An ninh mạng: Cảnh giác trước mối đe dọa mạng zero-day

An ninh mạng: Cảnh giác trước mối đe dọa mạng zero-day

Một nhà sản xuất ô tô tại Hoa Kỳ, phụ thuộc vào hơn 200 nhà cung cấp đang hoạt động, đã biến luồng tệp liên tục đi vào môi trường của mình thành cả một lỗ hổng bảo mật và một chi phí vận hành ngày càng tăng. Tình trạng này ảnh hưởng nghiêm trọng đến ngành sản xuất, nơi các đội SOC (Trung tâm Điều hành An ninh) phải gánh vác khối lượng công việc trung bình cao hơn 18% so với các đội bảo mật trong các lĩnh vực khác. Giải pháp cho vấn đề này nằm ở việc áp dụng sandbox hành vi và thông tin tình báo về mối đe dọa, giúp công ty cắt giảm một nửa thời gian phân loại (nhanh gấp 2 lần), đạt được thời gian trung bình để phát hiện (MTTD) chỉ còn 20 giây, cải thiện MTTR và tỷ lệ phát hiện, đồng thời xử lý hàng trăm tệp nhà cung cấp mỗi tuần mà không cần tăng cường nhân sự.

Thách thức từ Chuỗi Cung Ứng Phức Tạp

Tổ chức này là một nhà sản xuất ô tô có trụ sở tại Hoa Kỳ, hoạt động trong một chuỗi cung ứng có tính kết nối cao. Hoạt động sản xuất hàng ngày của họ phụ thuộc vào sự hợp tác liên tục với hơn 200 nhà cung cấp và nhà thầu phụ bên thứ ba.

Các đối tác này thường xuyên gửi các tệp tin đến công ty để duy trì các quy trình sản xuất, kỹ thuật và kinh doanh. Sự trao đổi này là động lực thúc đẩy hoạt động, nhưng đồng thời cũng mở ra một cánh cửa rộng lớn và luôn thay đổi cho các rủi ro bảo mật.

Nhiệm vụ của đội SOC là bảo vệ môi trường của công ty, đồng thời đảm bảo hoạt động hợp tác với nhà cung cấp diễn ra suôn sẻ. Khi khối lượng tệp tin đầu vào tăng lên, đội ngũ cần một phương pháp đáng tin cậy để xem xét mọi tệp gửi đến theo cùng một tiêu chuẩn, đẩy nhanh tốc độ phát hiện và phản ứng, đồng thời giảm thiểu rủi ro từ bên thứ ba mà không cần tăng ngân sách nhân sự.

Khoảng Trống Trong Phân Tích Tệp Tin

Trước khi triển khai giải pháp, nhà sản xuất này không có phương pháp tiêu chuẩn hóa để kiểm tra các tệp do nhà cung cấp và nhà thầu gửi đến.

Các biện pháp kiểm soát hiện có có thể đánh dấu một tệp là đáng ngờ, nhưng chúng thường không thể tiết lộ hành vi thực tế của tệp khi nó được thực thi. Do thiếu bằng chứng hành vi, các nhà phân tích chỉ dựa vào các chỉ số không đầy đủ và kết quả đánh giá không chắc chắn.

Sự thiếu sót này dẫn đến một số vấn đề thường xuyên xảy ra với đội SOC:

  • Các tệp có thể xâm nhập vào môi trường mà không trải qua giai đoạn phân tích hành vi chuyên dụng.
  • Điều này khiến công ty không thể phát hiện các mối đe dọa trông có vẻ vô hại khi kiểm tra tĩnh nhưng chỉ thể hiện tính chất độc hại sau khi thực thi.

Nguy Cơ Gia Tăng Từ Hệ Sinh Thái Nhà Cung Cấp

Trong một hệ sinh thái nhà cung cấp lớn như vậy, nguy cơ càng được khuếch đại. Một tài khoản hoặc hộp thư của nhà cung cấp bị xâm nhập duy nhất có thể âm thầm biến một kênh liên lạc đáng tin cậy thành một con đường gián tiếp xâm nhập vào công ty. Với hơn 47% các cuộc tấn công nhắm vào các nhà sản xuất bắt đầu bằng email, tin nhắn và tệp đính kèm từ nhà cung cấp chiếm một phần quan trọng trong bề mặt tấn công của bên thứ ba.

