Trong năm 2018, khi các cuộc tấn công có chủ đích vào hệ thống CNTT gia tăng mạnh, nhu cầu xây dựng Trung tâm điều hành An ninh mạng (SOC) càng bức thiết với khối ngân hàng. Hiện tại giải pháp tối ưu cho các ngân hàng tại Việt Nam là thuê ngoài trọn gói dịch vụ SOC.
Trung tâm điều hành An ninh mạng – “không lạ nhưng vẫn còn mới”
Trung tâm điều hành An ninh mạng (Security Operation Center – SOC) ra đời đáp ứng nhu cầu kiểm soát toàn diện và nâng cao khả năng phòng thủ cho hệ thống CNTT của tổ chức. Với sự kết hợp chặt chẽ giữa 3 yếu tố con người, công nghệ và quy trình, nhiệm vụ chính của một SOC bao gồm quản trị tập trung tất cả các phần mềm và hệ thống thiết bị an toàn thông tin có sẵn; theo dõi và cảnh báo tất cả các dấu hiệu bất thường từ nhỏ nhất ở bên trong hệ thống; phát hiện, xử lý các sự cố an toàn thông tin nhắm vào hệ thống với quy trình giám sát 24/7.
Tại các quốc gia phát triển trong khu vực như Nhật Bản, Singapore, HongKong…, việc xây dựng và vận hành các Trung tâm SOC được chú trọng đầu tư từ những năm 2004 và tính đến thời điểm hiện tại, SOC đã trở thành bộ phận không thể tách rời trong mọi hoạt động của các tổ chức Chính phủ, tập đoàn đa quốc gia và các ngân hàng lớn. Theo báo cáo của Gartner, tính đến hết 2019, dự kiến sẽ có khoảng 50% các tập đoàn lớn của châu Á thực hiện các hoạt động quản trị an toàn thông tin thông qua một Trung tâm SOC.
Tại Việt Nam, năm 2018, trong bối cảnh các cuộc tấn công có chủ đích -APT có xu hướng gia tăng mạnh, nhu cầu này càng trở nên bức thiết, nhất là với khối ngân hàng. Trên thực tế, từ khoảng 2 năm trở lại đây, các ngân hàng Việt cũng đã có kế hoạch nghiên cứu và phát triển trung tâm SOC cho riêng mình. Tuy nhiên, việc “không lạ” với khái niệm SOC chưa thể khẳng định ngân hàng “đã quen” và nắm rõ cơ cấu, bộ máy, quy trình và cách thức vận hành của một SOC hoàn chỉnh.
Trong quá trình triển khai xây dựng Trung tâm SOC, các ngân hàng phải đối mặt với một số vướng mắc. Cụ thể, về công nghệ, để kiện toàn hệ thống công nghệ SOC hoàn chỉnh không hề đơn giản. Một số ngân hàng bước đầu cũng đã đầu tư hệ thống giám sát an toàn mạng (SIEM). Giai đoạn phát triển SOC, các ngân hàng này có thể mua các thiết bị, công nghệ từ nhiều hãng khác nhau để tích hợp vào hệ thống của mình. Điều đó dẫn đến việc quản trị vận hành SOC không tập trung và thiếu đồng bộ. Bên cạnh đó, việc liên tục cập nhật các phương thức và công nghệ tấn công mạng mới cũng là một thử thách không hề dễ dàng với các đơn vị không chuyên về an toàn thông tin.
Mặt khác, về nhân lực, hiện tại các ngân hàng đã bắt đầu chú trọng đầu tư vào nhân sự chuyên trách cho bộ phận SOC, tuy nhiên họ gặp nhiều khó khăn trong khâu đào tạo và giữ nguồn nhân lực chất lượng cao không chỉ nhân sự vận hành SIEM mà còn ở đội ngũ phân tích rủi ro, xử lý sự cố, phân tích mã độc và đặc biệt là nhóm nhân sự vận hành giám sát an toàn hệ thống 24/7.
Cùng với đó, kinh phí đầu tư cho cơ sở hạ tầng, công nghệ và nhân lực tại Trung tâm SOC cũng là khó khăn không nhỏ. Theo ước tính của các chuyên gia, chi phí đầu tư cho hạ tầng và công nghệ SOC bao gồm giải pháp SIEM, Forensis, Log/Backup, các thiết bị phần cứng và theo dõi phục vụ điều tra số vào khoảng 1,3 triệu USD. Chi phí này chưa bao gồm chi phí vận hành, chi phí xử lý sự cố và nhân sự quản lý hàng năm.
Để giải quyết bài toán trên, đòi hỏi sự ra đời của những đơn vị cung cấp giải pháp SOC chuyên nghiệp, chuyên môn cao, những trung tâm đầu não có khả năng đón đầu, quản trị hệ thống tập trung, ngăn chặn và xử lý nhanh các sự cố, đặc biệt là có khả năng “gỡ nhanh nút thắt” về nguồn nhân lực chuyên môn cao cho SOC/SIEM khi đây là lĩnh vực triển khai còn rất mới mẻ và non trẻ tại Việt Nam.
