Giải thưởng An ninh mạng về TT dữ liệu Việt Nam 2022 gọi tên DC Tân Thuận

Bên cạnh hạ tầng an toàn, đội ngũ chuyên gia bảo mật trình độ cao của Khối Hạ tầng số cũng là nhân tố quan trọng. Là đơn vị chiến lược của Tập đoàn CMC trong lĩnh vực An ninh An toàn thông tin với kinh nghiệm gần 15 năm trên thị trường, các dịch vụ do CMC Cyber Security cung cấp đều mang tiêu chuẩn bảo mật quốc tế. CMC Cyber Security là thành viên đầu tiên gia nhập Hiệp hội các Nhà nghiên cứu mã độc Châu Á (Anti-Virus Asia Researchers Association - AVAR) và là 1 trong 2 đơn vị duy nhất ở Việt Nam nằm trong nhóm các nhà sản xuất phần mềm diệt virus của Microsoft (Microsoft Virus Initiative - MVI) trên thế giới.

Yếu tố con người được đầu tư bài bản của khối Hạ tầng số CMC

Thêm vào đó, giải pháp Phòng chống Mã độc và Quản trị Tập trung CMDD (CMC Malware Detection and Defence) của CMC Cyber Security là sản phẩm duy nhất của Việt Nam vượt qua bài kiểm tra chứng chỉ Virus Bulletin 100 (VB100) với các chỉ số kiểm định tuyệt đối đều là 100%. Vượt qua những tiêu chuẩn và kiểm định khắt khe, CMDD là sản phẩm duy nhất được triển khai cho Bộ Quốc phòng Việt Nam trong nhiều năm liên tiếp.

Nền tảng Cloud "Make in Vietnam" - trọng tâm của Khối hạ tầng số CMC

Cùng với giải thưởng An ninh mạng về Trung tâm dữ liệu Việt Nam 2022 , CMC Telecom là đơn vị duy nhất nhận giải thưởng danh giá Nhà cung cấp dịch vụ đám mây của năm 2022 nhờ năng lực kết nối trực tiếp và quản trị đồng thời 03 dịch vụ điện toán đám mây hàng đầu thế giới là Google Cloud, Microsoft Azure và Amazon Web Service. Bên cạnh đó, CMC Cloud cũng là nền tảng đám mây “nòng cốt” trong chiến lược của Khối hạ tầng số góp phần đưa Việt Nam thành một Digital Hub trung chuyển trong khu vực.

CMC Telecom được bình chọn là "Nhà cung cấp dịch vụ đám mây của năm 2022”

Khối Hạ tầng số của Tập đoàn CMC ra đời từ sự dịch chuyển khối hạ tầng viễn thông bao gồm CMC Telecom và Netnam sang khối hạ tầng số, tập trung vào kết nối băng rộng, trung tâm dữ liệu, điện toán đám mây và an toàn, an ninh thông tin. Kết hợp với CMC Cyber Security, Khối hạ tầng số CMC sẽ mang đến cho khách hàng những dịch vụ chuyển đổi số với hạ tầng hiện đại và an toàn theo tiêu chuẩn quốc tế cao nhất.

Bắt nhịp xu hướng kinh doanh trên thế giới với mô hình “Telco làm Security”, sự kết hợp giữa CMC Telecom và CMC Cyber Security trong khối Hạ tầng số sẽ mang lại cho khách hàng khối Tài chính Ngân hàng, các tập đoàn lớn cần hạ tầng kết nối mạnh mẽ, data center tiêu chuẩn, bảo mật tuyệt đối và các doanh nghiệp SME cần những hệ sinh thái sản phẩm, dịch vụ cao cấp trên nền tảng điện toán đám mây với chi phí tối ưu.

Phạm Trang

Chuyên gia Cục An toàn thông tin cho hay, tất cả những người dùng máy tính, di động, các thiết bị IoT có kết nối Internet đều có thể trở thành nạn nhân của mã độc. Những vị trí thường bị tin tặc tấn công là blog, hệ thống quản lý nội dung, phần mềm diễn đàn và website thương mại điện tử.

