Trước đây tôi đã nói rất nhiều về sự trưởng thành của an ninh mạng và quá trình chuyển đổi từ bảo mật dựa trên lời hứa sang bảo mật dựa trên bằng chứng . Trong phần này, tôi sẽ mở rộng một trong những xu hướng liên quan đến sự chuyển đổi này - cụ thể là sự phát triển của kỹ thuật bảo mật.

Chuyển từ bảo mật dựa trên lời hứa sang bảo mật dựa trên bằng chứng và sự phát triển của CNTT

Khi tôi nói về sự trưởng thành của an ninh mạng , ý tôi chủ yếu là thay đổi cách chúng ta tiếp cận việc thực hiện nó. Cho đến rất gần đây, chúng tôi vẫn coi đó là một tính năng và cho rằng bảo mật là một vấn đề về công cụ: nếu bạn mua sản phẩm bảo mật “đúng”, “thế hệ tiếp theo” từ một nhà cung cấp hàng đầu, thì bạn sẽ “an toàn”.

Giờ đây, sau nhiều năm chứng kiến cách tiếp cận này không thực hiện được lời hứa của nó, chúng tôi bắt đầu hiểu rằng bảo mật là một quá trình, không phải là một tính năng. Chúng tôi đang phát triển một niềm tin mang tính hệ thống rằng chúng tôi cần quay trở lại những điều cơ bản: thu thập dữ liệu bảo mật vào một nơi, hiểu điều gì đang xảy ra trong môi trường của chúng tôi, tìm hiểu điều gì tạo nên các hoạt động kinh doanh bình thường trong tổ chức của chúng tôi và điều gì có thể là dấu hiệu của sự thỏa hiệp, xác định cách thức để phát hiện hành vi nguy hiểm và phản ứng thích hợp. Thay vì nhận một tiện ích mà khi được bật sẽ kích hoạt một lá chắn bảo vệ không thể xuyên thủng, các nhóm bảo mật trưởng thành đang xem xét bảo mật thông qua lăng kính của các lớp và công việc cần hoàn thành.

“Cách tốt nhất để xây dựng một tư thế bảo mật là xây dựng nó dựa trên các biện pháp kiểm soát và cơ sở hạ tầng có thể quan sát, thử nghiệm và nâng cao. Nó không được xây dựng dựa trên những lời hứa từ các nhà cung cấp phải được thực hiện theo mệnh giá. Điều này có nghĩa là tập hợp chính xác các hành vi và hoạt động độc hại mà bạn được bảo vệ phải được biết và bạn sẽ có thể kiểm tra và chứng minh điều này. Điều đó cũng có nghĩa là nếu bạn có thể mô tả điều gì đó mà bạn muốn phát hiện và ngăn chặn, thì bạn có thể đơn phương áp dụng điều đó mà không cần sự can thiệp của nhà cung cấp. Ví dụ: nếu một kỹ sư bảo mật đã đọc về WannaCry, họ sẽ có khả năng tạo logic phát hiện của riêng mình mà không cần đợi một hoặc hai ngày cho đến khi nhà cung cấp của họ đưa ra bản phát hành mới.”

Một yếu tố khác đang thay đổi cách thức bảo mật được thực hiện là sự phát triển của CNTT mà chúng ta đã chứng kiến trong thập kỷ qua. Đã có lúc kiến thức cơ bản về CNTT là đủ để bắt đầu với tư cách là một chuyên gia bảo mật vì nó sẽ cung cấp hiểu biết cơ bản về cách các phần tử khác nhau của cơ sở hạ tầng hoạt động, tương tác với nhau và những gì cần thiết để bảo mật chúng.

Quá trình tự động hóa CNTT và sự gia tăng của đám mây đang trừu tượng hóa rất nhiều điều đang diễn ra trong nền, khiến việc phát triển các mô hình tinh thần xung quanh cơ sở hạ tầng CNTT và hiểu cách bảo mật nó trở nên khó khăn hơn. Để thành công trong lĩnh vực bảo mật ngày nay, người ta cần hiểu cơ sở hạ tầng tại chỗ, các thành phần khác nhau của cơ sở hạ tầng đám mây, cũng như cơ sở hạ tầng dưới dạng mã và quy trình DevOps, v.v. Khi CNTT ngày càng trở nên phức tạp hơn, các yêu cầu đối với những người chịu trách nhiệm bảo trì, quản lý và hiểu rõ sự phức tạp này ngày càng tăng.

Các yếu tố khác thúc đẩy sự thay đổi trong cách chúng tôi thực hiện bảo mật bao gồm:

- Mối tương quan yếu giữa kết quả và chi tiêu an ninh,

- Doanh nghiệp đòi hỏi kết quả đo lường được,

- Tăng độ phức tạp của môi trường bảo mật và khách hàng,

- Phổ biến các công cụ bảo mật,

- Sự trưởng thành ngày càng tăng của các chuyên gia bảo mật,

- Tăng phí bảo hiểm,

- Sự xuất hiện của thế hệ mới các nhà cung cấp dịch vụ,

- Sự xuất hiện của hệ sinh thái nhà cung cấp hỗ trợ,

- Thiết lập các khuôn khổ an ninh, và

- Nhà đầu tư hỗ trợ bảo mật dựa trên bằng chứng.

An ninh mạng trong tương lai sẽ giống như công nghệ phần mềm

Xem công nghệ phần mềm như một mô hình cho an ninh mạng

An ninh mạng bắt nguồn từ giới tin tặc - trong số những người có khuynh hướng kỹ thuật tò mò về các sản phẩm và công cụ kỹ thuật đảo ngược, mày mò và đột nhập vào những gì được coi là không thể phá vỡ. Sau đó, một số nhà cung cấp bảo mật đã đến để hứa hẹn về sự an toàn, nói rằng “chúng tôi sẽ cảnh báo cho bạn khi có điều gì đó tồi tệ xảy ra, chỉ cần có người kiểm tra cảnh báo”. Ngạc nhiên trước viễn cảnh đơn giản như vậy, chúng tôi bắt đầu thuê các nhà phân tích bảo mật để giám sát các cảnh báo. Ngày nay, sau một thập kỷ hoặc lâu hơn, chúng ta thấy rằng mình phải quay lại những điều cơ bản. Rõ ràng, đây là một sự đơn giản hóa quá mức, nhưng sự thật là chúng ta cần đưa tin tặc trở lại ngành. Sự thật là an ninh mạng trong tương lai sẽ rất giống công nghệ phần mềm.

