Frost & Sullivan: 30% DN tại Châu Á – Thái Bình Dương chỉ có thể phát hiện tấn công mạng ở mức “vừa phải”

Nguy cơ bị tấn công và tổn thất kinh tế do tấn công mạng gia tăng

Nguy cơ bị tấn công và rò gỉ dữ liệu ngày 1 gia tăng với những tổ chức và doanh nghiệp trong thời gian qua. Nghiên cứu gần đây được thực hiện bởi Nhóm nghiên cứu An ninh mạng Frost & Sullivan và Microsoft cho thấy, các doanh nghiệp tại khu vực châu Á – Thái Bình Dương (APAC) đang phải gánh chịu những thiệt hại nặng nề về mặt kinh tế, khi một doanh nghiệp cũng có thể phải chịu tổn thất lên đến 30 triệu USD do các cuộc tiến công mạng. Tổng thiệt hại do những cuộc tấn công mạng này ước lượng lớn hơn 7% so với tổng GDP của toàn khu vực, khoảng 24,3 ngàn tỷ USD. Ngoài ra, các doanh nghiệp còn phải đương đầu với những nguy cơ khác như mất cơ hội trong nền kinh tế kỹ thuật số do những lo ngại về bảo mật trong toàn bộ hệ thống.

Các nghiên cứu khác của Frost & Sullivan cũng cho thấy, gần 22% số doanh nghiệp tại khu vực khẳng định rằng doanh nghiệp mình đã biết thành tiến công mạng trong năm 2018, ở chừng độ thường xuyên, tập trung vào các nhóm chính như ransomware, DDoS, tiến công có chủ đích (APT), mất dữ liệu và gia tài trí tuệ, vv. Ngoài ra, trên 30% doanh nghiệp cho rằng họ chỉ có khả năng phát giác các sự vụ an ninh ở mức “vừa phải”. Còn theo nghiên cứu của IBM Security, đa số các doanh nghiệp tại ASEAN phải mất đến 195 ngày mới phát hiện ra các cuộc tiến công mạng và mất khoảng 72 ngày để khắc phục hậu quả. Điều này cho biết chừng độ trang bị của các doanh nghiệp trong việc ứng phó với những cuộc tấn công mạng là khá thấp.

Vai trò của SOC trong việc bổ trợ các hoạt động an ninh

Hiện nay, để nâng cao khả năng vận hành an ninh, các doanh nghiệp bắt đầu đầu tư vào nhiều hệ thống, công nghệ và dịch vụ khác nhau, trong đó  xây dựng Trung tâm vận hành an ninh mạng (Security Operation Center – SOC) là một phía đi mới và hiệu quả.

SOC là một trung tâm vận hành, chịu trách nhiệm toàn bộ cho các hoạt động quan sát và bảo vệ an toàn an ninh mạng của một tổ chức, doanh nghiệp hoặc khách hàng kết nối vào hệ thống. SOC bao gồm đội ngũ các chuyên gia an ninh mạng, như nhân viên phân tích mã độc, phản ứng sự cố, điều tra phân tích, tuân thủ và các hệ thống bảo mật khác.

Nghiên cứu của Frost & Sullivan cho thấy, 60% DN ở khu vực Châu Á – Thái Bình Dương cho thấy, hệ thống trong SOC giúp họ  phản ứng với những sự cố hiệu quả hơn.

Vai trò lớn nhất của 1 SOC đây chính là khả năng quan sát toàn bộ hệ thống 1 cách chủ động, và liên tục 24/7, phân tích các mối dọa dẫm theo thời gian thực, xếp hạng cảnh báo, rà soát các lỗ hổng và săn tìm các mối đe dọa chủ động, đồng thời giúp cho doanh nghiệp tổ chức thực hành tuân thủ các quy chế và luật pháp nhằm đảm giúp doanh nghiệp tránh được các vấn đề về tuân thủ (compliance) và pháp lý.

Nghiên cứu của Frost & Sullivan về vai trò của hệ thống quan sát an ninh mạng (SIEM) và nền tảng tin tức và phân tích an ninh (SIAP) được sử dụng trong các SOC cho thấy, có trên 80% doanh nghiệp APAC nghĩ rằng SIEM giúp họ thu thập được dữ liệu trong thời gian thực, trên 60% cho là SIEM giúp họ triển khai các hoạt động phân tích thanh tra số và phản ứng với các sự cố hiệu quả hơn.