Với máy tính PC, mã độc có thể chiếm quyền điều khiển máy tính, lấy cắp dữ liệu quan trọng, ảnh hưởng đến băng thông và chất lượng dịch vụ mạng. Còn với thiết bị di động, mã độc chủ yếu lấy cắp các dữ liệu nhạy cảm như thẻ tín dụng, mật khẩu, nhật ký cuộc gọi, SMS... và theo dõi người dùng. Do đó, việc xác định loại mã độc nào đã lây nhiễm vào thiết bị là cách phòng chống và giải quyết tấn công mạng một cách triệt để.

Các phần mềm phòng chống mã độc được Trung tâm Giám sát an toàn không gian mạng quốc gia thuộc Cục An toàn thông tin cập nhật, cung cấp miễn phí trên Cổng không gian mạng quốc gia tại địa chỉ khonggianmang.vn, cho phép bất kỳ cá nhân, tổ chức hay doanh nghiệp nào có thể kiểm tra điểm yếu trình duyệt, hệ điều hành; lộ lọt dữ liệu hay chọn dùng công cụ xử lý mã độc chuyên sâu.

Tại Việt Nam, theo số liệu của Bộ TT&TT, năm 2021, hơn 3.300 website trong nước bị xâm nhập và thay đổi giao diện, trung bình hàng tháng có hơn 700.000 IP Việt Nam nằm trong mạng botnet. Bởi vậy, khi người dân chủ động tham gia chiến dịch làm sạch mã độc sẽ góp phần gián tiếp bóc gỡ hàng loạt máy chủ đặt tại Việt Nam đang bị lợi dụng để tấn công nhiều hệ thống thông tin trên thế giới. 

“Với chiến dịch làm sạch mã độc trên không gian mạng, chúng tôi mong muốn có được sự ủng hộ và lan tỏa của tất cả người dân qua việc báo cáo và chia sẻ các trang web phát tán mã độc để bảo vệ an toàn cho không gian mạng Việt Nam cũng như giúp thế giới giảm thiểu các cuộc tấn công mạng diện rộng”, chuyên gia Cục An toàn thông tin chia sẻ.

Vân Anh

Phát động chiến dịch toàn dân cùng “quét sạch” mã độc trên không gian mạng Việt Nam

“Chiến dịch làm sạch mã độc trên không gian mạng” năm 2022 được Bộ TT&TT triển khai trên diện rộng. Các phần mềm phòng chống mã độc sẽ được cập nhật, cho phép sử dụng miễn phí trên cổng thông tin khonggianmang.vn

Người dẫn chương trình tuyên bố cô Claudia Borgogno là người trúng giải. Ảnh: AP

“Thật tuyệt vời. Tôi chưa từng trúng thưởng bất kỳ thứ gì trước đây. Tôi rất thích tranh của Picasso, và khi nghĩ tới cảnh tượng mình có vinh dự treo bức tranh vẽ bởi một họa sĩ bậc thầy thế giới trong thế kỷ 20 trên tường nhà, làm tôi có cảm giác lâng lâng”, cô Borgogno trả lời phỏng vấn AP nói.

Tỷ phú người Lebanon David Nahmad, người đã quyên góp bức tranh “Nature Morte” cho quỹ cung cấp nước sạch cho các nước châu Phi, cho biết giá trị thật của bức vẽ này “ít nhất cũng khoảng 2-3 triệu Euro”. Theo AP, bức tranh “Nature Morte” trị giá hàng triệu Euro này là kiệt tác được Picasso vẽ năm 1921.

