- 1. Hiểu được chỉ số rủi ro trong hệ thống (Risk Index)
- 2. Mức độ rủi ro tài sản trong hệ thống (Asset Risks)
- 3. Giảm thiểu rủi ro trong hệ thống (Reducing your identified Attack Surface Risk)
Với vị trí CISO hoặc nhà phân tích bảo mật trong hệ thống, bạn cần nhanh chóng đánh giá rủi ro trong hệ thống dựa trên các lớp bảo mật bao gồm: người dùng (users), thiết bị (devices), ứng dụng (applications), … và từ đó xác định cách giảm thiểu rủi ro trong hệ thống, nhằm đảm bảo an toàn cao trong hệ thống và chủ động bảo vệ hệ thống.
Vision One với Executive Dashboard cho phép bạn xem chỉ số rủi ro trong hệ thống của bạn:
Executive Dashboard có 4 tab bao gồm: Risk Overview, Exposure Overview, Attack Overview và Security Configuration Overview. Lưu ý rằng, dữ liệu tại Risk Overview cũng được sử dụng như là một phần để tính toán chỉ số rủi ro trong hệ thống.
Tại sao việc này lại quan trọng
Mục đích chính của Executive Dashboard là đưa cho bạn cái nhìn tổng quan và nhanh chóng về security trong hệ thống của bạn.
RISK INDEX cung cấp chỉ số rủi ro tổng quan trong hệ thống dựa trên các thông tin tổng hợp đánh giá trong hệ thống của bạn bao gồm:
- Exposure Overview: đánh giá dựa trên số lượng các lỗ hổng và cấu hình xót bảo mật trong hệ thống.
- Attack Overview: đánh giá dựa trên số phát hiện (detection) các mối đe dọa trong hệ thống.
- Security Configuration Overview: đánh giá toàn diện về trạng thái bảo vệ trong hệ thống về: Endpoint, Email, Network.
1.1. Risk Overview
Ở đây chúng ta sẽ xem xét tổng quan về rủi ro bảo mật trong hệ thống của bạn, thông tin này sẽ giúp cho công việc của CISO và nhà phân tích bảo mật trở nên dễ dàng hơn.
Rủi ro trong hệ thống được tính toán như thế nào?
Trend Micro Vision One sử dụng nhiều nguồn dữ liệu để tính toán chỉ số rủi ro cho hệ thống. Không những dựa trên sản phẩm của Trend Micro mà còn dựa trên các sản phẩm của bên thứ 3 đã được tích hợp với Vision One. Bạn có thể xem chi tiết tài sản ảnh hưởng đến rủi ro tổng thể của hệ thống bằng cách truy cập vào các liên kết như: Devices, Internet-Facing Assets, Accounts, Applications và Cloud Assets
Sau đây là hướng dẫn cụ thể một số tình huống
1.1.1. Chỉ số rủi ro trong hệ thống của bạn đang là bao nhiêu?
Chọn Attack Surface Risk Management > Executive Dashboard > Risk Overview
Điểm rủi ro trong hệ thống của bạn đang là 52, và đánh giá ở mức “Medium”.
1.1.2. Chỉ số rủi ro trong hệ thống tăng hay giảm theo thời gian?
Vision One cũng cung cấp một đồ họa để cho bạn biết chỉ số rủi ro trong hệ thống của bạn giảm hay tăng theo thời gian.
1.1.3. Chỉ số rủi ro trong hệ thống của bạn đang ở mức nào so với các tổ chức khác?
Vision One cũng cho phép bạn so sánh chỉ số rủi ro trong hệ thống của bạn so với các tổ chức khác (cùng ngành nghề, cùng quy mô, cùng vị trí)
1.2. Exposure Overview
Exposure Risk hiển thị chỉ số Exposure trong 30 ngày gần nhất. Exposure được tính toán dựa trên thông tin về lỗ hổng bảo mật (vulnerabilities), và cấu hình trong hệ thống (system configuration).
