Những mối đe dọa tiềm ẩn bên trong mạng
Hàng ngày, mạng lưới của trường đại học này xử lý lưu lượng truy cập từ hàng nghìn sinh viên xem bài giảng trực tuyến, các nhà nghiên cứu trao đổi dữ liệu giữa các phòng thí nghiệm, giảng viên truy cập các nền tảng chấm điểm trên đám mây, và nhân viên hành chính xử lý hồ sơ tuyển sinh và bảng lương. Trên khắp các cơ sở, mạng lưới ngang kết nối các phòng thí nghiệm nghiên cứu, khoa học và hệ thống hành chính được xây dựng nhằm đảm bảo mọi hoạt động diễn ra trơn tru, không gặp trở ngại.
Chính sự kết nối đó đã khiến mạng gần như không thể bảo vệ được từ bên trong. Đối với một kẻ tấn công đã xâm nhập ban đầu thông qua chiến dịch lừa đảo, thông tin đăng nhập bị đánh cắp hoặc một hệ thống dành cho sinh viên có lỗ hổng, những hoạt động hợp pháp đó đã tạo ra lớp ngụy trang lý tưởng. Trung tâm Điều hành An ninh (SOC) có các biện pháp kiểm soát chặt chẽ ở lớp biên, nhưng một khi kẻ tấn công đã xâm nhập vào bên trong, họ chỉ có khả năng hạn chế trong việc theo dõi những gì đang diễn ra. Lưu lượng dữ liệu nội bộ di chuyển tự do giữa các hệ thống, trong khi khả năng theo dõi dữ liệu đang di chuyển đến đâu lại rất hạn chế.
Lưu lượng mạng nội bộ gần như không thể phát hiện được
Các công cụ giám sát truyền thống tập trung vào lưu lượng truy cập đi vào và đi ra khỏi ranh giới mạng. Các hoạt động giao tiếp giữa các hệ thống nội bộ trên toàn bộ hạ tầng khuôn viên trường, bao gồm các phòng thí nghiệm nghiên cứu, ứng dụng học thuật và cơ sở dữ liệu hành chính, lại nằm ngoài phạm vi giám sát của chúng. Các hoạt động di chuyển ngang, hoạt động chỉ huy và điều khiển, cũng như hành vi của kẻ tấn công ở giai đoạn đầu có thể diễn ra trên các phân đoạn này mà không gây ra cảnh báo. Trung tâm Điều hành An ninh (SOC) không có cơ chế nào để theo dõi những hoạt động này.
Việc phát hiện phụ thuộc vào các chỉ số ở giai đoạn sau
Nếu không có khả năng quan sát ở cấp độ mạng, các chuyên gia phân tích phải dựa vào các cảnh báo từ thiết bị đầu cuối và các dấu hiệu bất thường của hệ thống để phát hiện hoạt động đáng ngờ. Những dấu hiệu này thường chỉ xuất hiện sau khi kẻ tấn công đã mở rộng quyền truy cập, di chuyển giữa các hệ thống hoặc tiếp cận gần dữ liệu nhạy cảm. Đến khi Trung tâm Điều hành An ninh (SOC) nhận được cảnh báo, cơ hội để ngăn chặn kịp thời thường đã trôi qua.
Sự phức tạp của khuôn viên trường khiến việc phân tích hành vi trở nên không khả thi
Quy mô và tính đa dạng của các hoạt động mạng trong khuôn viên trường đã gây khó khăn cho việc thiết lập các mức tham chiếu hoặc phát hiện các bất thường bằng các công cụ truyền thống. Các mẫu lưu lượng từ môi trường nghiên cứu, hệ thống của sinh viên, dịch vụ đám mây và hạ tầng quản trị có sự khác biệt rất lớn. Việc phân biệt hành vi của kẻ tấn công với các hoạt động hợp pháp đòi hỏi một mức độ khả năng phân tích mà bộ công cụ hiện có không thể đáp ứng được.
Những gì SOC cần để bảo vệ môi trường trong khuôn viên trường
Đội ngũ an ninh của trường đại học cần có khả năng theo dõi hoạt động bên trong mạng nội bộ của mình, thực hiện các biện pháp cần thiết dựa trên những phát hiện thu được, đồng thời chứng minh rằng dữ liệu nghiên cứu nhạy cảm và thông tin sinh viên đang được bảo vệ. Các tiêu chí ra quyết định cụ thể bao gồm:
Phát hiện sớm hơn trên các hệ thống nội bộ
SOC cần phát hiện các mối đe dọa di chuyển giữa các hệ thống nội bộ trước khi chúng có thể xâm nhập vào cơ sở hạ tầng nghiên cứu hoặc hành chính nhạy cảm, chứ không phải sau khi các cảnh báo từ thiết bị đầu cuối đã được kích hoạt.