Phát triển phần mềm cung cấp cho chúng tôi một mô hình tuyệt vời: các nhà phân tích kinh doanh và quản lý sản phẩm hoạt động giữa kinh doanh và công nghệ - họ nói chuyện với khách hàng, hiểu và đánh giá các yêu cầu kinh doanh, chuyển chúng thành các yêu cầu kỹ thuật và ưu tiên các yêu cầu này để phát triển. Tôi thường nghe các đội an ninh bị đổ lỗi vì không nói chuyện với khách hàng và không hiểu đủ về kinh doanh. Mặc dù tình cảm là công bằng, nhưng tôi nghĩ những người đưa ra những tuyên bố đó đang thiếu điểm: chỉ trích các chuyên gia bảo mật kỹ thuật vì không hiểu kinh doanh cũng giống như chỉ trích các kỹ sư back-end vì không giỏi phỏng vấn người dùng. Sự thật rất đơn giản: nếu các kỹ sư back-end muốn phỏng vấn người dùng, họ sẽ không chọn back-end và thay vào đó sẽ trở thành nhà thiết kế UX.

Chúng tôi cần các nhóm bảo mật để hiểu rõ hơn về doanh nghiệp, không có nghi ngờ gì về điều đó. Nhưng chúng tôi không thể giải quyết vấn đề bằng cách gửi tất cả mọi người từ bộ phận CNTT và bảo mật để bắt đầu phỏng vấn nhân viên trong toàn công ty (mặc dù chúng tôi nên khuyến khích xây dựng mối quan hệ). Thay vào đó, chúng tôi cần các nhà phân tích kinh doanh và quản lý sản phẩm tương đương về bảo mật để thu hẹp khoảng cách .

Nguyên tắc kỹ thuật phần mềm cho an ninh mạng

Công nghệ phần mềm cung cấp một bộ công cụ, khái niệm, nguyên tắc và mô hình tinh thần tuyệt vời đang chia sẻ an ninh mạng của ngày mai.

Trước hết, bảo mật của ngày mai sẽ là bảo mật dưới dạng mã.

Giờ đây, chúng tôi nhận được mọi thứ dưới dạng mã - chính sách dưới dạng mã, cơ sở hạ tầng dưới dạng mã, quyền riêng tư dưới dạng mã, phát hiện dưới dạng mã, v.v. - chúng tôi có thể triển khai, theo dõi và kiểm tra các thay đổi đối với trạng thái bảo mật của tổ chức và khôi phục chúng khi cần thiết. Đổi lại, điều này có nghĩa là một cách tiếp cận có thể được thử nghiệm và xác thực, củng cố thêm quan điểm về bảo mật dựa trên bằng chứng. Tương tự như cách nó hoạt động trong công nghệ phần mềm, giờ đây bạn có thể chạy thử nghiệm bảo mật tự động để xem hệ thống của bạn sẽ hoạt động như thế nào và thuê một người đảm bảo chất lượng (nghĩ rằng người kiểm tra thâm nhập) để vượt qua các máy tự động và tìm kiếm các trường hợp cạnh không được tự động hóa .

Thứ hai, an ninh mạng trong tương lai sẽ dựa trên việc giám sát liên tục, triển khai liên tục và lặp lại thường xuyên. Trạng thái bảo mật của một tổ chức không cố định, nó thay đổi từng giây và tốc độ thay đổi của nó đã được tăng tốc cùng với sự gia tăng của đám mây. Vài giây sau khi phạm vi phát hiện và phản hồi mới được triển khai, môi trường của một tổ chức sẽ thay đổi với hàng trăm máy ảo được tạo ra trên đám mây và hàng chục ứng dụng SaaS mới được cài đặt trên các điểm cuối, v.v. Đánh giá và phạm vi bảo mật không thể tĩnh - nó cần phát triển khi chính tổ chức đang phát triển. Do đó, bảo mật là một quá trình, không phải là một tính năng - một quá trình dựa trên đánh giá liên tục và tinh chỉnh liên tục tình trạng bảo mật của tổ chức.

Thứ ba, ngành công nghiệp của ngày mai sẽ phải thực hiện mọi thứ trên quy mô lớn, theo cách ưu tiên API. Đã qua rồi cái thời các nhóm bảo mật phải đăng nhập vào hàng tá công cụ để tinh chỉnh một số cấu hình theo cách thủ công và thậm chí còn hơn thế nữa - triển khai các giải pháp bảo mật theo cách thủ công. Mọi thứ phải được thực hiện ở quy mô máy, thông qua API.

Thứ tư, an ninh mạng sẽ chứng kiến thế giới công cụ thương mại cùng tồn tại và tích hợp chặt chẽ với thế giới nguồn mở. Mặc dù điều này đã xảy ra đối với công nghệ phần mềm trong một thời gian với tất cả các công cụ công nghệ phần mềm thương mại tận dụng các thành phần và thư viện nguồn mở, nhưng trong an ninh mạng, nguồn mở thường được nhìn thấy tách biệt với thị trường nhà cung cấp. Trước đây tôi đã tìm hiểu sâu về vai trò của nguồn mở trong an ninh mạng, tôi thấy vai trò này đang phát triển khi ngành này trưởng thành. Các nhà cung cấp an ninh mạng sẽ không thể thoát khỏi việc chỉ tạo ra các phiên bản thương mại của các công cụ nguồn mở; họ sẽ cần xây dựng trên cùng và thêm giá trị thực ngoài việc đưa ra tuyên bố rằng “chúng tôi không phải là nguồn mở” và hiển thị chứng chỉ tuân thủ SOC 2 của họ.

Áp dụng phương pháp tiếp cận kỹ thuật đối với bảo mật có nghĩa là tập trung vào việc cải tiến các quy trình để cung cấp khả năng bảo vệ liên tục thay vì kiểm tra các hộp tuân thủ. Nó trao quyền cho các nhóm bảo mật cung cấp các giải pháp kỹ thuật và xây dựng các công cụ có thể mở rộng trước khi đề xuất thuê thêm người, từ đó cho phép họ đạt được nhiều hơn với chi phí ít hơn. Tất cả những yếu tố này kết hợp lại tạo nên cách tiếp cận dựa trên bằng chứng đối với bảo mật mà tôi đã thảo luận sâu trước khi không thể tránh khỏi; nó không còn là câu hỏi nếu, mà là câu hỏi khi nào (câu trả lời: nó đã xảy ra rồi).

