ICTnews vừa có cuộc trao đổi với ông Scott Behm, Giám đốc an toàn thông tin (CISO) của hãng Keysight Technologies, về những thay đổi mạnh mẽ trong năm 2020 và dự báo tương lai của an ninh bảo mật.

{keywords}
Ông Scott Behm, Giám đốc An toàn thông tin của Keysight Technologies

Nếu có thể quay lại 2 năm trước, theo ông, giới CNTT toàn cầu có thể làm gì để chuẩn bị tốt hơn cho việc đối mặt với những rủi ro trong năm 2020?

Trong năm 2020, cộng đồng CNTT và an ninh mạng đã có nhiều thử nghiệm và rủi ro đi kèm. Việc bảo vệ chống lại các tác nhân đe dọa ngày càng tinh vi và nhanh chóng xử lý các thách thức về con người, quy trình, công nghệ để bảo đảm điều kiện làm việc từ xa hiệu quả, an toàn là nhiệm vụ đầy thú vị.

Nhìn nhận vấn đề từ quan điểm tích cực, tất cả chúng ta đã học được những phương pháp mới để sáng tạo và hoàn thành công việc. Trong một số trường hợp, kết quả thu được thậm chí còn tốt hơn so với trước đây. 

Việc nhìn nhận lại một sự việc đã xảy ra bao giờ cũng dễ hơn dự đoán tương lai. Năm 2020, thế giới CNTT đã chứng minh khả năng chống chịu của mình, và nhìn chung là làm tốt việc tạo điều kiện cho các tổ chức có thể tiếp tục hoạt động trong những hoàn cảnh khắc nghiệt. Nhiều bài học được rút ra trong suốt hành trình.

Trong tương lai, cần tập trung nhiều hơn vào việc lập kế hoạch cho các kịch bản về những cuộc khủng hoảng tưởng chừng khó có thể xảy ra. Điều này sẽ giúp bảo vệ tốt hơn cho các tổ chức và lợi ích của chúng ta trong tương lai. 

Giả sử trở thành nạn nhân của tấn công mạng bằng mã độc tống tiền, điều đầu tiên ông sẽ làm là gì?

Các cuộc tấn công bằng mã độc tống tiền nếu thành công có thể gây ra tác động rất lớn với những mục tiêu. Do đó, các công ty cần chuẩn bị sẵn sàng bằng cách thực hiện các bài diễn tập trong phòng họp, điều phối mô phỏng mù - mô phỏng khiến người tham gia tin rằng đó là sự việc thật, hoặc diễn tập “đội tím” - hoạt động diễn tập có cả đội xanh và đội đỏ tham gia để cùng trao đổi về các kỹ thuật tấn công mạng và biện pháp phòng ngừa, nhằm kiểm tra không chỉ năng lực ứng phó mà còn cả năng lực phát hiện của đơn vị mình.

Tại Keysight, nếu các dấu hiệu của một cuộc tấn công bằng mã độc được phát hiện thì Trung tâm điều hành an ninh mạng - SOC sẽ lập tức thực thi quy trình xử lý mã độc tống tiền. Người chỉ huy xử lý sự cố được chỉ định sẽ liên hệ với những người chịu trách nhiệm ứng phó và các bên liên quan. Đồng thời, SOC sẽ điều tra tìm hiểu phạm vi của cuộc tấn công để có thể thực hiện sớm nhất những thủ tục phù hợp nhằm ngăn chặn, giảm nhẹ tác động.

Các công nghệ trí tuệ nhân tạo, học máy đóng vai trò như thế nào trong lĩnh vực an ninh mạng ở hiện tại cũng như tương lai, thưa ông?

Các công nghệ mới trí tuệ nhân tạo (AI) và máy học (ML) đang thể hiện vai trò của mình trong phòng thủ mạng. AI/ML đang được sử dụng nhiều trong 2 lĩnh vực: Giảm số lượng cảnh báo giả ngày càng tăng mà SOC phải xử lý để tìm ra những cảnh báo cần quan tâm; Cải thiện khả năng phát hiện và cảnh báo về hành vi hoặc hoạt động mạng bất thường.