Gánh Nặng Leo Thang Công Việc

Các nhà phân tích Cấp 1 thường xuyên không có đủ bằng chứng để tự mình xử lý các tệp đáng ngờ. Do đó, hầu hết các tệp này được chuyển lên cho các nhân viên có kinh nghiệm hơn.

Các nhà phân tích cấp cao cuối cùng lại dành thời gian của họ cho các trường hợp mà bằng chứng rõ ràng có thể đã giải quyết sớm hơn nhiều. Mạng lưới nhà cung cấp tiếp tục tạo ra các tệp với tốc độ ổn định. Việc theo kịp chỉ bằng cách xem xét thủ công sẽ đòi hỏi nhiều giờ làm việc của nhà phân tích và, sớm muộn, sẽ cần phải tuyển dụng thêm.

Nếu không có quy trình có khả năng mở rộng, công ty phải đối mặt với việc chi trả nhiều hơn chỉ để duy trì mức bảo vệ hiện tại. Sự kìm kẹp này đặc biệt khó khăn trong lĩnh vực sản xuất, nơi các đội SOC đã gánh vác khối lượng công việc cao hơn khoảng 18% so với các đội bảo mật ở các nơi khác. Đối với bất kỳ tổ chức nào quản lý một lượng lớn cơ sở nhà cung cấp, việc điều tra thủ công ngày càng trở nên khó khăn và khó duy trì hơn.

Hậu Quả Của Sự Chậm Trễ

Mỗi giờ dành để xác minh một tệp đáng ngờ đều kéo dài khoảng thời gian công ty không thể tự tin xóa, chặn hoặc cô lập nó.

Trong môi trường sản xuất, một mối đe dọa lọt qua có thể vượt ra ngoài một điểm cuối duy nhất. Nó có thể làm ngừng hoạt động, làm lộ thông tin nhạy cảm và làm xói mòn lòng tin trên toàn bộ mạng lưới nhà cung cấp.

Giải Pháp Toàn Diện Cho Phân Tích Tệp Tin

Quy Trình Phân Tích Tệp Tin Tự Động

Nhà sản xuất đã triển khai một quy trình làm việc thống nhất để phân tích các tệp nhận được từ nhà cung cấp và nhà thầu.

Việc kết hợp phân tích hành vi với thông tin tình báo về mối đe dọa đã mang lại cho đội SOC hai yếu tố quan trọng: bằng chứng xác thực về những gì một tệp thực hiện và ngữ cảnh xung quanh để đánh giá mối đe dọa lớn hơn đằng sau nó.

Thay vì dựa vào các cảnh báo cô lập hoặc các chỉ số không đầy đủ, các nhà phân tích giờ đây có thể gắn cờ các tệp độc hại với độ chính xác cao hơn, đưa ra kết luận sớm hơn, giải quyết nhiều trường hợp hơn ở Cấp 1 và giải phóng các nhà phân tích cấp cao khỏi các đánh giá định kỳ.

Tăng Cường Tốc Độ Phát Hiện và Phản Ứng

Hiệu quả tổng thể là chất lượng phát hiện được cải thiện cùng với việc giảm MTTD và MTTR đối với các trường hợp liên quan đến nhà cung cấp. Thời gian phân loại đã giảm khi các nhà phân tích có thể trực tiếp quan sát những gì các tệp đáng ngờ của nhà cung cấp thực hiện sau khi chạy.

Các tệp được kích hoạt an toàn trong ANY.RUN Interactive Sandbox, nơi đội ngũ có thể kiểm tra hoạt động của quy trình, kết nối mạng, thay đổi hệ thống, lệnh được thực thi và các hành vi khác mà không cần chạm vào môi trường sản xuất.

Các chỉ số không đầy đủ đã được thay thế bằng bằng chứng rõ ràng về việc liệu một tệp có độc hại hay không và nó có thể ảnh hưởng đến doanh nghiệp như thế nào. Đầu ra có cấu trúc, trực quan cũng giúp các nhà phân tích Cấp 1 chuyển từ cảnh báo sang kết luận với ít bước thủ công hơn.

