Phishing, website giả mạo và các chiến dịch gian lận trực tuyến đang thay đổi nhanh đến mức nhiều hệ thống bảo mật doanh nghiệp không kịp theo nhịp. Khi việc phát hiện vẫn dựa chủ yếu vào dấu hiệu đã biết, doanh nghiệp thường chỉ phản ứng sau khi mối đe dọa đã chạm tới người dùng hoặc hệ thống. Trong bối cảnh đó, việc CMC Telecom tham gia APWG ở cấp độ Sponsoring Member mở ra một hướng đi khác: đưa dữ liệu tình báo an ninh mạng quy mô toàn cầu vào lớp mạng, cloud và dịch vụ bảo mật để phát hiện sớm hơn và phản ứng nhanh hơn.

Vì sao mô hình phòng thủ cũ thường chậm một nhịp

Vấn đề của mô hình phòng thủ cũ không phải thiếu công cụ, mà là thiếu dữ liệu đủ rộng để nhìn ra một chiến dịch đang lan trên phạm vi lớn. Một tên miền độc hại, một IP khả nghi hay một trang giả mạo nếu đứng riêng lẻ chỉ là tín hiệu đơn lẻ. Chỉ khi những tín hiệu đó được đặt trong một kho dữ liệu đủ lớn, hệ thống mới có thể thấy ra chúng thuộc cùng một chiến dịch, đang dùng lại cùng hạ tầng, hay đang nhắm vào cùng một nhóm mục tiêu. Đó là chỗ các hệ thống chỉ dựa vào chữ ký nhận diện thường bị chậm một nhịp.

APWG và nguồn dữ liệu eCrime eXchange

APWG hiện vận hành eCrime eXchange, nền tảng chia sẻ dữ liệu sự kiện tội phạm mạng cho thành viên. Theo APWG, hệ thống này phát ra hàng tỷ phần tử dữ liệu mỗi tháng qua API và bao phủ nhiều nhóm dữ liệu như phishing URL, email lừa đảo, IP độc hại, tên miền độc hại và các tín hiệu liên quan đến gian lận trực tuyến. Khi tham gia ở cấp độ Sponsoring Member, CMC Telecom có thể tiếp cận trực tiếp nguồn dữ liệu này thay vì chỉ dựa vào những gì quan sát được trong nội bộ hệ thống.

Giá trị thực tế: phát hiện sớm hơn và phản ứng nhanh hơn

Giá trị lớn nhất của việc đó nằm ở tốc độ và độ chính xác. Khi dữ liệu từ APWG được đưa vào hệ thống mạng và cloud, khả năng nhận diện phishing, mã độc và hành vi giả mạo có thể được đẩy lên sớm hơn. Hệ thống không còn chỉ trả lời đã có gì xảy ra, mà bắt đầu nhìn ra điều gì đang hình thành và điều gì cần ưu tiên xử lý trước. Với doanh nghiệp, khác biệt này tác động trực tiếp tới thời gian từ lúc phát hiện tới lúc phản ứng, đồng thời giảm khả năng bỏ sót những cảnh báo thực sự quan trọng.

Ý nghĩa vận hành và kỳ vọng dài hạn

Ở góc độ vận hành, bước đi của CMC Telecom cho thấy trọng tâm đang dịch từ công cụ sang dữ liệu. Khi các cuộc tấn công ngày càng mang tính chiến dịch, kéo dài qua nhiều tên miền, nhiều lớp trung gian và nhiều khu vực khác nhau, lợi thế không còn nằm ở việc có thêm một thiết bị hay một dashboard mới. Lợi thế nằm ở chỗ ai nhìn thấy sớm hơn, hiểu bối cảnh rõ hơn và chuyển dữ liệu đó thành hành động nhanh hơn. Với các khách hàng trong tài chính, ngân hàng, khu vực công hay các hệ thống quan trọng, đó là loại năng lực có giá trị thực tế hơn nhiều so với một tuyên bố hợp tác đơn thuần.

Nhìn rộng hơn, việc vào APWG không tự động làm cho hệ thống an toàn hơn ngay lập tức. Nhưng nó cho CMC Telecom một lớp dữ liệu đầu vào đủ lớn để nâng chất lượng phát hiện và tăng độ chủ động trong phòng thủ. Nếu được tích hợp tốt vào mạng, cloud và các dịch vụ bảo mật, giá trị lâu dài sẽ nằm ở chỗ phát hiện sớm hơn, hiểu đúng hơn và xử lý nhanh hơn khi một chiến dịch tấn công bắt đầu chạm tới khách hàng.