Trong tương lai, các công nghệ này sẽ tiếp tục được cải thiện và có thể trợ giúp nhiều hơn cho đội ngũ bảo vệ mạng trong 2 lĩnh vực trên. Xa hơn nữa, các thuật toán điện toán lượng tử kết hợp với AI và ML có thể hiện thực hóa khả năng phòng thủ mạng theo dự báo. Điều này dựa trên việc máy tính lượng tử có thể cùng lúc thể hiện một số trạng thái - cho phép xử lý nhanh hơn các tập dữ liệu liên quan và nhanh chóng đưa ra những dự đoán chính xác về các mối đe dọa.

Ông đánh giá thế nào việc quản lý hàng chục bảng điều khiển bảo mật của nhiều nhà cung cấp khác nhau so với chọn các giải pháp chỉ từ một nhà cung cấp?

Trong nhiều trường hợp, các tổ chức không phát huy được tối đa tác dụng các khoản đầu tư của họ cho các công cụ bảo vệ an ninh và giám sát mạng. Các hệ thống bảo vệ mạng hiện tại có thể không được triển khai hết các tính năng, các cấu hình hiện tại có thể không được tinh chỉnh thích hợp. Khắc phục những điểm này là nhiệm vụ cần được làm trước. 

Liên quan đến bảo vệ an ninh mạng, nếu chỉ sử dụng một nhà cung cấp dịch vụ điện toán đám mây duy nhất cho các dịch vụ số, các tổ chức nên tận dụng tối đa khả năng bảo vệ an ninh mạng của nhà cung cấp đám mây gốc. Tuy nhiên, nếu tổ chức sử dụng kiến trúc đám mây lai - hoặc sử dụng hỗn hợp mọi hình thức, bao gồm IT và OT tại chỗ, nhiều phiên bản đám mây và điện toán biên - thì việc tìm kiếm giải pháp từ một nhà cung cấp duy nhất cho tất cả các vấn đề này dường như là không thể.

Còn với giám sát an ninh mạng, phát triển một kiến trúc bảo mật linh hoạt giúp tập trung hóa việc thu thập tất cả dữ liệu có liên quan đến bảo mật để tham khảo chéo, tạo ngữ cảnh và đưa ra cảnh báo, sẽ cho phép SOC hoạt động hiệu quả trong phát hiện các mối đe dọa, bất kể đe dọa đến từ hướng nào. 

Vậy các nhà cung cấp mới đóng vai trò ra sao trong mạng lưới của tại Keysight và đâu là những tiêu chí để ông lựa chọn nhà cung cấp?

Luôn tìm kiếm và ứng dụng các công nghệ an ninh mạng mới sẽ mang lại nhiều lợi ích. Tuy nhiên, tương tự như tôi đã nói ở trên, hãy khai thác tối đa khả năng của các hệ thống và thiết bị hiện có trước khi quyết định đầu tư mới.

Nếu bộ công cụ hiện có thực sự không có khả năng xử lý các mối đe dọa mới, tổ chức nên bắt đầu đánh giá để chọn 1 hoặc 2 giải pháp mới. Các giải pháp này sau đó có thể được đánh giá kỹ lưỡng, trước tiên là trong môi trường thử nghiệm và sau đó trong môi trường thực tế. Việc đánh giá này có thể thực hiện bằng cách đồng thời tiến hành các thử nghiệm để “chứng minh giá trị” hoặc song song mua bản quyền sử dụng ngắn hạn các giải pháp với đầy đủ tính năng, từ đó thu thập dữ liệu làm cơ sở ra quyết định lựa chọn. Giải pháp có giá trị tốt nhất về độ ổn định, khả năng mở rộng, hiệu năng và hỗ trợ sẽ được chúng tôi lựa chọn. Và đây là quá trình cần được làm thường xuyên. 

Thanh Hà