Thay vì tổng hợp hành vi tệp từ các công cụ riêng biệt, họ có thể xác thực nhanh chóng các tệp đáng ngờ và đưa ra quyết định một cách tự tin. Tuyến đường ngắn hơn từ cảnh báo đến kết luận đã xác nhận đã giúp giảm MTTD, trong khi bằng chứng rõ ràng hơn và ít kiểm tra lặp lại hơn đã giúp giảm MTTR.

Tích Hợp Thông Tin Tình Báo Về Mối Đe Dọa

Phân tích hành vi đã cho đội ngũ thấy những gì một tệp cụ thể thực hiện. Thông tin tình báo về mối đe dọa (threat intelligence) tiết lộ liệu tệp đó có liên kết với một chiến dịch lớn hơn hay không.

Các chỉ số được hiển thị trong quá trình phân tích có thể được khớp với cơ sở hạ tầng độc hại, các mẫu liên quan, các chiến dịch đã biết và hoạt động của kẻ tấn công đang diễn ra. Điều đó cho các nhà phân tích biết liệu họ đang đối mặt với một tệp đơn lẻ hay một hoạt động rộng hơn nhằm vào hệ sinh thái nhà cung cấp của công ty.

Đội SOC cũng sử dụng ngữ cảnh đó để khai quật thêm các chỉ số và mẫu hành vi, củng cố các biện pháp phát hiện nội bộ của họ vượt ra ngoài tệp gốc. Kết quả là, mỗi cuộc điều tra đều góp phần vào một bức tranh rộng lớn hơn về bối cảnh mối đe dọa. Đội ngũ có thể đóng trường hợp ngay lập tức đồng thời phát hiện các hoạt động liên quan mà lẽ ra có thể vẫn còn ẩn giấu trong chuỗi cung ứng.

Tối Ưu Hóa Hiệu Quả Làm Việc Của Đội SOC

Giảm Thiểu Leo Thang Công Việc

Trước đây, các tệp đáng ngờ từ nhà cung cấp thường xuyên leo thang bậc thang vì các nhà phân tích Cấp 1 thiếu bằng chứng để xác định chúng là an toàn hay độc hại một cách tự tin.

Hiện nay, với phân tích hành vi, thông tin tình báo về mối đe dọa và báo cáo Cấp 1 có cấu trúc nằm trong cùng một quy trình làm việc, các nhà phân tích tuyến đầu nhận được bản tóm tắt rõ ràng về mỗi trường hợp cùng với các đề xuất cụ thể cho bước tiếp theo.

Điều này đã giảm nhu cầu diễn giải thủ công mọi chi tiết kỹ thuật và cho phép các nhà phân tích đưa ra quyết định nhanh hơn. Công ty đã ghi nhận sự sụt giảm mạnh về số lượng leo thang ở Cấp 1, và Cấp 2 cũng nhận được ít trường hợp có ngữ cảnh thấp hơn.

Tái Cấu Trúc Nguồn Lực Chuyên Gia

Sự thay đổi này đã cắt giảm các công việc trùng lặp và sử dụng chuyên môn của các chuyên gia một cách hiệu quả hơn. Các nhà phân tích cấp cao dành ít thời gian hơn để lặp lại các bước xác thực cơ bản và nhiều thời gian hơn cho các mối đe dọa phức tạp, có tác động cao.

Nhiều tệp hơn được xử lý ở cấp độ phù hợp ngay từ đầu, giúp hàng đợi điều tra hoạt động và giảm chi phí cho mỗi trường hợp.

Xử Lý Khối Lượng Tệp Lớn

Công ty hiện xem xét hàng trăm tệp nhà cung cấp mỗi tuần mà không cần thêm nhà phân tích. Đối với doanh nghiệp, đây là một trong những lợi ích hữu hình nhất của quy trình mới. Nhà sản xuất đã mở rộng quy mô năng lực phân loại và phân tích của mình trong khi giữ nguyên chi phí nhân sự.