Tuấn Trần

Theo Ủy ban điều phối ASEAN về thương mại điện tử và kinh tế số, nhận thấy tiềm năng và tầm quan trọng của thương mại điện tử là chất xúc tác chính để phục hồi nền kinh tế sau đại dịch Covid-19, cùng với các sáng kiến ​​khác dựa trên chuyển đổi số trong khu vực, chương trình Nhãn tín nhiệm ASEAN đã được đề xuất. Mục đích là nhằm giảm thiểu sự mất cân xứng trong cách tiếp cận thông tin của người mua và người bán, từ đó được kỳ vọng sẽ thúc đẩy một môi trường thương mại điện tử đáng tin cậy. Đây là điều cần thiết để hỗ trợ các nỗ lực thực thi quy định và pháp luật về thương mại điện tử, nhằm giải quyết các vấn đề như gian lận trực tuyến và hàng giả.

Chương trình dựa trên kết quả đánh giá từ “Nghiên cứu khả thi về kế hoạch xây dựng Nhãn tín nhiệm ASEAN” do Rajah & Tann hoàn thành vào tháng 2/2022 và được xem như một sáng kiến thực thi Hiệp định ASEAN về thương mại điện tử. Khuyến nghị chính sách này được xây dựng nhằm mục đích làm tài liệu tham khảo không ràng buộc cho các nước ASEAN trong việc phát triển Nhãn tín nhiệm khu vực đáng tin cậy và có uy tín. Khuyến nghị đồng thời đưa ra các nguyên tắc chính trong việc vận hành Nhãn tín nhiệm ASEAN

Trên thực tế, các doanh nghiệp vừa và nhỏ của ASEAN chiếm tới 97% tổng số doanh nghiệp trong khu vực và sử dụng 67% lực lượng lao động. Họ đóng góp trung bình tới 40,5% tổng sản phẩm quốc nội trong khu vực và 19,2% tổng giá trị xuất khẩu vào năm 2020.

Trong bối cảnh đó, chương trình Nhãn tín nhiệm ASEAN có thể giúp giải phóng tiềm năng kinh tế to lớn mà các doanh nghiệp vừa và nhỏ mang lại cho khu vực, bằng cách tạo niềm tin của người tiêu dùng vào các hoạt động kinh doanh của nhóm doanh nghiệp này. Đổi lại, những điều này khuyến khích tăng khối lượng giao dịch của người tiêu dùng với doanh nghiệp vừa và nhỏ, đồng thời có thể mang lại tác động tích cực như cung cấp cho doanh nghiệp vừa và nhỏ vốn cần thiết để đổi mới và cải tiến.

Các chuyên gia cũng thống nhất rằng, tiêu chí của Nhãn tín nhiệm ASEAN được đánh giá phải rõ ràng về phạm vi và minh bạch và có thể truy cập công khai, thuận tiện cho các doanh nghiệp vừa và nhỏ tiếp cận và tham gia. Các tiêu chí này sẽ giúp người tiêu dùng nhận biết các website, nền tảng gắn nhãn đã đáp ứng các tiêu chuẩn cao theo chương trình, từ đó, có thể tiếp tục ủng hộ các website, nền tảng này với sự an tâm hơn.

Mặt khác, các tiêu chí này có xu hướng được đưa ra ở mức độ không quá nặng nề đối với các doanh nghiệp vừa và nhỏ, đảm bảo khả năng tiếp cận, tham gia. Đây là chìa khóa để đảm bảo sự tham gia rộng nhất từ cộng đồng doanh nghiệp vừa và nhỏ, tạo ra một sân chơi bình đẳng giữa những doanh nghiệp này.

Ngoài ra, nguồn nhân lực là yếu tố chính thúc đẩy việc thực hiện Chương trình Nhãn tín nhiệm ASEAN. Do đó, Ủy ban điều phối ASEAN về thương mại điện tử và kinh tế số sẽ xác định và điều phối các hoạt động xây dựng năng lực cần thiết để nâng cao năng lực của các cán bộ có liên quan tại Cơ quan quản lý và thực hiện quốc gia, những người đang xử lý việc thực hiện Chương trình. Tại Việt Nam, Cục Thương mại điện tử và Kinh tế số thuộc Bộ Công Thương là đơn vị đầu mối tham gia triển khai Chương trình Nhãn tín nhiệm ASEAN.

