Chính phủ không thể đơn độc chiến thắng cuộc chiến mạng

An ninh mạng thực chất là một cuộc cạnh tranh giữa kẻ tấn công và người phòng thủ. Trong suốt một thời gian dài, các chính phủ đã cố gắng đơn độc bảo vệ "lãnh thổ" của mình, trong khi các tin tặc thường nhắm vào các thực thể thuộc khu vực công với ít hoặc không gặp phải sự kháng cự, tung ra các cuộc tấn công có hậu quả nghiêm trọng đối với cả quốc gia. Mặc dù đã có các quy định nhằm thiết lập các biện pháp kiểm soát cơ bản, các cuộc tấn công vẫn tiếp tục định hình một bối cảnh mối đe dọa ngày càng mở rộng. Thực tế khắc nghiệt là bề mặt tấn công đã phát triển vượt xa khả năng phòng thủ thực tế của các chính phủ.

SOC Team Cybersecurity meeting

Cơ sở hạ tầng kỹ thuật số mà các chính phủ muốn bảo vệ lại là sản phẩm của các công ty tư nhân. Có những giới hạn đối với những gì nhà nước có thể tự mình bảo mật, điều này có nghĩa là trọng tâm phải chuyển sang sự hợp tác chặt chẽ hơn với khu vực tư nhân.

Hãy cùng xem xét kỹ hơn lý do tại sao tư thế phòng thủ và tấn công lý tưởng để quản lý rủi ro lại đòi hỏi sự nỗ lực hợp tác nhiều hơn từ phía chính phủ.

Sự gia tăng về quy mô và độ phức tạp của các mối đe dọa mạng

Các cuộc tấn công mạng hiện đại đã tăng lên nhiều bậc về tần suất, quy mô và sự tinh vi. Các cuộc tấn công như vậy không phụ thuộc vào một vectơ duy nhất. Theo nghiên cứu của Palo Alto Networks, 87% các cuộc xâm nhập trong hơn 750 trường hợp phản hồi sự cố đã nhắm vào nhiều bề mặt tấn công khác nhau, từ các điểm cuối và mạng lưới đến cơ sở hạ tầng đám mây, SaaS, ứng dụng và danh tính. Các cuộc xâm nhập lan truyền ngang qua các hệ thống kết nối, do đó việc phòng thủ tốt một lớp là không đủ khi kẻ tấn công có thể chuyển dịch qua nhiều điểm truy cập trong cùng một chiến dịch.

Bề mặt tấn công mở rộng dựa trên các sự phụ thuộc hàng ngày

Steve Durbin ISF

Những năm trước, bề mặt tấn công dường như chỉ giới hạn trong biên pháp vận hành của tổ chức. Ngày nay, các cuộc tấn công đã vượt ra ngoài biên giới này để bao gồm các yếu tố chức năng của bất kỳ tổ chức nào, bao gồm các nền tảng đám mây, API, nhà cung cấp và các nhà cung cấp dịch vụ được quản lý (MSP). Những sự phụ thuộc bên thứ ba này làm rộng thêm bề mặt tấn công, mang lại cho tin tặc nhiều con đường hơn để khai thác. Một vụ vi phạm công cụ hỗ trợ từ xa đã cho phép kẻ tấn công truy cập vào nhiều văn phòng của Bộ Tài chính Hoa Kỳ, là một ví dụ điển hình về việc quyền truy cập của bên thứ ba có thể trở thành điểm nhập dễ dàng nhất.

Quyền sở hữu công nghệ do các thực thể tư nhân kiểm soát

Đã từng có thời điểm, những thay đổi và tiến bộ công nghệ lớn là kết quả trực tiếp của các nghiên cứu được tài trợ bởi các thực thể chính phủ khác nhau. Các ví dụ bao gồm nguồn gốc của Internet, hệ thống định vị toàn cầu (GPS), năng lượng mặt trời và nhiều thứ khác. Nhưng mọi thứ đã thay đổi, và hiện nay là khu vực tư nhân đang thúc đẩy sự tiến bộ công nghệ. Cơ sở hạ tầng kỹ thuật số quan trọng được xây dựng và vận hành áp đảo bởi các thực thể tư nhân, và chính phủ không có toàn quyền kiểm soát tất cả các đòn bẩy vận hành của nó. Điều này đòi hỏi một sự thay đổi trong tư duy, buộc họ phải hợp tác với khu vực tư nhân để bảo vệ cơ sở hạ tầng mà một quốc gia đang phụ thuộc vào.

