Tháng 1 năm 2024: Một bên thứ ba không được ủy quyền đã truy cập vào dữ liệu cá nhân nhạy cảm của khoảng 16,6 triệu khách hàng của LoanDepot. Tháng 8 năm 2025: Allianz Life hứng chịu một cuộc tấn công mạng khiến dữ liệu cá nhân của hơn một triệu khách hàng bị lộ. Tháng 2 năm 2026: Một cuộc tấn công bằng phần mềm tống tiền nhằm vào BridgePay Network Solutions đã khiến cổng thanh toán trực tuyến của thành phố Palm Bay, bang Florida, không thể truy cập được.
Một xu hướng rõ ràng đang dần lộ diện, khi các tổ chức tài chính đã trở thành mục tiêu có giá trị cao đối với các hacker.
Các hoạt động này thường do các băng nhóm tội phạm mạng có tổ chức hoặc các thực thể được nhà nước hậu thuẫn thực hiện, với mục đích thu lợi nhuận khổng lồ hoặc gây rối loạn thị trường. Nếu bạn làm việc trong lĩnh vực tài chính mà lại cho rằng mình an toàn trước các rủi ro, thì bạn đang thiếu cảnh giác.
Điểm xâm nhập hiếm khi phức tạp. Trong nhiều trường hợp, mọi chuyện bắt đầu từ một email lừa đảo. Từ đó, những kẻ tấn công di chuyển ngang, xâm nhập vào các hệ thống nội bộ, nâng cao quyền truy cập và tiến gần hơn đến mục tiêu ban đầu của chúng: hạ tầng thanh toán, nền tảng giao dịch và dữ liệu khách hàng.
Đây chính là điểm mà nhiều tổ chức tài chính mất kiểm soát tình hình: nếu khả năng quan sát mạng bị hạn chế, hoạt động đó có thể không được phát hiện cho đến khi đã quá muộn; thời gian trung bình để phát hiện có thể kéo dài tới 181 ngày.
Đây là thách thức mà một tổ chức tài chính hàng đầu phải đối mặt, khi họ mong muốn khắc phục những lỗ hổng trong khả năng theo dõi và củng cố hệ thống phát hiện cũng như ứng phó với các mối đe dọa. Để thực hiện điều này, họ đã lựa chọn giải pháp OPSWAT MetaDefender NDR, triển khai trên các phân đoạn quan trọng của hạ tầng mạng nhằm có cái nhìn sâu sắc hơn về lưu lượng mạng và phát hiện các mối đe dọa sớm hơn.
Đây là câu chuyện của họ.
Khả năng giám sát mạng kém đã khiến hệ thống của khách hàng dễ bị tấn công di chuyển ngang
Khách hàng đã triển khai các công cụ giám sát truyền thống, chủ yếu tập trung vào cảnh báo tại các điểm cuối và hệ thống phòng thủ biên. Các công cụ này hoạt động rất hiệu quả trong việc phát hiện phần mềm độc hại đã biết hoặc các nỗ lực đăng nhập đáng ngờ, nhưng khả năng quan sát mạng của chúng còn hạn chế.
Do đó, mạng lưới hoạt động như một khu vực “mù”, chính là nơi mà các hệ thống an ninh dễ bị tổn thương nhất và các đội SOC lại thiếu trang bị nhất để xử lý sự cố. Những điểm mù này đã dẫn đến:
Độ trễ trong việc phát hiện chuyển động ngang
Tại các ngân hàng và tổ chức tài chính khác, “di chuyển ngang” thường là giai đoạn mà kẻ tấn công di chuyển từ một máy trạm đã bị xâm nhập ban đầu (như máy tính xách tay của nhân viên quầy giao dịch hoặc máy tính trong phòng hậu cần) sang các hệ thống có giá trị cao. Các hệ thống này có thể bao gồm hệ thống xử lý thanh toán, hạ tầng SWIFT hoặc cơ sở dữ liệu ngân hàng cốt lõi.
Đối với khách hàng của chúng tôi, sự chậm trễ xuất phát từ việc phụ thuộc vào các cảnh báo ở cấp độ biên, vốn hoặc là đến muộn hoặc là không được kích hoạt. Với hơn 50.000 nhân viên, kẻ tấn công có rất nhiều cơ hội để xâm nhập vào hệ thống. Đây là rủi ro mà khách hàng không muốn chấp nhận.
