Trong cách mạng công nghiệp 4.0, công nghệ thông tin công cụ hàng đầu góp phần xây dựng nên sự thành công doanh nghiệp. Tuy nhiên cùng với sự phát triển của công nghệ, nguy cơ mất an ninh và bảo mật thông tin mạng là vấn đề hàng đầu được các doanh nghiệp quan tâm trong giai đoạn chuyển đổi số và chuyển dịch cloud.
Theo thống kê từ Gartner trong nghiên cứu Leader Ship vision, 52% CIO mong muốn nhu cầu làm việc Work From Any where được tăng lên từ năm 2021, 60% doanh nghiệp ưu tiên phát triển kinh doanh trên nền tảng kỹ thuật số đặt biệt sau ảnh hưởng của đại dịch COVID 19.
Cũng theo thống kê từ Fortinet 36% doanh nghiệp cho biết mức độ nguy hại từ tấn công mạng ngày càng tăng lên, đặt biệt các nguy cơ từ ransomware. 76% doanh nghiệp có tồn tại ít nhất một lỗ hổng an ninh mạng bị khai thác do liên quan tới kỹ năng vận hành bảo mật.
Đội ngũ vận hành bảo mật (SOC team) ngày càng đối mặt với những khó khăn thách thức mới trong vấn đều giám sát an ninh mạng, quản ký bề mặt tấn công khi kiến trúc hạ tầng mạng được thiết kế theo xu thế mới, nhu cầu làm việc mới và kỹ năng, công cụ của hacker ngày càng hoàn thiện đặt biệt với sự hỗ trợ của công nghệ trí tuệ nhân tạo.
Một trong những vấn đề hàng đầu đới với SOC team có thể được liệt kê như sau:
- Vận hành quá nhiều vendor: mỗi vendor có một cách thức hoạt động, giao diện quản trị, phương thức cảnh báo khác nhau. Điều này gây khó khăn trong quá trình phân công thống nhất công việc, gây tốn kém nguồn nhân lực quản trị do mỗi thành viên có chuyên môn và kỹ năng khác nhau.
- Quá nhiều cảnh báo: khi số lượng thiết bị và ứng dụng tăng lên, nguy cơ bị tấn công cũng bị tăng lên và số lượng cảnh báo bảo mật ngày càng nhiều và xuất phát từ nhiều nguồn. Đội ngũ SOC tốn kém rất nhiều thời gian và công sức trong việc xác định nguồn cảnh báo, phân loại cảnh báo và đưa ra cách xử lý đối với từng mức độ nguy hại.
- Vận hành thủ công/phản ứng chậm: để đối phó với một vấn đề mới phát sinh và đảm bảo anh ninh trên toàn bộ các node mạng, SOC team phải thiết lập các chính sách bảo mật toàn diện trên các hệ thống phòng thủ thụ động từ lớp mạng (Network Layer), lớp ứng dụng (Application Layer) và Ednpoint. Trong một hạ tâng có quá nhiều giải pháp khác nhau làm phát sinh độ trễ, gây mất an ninh và nguy cơ bị lây nhiễm sang các thành phần khác.
- Đào tạo con người: trong công tác SOC, con người là một nhân tố hàng đầu quyết định sự thành công của bất kỳ hệ thống bảo mật nào. Trên một hạ tầng đủ lớn và phức tạp, vấn đề đào tạo nhân lực là một thách thức lớn trong việc xây dựng ý thức trách nhiệm cũng như nâng cao chuyên môn nhân sự trong từng vị trí cụ thể.
Trước những khó khăn của SOC team trong việc vận hành bảo mật xu thế mới, Fortinet cung cấp giải pháp FortiSOAR, một công cụ bảo mật hỗ trợ đội ngũ vận hành có thể tự động ứng phó, quản lý công việc với từng từng nguy cơ bảo mật tương ứng với từng quy trì bảo mật của mỗi doanh nghiệp.
FortiSOAR cung cấp cho đội ngũ SOC những chức năng chính sau:
- Hợp nhất quản lý và ứng phó sự cố:
FortiSOAR connecter hỗ trợ sẵn hơn 400 phương thức kết nối tới nhiều vendor thành phần bảo mật khác nhau từ Network Firewall, các nền tảng Application Security, hệ thống Endpoint Security, hệ thống quản lý Ticket, Sandbox, Thread Intel, DevOps… ngoài ra FortiSOAR SDK cho phép tự phát triển các bộ công cụ quản lý kết nối tới những giải pháp chưa được hỗ trợ. Thông qua connector, FortiSOAR có thể truy cập, cấu hình đồng thời những giải pháp rời rạc theo quy trinh được lập trình sẵn từ SOC team, cung cấp khả năng phản ứng nhanh, tự động khi phát hiện bất kỳ một nguy cơ phát trinh từ bên trong hay bên ngoài hệ thống.
- Tự động phân loại cảnh báo: với sự hỗ trợ của AI, FortiSOAR có thể thích nghi, nhận dạng, phân loại cảnh báo một cách tự động, hạn chế sai sót, đánh dấu các nguy cơ bảo mật nghiêm trọng, cung cấp SOC team các cách thức bảo mật khuyến nghị.
- Tối ưu hoá quy trình bảo mật: FortiSOAR cung cấp công cụ giám sát KPI của từ team SOC khác nhau, giảm thiểu chi phí, thời gian phản ứng bảo mật. Ngoài ra với bộ cơ sở dữ liệu OOB khổng lồ, FortiSOAR rút ngắn thời gian xây dựng playbook, giúp team giảm thiểu hoặc không cần code để đưa ra các cách thức xử lý cụ thể.
- Quản lý Threat Itelligence: ngoài khả năng kết nối tới FortiGaurd, FortiSOAR còn có thể liên kết thới hàng loại nhà cung cấp dịch vụ Threat Hunt khác nhau cung cấp khả năng bảo mật toàn diện cho hệ thống khi phát hiện nguồn nguy cơ bảo mật có thể chưa được xuất hiện trong hệ thống.