Bộ GD&ĐT cũng lưu ý các doanh nghiệp, các tổ chức cung cấp các dịch vụ ứng dụng CNTT cho ngành giáo dục như: hệ thống học trực tuyến, hệ thống thi trực tuyền, hệ thống quản lý trực tuyến chủ động rà quét, kiểm tra và khắc phục các lỗ hổng về bảo mật (nếu có) để đảm bảo an toàn cho các hệ thống dịch vụ.

Trong trường hợp phát hiện nghi vấn không đảm bảo an toàn thông tin, đề nghị liên hệ với các cơ quan chức năng của Bộ TT&TT, Bộ Công an và Bộ GD&ĐT (qua Cục CNTT) để phối hợp giải quyết.

Theo đánh giá của các chuyên gia, trong bối cảnh chuyển đổi số ngày càng mạnh mẽ, nguy cơ lộ lọt dữ liệu cá nhân ngày càng có xu hướng gia tăng.

Trong trao đổi tại 1 hội thảo trực tuyến được VNCERT/CC tổ chức hồi cuối tháng 4, chuyên gia Trần Minh Quảng, Giám đốc Trung tâm phân tích và chia sẻ nguy cơ An ninh mạng, Công ty An ninh mạng Viettel cho hay, hàng ngày, hàng giờ xảy ra tình trạng lộ lọt dữ liệu trên mạng Internet.

Thống kê trong quý 1/2022, hàng tuần có đến trên dưới 100 GB dữ liệu cá nhân bị lộ lọt trên không gian mạng. Đây là những dữ liệu được rao bán trên các cộng đồng của các nhóm hacker, tội phạm mạng chuyên mua bán dữ liệu. Trong đó, có rất nhiều thông tin như tài khoản mạng xã hội, thẻ ngân hàng, thông tin đăng nhập dịch vụ công, thương mại điện tử, giao dịch trực tuyến…

“Tốc độ và khối lượng dữ liệu bị lộ lọt ngày càng nhiều đã dẫn đến nhiều nguy cơ lớn, nhất là đối với các đơn vị cung cấp các dịch vụ trực tuyến cho người dùng, như làm người dùng mất tiền và làm ảnh hưởng đến thương hiệu của các doanh nghiệp”, chuyên gia Trần Minh Quảng nhận định.

Nhận thức rõ vấn đề trên, từ đầu năm nay, Bộ TT&TT đã có văn bản đề nghị các cơ quan, tổ chức, doanh nghiệp tăng cường bảo đảm an toàn thông tin cá nhân trên môi trường mạng. Cụ thể, các đơn vị đã được yêu cầu rà soát, thống kê những hệ thống có xử lý thông tin cá nhân thuộc phạm vi quản lý và triển khai đảm bảo an toàn cho các hệ thống theo cấp độ.

Bộ TT&TT cũng lưu ý, các hệ thống cung cấp dịch vụ trực tuyến có xử lý thông tin riêng, thông tin cá nhân của dưới 10.000 người sử dụng được xác định hệ thống cấp độ 2. Các hệ thống cung cấp dịch vụ trực tuyến có xử lý thông tin riêng, thông tin cá nhân của từ 10.000 người sử dụng trở lên được xác định là hệ thống cấp độ 3.

Bên cạnh đó, theo Cục An toàn thông tin, Bộ TT&TT, để khắc phục tình trạng lộ lọt dữ liệu, các cơ quan nhà nước đã và đang triển khai nhiều giải pháp như: Trình Chính phủ ban hành Nghị định bảo vệ dữ liệu cá nhân; phát động Chương trình tìm kiếm lỗ hổng bảo mật các nền tảng chuyển đổi số quốc gia; đồng thời yêu cầu các nền tảng số công khai chính sách bảo vệ dữ liệu cá nhân và các doanh nghiệp ICT phải thực hiện quy trình phát triển phần mềm an toàn DevSecOps...