Quy trình điều tra số chậm chạp
Tại các tổ chức tài chính, các cuộc điều tra điều tra số sau sự cố rò rỉ dữ liệu thường bị cản trở do nguồn dữ liệu bị phân mảnh, bởi các đội SOC có thể phải đối chiếu nhật ký tường lửa, cảnh báo từ các thiết bị đầu cuối hoặc nhật ký xác thực. Ngay cả khi phải đối mặt với áp lực phải hành động nhanh chóng, các đội này vẫn có thể gặp khó khăn trong việc xác định chính xác sự việc đã xảy ra và phương án tối ưu để ngăn chặn sự cố.
Nói một cách đơn giản, các đội SOC đã bị bịt mắt, và những kẻ tấn công tiềm năng hẳn đã lợi dụng điều này.
CáchMetaDefender NDR quá trình phát hiện và điều tra số
Khoảng trống về khả năng quan sát đã được lấp đầy nhờ MetaDefender NDR; được thiết kế chuyên biệt cho hoạt động săn lùng mối đe dọa trên mạng, MetaDefender NDR các tính năng quan sát mạng và công cụ phân tích mà trước đây còn thiếu trong bộ công cụ của khách hàng.
MetaDefender NDR
MetaDefender NDR các tổ chức phát hiện, điều tra và ứng phó với các mối đe dọa mạng nhanh hơn mà không làm gián đoạn hoạt động kinh doanh.
Bằng cách phân tích dữ liệu đo lường mạng để xác định các mẫu lưu lượng bất thường, hệ thống này phát hiện các hoạt động di chuyển ngang giữa các hệ thống và phát hiện các hoạt động liên lạc có liên quan đến các cuộc tấn công mạng.
Nền tảng này nhằm mục đích mở rộng kiến thức chuyên môn của một chuyên viên phân tích SOC thông thường. Nhờ các mô hình phát hiện được hỗ trợ bởi trí tuệ nhân tạo (AI), nền tảng này liên tục phân tích các hành vi trên mạng để phát hiện những dấu hiệu bất thường tinh vi có thể cho thấy hoạt động của kẻ tấn công ngay từ giai đoạn đầu của chu trình tấn công.
Đối với khách hàng của chúng tôi, nền tảng này đã giải quyết được những vấn đề chính gây ảnh hưởng đến hiệu suất của SOC.
Phát hiện chuyển động ngang
Thay vì theo dõi các điểm cuối để báo cáo hoạt động, MetaDefender NDR liên tụcNDR lưu lượng mạng theo chiều ngang (east-west) ở cấp độ mạng, đồng thời kiểm tra các luồng lưu lượng giữa các hệ thống nội bộ. Nhờ đó, giải pháp này có thể phát hiện các mẫu hoạt động như các nỗ lực đăng nhập lặp đi lặp lại, các kết nối bất thường hoặc sự giao tiếp giữa các hệ thống vốn không bao giờ tương tác với nhau.
Độ trễ được giảm thiểu nhờ sự kết hợp giữa việc thiết lập ngưỡng tham chiếu hành vi cho các hoạt động giao tiếp nội bộ bình thường và việc phát hiện các bất thường được thực hiện gần như theo thời gian thực.
Các cuộc điều tra điều tra số được tiến hành nhanh chóng hơn
MetaDefender NDR ghi lại dữ liệu siêu dữ liệu lưu lượng mạng và cho phép phân tích hồi cứu. Ngay khi phát hiện ra một IOC (chỉ số xâm nhập), hệ thống có thể truy vết lại để kiểm tra xem có hệ thống nội bộ nào từng giao tiếp với nó trong quá khứ hay không.
Giờ đây, các đội SOC không còn phải mất công tái tạo lưu lượng truy cập từ ngày xảy ra sự cố hay tìm kiếm các bản ghi trước đó; các chuyên gia phân tích có thể truy vấn trực tiếp dữ liệu đo lường mạng đã lưu trữ, điều này đặc biệt hữu ích trong lĩnh vực tài chính, nơi việc chậm trễ trong việc xử lý sau một cuộc tấn công có thể dẫn đến vi phạm các quy định pháp lý.
