghĩa là việc phát triển các giải pháp có độ phủ rộng, mạnh mẽ và tự động hóa được xây dựng xung quanh các công cụ bảo mật tích hợp sâu được thiết kế không chỉ cho mạng biên và các hệ thống mạng phân tán và ngày càng phức tạp hiện nay, mà còn thiết kế cho các thách thức trên mạng trong tương lai. Điều này đòi hỏi phải kết hợp tầm nhìn thực tế với nhiều năm kinh nghiệm kiểm soát và ứng phó với các xu hướng và kỹ thuật đe dọa ngày càng phát triển.
Trí tuệ nhân tạo và máy học, đặc biệt khi được kết hợp với các giải pháp bảo mật nâng cao khác, sẽ là những công cụ trợ giúp to lớn trong quá trình này. Nhưng để thực sự hiệu quả, các giải pháp bảo mật mà các chiến lược này hỗ trợ cũng cần phải vận hành ở nơi có các mối đe dọa tồn tại, thích ứng khi các hệ thống mạng chúng đang bảo vệ thay đổi, hoạt động tương tác giữa và trên khắp các thiết bị và hệ thống mạng, đồng thời hoạt động với tốc độ số mà các giải pháp mạng trong tương lai sẽ cần tới.
Điều đó đòi hỏi một mức độ cam kết đối với sự đổi mới mà ít nhà cung cấp nào có thể cung cấp liên tục. Nhưng đó sẽ là chuẩn mực mà toàn bộ ngành công nghiệp sẽ cần phải đáp ứng nếu chúng ta muốn bảo vệ nền kinh tế số đang phát triển chống lại các cộng đồng tội phạm mạng có tổ chức muốn gây rối và thu lợi từ công sức nỗ lực của người khác.
Theo John Maddison, Công ty Fortinet