Vị trí an toàn trong vòng đời sản phẩm

Khi chúng ta nghĩ về bảo mật, một trong những câu hỏi đầu tiên xuất hiện trong đầu là “nó thuộc về đâu trong vòng đời phát triển phần mềm?”. Mặc dù đó là một câu hỏi hợp lệ, nhưng chỉ riêng việc phóng to vòng đời phát triển phần mềm sẽ tạo ra những điểm đáng chú ý xung quanh những gì xảy ra với phần mềm ngoài tự nhiên. Để thảo luận đúng vai trò của phương pháp tiếp cận kỹ thuật đối với an ninh mạng, bắt buộc phải xem xét toàn bộ vòng đời sản phẩm, bao gồm cách phần mềm được xây dựng cũng như điều gì xảy ra sau khi phần mềm bắt đầu được sử dụng trong sản xuất.

Trước đây, bảo mật được tách biệt khỏi nhóm phát triển xây dựng sản phẩm và do đó, đây được coi là bước cuối cùng để đảm bảo “tuân thủ” trước khi phát hành. Đúng là bảo mật không phải là phần duy nhất của vòng đời phát triển phần mềm (SDLC) tồn tại dưới dạng silo; quản lý sản phẩm (PM), thiết kế, kỹ thuật (thường được chia thành front-end và back-end) và đảm bảo chất lượng (QA) cũng vậy.

Trước khi áp dụng Agile, thứ đã tạo ra ý tưởng về các nhóm chức năng chéo, quá trình phát triển phần mềm trông giống như sau:

1. Người quản lý sản phẩm sẽ viết các yêu cầu và gửi chúng cho các nhà thiết kế
2. Các nhà thiết kế sẽ xây dựng các mô hình và gửi chúng cho nhóm phát triển
3. Các kỹ sư back-end sẽ hoàn thành phần công việc của họ và gửi phần còn lại cho nhóm front-end
4. Sản phẩm hoàn chỉnh sau đó được gửi đến QA để xem xét

Vì không có đúng người tham gia vào đúng bước nên cách tiếp cận truyền thống, được gọi là thác nước này dẫn đến rất nhiều lãng phí, thiếu hiệu quả, làm lại và đưa ra các quyết định tồi. Linh hoạt với các khung Scrum và Kanban , dẫn đến các lần lặp lại ngắn và phát hành mã thường xuyên, và quan trọng nhất là nó tạo ra các nhóm sản phẩm đa chức năng, nơi một PM, một nhà thiết kế, kỹ sư phần mềm và QA sẽ làm việc cùng nhau. Về mặt thực tế, điều đó có nghĩa là các kỹ sư phần mềm và QA sẽ cung cấp phản hồi về các yêu cầu và thiết kế trước khi chúng được coi là sẵn sàng để phát triển và các PM/QA sẽ cung cấp đầu vào của họ khi sản phẩm đang được xây dựng, giảm nhu cầu loại bỏ mã sau đó và làm lại những gì đã “làm xong”.

Agile không giải quyết được mọi vấn đề. Đặc biệt, khi DevOps xuất hiện, các kỹ sư DevOps sẽ thấy mình không có bất kỳ bối cảnh nào về những gì nhóm sản phẩm đang làm, khiến công việc của họ trở nên phản ứng và khó thực hiện. Cuối cùng, các phương pháp hay nhất về thiết kế tổ chức đã bắt kịp và gần đây, vào năm 2019, Manuel Pais và Matthew Skelton đã xuất bản hướng dẫn mà theo tôi là hướng dẫn có tác động nhất về thiết kế các nhóm công nghệ - Cấu trúc liên kết nhóm: Tổ chức các nhóm kinh doanh và công nghệ cho dòng chảy nhanh . Trong cuốn sách của mình, Manuel và Matthew xem xét những thách thức chung về thiết kế tổ chức, chia sẻ các phương pháp hay nhất xung quanh các mô hình và tương tác nhóm thành công, đồng thời đề xuất các cách để tối ưu hóa dòng giá trị cho các công ty công nghệ.

Cho đến gần đây, bảo mật vẫn chưa trở thành một phần của tổ chức phát triển, tồn tại dưới dạng một bài kiểm tra riêng biệt, trong trường hợp tốt nhất, đưa ra các bản phát hành và chỉ định các yêu cầu mới cho các nhóm phát triển, thường được đánh dấu là “mức độ ưu tiên cao nhất”. ”. Mặc dù đó vẫn là một mô hình được thấy ở nhiều tổ chức, cách tiếp cận bảo mật đã bắt đầu thay đổi trong những năm gần đây. Chúng tôi đang chứng kiến sự phát triển của DevSecOps như là phản ứng của bảo mật đối với DevOps và khi bảo mật được tích hợp vào các quy trình CI/CD, vai trò của nó đang thay đổi từ tuân thủ sang cung cấp bảo vệ. Vì nó liên quan đến phát triển sản phẩm mới, bảo mật thực sự bắt đầu giống như công nghệ phần mềm.

Trong tương lai, chúng ta có thể sẽ tiếp tục thấy các nhóm bảo mật hoạt động như những đơn vị độc lập trong tổ chức của họ. Tuy nhiên, ngày càng có nhiều lỗ hổng dành riêng cho ứng dụng sẽ được xử lý bởi những người xây dựng sản phẩm và có bối cảnh nhất về mã - các kỹ sư phần mềm. Các nhóm bảo mật sẽ đóng vai trò là cố vấn cho các nhóm phát triển sản phẩm, tương tự như vai trò ngày nay của các kỹ sư về độ tin cậy của nền tảng và trang web.

Tư duy kỹ thuật cho cơ sở hạ tầng và hoạt động bảo mật

Mặc dù nhìn chung có thể dễ dàng hình dung tư duy kỹ thuật đối với bảo mật sẽ trông như thế nào khi chúng ta nói về phát triển phần mềm, nhưng có thể khó thực hiện hơn nhiều khi xem xét cơ sở hạ tầng và hoạt động bảo mật - những điều xảy ra hàng ngày, sau đó, và bên ngoài phát triển phần mềm. Điều này phần lớn là do bảo mật ứng dụng là một phần của vòng đời phát triển phần mềm và các công ty khởi nghiệp dựa trên nền tảng đám mây được đầu tư mạo hiểm đã tích cực tìm cách bảo mật mã của họ và thực hiện điều đó theo cách mở rộng quy mô.

