Nguy cơ bị tấn công và tổn thất kinh tế do tấn công mạng gia tăng
Nguy cơ bị tấn công và rò gỉ dữ liệu ngày một gia tăng với các tổ chức và doanh nghiệp trong thời gian qua. Nghiên cứu gần đây được thực hiện bởi Nhóm nghiên cứu An ninh mạng Frost & Sullivan và Microsoft cho thấy, các doanh nghiệp tại khu vực châu Á – Thái Bình Dương (APAC) đang phải gánh chịu những thiệt hại nặng nề về mặt kinh tế, khi một doanh nghiệp có thể phải chịu tổn thất lên đến 30 triệu USD do các cuộc tấn công mạng. Tổng thiệt hại do những cuộc tấn công mạng này ước tính lớn hơn 7% so với tổng GDP của toàn khu vực, khoảng 24,3 ngàn tỷ USD. Ngoài ra, các doanh nghiệp còn phải đối mặt với những nguy cơ khác như mất cơ hội trong nền kinh tế kỹ thuật số do những lo ngại về bảo mật trong toàn bộ hệ thống.
Các nghiên cứu khác của Frost & Sullivan cũng cho thấy, gần 22% số doanh nghiệp tại khu vực khẳng định rằng doanh nghiệp mình đã bị tấn công mạng trong năm 2018, ở mức độ thường xuyên, tập trung vào các nhóm chính như ransomware, DDoS, tấn công có chủ đích (APT), mất dữ liệu và tài sản trí tuệ, vv. Ngoài ra, trên 30% doanh nghiệp cho rằng họ chỉ có khả năng phát hiện các sự vụ an ninh ở mức “vừa phải”. Còn theo nghiên cứu của IBM Security, hầu hết các doanh nghiệp tại ASEAN phải mất đến 195 ngày mới phát hiện ra các cuộc tấn công mạng và mất khoảng 72 ngày để khắc phục hậu quả. Điều này cho thấy mức độ chuẩn bị của các doanh nghiệp trong việc đối phó với các cuộc tấn công mạng là khá thấp.
Vai trò của SOC trong việc hỗ trợ các hoạt động an ninh
Hiện nay, để nâng cao khả năng vận hành an ninh, các doanh nghiệp bắt đầu đầu tư vào nhiều hệ thống, công nghệ và dịch vụ khác nhau, trong đó xây dựng Trung tâm vận hành an ninh mạng (Security Operation Center – SOC) là một hướng đi mới và hiệu quả.
SOC là một trung tâm vận hành, chịu trách nhiệm toàn bộ cho các hoạt động giám sát và bảo vệ an toàn an ninh mạng của một tổ chức, doanh nghiệp hoặc khách hàng kết nối vào hệ thống. SOC bao gồm đội ngũ các chuyên gia an ninh mạng, như nhân viên phân tích mã độc, phản ứng sự cố, điều tra phân tích, tuân thủ và các hệ thống bảo mật khác.
Nghiên cứu của Frost & Sullivan cho thấy, 60% DN ở khu vực Châu Á - Thái Bình Dương cho thấy, hệ thống trong SOC giúp họ phản ứng với các sự cố hiệu quả hơn. |
Vai trò lớn nhất của một SOC đó chính là khả năng giám sát toàn bộ hệ thống một cách chủ động, và liên tục 24/7, phân tích các mối đe dọa theo thời gian thực, xếp hạng cảnh báo, rà soát các lỗ hổng và săn tìm các mối đe dọa chủ động, đồng thời giúp cho doanh nghiệp tổ chức thực hiện tuân thủ các quy định và luật pháp nhằm đảm giúp doanh nghiệp tránh được các vấn đề về tuân thủ (compliance) và pháp lý.
Nghiên cứu của Frost & Sullivan về vai trò của hệ thống giám sát an ninh mạng (SIEM) và nền tảng thông tin và phân tích an ninh (SIAP) được sử dụng trong các SOC cho thấy, có trên 80% doanh nghiệp APAC cho rằng SIEM giúp họ thu thập được dữ liệu trong thời gian thực, trên 60% cho rằng SIEM giúp họ tiến hành các hoạt động phân tích điều tra số và phản ứng với các sự cố hiệu quả hơn.