Vân Anh

Rà soát các hệ thống thông tin có xử lý dữ liệu cá nhân

Bộ TT&TT vừa đề nghị các cơ quan, tổ chức, doanh nghiệp rà soát, thống kê những hệ thống có xử lý thông tin cá nhân thuộc phạm vi quản lý và triển khai đảm bảo an toàn cho các hệ thống theo cấp độ.

Lợi ích: Các đề xuất chuyên viên của Cortex XSOAR đảm bảo khối lượng công việc không phải là tiêu chí duy nhất để phân bổ các sự cố mà còn có thể  lựa chọn chuyên viên có kinh nghiệm xử lý sự cố phù hợp nhất, đảm bảo đồng thời cả yếu tố thời gian, kinh nghiệm và chất lượng xử lý sự cố.

2. Đề xuất chuyên gia hỗ trợ xử lý sự cố

Thách thức: Xử lý sự cố không phải là một quá trình tách biệt và riêng rẽ của một cá nhân. Tuy nhiên các chuyên viên xử lý sự cố, đặc biệt là các chuyên viên mới ít kinh nghiệm thường âm thầm tiếp nhận và xử lý các sự cố một mình, ít khi chú ý hoặc biết các kỹ năng của đồng nghiệp có thể giúp ích và khiến quá trình xử lý sự cố trở nên nhanh chóng và đơn giản hơn rất nhiều.

Giải pháp: Tính năng War Room trên XSOAR cho phép các chuyên viên hợp tác trong quá trình điều tra xử lý sự cố. War Room cho phép các chuyên viên có thể mời các đồng nghiệp tham gia ngay lập tức vào quá trình xử lý sự cố với cú pháp thân thiện như các chương trình chat phổ biến @chuyên_viên_được_mời. Điều đặc biệt thú vị ở đây, XSOAR sẽ áp dụng cơ chế học máy để phân tích lịch sử các sự cố đã được giải quyết, đặc biệt đánh giá các thao tác thủ công đã được thực hiện bởi các chuyên viên và đưa ra đề xuất 3 chuyên viên phù hợp nhất với sự cố đang được xử lý.

Cortex XSOAR phân tích và đề xuất các chuyên gia có kỹ năng phù hợp với sự cố đang xử lý.

Lợi ích: Bằng cách tạo điều kiện thuận lợi và đơn giản cho quá trình phối hợp xử lý sự cố của các chuyên viên, XSOAR sẽ giúp giảm thời gian và tăng chất lượng, kết quả của công việc. Dựa trên sự đề xuất chính xác của XSOAR, các chuyên viên, đặc biệt là chuyên viên mới, sẽ không phải mất nhiều thời gian tìm hiểu lựa chọn các đồng nghiệp có kinh nghiệm, kỹ năng phù hợp để hỗ trợ mình hoàn thành nhiệm vụ được giao.

3. Tự động đề xuất các câu lệnh thường được sử dụng

Thách thức: Trong quá trình tiến hành điều tra xử lý sự cố, các chuyên viên thường có rất nhiều tác vụ cần thực thi như truy vấn thêm các thông tin từ hệ thống tường lửa, EDR, AD… Khi số lượng các thiết bị, thành phần của SOC tăng lên thì việc lựa chọn thứ tự cũng như các câu lệnh phù hợp để hỗ trợ quá trình xử lý sự cố sẽ giúp tăng đáng kể chất lượng xử lý sự cố cũng như tiết kiệm rất nhiều thời gian cho chuyên viên.

Giải pháp: Khi các chuyên viên nhập “!” để bắt đầu lựa chọn các câu lệnh, Cortex XSOAR sẽ nghiên cứu lịch sử các lệnh thủ công đã được thực thi với các loại sự cố tương ứng trước đó và đưa ra đề xuất các lệnh nên được thực thi trước. Ngay cả khi các chuyên viên đã đang thử một số lệnh và chưa tìm ra các thông tin phù hợp, tính năng này cũng có thể hỗ trợ họ đi đúng hướng với các lệnh mà họ đã có thể bỏ qua hoặc quên.