Tội phạm mạng đã trở thành công nghiệp và rất kiên trì

Tội phạm mạng là một ngành công nghiệp với các chuyên môn, dịch vụ, công cụ và kịch bản có thể lặp lại khác nhau. Và ngành công nghiệp này phi tập trung, nghĩa là việc bắt giữ một nhóm không làm giảm quy mô và phạm vi của các cuộc tấn công nói chung; luôn có một nhóm khác để lấp vào chỗ trống. Điều này là do các động lực cơ bản vẫn rất mạnh mẽ. Một ví dụ điển hình là các trò lừa đảo và gian lận tiền mã hóa đã thu về khoảng 17 tỷ USD vào năm ngoái, fueled by sự gia tăng mạnh mẽ các kế hoạch mạo danh (tăng 1.400% so với cùng kỳ năm trước). Vào tháng 11, một cuộc tấn công mã độc tống tiền vào OnSolve CodeRED đã khiến nền tảng cảnh báo khẩn cấp bị ngừng hoạt động, làm gián đoạn các cảnh báo được sử dụng bởi cơ quan thực thi pháp luật và các cơ quan công cộng khác.

Xét thấy tội phạm mạng là một vấn đề dai dẳng không hồi kết, phản ứng phối hợp nhắm vào toàn bộ mô hình tội phạm, bao gồm các dịch vụ lưu trữ, lạm dụng danh tính, các kênh rửa tiền và cơ sở hạ tầng lừa đảo, là con đường duy nhất phía trước. Cần hành động tấn công mạnh mẽ hơn, thay vì tiếp tục giải quyết phần ngọn của vấn đề.

Địa chính trị can thiệp khi các quốc gia sử dụng tội phạm mạng

Tội phạm mạng được nhà nước bảo trợ đã trở nên phổ biến và bình thường hóa như một công cụ của gián điệp, ảnh hưởng và phá rối chiến lược. Các nhà vận hành được nhà nước tài trợ không chỉ thể hiện khả năng tốt hơn mà còn có tầm với sâu hơn, vượt qua các nền tảng toàn cầu, cơ sở hạ tầng bên thứ ba và chuỗi cung ứng xuyên biên giới. Các tổ chức đã ở trong tình trạng cảnh giác cao độ, với 64% đơn vị tính đến các cuộc tấn công mạng có động cơ địa chính trị trong chiến lược giảm thiểu rủi ro của họ.

"Phòng thủ mạng quốc gia" không thể thuần túy là quốc gia trong việc thực thi. Nó phải bao gồm sự phối hợp liên minh và hợp tác xuyên biên giới với các nhà vận hành khu vực tư nhân quản lý các điểm hiển thị và kiểm soát chính.

Vai trò ngày càng tăng của AI như một công cụ hỗ trợ tấn công và phòng thủ

Trí tuệ nhân tạo (AI) đang rút ngắn thời gian tấn công xuống khoảng 100 lần. Các cuộc xâm nhập từng diễn ra trong nhiều ngày giờ đây diễn ra trong vài phút. Trong một năm năm trường hợp, dữ liệu đã rời khỏi môi trường trong giờ đầu tiên. Các tổ chức đang gấp rút đưa các hệ thống AI vào vận hành, thêm các mô hình, plugin, trình kết nối và đường dẫn dữ liệu mới, làm rộng thêm bề mặt tấn công. Các biện pháp kiểm soát cũ không được xây dựng cho tốc độ hoặc sự lan rộng này. Đây là lý do tại sao chính phủ không thể tự mình giải quyết vấn đề. Con đường khả thi phải bao gồm sự phối hợp công - tư tốt hơn, trong đó tình báo mối đe dọa được lan truyền nhanh hơn, các mô hình AI an toàn được xây dựng và chia sẻ, và quản trị được đồng bộ hóa giữa các lĩnh vực.

Con đường phía trước chủ yếu là về việc xây dựng một mô hình phòng thủ chung di chuyển với tốc độ của đối thủ. Chính phủ vẫn có thể thiết lập các tiêu chuẩn trách nhiệm giải trình, nhưng khả năng phục hồi tốt hơn chỉ sẽ đến từ sự phối hợp công - tư mạnh mẽ hơn, chia sẻ liên cơ quan nhanh hơn, AI được thiết kế an toàn theo mặc định và sự phá vỡ chung cơ sở hạ tầng tội phạm xuyên biên giới.

Bài viết được viết bởi Steve Durbin, Giám đốc điều hành của Diễn đàn An ninh Thông tin (ISF), một hiệp hội độc lập dành riêng cho việc điều tra, làm rõ và giải quyết các vấn đề chính trong an ninh thông tin và quản lý rủi ro.