Sự tin cậy vào các kết quả trong môi trường có khối lượng công việc lớn
Với hàng nghìn người dùng và thiết bị tạo ra lưu lượng truy cập liên tục, nhóm cần các kết quả phát hiện đáng tin cậy thay vì một lượng lớn cảnh báo mà họ phải tự tay sàng lọc.
Các cuộc điều tra nhanh chóng và toàn diện hơn
Các nhà phân tích cần có đủ thông tin bối cảnh ngay tại thời điểm phát hiện để nhanh chóng nắm bắt được quy mô của mối đe dọa, mà không cần phải ghép nối các bằng chứng từ nhiều công cụ không liên kết với nhau.
Tuân thủ các yêu cầu về tuân thủ của ngành giáo dục
Trường đại học cần một hệ thống giám sát liên tục nhằm đảm bảo sẵn sàng cho các cuộc kiểm toán và giúp chứng minh việc tuân thủ các tiêu chuẩn bảo mật liên quan đến dữ liệu sinh viên và dữ liệu nghiên cứu.
Giảm thiểu tối đa sự gián đoạn trong hoạt động của khuôn viên trường
Bất kỳ giải pháp nào cũng phải hoạt động hiệu quả trên cả hệ thống hiện đại lẫn hệ thống cũ của trường đại học mà không cần phải thực hiện những thay đổi lớn về kiến trúc hoặc gây gián đoạn hoạt động giảng dạy trong quá trình triển khai.
Từ điểm mù đến khả năng quan sát mạng toàn diện
Trường đại học đã khắc phục được lỗ hổng về khả năng quan sát nội bộ bằng cách triển khai MetaDefender NDR trên các phân đoạn mạng chiến lược trong toàn bộ môi trường khuôn viên trường. Các cảm biến được đặt tại các trung tâm mạng chính đã cung cấp cho Trung tâm Điều hành An ninh (SOC) quyền truy cập liên tục vào lưu lượng dữ liệu di chuyển giữa các hệ thống học thuật, mạng nghiên cứu, dịch vụ đám mây và hạ tầng hành chính. Lần đầu tiên, các nhà phân tích có được cái nhìn thống nhất về hoạt động mạng theo hướng đông-tây trên toàn bộ môi trường phân tán của trường đại học.
MetaDefender NDR phân tích dữ liệu hoạt động mạng bằng cách sử dụng học máy và phân tích hành vi để xác định các mẫu lưu lượng bất thường, phát hiện sự di chuyển ngang giữa các hệ thống và phát hiện các hoạt động liên lạc chỉ huy và điều khiển. Các mô hình phát hiện bất thường dựa trên trí tuệ nhân tạo (AI) giúp phát hiện các dấu hiệu tinh vi về hành vi của kẻ tấn công, vốn thường hòa lẫn vào lưu lượng mạng thông thường trong khuôn viên, trước khi chúng có thể xâm nhập sâu hơn vào hệ thống.
Thông tin tình báo về mối đe dọa được tích hợp đã tự động nâng cao khả năng phát hiện, cung cấp cho các chuyên gia phân tích các cảnh báo có bối cảnh cụ thể thay vì chỉ là các chỉ số thô. Thay vì phải đối chiếu các dữ liệu rời rạc trên nhiều hệ thống, Trung tâm Điều hành An ninh (SOC) có thể điều tra các sự cố bằng cách tận dụng khả năng quan sát toàn diện ở cấp độ mạng về hoạt động của kẻ tấn công từ một nền tảng duy nhất.
Tác động có thể đo lường được đối với khả năng giám sát SOC và an ninh khuôn viên trường
Sau khi triển khai MetaDefender NDR, Trung tâm Điều hành An ninh (SOC) của trường đại học đã chuyển từ phương thức phản ứng thụ động – vốn đòi hỏi phải chờ đợi các cảnh báo từ thiết bị đầu cuối và các bất thường của hệ thống – sang phương thức chủ động, với khả năng phát hiện và điều tra các mối đe dọa ngay khi chúng đang diễn ra.
