💡 Đội ngũ RetroLab nhận thấy rằng vấn đề này không chỉ là một thách thức kỹ thuật mà còn là một vấn đề về tư duy quản lý. Việc chuyển đổi từ các chỉ số định lượng bề mặt sang các chỉ số định tính sâu sắc hơn là rất quan trọng để các tổ chức có thể thực sự hiểu và quản lý rủi ro an ninh mạng một cách hiệu quả trong kỷ nguyên số phức tạp này.
Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi và gia tăng, áp lực đặt lên các Giám đốc An ninh Thông tin (CISO) chưa bao giờ lớn đến thế. Vai trò của họ giờ đây không chỉ dừng lại ở việc bảo vệ hệ thống mà còn là đảm bảo sự bền vững của doanh nghiệp. Tuy nhiên, một vấn đề đáng báo động đang hiện hữu: nhiều CISO đang bị đánh lừa bởi các chỉ số bảo mật truyền thống, dẫn đến một cảm giác an toàn giả tạo và che khuất những rủi ro an ninh mạng thực sự.
Cảm Giác An Toàn Giả Tạo Từ Các Chỉ Số Cũ
Nghiên cứu gần đây đã chỉ ra rằng, 50% các tổ chức hiện nay đang phải đối mặt với “nợ bảo mật” nghiêm trọng, nghĩa là họ có những lỗ hổng phần mềm đã bị bỏ ngỏ và chưa được giải quyết trong hơn một năm. Đây chính là một lời mời công khai dành cho tội phạm mạng và đòi hỏi một chiến lược quản lý rủi ro ứng dụng toàn diện, dài hạn để khắc phục. Thế nhưng, hầu hết các tổ chức vẫn lầm tưởng rằng càng nhiều lần quét bảo mật thì hệ thống càng an toàn hơn.
Giả định này đang tạo ra những khoảng trống bảo mật nghiêm trọng, đặc biệt là trong chuỗi cung ứng phần mềm và các quy trình phát triển liên tục/tích hợp liên tục (CI/CD pipelines). Thực tế cho thấy, các Chỉ số Hiệu suất Chính (KPI) bảo mật truyền thống không chỉ không đo lường được hiệu quả bảo mật thực sự mà còn tạo ra một ảo tưởng về tiến bộ. Các vụ xâm nhập vào pipeline và các thành phần phụ thuộc gần đây, như chiến dịch wormware chuỗi cung ứng Shai-Hulud, là minh chứng rõ ràng cho thấy việc chỉ tập trung vào số lượng quét cao không đủ để ngăn chặn các cuộc tấn công.
Các CISO cần phải định hướng lại trọng tâm. Những chỉ số quan trọng nhất phải đo lường được lượng lỗ hổng tồn đọng (vulnerability backlogs), thời gian kẻ tấn công ẩn mình không bị phát hiện (undetected attacker dwell time), và các biện pháp kiểm soát bảo mật hiện có đã được chứng minh khả năng giảm thiểu các mối đe dọa thực tế, chứ không chỉ là rủi ro lý thuyết. Cuối cùng, chiều sâu và sự xác thực quan trọng hơn nhiều so với bề rộng.
Vì Sao Các KPI Dựa Trên Số Lượng Lại Thất Bại?
Việc đo lường dựa trên các KPI định lượng như số lần quét được thực hiện, số lỗ hổng được tìm thấy và số cảnh báo được tạo ra, chỉ theo dõi nỗ lực đã bỏ ra để tăng cường bảo mật – chứ không phải kết quả thực tế. Các KPI truyền thống này cho bạn biết mức độ cần thiết của các biện pháp bảo mật, nhưng không cho biết liệu chúng có thực sự ngăn chặn được điều gì đáng kể hay không.
Ví dụ, một lần quét tìm thấy 10.000 vấn đề có tác động thấp có thể trông rất hiệu quả trên bảng điều khiển, nhưng cùng lúc đó, một thành phần phụ thuộc dễ bị khai thác duy nhất có thể đã bị bỏ qua trong nhiều tháng, tạo ra một rủi ro bảo mật nghiêm trọng chưa được giải quyết. Các thành viên hội đồng quản trị và ban lãnh đạo cấp cao thường thấy các con số KPI tăng lên và tự động cho rằng khả năng bảo vệ đã được tăng cường, trong khi thực tế có thể hoàn toàn ngược lại. Ranh giới đo lường mờ nhạt này làm sai lệch thực tế về cách các đội ngũ bảo mật đang giải quyết rủi ro an ninh.