Hơn nữa, các quy trình điều tra được hỗ trợ bởi trí tuệ nhân tạo (AI) đã giúp các chuyên gia phân tích liên kết các cảnh báo, ưu tiên xử lý các sự cố có rủi ro cao và giảm thời gian điều tra thủ công, từ đó giúp tổ chức chuyển từ mô hình phát hiện phản ứng sang mô hình giám sát mạng chủ động.
Tác động có thể đo lường được đối với khả năng hiển thị SOC và phát hiện mối đe dọa
MetaDefender NDR phạm vi giám sát sang lớp mạng và áp dụng phân tích hành vi đối với lưu lượng truy cập nội bộ, một phương pháp đặc biệt hiệu quả trong các môi trường tài chính được phân đoạn. Giải pháp này còn giúp các chuyên gia phân tích giảm thời gian thu thập dữ liệu và dành nhiều thời gian hơn cho việc ra quyết định.
Dưới đây là kết quả ở tất cả các lĩnh vực:
| Phạm vi ảnh hưởng | Kết quả có thể đo lường được |
|---|---|
| Khả năng quan sát mạng | Cung cấp cái nhìn sâu sắc về các giao tiếp trong hệ thống tài chính nội bộ. |
| Tốc độ phát hiện mối đe dọa | Phân tích có sự hỗ trợ của trí tuệ nhân tạo (AI) đã giúp phát hiện sớm các hoạt động đáng ngờ và sự di chuyển ngang. |
| Hiệu quả điều tra | Giảm thời gian cần thiết để các chuyên viên SOC điều tra các cảnh báo. |
| Bảo vệ hoạt động | Nâng cao khả năng phát hiện các mối đe dọa tinh vi đang hoạt động bên trong mạng. |
| Ứng phó sự cố | Phản ứng nhanh chóng trước các cuộc tấn công tiềm ẩn trước khi tình hình leo thang. |
| Sự sẵn sàng tuân thủ | Cần tăng cường năng lực giám sát để đáp ứng các yêu cầu về giám sát quy định tài chính. |
Nếu các mối đe dọa lẩn trốn khỏi tầm nhìn, thì khả năng phát hiện trở nên vô cùng quan trọng
Chúng ta đã từng thấy điều này trong các bộ phim về vụ cướp và cũng đã chứng kiến nó trong đời thực. Đối với các tổ chức tài chính, vụ vi phạm ban đầu bản thân nó không phải là mối nguy hiểm. Nếu được phát hiện kịp thời, nó sẽ không gây ra nhiều thiệt hại, ngoài việc phơi bày điểm yếu của công ty.
Tuy nhiên, nguy cơ thực sự sẽ xuất hiện khi những kẻ tấn công xâm nhập vào hệ thống nhưng không vội vàng lộ diện. Thay vào đó, chúng quan sát, di chuyển một cách lén lút và dần tiếp cận những mục tiêu quan trọng nhất: các giao dịch thanh toán hoặc dữ liệu nhạy cảm của khách hàng.
Đó là lý do tại sao công tác bảo mật không thể chỉ giới hạn ở phạm vi bên ngoài. Nếu không, các chỉ số mối đe dọa (IOC) sẽ không được phát hiện cho đến khi đã quá muộn.
Với việc triển khai MetaDefender NDR, khách hàng của chúng tôi đã chuyển từ việc chỉ có khả năng phát hiện hạn chế sang giám sát mạng liên tục. Giờ đây, các đội SOC của họ có thể phát hiện các hành vi đáng ngờ ngay khi chúng xuất hiện, liên kết các tín hiệu mạng để nhận diện các mẫu hành vi, và thực hiện các biện pháp ứng phó trước khi các bất thường biến thành sự cố.
Nếu tổ chức của bạn đang xem xét lại cách thức phát hiện và ứng phó với các mối đe dọa vượt ra ngoài phạm vi bảo vệ truyền thống, có lẽ đã đến lúc bạn nên nhìn xa hơn các biện pháp kiểm soát truyền thống và cân nhắc áp dụng phương pháp tiếp cận ở cấp độ mạng. Hãy liên hệ với chúng tôi để tìm hiểu cách MetaDefender NDR hỗ trợ tổ chức của bạn.