XSOAR đưa ra các đề xuất thông minh dựa trên phân tích dữ liệu lịch sử

Lợi ích: Tính năng tự động đề xuất các câu lệnh giúp tiêu chuẩn hoá quá trình điều tra xử lý, đảm bảo các câu lệnh phổ biến không bị bỏ quên với bất kì loại sự cố nào. Quan trọng nhất, nền tảng XSOAR sẽ đảm bảo và tối ưu SLA của SOC, ngăn chặn các quá trình điều tra xử lý thiếu thận trọng, bỏ quên các tác vụ quan trọng, cũng như tăng cường hiểu biết và kinh nghiệm cho các chuyên viên.

4. Hiển thị trực quan các sự cố tương đồng

Thách thức: Tần suất và số lượng các sự cố trong SOC thường rất lớn dẫn đến việc các chuyên viên phân tích khi tập trung vào phân tích xử lý một sự cố cụ thể sẽ rất khó có góc nhìn rộng hơn, kết nối sự cố hiện tại với một bức tranh lớn về các sự cố tương tự đã xảy ra trên hệ thống. Điều này có thể dẫn đến việc thực thi lại các tác vụ điều tra xử lý đã được thực thi, làm.

Giải pháp: Với mỗi sự cố, Cortex XSOAR sẽ tự động phân tích và tìm các sự cố có đặc điểm tương đồng diễn ra trên hệ thống. Một biểu đồ trực quan, dễ dàng tương tác cho phép chuyên viên phân tích, tìm kiếm, điều chỉnh các mức độ tương đồng khác nhau hay theo mốc thời gian.

Biểu đồ trực quan, dễ dàng tương tác

Lợi ích: Không chỉ đơn thuần cung cấp khả năng tiếp nhận, giảm thời gian xử lý sự cố (MTTR) như các tính năng của giải pháp SOAR tiêu chuẩn, khả năng hiển thị trực quan các sự cố tương đồng cùng mức độ dễ dàng tương tác điều chỉnh bộ lọc sẽ tăng cường năng lực điều tra của chuyên viên trong SOC. Các chuyên viên sẽ được một góc nhìn rộng hơn về các sự cố đang xảy ra, giúp họ dễ dàng phân tích sự tương đồng, liên quan giữa các sự cố thông qua hàng loạt các thông tin, yếu tố.

5. Đơn giản hóa quá trình xây dựng các kịch bản xử lý sự cố (Playbook)

Thách thức: Sau khi tiếp nhận các sự cố từ các giải pháp như SIEM, XDR, Email, các giải pháp SOAR sẽ sử dụng các playbook (các kịch bản xử lý sự cố) để thực thi các tác vụ điều tra xử lý sự cố. Các playbook này sẽ bám sát các quy trình xử lý sự cố trong SOC và được cập nhật hoặc tạo mới khi có thêm các loại sự cố mới hoặc cần bổ sung các tương tác với các hệ thống mới trong SOC. Việc tạo hay cập nhật playbook có thể sẽ tốn nhiều thời gian trong việc lựa chọn các dữ liệu đầu vào phù hợp và thử nghiệm nhiều lần để đánh giá mức độ chính xác.

Giải pháp: Không chỉ cung cấp giao diện rất trực quan cho việc tạo, cập nhật các playbook với các thao tác kéo thả rất nhanh chóng và đơn giản (không cần kỹ năng lập trình hay viết các script khi tạo playbook), Cortex XSOAR còn áp dụng công nghệ học máy để phân tích và tự động đề xuất các giá trị đầu vào (input) phù hợp cho các Task trong playbook. Tính năng này sẽ hỗ trợ rất nhiều cho các chuyên viên trong quá trình xây dựng playbook, tăng độ chính xác và rút ngắn thời gian đưa playbook vào hoạt động trong thực tế.

Cortex XSOAR tự động đề xuất các giá trị đầu vào phù hợp cho các task

Lợi ích: Không chỉ đơn thuần sử dụng các playbook để xử lý các sự cố, Cortex XSOAR sử dụng công nghệ học máy để giúp đẩy nhanh và tối ưu hóa việc tạo mới hoặc cập nhật các playbook, tiết kiệm thời gian của các chuyên viên cũng như tăng hiệu và liên tục tối ưu các playbook.