Những xu hướng sai lầm này vô tình “thưởng” cho các đội ngũ bảo mật vì tạo ra tiếng ồn chứ không phải vì giảm thiểu rủi ro thực tế. Và với thời gian khắc phục trung bình cho các lỗ hổng bảo mật tăng từ 171 ngày lên 252 ngày trong 5 năm qua, sự chậm trễ trong khắc phục đang âm thầm tích lũy thêm các rủi ro bảo mật. Những lỗ hổng ẩn sâu trong chuỗi cung ứng và pipeline chính là những quả bom hẹn giờ.
Trong khi các đội ngũ bảo mật vốn đã quá tải và gặp khó khăn trong việc tìm kiếm năng lực để tìm và khắc phục lỗ hổng, các chỉ số lỗi thời này lại khuyến khích một văn hóa nơi các đội ngũ bảo mật và CISO trông có vẻ “đang kiểm soát mọi thứ”, cho đến khi một lỗ hổng cũ, đã biết bị khai thác – vào thời điểm đó, có thể đã quá muộn.
Quét Bảo Mật "Tại Một Thời Điểm" Đã Lỗi Thời
Với tốc độ phát triển công nghệ nhanh chóng và sự gia tăng rõ rệt của các cuộc tấn công mạng thành công, việc quét bảo mật “tại một thời điểm” (point-in-time scanning) giờ đây đã không còn phù hợp. Nó bỏ qua các yếu tố thời gian quan trọng – như thời gian trung bình để khắc phục (mean time to remediate) hoặc thời gian kẻ tấn công có thể hoạt động mà không bị phát hiện (duration an attacker can operate undetected) – đây chính xác là những gì kẻ tấn công khai thác.
Các cuộc tấn công hiện đại xảy ra trong khoảng trống giữa các lần quét, với các “ảnh chụp nhanh” bảo mật không thể bắt kịp các mục tiêu đang di chuyển. Đối với các CI/CD pipelines, chúng đã lỗi thời. Mã nguồn thay đổi nhiều lần trong ngày và các thành phần phụ thuộc tự động cập nhật. Ngày nay, kẻ tấn công thậm chí không cần phải né tránh một lần quét. Chúng chỉ cần đợi bản dựng (build), cam kết (commit) hoặc kéo thành phần phụ thuộc (dependency pull) tiếp theo, và vào thời điểm báo cáo quét được đọc, môi trường mà nó đánh giá đã không còn tồn tại.
Các công cụ quét truyền thống thường kiểm tra mã nguồn hoặc tệp nhị phân, nhưng không đi sâu vào hoạt động bên trong của quy trình xây dựng, nghĩa là một bước xây dựng độc hại có thể tiêm mã sau khi quá trình quét đã hoàn thành.
Bài Học Đắt Giá Từ Sự Kiện SolarWinds Orion
Điều này đã xảy ra với vụ tấn công SolarWinds Orion khét tiếng, làm tổn hại hàng ngàn tổ chức (bao gồm cả các cơ quan chính phủ Hoa Kỳ) vào năm 2020, bằng cách tiêm mã độc vào các bản cập nhật phần mềm sau đó được phân phối cho những khách hàng không hề hay biết. Nếu bản dựng đã bị nhiễm độc, thì việc quét trở nên vô nghĩa.
Những Ưu Tiên Mới Cho Các CISO Trong Năm Nay
Khi rủi ro mạng gia tăng và tin tặc trở nên tinh vi hơn, việc cân bằng giữa các thách thức liên quan đến đánh giá rủi ro và chứng minh giá trị của bảo mật ứng dụng đang trở thành một bãi mìn đối với các CISO. Họ cần những chỉ số mà các đội ngũ bảo mật có thể ưu tiên để phản ánh tốt hơn rủi ro bảo mật ứng dụng và chuỗi cung ứng thực sự.
Những chỉ số này bao gồm việc giảm thiểu lượng lỗ hổng có thể khai thác được, thời gian cần thiết để khắc phục các vấn đề nghiêm trọng trong môi trường sản xuất, và bằng chứng cho thấy các bản vá thực sự hiệu quả, chứ không chỉ là một báo cáo quét. Sự thay đổi không phải là từ ít đo lường hơn sang nhiều đo lường hơn. Đó là từ việc đếm hoạt động bảo mật sang đo lường mức độ phơi nhiễm thực sự và khả năng phục hồi của doanh nghiệp.
Cuối cùng, các chỉ số bảo mật nên cho ban lãnh đạo biết bao nhiêu rủi ro đã được loại bỏ và hệ thống nhanh chóng trở lại bình thường như thế nào – chứ không phải đội ngũ bảo mật đã làm việc vất vả ra sao để tìm ra nó. Sự thay đổi trong cách tiếp cận này sẽ giúp tất cả chúng ta được trang bị tốt hơn để phòng thủ đúng cách trước rủi ro.
Nguồn: TechRadar - https://www.techradar.com/pro/why-traditional-metrics-are-giving-cisos-a-false-sense-of-security
