Trong bối cảnh kỹ thụật và phương thức tấn công của tội phạm mạng thay đổi liên tục và ngày càng tinh vi, các tổ chức không thể thụ động dựa vào công nghệ truyền thống - cảnh báo tấn công, mà cần chủ động săn lùng mối nguy hại định kỳ để hạn chế rủi ro và sớm tìm ra điểm yếu của hệ thống nhằm làm đứt gãy chuỗi tấn công của tội phạm mạng…

Thông tin được ông Lê Công Phú, Phó giám đốc VNCERT, đặc biệt nhấn mạnh trong hội thảo “Ứng cứu và phục hồi hệ thống sau thảm họa” được Liên minh An toàn Thông tin CYSEEX tổ chức vào ngày 13/11, nhằm chia sẻ kiến thức và kinh nghiệm giúp các doanh nghiệp nâng cao nhận thức và chủ động ứng phó trước các cuộc tấn công mạng ngày càng tinh vi.

Threat Hunting (săn tìm mối nguy) là thuật ngữ đã xuất hiện cách đây 5 - 7 năm, về việc chủ động tìm kiếm các mối đe doạ, dấu vết nguy hiểm. Đây là phương pháp chủ động tìm kiếm dấu hiệu độc hại mà không cần phụ thuộc vào cảnh báo trước, vượt qua những  hạn chế của công nghệ phòng thủ truyền thống. Săn tìm mối nguy giúp giảm thời gian mà mối đe dọa có thể tồn tại trong hệ thống, đồng thời nâng cao khả năng phản ứng nhanh chóng trước các cuộc tấn công mạng ngày càng phức tạp. 

Các chuyên gia đồng tình cho rằng những mã độc, lỗ hỏng mới được phát hiện và đã được khâu vá chỉ là phần nổi của tảng băng chìm. Theo chia sẻ của ông Phú, phần lớn các hoạt động bảo mật chủ yếu mang tính phản ứng, trong trường hợp tội phạm khi tấn công và tắt phần mềm cảnh báo giám sát, điều này có nghĩa không loại trừ khả năng tội phạm đang “trú ngụ” và kiểm soát dữ liệu trong hệ thống của doanh nghiệp mà không bị phát hiện trong thời gian dài.

“Chúng ta cần có cách đối phó mới, chủ động săn lùng mối nguy định kỳ trước khi thảm hoạ xảy ra vì quá trình tấn công của tội phạm không đi thẳng mà trải qua nhiều quá trình và cần nhiều thời gian để kiểm soát hệ thống. Săn lùng mối nguy bao gồm 5 bước quan trọng, bao gồm xác định mục tiêu mô hình hoá các mối đe doạ, kích hoạt quá trình truy tìm ban đầu, truy tìm và điều tra chuyên sâu, kích hoạt quá trình ứng phó sự cố, cải thiện hệ thống phòng thủ”, ông Phú cho biết.

Theo dữ liệu từ Bộ Thông tin và Truyền thông, trong ba tháng dầu năm 2024, trung bình cứ 11 giây sẽ có một tổ chức trở thành mục tiêu của ransomware. Với kinh nghiệm thực chiến ứng cứu và phục hồi hệ thống sau khi bị tấn công, ông Nguyễn Công Cường, Giám đốc Trung tâm SOC, Công ty an ninh mạng Viettel, dần dần hoạt động của nhóm tấn công mạng sẽ hoạt động giống như một doanh nghiệp.

Những tổ chức tội phạm được đầu tư nguồn vốn lớn sẽ tấn công những doanh nghiệp lớn, và những tổ chức được đầu tư nhỏ sẽ tập trung vào những doanh nghiệp nhỏ hơn. Điều này có nghĩa không một tổ chức hay doanh nghiệp nào nằm ngoài cuộc chơi tấn công của các nhóm tội phạm, mọi tổ chức đều có điểm yếu ngay cả những doanh nghiệp trong lĩnh vực bảo mật.

Trong khi đó, ông Nguyễn Quang Hoàng, Trưởng ban tổ chức Tập trận CYSEEX kiêm Giám đốc An ninh Thông tin MISA, nhấn mạnh vai trò của mô hình SecDevOps – bảo mật vào mọi quy trình và ứng dụng sẽ giúp các doanh nghiệp giảm thiểu lỗ hổng, nâng cao nhận thức an toàn và triển khai hiệu quả các chiến dịch chống lại các cuộc tấn công phishing. Việc luôn chủ động phòng chống tấn công mạng trước khi có sự cố xảy ra sẽ là công tác quan trọng để các doanh nghiệp tự bảo vệ chính mình trong bối cảnh an ninh mạng diễn biến ngày càng phức tạp như hiện nay.