Về loại hình, hiện nay doanh nghiệp và tổ chức trên thế giới sử dụng nhiều loại hình SOC khác nhau như, SOC nội bộ, SOC ảo nội bộ, SOC kết hợp (Hybrid SOC), SOC trung tâm (Command SOC) hay SOC thuê ngoài (Outsourced SOC). Mỗi loại hình SOC được xây dựng và sử dụng tùy theo quy mô, khả năng tài chính và trình độ, kỹ năng của nhân viên an ninh bảo mật hiện có cũng như mức độ phát triển của thị trường dịch vụ.
SOC tại Việt Nam
Mô hình SOC tại Việt Nam chưa thực sự phổ biến mặc dù Việt Nam là một trong những quốc gia bị tấn công an ninh mạng cao nhất khu vực với nhiều vụ tấn công vào các hệ thống trọng yếu như ngân hàng, giao thông vận tải và chính phủ. Thực tế cho thấy, một số ngân hàng lớn của Việt Nam trong vài năm qua bắt đầu triển khai các SOC do nhu cầu cấp bách trong việc quản lý và giám sát các hoạt động an toàn thông tin, đặc biệt là sau khi có Thông tư 18/2018 của Ngân hàng Nhà nước về hoạt động của SOC. Tuy nhiên, hầu hết các doanh nghiệp này đều đang loay hoay với bài toán xây dựng SOC thế nào cho hiệu quả và đạt chuẩn, đặc biệt là ở khâu xây dựng quy trình và đào tạo kỹ năng cho đội ngũ vận hành.
Một số đơn vị như CMC Infosec và FPT IS đã xây dựng các SOC thương mại để phục vụ khách hàng, dù vẫn chỉ ở quy mô nhỏ. |
Về phía các nhà cung cấp dịch vụ, đã có một vài doanh nghiệp đi tiên phong trong lĩnh vực này, như CMC Infosec và FPT IS. Những doanh nghiệp này đã xây dựng SOC thương mại để phục vụ các khách hàng trong lĩnh vực tài chính, ngân hàng, bảo hiểm và khối chính phủ. Tuy nhiên, những SOC này vẫn ở quy mô nhỏ và chỉ có thể đáp ứng được nhu cầu cho một lượng khách hàng nhất định trong thời gian đầu.
Ngoài ra, một số đơn vị chính phủ và nhà mạng cũng đã xây dựng SOC nhằm phục vụ nhiệm vụ của mình, như SOC của Cục An toàn thông tin, trung tâm giám sát và phản ứng của VNCERT, Ban Cơ yếu, hay SOC nội bộ của Viettel... Thời gian tới, các tỉnh thành tại Việt Nam có thể cũng sẽ triển khai mô hình SOC nhằm quản lý và giám sát các hoạt động IT và bảo mật của hệ thống trong tỉnh đó một cách tốt hơn, đồng thời phối hợp tốt với SOC trung tâm của chính phủ nhằm kiểm soát tốt các mối đe dọa tới hệ thống thông tin quốc gia. Tuy nhiên, điều thiết yếu cho việc thành lập và vận hành SOC một cách hiệu quả tại những địa phương này là phải đào tạo được đội ngũ an ninh bảo mật có đủ khả năng và kinh nghiệm để quán lý và sử dụng các thiết bị được đầu tư. Đầu tư vào cả 3 mặt gồm con người, quy trình và công nghệ một cách đồng bộ là vô cùng quan trọng để đảm bảo hoạt động hiệu quả của một SOC. Nếu một trong 3 mặt này không được đầu tư đúng mức, hoạt động của một SOC sẽ bị ảnh hưởng và có thể dẫn đến nhiều nguy cơ mất an toàn thông tin của toàn hệ thống và mạng lưới.
Vũ Anh Tiến
Chuyên gia phân tích tại Frost & Sullivan châu Á – Thái Bình Dương
(Tổng hợp và phân tích)