Thay vì coi việc tăng số lượng nhân sự là giải pháp duy nhất cho khối lượng tệp ngày càng tăng, công ty đã cung cấp cho đội ngũ hiện tại một cách nhanh hơn, nhất quán hơn để phát hiện hoạt động độc hại và đưa ra kết luận.

Đội SOC hiện có thể xử lý nhiều lưu lượng truy cập từ nhà cung cấp hơn mà không có sự gia tăng tương ứng về chi phí lao động hoặc các vụ tồn đọng điều tra. Nó cũng mang lại cho công ty một nền tảng bền vững hơn cho sự tăng trưởng. Khi mạng lưới nhà cung cấp phát triển hoặc khối lượng tệp tăng lên, đội bảo mật có quy trình phân loại có thể mở rộng tương ứng.

Kết Quả Định Lượng

Cải Thiện Tốc Độ và Hiệu Quả

Nhà sản xuất đã đạt được cải thiện gấp 2 lần về tốc độ xử lý cảnh báo và phân tích mối đe dọa, góp phần trực tiếp làm giảm thời gian trung bình để phát hiện (MTTD) và thời gian trung bình để phản ứng (MTTR).

Các tệp đáng ngờ từ nhà cung cấp giờ đây được xử lý nhanh gấp đôi. Các nhà phân tích xác định hành vi độc hại sớm hơn, xác nhận kết luận với ít chậm trễ hơn và chuyển các trường hợp rủi ro cao vào quy trình phản ứng với bằng chứng đã được thu thập.

Các tệp hợp lệ cũng được xử lý nhanh hơn, vì vậy các nhóm kinh doanh dành ít thời gian chờ đợi quyết định bảo mật hơn. Quy trình làm việc nhanh hơn cũng giảm thiểu cửa sổ thời gian công ty bị phơi nhiễm. Các nhà phân tích đã đưa ra kết luận dựa trên bằng chứng sớm hơn mà không đánh đổi chiều sâu điều tra, bảo vệ hoạt động đồng thời giữ cho quy trình làm việc của nhà cung cấp tiếp tục hoạt động.

Tầm Nhìn Rõ Ràng Cho Lãnh Đạo

Đối với các giám đốc điều hành trong lĩnh vực sản xuất, bảo mật nhà cung cấp vượt ra ngoài đội SOC. Nó liên quan đến tính liên tục hoạt động, ngân sách nhân sự, trách nhiệm giải trình của ban lãnh đạo và khả năng phát triển của công ty mà không làm tăng thêm rủi ro.

Một giải pháp có khả năng mở rộng phải kết hợp xác thực tệp nhất quán, ngữ cảnh mối đe dọa rộng hơn và kết quả có thể đo lường được. Một quy trình phân loại nhất quán cho phép đội SOC áp dụng cùng một thước đo cho mọi tệp từ nhà cung cấp và nhà thầu.

Với bằng chứng hành vi từ ANY.RUN Interactive Sandbox và ngữ cảnh bổ sung từ Threat Intelligence, các đội có thể thay thế các kiểm tra thủ công không nhất quán bằng quy trình xác thực có thể lặp lại. Điều này mang lại cho lãnh đạo sự giám sát rõ ràng hơn về một trong những kênh bên thứ ba có rủi ro cao nhất của công ty.

Hiệu Quả Chi Phí và Tối Ưu Nguồn Lực

Việc đưa ra kết luận nhanh hơn và ít lần leo thang không cần thiết cho phép đội ngũ hiện tại xử lý nhiều yêu cầu từ nhà cung cấp hơn. ANY.RUN cắt giảm công việc trùng lặp, bảo tồn năng lực của các nhà phân tích cấp cao và giúp đội SOC xử lý khối lượng tệp cao hơn mà không cần tăng quy mô nhân sự tương ứng.