Về loại hình, hiện nay doanh nghiệp và tổ chức trên ngoài nước sử dụng nhiều loại hình SOC không trùng lặp như, SOC nội bộ, SOC ảo nội bộ, SOC phối hợp (Hybrid SOC), SOC trung tâm (Command SOC) hay SOC thuê ngoài (Outsourced SOC). Mỗi mô hình SOC được xây dựng và sử dụng tùy theo quy mô, khả năng tài chính và trình độ, chuyên môn của chuyên viên an ninh bảo mật hiện có cũng như chừng độ phát triển của thị trường dịch vụ.

SOC tại Việt Nam

Mô hình SOC tại Việt Nam chưa thực thụ thông dụng mặc dù Việt Nam là một trong số quốc gia bị tấn cảnh sát ninh mạng đỉnh cao khu vực với nhiều vụ tiến công vào các hệ thống hiểm yếu như ngân hàng, giao thông vận tải và chính phủ. Thực tế cho thấy, một số ngân hàng lớn của Việt Nam trong vài ba năm qua bắt đầu triển khai các SOC do nhu cầu cấp bách trong việc quản lý và quan sát các hoạt động an toàn thông tin, đặc biệt là sau khi có Thông tư 18/2018 của Ngân hàng Nhà nước về hoạt động của SOC. Tuy nhiên, hầu hết các doanh nghiệp này đều đang loay hoay với bài toán xây dựng SOC thế nào cho hiệu quả và đạt chuẩn, nhất là ở khâu xây dựng quy trình và đào tạo chuyên môn cho đội ngũ vận hành.

Một số đơn vị như CMC Infosec và FPT IS đã thành lập các SOC thương mại để phục vụ khách hàng, dù vẫn chỉ ở quy mô nhỏ.

Về phía các hãng sản xuất dịch vụ, đã có 1 vài doanh nghiệp đi tiền phong trong ngành này, như CMC Infosec và FPT IS. Những doanh nghiệp này đã xây dựng SOC thương mại để phục vụ các khách hàng trong lĩnh vực tài chính, ngân hàng, bảo đảm và khối chính phủ. Tuy nhiên, những SOC này vẫn ở quy mô nhỏ và chỉ có thể đáp ứng được nhu cầu cho 1 lượng khách hàng nhất định trong thời gian đầu.

Ngoài ra, một số đơn vị nhà nước và nhà mạng cũng đã xây dựng SOC nhằm phục vụ trọng trách của mình, như SOC của Cục An toàn thông tin, trung tâm giám sát và phản ứng của VNCERT, Ban Cơ yếu, hay SOC nội bộ của Viettel… Thời gian tới, các tỉnh thành tại Việt Nam có thể cũng sẽ triển khai mô hình SOC nhằm quản lý và giám sát các hoạt động IT và bảo mật của hệ thống trong tỉnh đó 1 cách tốt hơn, đồng thời kết hợp tích cực với SOC trung tâm của chính phủ nhằm khống chế tốt các mối đe dọa tới hệ thống tin tức quốc gia. Tuy nhiên, điều thiết yếu cho chuyện thành lập và vận hành SOC một cách hữu hiệu tại các địa phương đây là phải huấn luyện được hàng ngũ an ninh bảo mật có đủ sức và hiểu biết để quán lý và sử dụng các thiết bị được đầu tư. Đầu tư vào cả 3 mặt gồm con người, quy trình và công nghệ 1 cách đồng bộ là cực kì quan trọng để đáp ứng hoạt động hiệu quả của 1 SOC. Nếu một trong 3 mặt này chưa được đầu tư đúng mức, hoạt động của một SOC sẽ bị ảnh hưởng và có thể dẫn đến nhiều nguy cơ mất an toàn tin tức của toàn hệ thống và mạng lưới.

Vũ Anh Tiến

Chuyên gia phân tích tại Frost & Sullivan châu Á – Thái Bình Dương

(Tổng hợp và phân tích)