Một cách tương đối, người ta đã thấy rất ít cuộc thảo luận xung quanh việc đưa tư duy kỹ thuật, phương pháp tiếp cận và khuôn khổ vào các hoạt động bảo mật, phát hiện và phản hồi, xử lý sự cố, pháp y kỹ thuật số và các lĩnh vực bảo mật khác. Các thành phần quan trọng này trong quy trình an ninh mạng của công ty được coi là các bộ phận nội bộ có thể thực hiện tốt công việc của chúng miễn là chúng có “các sản phẩm phù hợp” được triển khai trên mạng và một số người giám sát các sản phẩm này. Quan trọng nhất, các đội an ninh đã liên tục bị thiếu nguồn lực và bị tiêu hao bởi việc dập lửa mới nhất, khiến họ không thể chủ động tập trung vào việc xây dựng hệ thống phòng thủ.

Không cần phải nói rằng cách tiếp cận này đã được chứng minh là hạn chế và thường gây bất lợi cho lập trường bảo mật của tổ chức. Mặc dù tôi không có bằng chứng để chứng minh tuyên bố này, nhưng tôi sẽ suy đoán rằng hầu hết (nếu không phải tất cả) các công ty xuất hiện trên tin tức là đã bị vi phạm trong vài năm qua, đã triển khai các công cụ mới nhất và tốt nhất trong hệ thống của họ. môi trường. Thực tế là những công cụ này không thể bảo vệ doanh nghiệp khỏi các sự cố bảo mật hoàn toàn không có nghĩa là chúng làm việc không tốt (hoàn toàn ngược lại). Thay vào đó, tôi nghĩ rằng những sự kiện này nhấn mạnh rằng không có sản phẩm nào có khả năng chống đạn bất chấp những gì hoạt động tiếp thị của nhà cung cấp có thể đề xuất và để bảo vệ doanh nghiệp cũng như người dân của chúng tôi, chúng tôi phải thay đổi cách chúng tôi tiếp cận vấn đề bảo mật.

Nắm bắt một tư duy kỹ thuật để bảo mật có nghĩa là một số điều, bao gồm:

• Chấp nhận rằng các công cụ chỉ là công cụ và nhìn xa hơn việc lựa chọn nhà cung cấp ở các nguyên tắc cơ bản của an ninh mạng như một lĩnh vực thực hành. Điều này có nghĩa là đặt những câu hỏi như “Tôi nên làm gì để bảo vệ tổ chức của mình? Những rủi ro tôi đang phải đối mặt là gì? Những hành vi độc hại nào có thể xảy ra trong môi trường của tôi? Làm thế nào tôi phát hiện ra chúng? Tôi sẽ phản ứng thế nào khi chúng bị phát hiện?”, thay vào đó là “Tôi nên mua công cụ nào để bảo vệ tổ chức của mình?”
• Với nhận thức này, các công ty phải áp dụng phương pháp này vào thực tế, đảm bảo rằng họ có tầm nhìn đầy đủ về môi trường của họ (“một ô kính”), vào những gì họ đang phát hiện và cách họ đang thực hiện điều đó (biết những phát hiện nào hoạt động trong môi trường của họ , chúng phát hiện chính xác cái gì và cách chúng phát hiện ra nó), cùng với khả năng kiểm tra khả năng phòng thủ của chúng theo cách có thể tái sản xuất.
• Nhận thấy rằng nhiều thành phần của hoạt động bảo mật có thể và nên được tự động hóa, đồng thời tìm cách xây dựng các cách có thể mở rộng để cung cấp khả năng bảo vệ cho tổ chức. Trên thực tế, điều này có nghĩa là sử dụng phương pháp phát hiện dưới dạng mã, cơ sở hạ tầng dưới dạng mã và các phương pháp tiếp cận khác đã được chứng minh là có hiệu quả và mở rộng quy mô trong các lĩnh vực công nghệ khác. Khi một nhóm phát hiện ra các lỗ hổng và hành vi độc hại mới, họ nên có các công cụ để phản hồi chúng theo cách loại bỏ nhu cầu áp dụng thủ công cùng một phản hồi cho cùng một lỗ hổng vào ngày mai.

Trong lịch sử, hầu hết các kiến thức bảo mật đều nằm trong đầu của những người hành nghề có kinh nghiệm, những người đã “làm đến nơi đến chốn”. Khi ngành đang trưởng thành, chúng ta cần tìm cách hệ thống hóa kiến thức này và làm cho kiến thức đó có thể chia sẻ, có thể kiểm tra và truy cập để sử dụng cũng như cải tiến cho các tổ chức trên toàn cầu. An ninh mạng sẽ luôn là một nghệ thuật vì nó đối phó với kẻ thù thông minh, sáng tạo. Tuy nhiên, nó cũng cần phải trở thành một môn khoa học nếu chúng ta muốn tiếp tục phát triển cơ sở tri thức của mình và giúp các tổ chức không đủ khả năng thuê “người giỏi nhất trong số những người giỏi nhất” trong lĩnh vực này có thể tiếp cận được hệ thống phòng thủ mạng. Áp dụng phương pháp tiếp cận kỹ thuật, dựa trên khoa học đối với bảo mật sẽ cho phép các nhóm bảo mật xây dựng các hệ thống và quy trình để thực hiện công việc của họ một cách nhất quán.

Sự phát triển của kỹ thuật bảo mật và cách nó thay đổi an ninh mạng của ngày mai

Sự phát triển của kỹ thuật phát hiện và sự xuất hiện của kỹ thuật phát hiện như một dịch vụ

Trong vài năm qua, đã có rất nhiều sự nhấn mạnh vào tính minh bạch trong việc phát hiện mối đe dọa. Vấn đề đã thu hút sự chú ý của các chuyên gia bảo mật, những người sáng lập công ty khởi nghiệp và các nhà phân tích trong ngành, v.v. Vào năm 2022, hai nhà phân tích cũ của Gartner là Anton Chuvakin và Oliver Rochford đã viết một bài báo nhỏ có tiêu đề “Về sự tin cậy và tính minh bạch trong quá trình phát hiện” với nội dung mở đầu như sau: “Khi chúng tôi phát hiện các mối đe dọa, chúng tôi muốn biết những gì chúng tôi đang phát hiện. Nghe có vẻ đau đớn rõ ràng, phải không? Nhưng chúng tôi thấy rất rõ ràng rằng trong suốt lịch sử của ngành bảo mật, điều này không phải lúc nào cũng đúng. Một số người trong chúng ta còn nhớ những ngày đầu tiên của hệ thống phát hiện xâm nhập mạng IDS đã được cung cấp mà khách hàng không thể thấy cách thức phát hiện hoạt động. Thị trường đã lên tiếng, và những nhà cung cấp này đều đã chết và bị chôn vùi bởi Snort và hậu duệ của nó, những người đã mở dấu hiệu phát hiện của họ để xem xét và sửa đổi.” Bài đăng trên blog là một bài đọc tuyệt vời cho bất kỳ ai quan tâm đến chủ đề này.