Lợi ích thu được là giảm chi phí điều tra và giá trị cao hơn từ các nguồn lực bảo mật hiện có. Các tệp đáng ngờ có thể được phân tích trong một môi trường được kiểm soát trước khi chúng đến hệ thống nội bộ, trong khi các tệp hợp lệ được xử lý nhanh hơn. Điều này làm giảm nguy cơ các mối đe dọa từ nhà cung cấp mà không gây ra sự chậm trễ không cần thiết cho sản xuất, mua sắm, kỹ thuật hoặc bất kỳ nhóm nào khác phụ thuộc vào sự hợp tác của bên thứ ba.

Đánh Giá Toàn Diện Mối Đe Dọa

Một tệp đáng ngờ có thể chỉ là một phần của một chiến dịch lớn hơn. ANY.RUN’s Threat Intelligence giúp các đội liên kết các chỉ số với cơ sở hạ tầng đã biết, các mẫu liên quan, các chiến dịch đang hoạt động và hoạt động rộng hơn của kẻ tấn công.

Điều này mang lại cho lãnh đạo cái nhìn sắc bén hơn về việc liệu công ty đang đối mặt với một tệp đơn lẻ hay một nguy cơ rộng hơn bao gồm các nhà cung cấp và các đối tác bên ngoài khác. Các chương trình bảo mật nhà cung cấp mạnh mẽ nhất được đánh giá bằng kết quả, không phải bằng số lượng tệp được xử lý.

Với ANY.RUN, các tổ chức có thể theo dõi các cải thiện như giảm MTTD và MTTR, tỷ lệ phát hiện cao hơn, ít leo thang Cấp 1 hơn, năng lực phân tích lớn hơn và cửa sổ phơi nhiễm ngắn hơn. Những kết quả này giúp dễ dàng chứng minh cách chi tiêu cho bảo mật nhà cung cấp cắt giảm rủi ro, tránh chi phí nhân sự bổ sung và hỗ trợ tăng trưởng kinh doanh.

Tóm Lược Case Study

Đối với nhà sản xuất ô tô này tại Hoa Kỳ, việc tiếp nhận tệp từ nhà cung cấp đã trở thành cả một điểm yếu về bảo mật và một trung tâm chi phí ngày càng tăng. Hơn 200 nhà cung cấp đã gửi các tệp vào môi trường, và các nhà phân tích không có cách nào nhất quán để xác thực hành vi, bổ sung ngữ cảnh mối đe dọa và đưa ra quyết định nhanh chóng.

Với ANY.RUN, công ty đã xây dựng một quy trình phân loại có khả năng mở rộng, hiện đang xử lý hàng trăm tệp nhà cung cấp mỗi tuần mà không cần thêm nhân sự. Phân tích mối đe dọa đã tăng gấp 2 lần về tốc độ, MTTD và MTTR được cải thiện, khả năng phát hiện tăng lên và ít trường hợp cần leo thang lên Cấp 2 hơn.

Kết quả là một mô hình bảo mật vững chắc hơn cho một hệ sinh thái nhà cung cấp phức tạp: giảm thiểu rủi ro từ bên thứ ba, sử dụng thời gian của nhà phân tích một cách thông minh hơn và các quyết định nhanh hơn giúp duy trì hoạt động kinh doanh.

ANY.RUN là nhà cung cấp hàng đầu các giải pháp phân tích mã độc tương tác và tình báo mối đe dọa, giúp các đội SOC, MSSP và doanh nghiệp điều tra các mối đe dọa mạng nhanh hơn và đưa ra các quyết định bảo mật dựa trên bằng chứng.

ANY.RUN Interactive Sandbox trên nền tảng đám mây cho phép các đội phân tích an toàn các tệp, URL và email đáng ngờ trong thời gian thực, quan sát hành vi độc hại diễn ra và thu thập bằng chứng rõ ràng để phân loại và phản ứng.

Các giải pháp ANY.RUN’s Threat Intelligence bổ sung ngữ cảnh xung quanh các chỉ số, cơ sở hạ tầng độc hại, các chiến dịch mới nổi và hoạt động của kẻ tấn công. Cùng nhau, các khả năng này giúp các tổ chức tăng cường khả năng phát hiện mối đe dọa, rút ​​ngắn thời gian điều tra và đáp ứng các yêu cầu bảo mật ngày càng tăng mà không làm tăng chi phí vận hành không cần thiết.