Nếu doanh nghiệp của bạn không sử dụng tự động hóa mạng, rất có thể có một lỗ hổng bảo mật ẩn trong mạng của bạn. Bạn có nhớ vụ vi phạm dữ liệu T-Mobile không? Nó bắt đầu thông qua một bộ định tuyến được bảo mật không đúng cách. Làm cách nào để bạn đảm bảo rằng một sự kiện tương tự không thể xảy ra trong mạng của bạn?

Việc thực hiện an ninh mạng tốt có thể ít tốn kém hơn nhiều so với chi phí do vi phạm an ninh mạng. Chỉ cần nhìn vào giá nhu cầu ransomware (là một loại virus được mã hóa được xem là mô hình hiện đại của tội phạm mạng với nguy cơ gây tê liệt hệ thống mạng), chi phí khắc phục một cuộc tấn công hoặc chi phí danh tiếng cho doanh nghiệp của bạn. Và nếu bạn phải trả tiền chuộc để trở lại kinh doanh, bạn vẫn phải thực hiện các cải tiến bảo mật để tránh bị trở thành nạn nhân một lần nữa, có khả năng bị chính kẻ tấn công gây ra.

1. CHUẨN BỊ CHO TỰ ĐỘNG HÓA MẠNG – VĂN HÓA VÀ CHÍNH SÁCH

​Mạng và đội bảo mật phải làm việc cùng nhau. Một số tổ chức hỗ trợ các cấu trúc link liên kết riêng biệt cho hai chức năng này, đặt chúng vào thế bất lợi so với các nhóm làm việc cùng nhau. Có thể thay đổi các cấu trúc liên kết, đặc biệt nếu đội bảo vệ có quan điểm “cần phải biết”.

Nhóm kết hợp sẽ cần tạo và duy trì các chính sách mạng cung cấp bảo mật đồng thời hỗ trợ công việc kinh doanh. Các yếu tố chính sách bao gồm những thứ như việc sử dụng thông tin đăng nhập đa yếu tố, phân đoạn mạng, danh sách trắng về lưu lượng ứng dụng cũng như các bản cập nhật hệ điều hành và phần mềm thường xuyên. Đừng ngần ngại mời chuyên gia tư vấn bảo mật để đánh giá các chính sách và thiết kế bảo mật tổng thể.

Các chính sách chuyển thành các mẫu cấu hình mạng và các tác vụ tự động hóa. Các mẫu cấu hình tường lửa là hiển nhiên nhưng đừng quên các mẫu cho các phần tử cấu hình khác như ghi nhật ký sự kiện bảo mật, bảo mật Wi-Fi, bảo mật thiết bị mạng và phân đoạn mạng.

2. ÁP DỤNG TỰ ĐỘNG HÓA

Khám phá mạng tự động là bước đầu tiên, cung cấp cho nhóm tính toán toàn diện về những gì trên mạng. Các mô hình phần cứng và thông tin phiên bản phần mềm  từ việc phát hiện phải được kiểm tra dựa trên các thông báo của nhóm ứng phó   sự cố bảo mật sản phẩm PSIRT (Product Security Incident Response Team) và các lỗ hổng, sự cố phổ biến CVE (Common Vulnerabilities and Exposures) để báo cáo các lỗ hổng đã biết. Bạn nên mong đợi các sản phẩm tự động hóa thương mại bao gồm chức năng này. Phần lớn các vi phạm là do các lỗ hổng bảo mật đã biết và nhóm của bạn phải phản hồi lại bất kỳ phát hiện nào.

Sau đó, quá trình tự động hóa phải xác minh rằng tất cả các thiết bị mạng đều tuân thủ các mẫu cấu hình và chính sách hoạt động (một quá trình đôi khi được gọi là kiểm tra cấu hình). Bạn nên thực hiện kiểm tra này khi cấu hình thay đổi và ít nhất là hàng ngày. Kiểm tra riêng biệt, được gọi là trôi cấu hình, báo cáo về các thay đổi cấu hình. Nhóm mạng / bảo mật nên sử dụng sự thay đổi để theo dõi các thay đổi và kiểm tra việc tuân thủ chính sách.

3.  KIỂM TRA BẰNG TỰ ĐỘNG HÓA

Tự động hóa cũng có thể được áp dụng cho kiểm tra bảo mật. Cân nhắc sử dụng dịch vụ quét bảo mật bên ngoài để xác định các lỗ hổng có thể nhìn thấy trên Internet. Điều này khớp với quy trình mà những kẻ xấu sử dụng để tìm ra vết nứt trong áo giáp an ninh của công ty bạn. Cũng như quy trình PSIRT / CVE, điều quan trọng là phải giải quyết kịp thời mọi thiếu sót. Trong một ví dụ, một thiết bị IoT không được bảo vệ đã bị quét và tấn công trong vòng một giờ sau khi được cài đặt. Điều này nhấn mạnh rằng bất kỳ dịch vụ quét bảo mật bên ngoài nào cũng phải hỗ trợ bắt đầu quét bất cứ khi nào có thay đổi đối với phần tiếp xúc với Internet của mạng của bạn. Nếu bạn muốn có phân tích bảo mật chuyên sâu, hãy thuê một công ty kiểm tra thâm nhập định kỳ.

4.  PHẢN HỒI BẰNG TỰ ĐỘNG HÓA

Tự động hóa không chỉ dành cho cấu hình ban đầu. Nó cũng áp dụng khi mạng của bạn đang bị tấn công. Bạn sẽ cần một kế hoạch ứng phó sự cố và các công cụ để giúp bạn ngăn chặn kẻ tấn công và phục hồi. Các cuộc tấn công khác nhau sẽ cần các phản ứng khác nhau. Xử lý loại virus được mã hóa sẽ khác với việc đóng cửa truy cập của kẻ tấn công vào mạng của bạn và vẫn khác với việc xử lý các cuộc tấn công từ chối dịch vụ.

Các công cụ tự động để nhanh chóng phân đoạn mạng là rất cần thiết.

Những kẻ xấu đang sử dụng tự động hóa để tấn công mạng của bạn. Đáp ứng với các quy trình thủ công không thể theo kịp không còn là một lựa chọn.