Các lĩnh vực bị ảnh hưởng | Lợi ích hoạt động |
Khả năng quan sát mạng | Khả năng theo dõi liên tục và chi tiết lưu lượng truy cập nội bộ theo hướng đông-tây trên các mạng trong khuôn viên |
Tốc độ phát hiện mối đe dọa | Phát hiện sớm các chuyển động ngang và các mẫu giao tiếp đáng ngờ |
Hiệu quả điều tra | Phân tích nguyên nhân gốc rễ nhanh hơn nhờ hệ thống đo lường từ xa thống nhất ở cấp độ mạng |
Bảo vệ nghiên cứu | Khả năng phát hiện được nâng cao nhằm bảo vệ các nghiên cứu học thuật nhạy cảm và quyền sở hữu trí tuệ |
Ứng phó sự cố | Phản ứng của SOC được phối hợp tốt hơn với bối cảnh mạng đầy đủ |
Sự sẵn sàng tuân thủ | Tăng cường giám sát liên tục phù hợp với các tiêu chuẩn an ninh của ngành giáo dục |
Tăng cường khả năng phòng thủ trước những mối đe dọa ngày càng phức tạp trong khuôn viên trường
Với việc đã triển khai thành công hệ thống giám sát mạng liên tục, trường đại học hiện có đủ điều kiện để mở rộng khả năng phát hiện và ứng phó sang một phạm vi rộng hơn các hệ thống trong khuôn viên trường và các quy trình bảo mật.
Phạm vi phủ sóng của cảm biến được mở rộng trên các khu vực trong khuôn viên trường
Mở rộngNDR MetaDefender NDR sang các phân đoạn mạng khác, chẳng hạn như môi trường hợp tác nghiên cứu và hạ tầng biên, nhằm duy trì khả năng giám sát khi mạng khuôn viên trường ngày càng mở rộng và phát triển.
Tích hợp sâu hơn với các hoạt động của SOC
Kết hợp dữ liệu giám sát mạng với các nền tảng SIEM và SOAR hiện có nhằm bổ sung thông tin chi tiết cho chuỗi thời gian sự cố, đẩy nhanh quy trình xử lý sự cố và giảm tải công việc cho các chuyên viên phân tích trong toàn bộ đội ngũ vận hành an ninh.
Tìm kiếm mối đe dọa có hiệu lực hồi tố trên lưu lượng truy cập trong quá khứ
Sử dụng tính năng truy vết ngược (retrohunting) của nền tảng để phân tích lại dữ liệu mạng lịch sử, phát hiện các hoạt động của kẻ tấn công trước đây bị bỏ sót và xác định thời gian các mối đe dọa chưa được phát hiện đã tồn tại trong môi trường.
Từ An ninh Vùng biên và Thực trạng Mạng
Không thể bảo vệ mạng nội bộ trường đại học chỉ bằng các biện pháp từ bên ngoài. Nếu Trung tâm Điều hành An ninh (SOC) không có khả năng theo dõi hoạt động mạng nội bộ, những kẻ tấn công đã xâm nhập ban đầu có thể di chuyển ngang qua các hệ thống nghiên cứu, ứng dụng học thuật và hạ tầng quản trị trong một thời gian dài.
Nhờ triển khai MetaDefender NDR, các chuyên gia phân tích tại Trung tâm Điều hành An ninh (SOC) của trường đại học này đã có được tầm nhìn toàn diện, khả năng phát hiện và bối cảnh điều tra cần thiết để xác định các mối đe dọa sớm hơn và phản ứng một cách tự tin. Kết quả là một mô hình phòng thủ chủ động, dựa trên mạng lưới, được thiết kế để mở rộng quy mô phù hợp với mức độ phức tạp của môi trường giáo dục đại học hiện đại.
Những điểm chính cần ghi nhớ
- Chỉ riêng các công cụ bảo vệ biên và thiết bị đầu cuối không thể phát hiện các mối đe dọa đã di chuyển ngang trong mạng nội bộ
- Việc theo dõi liên tục mạng nội bộ là yếu tố thiết yếu để phát hiện hành vi của kẻ tấn công trước khi chúng xâm nhập vào các hệ thống nhạy cảm
- Phân tích hành vi dựa trên trí tuệ nhân tạo (AI) có thể phát hiện các hoạt động đáng ngờ lẫn trong lưu lượng truy cập lớn trên khuôn viên trường sớm hơn so với các công cụ dựa trên quy tắc
- Thông tin tình báo về mối đe dọa tích hợp giúp giảm bớt gánh nặng cho các nhà phân tích bằng cách cung cấp bối cảnh ngay tại thời điểm phát hiện
- Giải pháp phát hiện mạng được thiết kế chuyên dụng mang lại sự cải thiện rõ rệt cho Trung tâm Điều hành An ninh (SOC) mà không gây gián đoạn hoạt động của khuôn viên trường
Nếu Trung tâm Điều hành An ninh (SOC) của quý vị đang bảo vệ một môi trường khuôn viên phức tạp và cần có cái nhìn toàn diện hơn về các hoạt động trên mạng nội bộ, hãy liên hệ với OPSWAT để tìm hiểu cách MetaDefender NDR giúp bảo vệ dữ liệu nhạy cảm của quý vị.