Môi trường của mọi tổ chức là độc nhất vô nhị và tính độc đáo chỉ tăng lên cùng với sự phát triển của SaaS và sự xuất hiện của các công cụ chuyên dụng cho hầu hết mọi thứ. Mỗi bộ phận trong tổ chức có hàng chục công cụ mà nó sử dụng để quản lý công việc của mình (hãy tưởng tượng chỉ số lượng ứng dụng được thiết kế để thay thế việc sử dụng bảng tính cho riêng các nhóm tiếp thị, nhân sự, tài chính, sản phẩm và vận hành). Ngoài ra, gần như mọi công ty đạt được mức tăng trưởng nhất định đều phát triển các ứng dụng nội bộ của riêng mình để tiết kiệm cho các trường hợp sử dụng duy nhất đối với hoạt động, mô hình kinh doanh hoặc chiến lược tiếp cận thị trường của mình.

Tính duy nhất của môi trường của mọi tổ chức có nghĩa là cả cách những kẻ tấn công xâm nhập vào mọi tổ chức và cách những người bảo vệ có thể phát hiện hành vi nguy hiểm trong môi trường đó sẽ khác nhau. Về mặt thực tế, để các nhóm bảo mật giải quyết vấn đề phát hiện thứ gì đó duy nhất đối với môi trường của tổ chức, họ sẽ cần tạo logic phát hiện cho môi trường cụ thể đó.

Các nhà cung cấp bảo mật hứa hẹn bảo hiểm toàn diện cho bất kỳ ai và tất cả mọi người là một lớp cơ bản tuyệt vời (cũng như phần mềm chống vi-rút), nhưng chúng không đủ đối với các công ty có nhiều thứ để mất.

Kỹ thuật phát hiện đã phát triển vượt bậc trong 10 năm qua, khi chính những người đã làm việc đó trong một thập kỷ chứng thực . Trong bài viết được đề cập ở trên, Zack Allen, giám đốc nghiên cứu bảo mật tại Datadog mô tả cách tiếp cận “càng nhiều, càng tốt” để tạo nội dung phát hiện đã phát triển thành nhận thức chín chắn rằng chúng ta cần nội dung phát hiện toàn diện, chất lượng cao, chứ không chỉ “nhiều phát hiện hơn ". Các kỹ sư phát hiện từng được coi là “phù thủy”, những người “đi xuống từ ngọn lửa của họ và rao giảng cho thế giới những phát hiện mới nhất của họ, có mặt tại Blackhat và DEFCON” hiện là một trong nhiều loại kỹ sư bảo mật.

Nói về kỹ thuật phát hiện, Zack kết luận:

“Bạn không thể viết các phát hiện cho sản phẩm an ninh mạng của mình nếu bạn không có các chuyên gia an ninh mạng. Điều này cũng áp dụng cho các phát hiện dựa trên điểm cuối, đám mây, ứng dụng và máy chủ. Nó giống như việc một nhóm các nhà khoa học dữ liệu xây dựng một mô hình học máy để phát hiện bệnh hen suyễn ở bệnh nhân. Tuy nhiên, họ đã quên mang theo một bác sĩ để cho họ thấy bệnh nhân viêm phổi sẽ cho kết quả dương tính giả như thế nào với mô hình. Bạn cần các chuyên gia về vấn đề này. Điều này đã không thay đổi trong ngành, và nó cũng không nên. Điều đã thay đổi là những chuyên gia này cần có cơ sở vững chắc về các nguyên tắc công nghệ phần mềm. Bạn không thể thay đổi quy mô tất cả các phát hiện đó và triển khai chúng trong môi trường hiện đại, quản lý chạy nước rút (vâng, đây là công nghệ phần mềm :)) hoặc viết các bài kiểm tra đơn vị, tích hợp và hồi quy mà không có nhiều cơ quan hoặc nhiều tự động hóa. Tôi có thể nói một cách chắc chắn rằng sếp của tôi muốn nghe rằng tôi có thể giải quyết vấn đề bằng phần mềm hơn là thuê thêm người.”

Tôi thấy hai dấu hiệu cho thấy kỹ thuật phát hiện đã phát triển thành một nghề chuyên dụng và được xác định rõ ràng: số lượng sự kiện ngày càng tăng như DEATHCon (Hội nghị kỹ thuật phát hiện và săn lùng mối đe dọa), các cuộc nói chuyện và đào tạo tại Black Hat, BSides và các cuộc tụ họp khác của các học viên, cũng như sự khởi đầu của việc xác định các giai đoạn trưởng thành mà các tổ chức trải qua khi thực hiện nó. Ma trận trưởng thành của kỹ thuật phát hiện của Kyle Bailey là nỗ lực tốt nhất để đo lường khả năng và mức độ trưởng thành của chức năng trong các tổ chức.

Khi ngày càng nhiều tổ chức nhận ra rằng logic phát hiện không phải là một kích thước phù hợp với tất cả và các nhà cung cấp bảo mật sẽ không thể thực hiện lời hứa “giữ an toàn cho mọi người” của họ, chúng tôi bắt đầu thấy các công ty khởi nghiệp an ninh mạng chuyên về phát hiện tòa nhà nội dung. Thay vì chỉ kích hoạt cảnh báo, các công ty này làm cho nội dung của quy tắc hiển thị và có thể chỉnh sửa, cho phép các nhóm bảo mật hiểu chính xác điều gì đang được phát hiện trong môi trường của họ, cách thức chính xác điều đó được phát hiện và playbook hoặc cảnh báo nào sẽ được kích hoạt khi điều đó xảy ra. được phát hiện. Hai ví dụ đáng chú ý về các phần khởi động trong không gian này là SOC Prime và SnapAttack, cả hai đều hỗ trợ ngôn ngữ chuẩn thực tế để viết nội dung phát hiện - Sigma. Thay vì hứa hẹn bảo hiểm đầy đủ, các nhà cung cấp này cung cấp cho các công ty khả năng tiếp cận bảo hiểm bảo mật theo cách hoàn toàn minh bạch, trả tiền cho những gì bạn sử dụng.