6. Trích xuất các sự cố trùng lặp

Thách thức: Lượng cảnh báo lớn thường dẫn đến việc có nhiều sự cố bị trùng lặp dẫn các chuyên viên phải tốn thêm thời gian khi phải lặp lại quá trình điều tra, xử lý. Nguyên nhân của sự trùng lặp có thể đến từ việc có nhiều hướng tấn công khác nhau, hoặc các cảnh báo sinh ra đồng thời trên nhiều nền tảng phân tích (XDR, SIEM…) và đây là một trong những yếu tố khiến cho các chuyên viên mệt mỏi và giảm hiệu quả hoạt động của SOC.

Giải pháp: Với Cortex XSOAR, chuyên viên có thể tự động hóa việc phát hiện và tạo danh sách các sự cố trùng lặp như sử dụng các playbook, các task trong playbook hoặc trong trực tiếp War Room. Cortex XSOAR sử dụng công nghệ máy học để phân tích các dữ liệu trong quá trình tiếp nhận và xử lý các sự cố, tìm kiếm các thông tin tương đương (như các email labels trong việc xác định các email phishing), thời gian xảy ra sự cố và các dấu hiệu phổ biến để xác định sự trùng lặp.

Tự động hóa việc xác định các sự cố trùng lặp với Cortex XSOAR

Lợi ích: Dễ dàng xác định và loại bỏ các sự cố trùng lặp giúp giảm tải cho các chuyên viên, giúp họ tập trung cho các nhiệm vụ quan trọng và nâng cao hiệu quả hoạt động của SOC.

7. Tự động xử lý các tấn công phishing

Thách thức: Các tấn công phishing rất phổ biến và diễn ra thường xuyên khiến cho các chuyên viên SOC phải dành nhiều thời gian để phân tích và xác định và xử lý các sự cố này. Thông thường các chuyên viên sẽ phải thực hiện phân tích thủ công bằng cách sử dụng nhiều công cụ, nguồn thông tin để tìm kiếm, đối chiếu các IOC có trong các email phishing. Có rất nhiều trường hợp, sau khi tốn nhiều thời gian để phân tích, đánh giá thì lại là cảnh báo giả, không phải là email phishing, gây ra sự lãng phí rất lớn thời gian và công sức của chuyên viên cũng như giảm hiệu năng hoạt động của SOC.

Giải pháp: Năng lực học máy của Cortex XSOAR có thể giải quyết các công đoạn đánh giá thủ công này với độ chính xác rất cao bằng cách sử dụng bộ phân loại tấn công phishing. Bộ phân loại phishing là một mô hình học máy chuyên sâu cho phép Cortex XSOAR phân tích và dựa đoán hành vi thông qua loại sự cố và các trường thông tin có trong các sự cố (như domain, IP, URL…). Mô hình học máy này có thể được sử dụng để tự động phát hiện các loại email phishing, địa chỉ URL hợp pháp hay chứa các nội dung spam, lừa đảo.

Ví dụ về kết quả phân loại của mô hình học máy phát hiện phishing

Lợi ích: Với khả năng áp dụng học máy trong tự động phát hiện xử lý các tấn công lừa đảo, Cortex XSOAR sẽ giúp các SOC tiết kiệm rất nhiều thời gian công sức của các chuyên viên. Tận dụng toàn bộ các thông tin về sự cố, các đánh giá phân tích của chuyên viên như đầu vào để đào tạo bộ phân loại nhận biết và phân loại giữa các tấn công phishing và cảnh báo giả sẽ giúp đảm bảo độ chính xác và phù hợp với môi trường thực tế tại SOC. Đây là một bước tiến nữa trong hành trình tự động hóa trong SOC, loại bỏ và giải phóng chuyên viên khỏi các tác vụ thủ công không cần thiết.