Sau đây là hướng dẫn cụ thể một số tình huống
1.2.1. Có bao nhiêu CVE có thể bị khai thác trong hệ thống của bạn?
Chọn Exposure Overview > Vulnerability Management Metrics, ở đây bạn có thể thấy được bao nhiêu lỗ hổng CVE mà trong hệ thống của bạn có thể bị khai thác.
1.2.2. Tôi có thể xem chi tiết dữ liệu lỗ hổng bảo mật có thể bị khai thác trong hệ thống ở đâu?
Từ giao diện ở phần trên, bạn chọn “view data” để xem thông tin chi tiết về lỗ hổng bảo mật mà có thể bị khai thác trong hệ thống.
1.2.3. Chúng tôi đã mất bao lâu để vá lỗ hổng bảo mật?
Đây cũng là 1 KPI được sử dụng bởi CISO.
Chọn Exposure Overview > Mean time to Patch (MTTP), ở đây bạn có thể xem thời gian trung bình mà hệ thống bạn đã cập nhật lỗ hổng bảo mật. Bạn có thể chọn “view detail” để xem thông tin chi tiết hơn về MTTP.
1.2.4. Thiết bị nào đang ảnh hưởng đến MTTP của chúng tôi?
Từ giao diện trên bạn chọn “View Detail” để xem chi tiết hơn thiết bị nào trong hệ thống ảnh hưởng đến MTTP của hệ thống bạn.
1.3. Attack Overview
Bạn có thể thấy toàn bộ thông tin liên quan đến các phát hiện mối đe dọa trong hệ thống của bạn thông qua Attack Overview
CISO hoặc nhà phân tích bảo mật phải thu thập và phân tích dữ liệu một các nhanh chóng và hiệu quả về các cuộc tấn công tiềm ẩn và đang diễn ra trong hệ thống để biết chính xác các cuộc tấn đang diễn ra ra sao? Đến từ đâu? Mức độ ảnh hưởng đến hoạt động kinh như thế nào?
Sau đây là hướng dẫn cụ thể một số tình huống
1.3.1. Những cuộc tấn công nào đã xảy ra trong hệ thống
Chọn Executive Dashboard > Attack Overview > Attack Phase Overview. Ở đây bạn sẽ thấy toàn bộ các công nghệ/kỹ thuật công theo MITRE ATT&CK trong hệ thống
1.3.2. Phạm vi ảnh hưởng của các cuộc tấn công trong hệ thống?
Khi bạn click vào Impact scope sẽ hiển thị thông tin chi tiết. Bạn có thể thấy danh sách các tài sản trong hệ thống có mức độ về lỗ hổng bảo mật CVE. Bằng cách vá lổ hổng bảo mật này, bạn cũng có thể giảm chỉ số rủi ro trong hệ thống.
1.3.3. Cường độ tấn công trong hệ thống và tôi có thể làm gì?
Từ giao diện truy cập trên > Chọn vào column đầu tiên (Cyber threat) để xem cường độ tấn công cũng như khuyến nghị để bảo vệ chủ động cho hệ thống “Actions Available to Reduce Risk”.
1.4. Security Configuration Overview
CISO hoặc nhà phân tích bảo mật cần phải đánh giá bối cảnh bảo mật hiện tại của hệ thống về Endpoint, Email, Network như: xác định các điểm cuối/máy chủ không được bảo vệ hoặc đang chạy các hệ điều hành lỗi thời, chưa được vá bảo mật, …
Chọn Executive Dashboard > Security Configuration > Security Configuration Overview
1.4.1. Trạng thái bảo mật Endpoint trong hệ thống như thế nào?
Vision One sẽ cung cấp cho bạn các trạng thái thông tin như:
- Bao nhiêu % endpoints đang không được bảo vệ (không cài đặt agent protection)?
- Bao nhiêu endpoints đã cài đặt Endpoint Sensor?
- Bao nhiêu % agents đang sử dụng là phiên bản mới nhất?
- Bao nhiêu thiết bị đang sử dụng bản cập nhật bảo mật cũ?
1.4.2. Trạng thái bảo mật Email trong hệ thống như thế nào?
1.4.3. Chỉ số Security Configuration trong hệ thống như thế nào?