Không chỉ các tổ chức có thể mua phạm vi phát hiện chung từ các nhà cung cấp chuyên về kỹ thuật phát hiện mà giờ đây họ có thể yêu cầu các nhà cung cấp dịch vụ bảo mật xây dựng logic cảnh báo tùy chỉnh phù hợp với môi trường của họ. Mặc dù đây không phải là thứ được cung cấp bởi tất cả các nhà cung cấp ngày nay, nhưng tôi nghĩ ngành này đang hướng tới khi các công ty tư vấn bảo mật cũng như các công ty phát hiện và phản hồi có quản lý đang tìm cách tăng thêm giá trị ngoài việc lựa chọn nhà cung cấp và giám sát cảnh báo. Chẳng bao lâu nữa, kỹ thuật phát hiện như một dịch vụ sẽ trở thành tiêu chuẩn cho các nhà cung cấp dịch vụ bảo mật.

Đáng chú ý, sự thay đổi trong kỳ vọng của khách hàng cũng đang thay đổi cách các nhà cung cấp bảo mật như phát hiện và phản hồi điểm cuối (EDR) và phát hiện và phản hồi mở rộng (XDR) đang hoạt động. Thường bắt đầu dưới dạng "hộp đen" chạy logic phát hiện chung được tích hợp nội bộ cho tất cả khách hàng của họ, giờ đây họ cũng cung cấp khả năng cho khách hàng ghi các phát hiện của riêng họ lên trên cùng. Các nhà cung cấp mới hơn chẳng hạn như LimaCharlie nơi tôi lãnh đạo sản phẩm, Panther và một danh mục hoàn toàn mới của cái gọi là Open XDR cũng đang cung cấp khả năng hiển thị đầy đủ phạm vi bảo mật của tổ chức (không chỉ các quy tắc tùy chỉnh mà tất cả các phát hiện chạy trong tổ chức).

Tầm quan trọng ngày càng tăng của kỹ thuật an ninh

Tôi sử dụng kỹ thuật phát hiện làm ví dụ; chúng tôi đang chứng kiến một cú hích lớn đối với kỹ thuật trong tất cả các lĩnh vực bảo mật. Với cơ sở hạ tầng dưới dạng mã, quản lý cơ sở hạ tầng hiện thuộc sở hữu của kỹ thuật chứ không phải CNTT. Do đó, kỹ năng công nghệ phần mềm đang trở thành điều kiện tiên quyết để bảo mật.

Với sự gia tăng của đám mây, các nguyên tắc và thực tiễn công nghệ phần mềm hiện củng cố cách cung cấp cơ sở hạ tầng, cách áp dụng các chính sách và cấu hình bảo mật, cách kiểm tra và thẩm vấn tư thế bảo mật của công ty, cách triển khai và theo dõi các thay đổi đối với cấu hình bảo mật, v.v. . Mặc dù các kỹ sư DevOps chịu trách nhiệm cung cấp và quản lý cơ sở hạ tầng, nhưng các kỹ sư bảo mật kết hợp kiến thức vững chắc về kỹ thuật với hiểu biết sâu sắc về bảo mật, là những người lý tưởng để đảm bảo an toàn cho cơ sở hạ tầng đó.

Hầu hết các chuyên gia an ninh mạng ngày nay đã phát triển các kỹ năng của họ về CNTT - thiết kế kiến trúc mạng, cung cấp tường lửa và quản lý chính sách tường lửa cũng như các nhiệm vụ quan trọng khác để duy trì hoạt động của CNTT trong doanh nghiệp. Thật không may, nhiều người phụ trách bảo mật chỉ có hiểu biết cơ bản nhất về công nghệ phần mềm, ngăn cản họ phát triển các kỹ năng cần thiết trong một thế giới nơi mọi thứ - cơ sở hạ tầng, chính sách, khả năng phát hiện, v.v. - đều tồn tại dưới dạng mã. Điều tự nhiên là khi cơ sở hạ tầng cơ bản được viết mã, các chuyên gia bảo mật cần học cách viết mã. Điều này cũng đúng đối với tự động hóa và việc sử dụng API: vì phần lớn các nhiệm vụ kỹ thuật hiện được thực hiện trên quy mô lớn thông qua API (bao gồm cả công việc trước đây được thực hiện thủ công trong chính các nhóm bảo mật), chúng tôi cần những người hiểu cách thiết kế, sử dụng và ngừng hoạt động API một cách an toàn.

Các nhóm kỹ thuật bảo mật được kỳ vọng sẽ vượt ra ngoài các giải pháp kỹ thuật xây dựng kiểm soát vận hành cho các vấn đề bảo mật. Khi ngày càng nhiều tổ chức nhận ra rằng các công cụ bảo mật có sẵn không giải quyết được tính độc đáo của nhu cầu và môi trường của họ, thì những công cụ có mức tài nguyên và hỗ trợ phù hợp để tăng cường tình trạng bảo mật của họ một cách nghiêm túc đang bắt đầu vượt ra ngoài cấu hình thương mại. các sản phẩm. Mặc dù đối với một số trường hợp sử dụng, một công cụ được mua từ nhà cung cấp bảo mật có thể phù hợp để triển khai, nhưng thông thường, công cụ này cần một số điều chỉnh để đáp ứng nhu cầu riêng của một tổ chức. Tuy nhiên, chúng tôi nhận thấy sự hiểu biết ngày càng tăng, đặc biệt là trong số các doanh nghiệp lớn xử lý nhiều dữ liệu và các công ty dựa trên nền tảng đám mây, rằng các công cụ thương mại không thể giải quyết vô số nhu cầu và yêu cầu bảo mật. Các công ty này đang bắt đầu xây dựng một số yếu tố trong ngăn xếp bảo mật nội bộ của họ, giao việc thiết kế và phát triển các giải pháp này cho các kiến trúc sư bảo mật nội bộ và kỹ sư bảo mật.