Thuê ngoài dịch vụ SOC giúp các ngân hàng tiết kiệm thời gian, chi phí
Theo ông Hà Thế Phương, Phó Tổng Giám đốc CMC InfoSec – đơn vị phát triển và xây dựng CMC NextGen SOC, khi phân tích cấp độ phát triển của SOC trong một cơ quan tổ chức, các chuyên gia sẽ phân thành 6 cấp độ. Theo đó, cấp độ 1 – có nhân sự thuộc bộ phân IT hoặc phần mềm theo dõi tình trạng an ninh, an toàn thông tin; ; cấp độ 2 – tích hợp 1 phần trong Trung tâm điều hành mạng (NOC); cấp độ 3 – đã có SOC, có công nghệ và việc vận hành báo cáo đã tách ra khỏi bộ phận IT; cấp độ 4 – giải được bài toán về nguồn lực (phát triển, phân tích, xử lý sự cố); cấp độ 5 – kiểm soát được các mối đe dọa đã được định danh; và cấp độ 6 là kết hợp phòng ngừa, giám sát, phát hiện, phản ứng nhanh và liên tục cải tiến.
Trung tâm điều hành an ninh mạng thế hệ mới CMC – CMC NextGen SOC là trung tâm đã đạt đến cấp độ 5 trong 6 cấp độ phát triển của SOC. |
Ở Việt Nam, đạt đến cấp độ 5 hiện có CMC NextGen SOC. Ngoài việc kiểm soát được các mối đe dọa đã được định danh, trung tâm này của CMC còn tích hợp trí tuệ nhân tạo (AI), công nghệ Automation đầu tiên tại Việt Nam và có các đối tác hỗ trợ trong việc chống lại các mối nguy hiểm mới; có đội ngũ DevOps và tư vấn có thể đáp ứng các nhu cầu đặc biệt từ phía các tổ chức, ngân hàng.
Cho nên, theo các chuyên gia, phương án hợp lý nhất cho các ngân hàng tại thời điểm này là thuê ngoài trọn gói dịch vụ SOC (SOC- As- a-Service) hoặc nếu đã có hệ thống SIEM bước đầu thì nên hợp tác cùng một nhà cung cấp dịch vụ SOC khác (Hybrid) tư vấn và triển khai về quy trình và nhân lực quản lý thay vì tự phát triển một SOC nội bộ (In-house SOC).
Trường hợp kết hợp (Hybrid), các chuyên gia khuyến nghị, khi ngân hàng đã đầu tư hệ thống công nghệ, nhà cung cấp dịch vụ SOC vẫn có thể tích hợp thêm các giải pháp riêng của mình vào hệ thống công nghệ sẵn có của ngân hàng, đảm bảo vận hành tương thích, đưa ra các quy trình xử lý sự cố chuẩn và cung cấp nguồn lực để thực hiện các nhiệm vụ giám sát, phân tích, xử lý sự cố… “Song, tối ưu nhất vẫn là việc lựa chọn thuê ngoài trọn gói dịch vụ SOC. Khi đó, ngân hàng được chọn một nhà cung cấp dịch vụ toàn diện và phù hợp nhất, có sẵn công nghệ, nguồn lực chuyên gia xử lý sự cố, điều tra số, phân tích mã độc… đồng thời giải được bài toán về chi phí đầu tư khi giảm được từ 6 đến 12 lần so với chi phí tự phát triển hệ thống và giảm thiểu tối đa các rủi ro khi quản trị hệ thống tập trung hơn”, chuyên gia CMC nhấn mạnh.
Dựa trên thực tế tư vấn và triển khai cho thuê ngoài dịch vụ SOC tới các ngân hàng, đại diện CMC InfoSec cho hay: “Việc thuê ngoài dịch vụ SOC hoàn toàn phù hợp với xu thế chuyển dịch từ chi phí đầu tư sang chi phí vận hành của các tổ chức, ngân hàng muốn xây dựng một hệ thống phòng thủ bền vững. Không những thế, các tổ chức ngân hàng sẽ không gặp khó khăn về nguồn lực bảo mật khi chỉ cần một đầu mối kết hợp với mô hình báo cáo, xử lý sự cố của nhà cung cấp dịch vụ và vẫn có thể giám sát 24/7. Như vậy có thể thấy, thuê ngoài dịch vụ SOC không những đảm bảo tiêu chí tiên quyết là có trung tâm đầu não, chuyên gia chuyên nghiệp, phương tiện chuyên dụng để phòng chống tội phạm mạng mà còn giúp các ngân hàng tối ưu chi phí đầu tư và nguồn nhân lực”.