Tom Tovar của Appdome đã đề xuất trong podcast gần đây của anh ấy rằng chúng ta có thể chia các tổ chức bảo mật thành ba loại:

1. Các nhóm bảo mật truyền thống, bao gồm các chuyên gia bảo mật vững vàng về mặt kỹ thuật với kiến thức sâu rộng về bảo mật và tuân thủ, cũng như các phương pháp hay nhất cho cả hai.
2. Các nhóm bảo mật nâng cao thường có các nhà nghiên cứu bảo mật và kiến trúc sư bảo mật được giao nhiệm vụ thiết kế hệ thống, đánh giá sản phẩm, thử nghiệm thâm nhập, v.v.
3. Các tổ chức kỹ thuật và an ninh mạng có tài năng kỹ thuật “cao cấp” có khả năng xây dựng và cung cấp các giải pháp bảo mật cho các tổ chức hiện đại

Tôi xem những phạm trù này không phải là các giai đoạn trưởng thành khác nhau, mà là một sự tiến hóa về mặt nhu cầu của tổ chức. Các công ty dựa trên nền tảng đám mây đang bắt đầu xây dựng các nhóm kỹ thuật bảo mật được thiết kế để hợp tác chặt chẽ với DevOps, kỹ thuật phần mềm và phát triển sản phẩm. Cùng với đó, nhiều yếu tố mà theo truyền thống thuộc sở hữu của các nhóm CNTT và bảo mật, hiện thuộc sở hữu của DevOps và các nhóm kỹ thuật bảo mật. Mô hình này dựa vào các nhà xây dựng - tài năng kỹ thuật có thể tạo ra các giải pháp bảo mật - không cần thiết cho mọi tổ chức. Tuy nhiên, khi ngày càng có nhiều công ty bắt đầu sử dụng điện toán đám mây ngay từ ngày đầu tiên, vì môi trường của họ đang trở nên độc đáo hơn với sự phổ biến của các công cụ SaaS và khi nhiều nhóm bảo mật nhận ra giá trị của bảo mật phù hợp với nhu cầu của họ, chúng ta sẽ thấy một lượng lớn chuyển sang kỹ thuật bảo mật.

Tại thời điểm viết bài này, chúng tôi thấy rằng các phương pháp hay nhất cho thiết kế tổ chức đã không bắt kịp với sự phát triển của kỹ thuật bảo mật. Về mặt thực tế, điều đó có nghĩa là mặc dù các nhóm kỹ thuật bảo mật có các công cụ riêng mà họ chịu trách nhiệm quản lý, nhưng dường như có nhiều xung đột xung quanh quyền sở hữu giữa các kỹ sư bảo mật và kỹ sư phần mềm/DevOps cũng như các nhóm bảo mật vận hành. Công bằng mà nói, cho đến ngày nay, trong mọi tổ chức may mắn có được đội ngũ kỹ thuật bảo mật, hình dáng của đội ngũ đó có vẻ hơi khác. Xung đột tổ chức và các lĩnh vực sở hữu không rõ ràng là những bước tự nhiên trong quá trình hình thành bất kỳ kỷ luật mới nào, vì vậy những gì chúng ta đang thấy là hữu cơ và được mong đợi.

Bản chất thay đổi của vai trò nhà phân tích chứng khoán

Khi an ninh mạng trở thành mã, nó sẽ ngày càng khó hơn đối với những người không mã. Tôi đang nói về vai trò thay đổi của các nhà phân tích chứng khoán.

Các nhà phân tích bảo mật, theo truyền thống được phân loại thành Bậc 1 (chuyên gia phân loại), Bậc 2 (người ứng phó sự cố) và Bậc 3 (chuyên gia phân tích), đóng vai trò quan trọng trong nhóm trung tâm điều hành bảo mật (SOC). Với những tiến bộ gần đây trong tự động hóa, hình dạng của vai trò này đã bắt đầu thay đổi.

Trước hết, khi các nhóm bảo mật đang tìm cách cải thiện hiệu quả và năng suất, ngày càng có nhiều quy trình và thủ tục trong một SOC từng là thủ công đang được tự động hóa. Thứ hai, sự phát triển của trí tuệ nhân tạo (AI) hứa hẹn sẽ loại bỏ nhu cầu xử lý hàng nghìn cảnh báo theo cách thủ công - được cho là một trong những điểm đau lớn nhất mà các nhóm bảo mật đang gặp phải. Cho đến hôm nay, AI vẫn chưa thực hiện được lời hứa tự động hóa bảo mật, nhưng điều đó cuối cùng sẽ xảy ra. Có lẽ sớm hơn chúng ta tưởng tượng, chúng ta sẽ chứng kiến một trận chiến AI với các đối thủ đào tạo mô hình và cách phòng thủ của riêng họ - của chính họ. Bỏ qua những bức tranh tương lai, các nhà phân tích SOC sẽ cần điều chỉnh theo hình dạng bảo mật đang thay đổi.

Do hai yếu tố được mô tả ở trên, các nhà phân tích SOC (đặc biệt là những người theo truyền thống được gọi là “Cấp 1”) phải bắt đầu học các kỹ năng mới. Kỹ năng kỹ thuật cấp bách nhất là viết mã và các nhà phân tích hiểu điều đó như được minh họa trong cuộc khảo sát Tiếng nói của Nhà phân tích SOC do Tines ủy quyền vào năm 2022.

Có đủ những người báo động trong ngành cho rằng tương lai của các nhà phân tích là ảm đạm, nhưng tôi lại thấy khác. Vai trò sẽ không biến mất, nhưng hình dạng và phạm vi của nó sẽ thay đổi. Trước đây, trở thành một nhà phân tích phần lớn là biết cách sử dụng các sản phẩm bảo mật cụ thể. Giờ đây, bảo mật bắt đầu được coi không phải là vấn đề về công cụ mà là vấn đề về cách tiếp cận. Ngoài ra, các công cụ bảo mật đang trở nên hàng hóa và được tiêu chuẩn hóa để tất cả chúng đều hoạt động tương tự nhau: nếu một nhà phân tích đã sử dụng một EDR, có khả năng họ sẽ không cần nhiều thời gian để tìm hiểu một EDR khác. Những sản phẩm chính xác mà một nhà phân tích đã sử dụng trong quá khứ sẽ trở nên ít quan trọng hơn so với sự hiểu biết của họ về các nguyên tắc cơ bản về bảo mật. Các nhà phân tích muốn duy trì sự liên quan khi ngành trưởng thành sẽ cần phải trở nên kỹ thuật hơn. Mặc dù không phải ai cũng sẽ và nên trở thành một kỹ sư, nhưng điều quan trọng hơn là họ phải hiểu cách các tác nhân đe dọa nhìn thế giới và cách các cuộc tấn công được tiến hành.

Tôi nghĩ rằng tương lai của các nhà phân tích bảo mật sẽ tương tự như tương lai của các chuyên gia QA (đảm bảo chất lượng) trong phát triển phần mềm. Phần lớn các công việc QA không còn thủ công nữa và yêu cầu sử dụng các công cụ, ngôn ngữ và khuôn khổ tự động hóa. Những người trả nhiều tiền nhất là những gì Amazon và nhiều công ty khác hiện gọi là “kỹ sư thử nghiệm” - kỹ sư phần mềm tập trung vào thử nghiệm chức năng và API của sản phẩm. QA thủ công vẫn tồn tại nhưng rất khó để thực hiện, các vai trò có tính cạnh tranh cao và do nguồn cung công nhân có trình độ vượt xa nhu cầu nên họ yêu cầu mức thù lao thấp nhất. Mechanical Turk của Amazon thay đổi trò chơi một cách đáng kể, giúp giảm chi phí QA hơn nữa. Đảm bảo chất lượng không chết, nhưng nó đã thay đổi rất nhiều (và đáng chú ý là không cần AI và ML tiên tiến để thay đổi nó).

Ngăn xếp bảo mật của tương lai

Khi các nhóm bảo mật trở nên kỹ tính hơn, họ bắt đầu nhận ra rằng không nhà cung cấp nào có thể hứa hẹn “an toàn” và “bảo mật” như một tính năng. Theo truyền thống, hầu hết các công cụ bảo mật thương mại đều trừu tượng hóa các lớp nền tảng từ các nhóm bảo mật và cung cấp chế độ xem cấp cao dưới dạng cảnh báo và báo cáo tóm tắt những gì đã xảy ra. Các tổ chức muốn có khả năng hiển thị các lớp nền tảng của cơ sở hạ tầng bảo mật và dữ liệu cấp sự kiện đã buộc phải sử dụng các công cụ nguồn mở hoặc xây dựng công cụ từ đầu.

Vì cách tiếp cận DevSecOps yêu cầu khả năng hiển thị các lớp bảo mật cơ bản, nên ngăn xếp bảo mật trong tương lai sẽ trông rất khác so với những gì chúng ta thấy ngày nay khi nhìn vào cái gọi là bản đồ thị trường an ninh mạng. Trước hết, chúng ta sẽ thấy ngày càng nhiều giải pháp trung lập có thể được các học viên sử dụng để thẩm vấn hệ thống của họ, có được khả năng hiển thị đầy đủ về môi trường của họ và xây dựng phạm vi bảo mật phù hợp với nhu cầu của họ. Những công cụ này sẽ hoạt động minh bạch và công việc chúng làm sẽ dễ dàng được kiểm tra và xác minh. Điều quan trọng là chúng ta sẽ thấy sự kết hợp giữa các giải pháp nguồn mở và thương mại có thể được thực hiện để hoạt động cùng nhau nhằm giải quyết các trường hợp sử dụng bảo mật của tổ chức. Ở trung tâm của bảo mật sẽ là các quy trình và chuyên gia bảo mật - không phải “sản phẩm” vì các công cụ chỉ là vậy - các công cụ; điều quan trọng là cách chúng được sử dụng và chúng được sử dụng cho mục đích gì.

Trong vài năm qua, chúng tôi bắt đầu thấy ngày càng nhiều nhà lãnh đạo bảo mật từ chối ý tưởng tin tưởng một cách mù quáng vào các nhà cung cấp: đó là cách tiếp cận mà chúng tôi quảng bá tại LimaCharlie, nơi tôi lãnh đạo sản phẩm, cũng như cách tiếp cận được chấp nhận bởi các giải pháp thế hệ mới khác, chẳng hạn như SOC Prime, Panther, Prelude, và gần đây nhất - Interpres, để kể tên một số.

Hình ảnh bên dưới là danh sách các công ty và công cụ nguồn mở ngày nay sử dụng phương pháp tiếp cận kỹ thuật, dựa trên bằng chứng để bảo mật. Nó không có nghĩa là toàn diện (còn nhiều công cụ tuyệt vời khác phù hợp với các tiêu chí trên) và nó không phải là một “bản đồ thị trường” truyền thống.

Thu hẹp khoảng cách nhân tài

Để thuê được nhân tài lớn, doanh nghiệp cần thay đổi cách thức hoạt động

Các nhóm bảo mật bảo vệ doanh nghiệp khỏi các tác nhân độc hại đang bị căng thẳng, thiếu nhân lực, bị đánh giá thấp và bị trả lương thấp. Thực tế là các nhóm hack ngoài kia thu hút tài năng kỹ thuật chuyên sâu tốt hơn bất kỳ tập đoàn nào. Họ trả cho họ miễn thuế, và nhiều hơn bất kỳ doanh nghiệp nào. Chúng mang lại sự cân bằng tuyệt vời giữa công việc và cuộc sống, cảm giác hồi hộp khi hack và cảm giác đạt được thành tích. Hầu hết trong số họ là 100% ẩn danh. Không cần phải tích lũy các chứng chỉ vô giá trị và trả vài trăm đô la cứ sau vài năm để duy trì chúng ở trạng thái “hiện tại” và không cần phải đối phó với các nhà tuyển dụng, nhân sự, đào tạo tuân thủ cơ bản, chính trị tại nơi làm việc, pháp lý, tuân thủ, bảng lương và các ông chủ khắt khe tận cùng đen đủi. Nếu điều này nghe có vẻ giống như tôi đang quảng cáo làm việc cho kẻ thù - thì đó hoàn toàn không phải là ý định của tôi và sự thật là điều này không có gì mới đối với các chuyên gia bảo mật có kinh nghiệm. Tôi chỉ đơn thuần chứng minh rằng để thuê được những tài năng tuyệt vời, doanh nghiệp cần phải hoạt động tốt hơn.

Bài đăng này cùng với thực tế là nhiều chuyên gia bảo mật giỏi nhất không cảm thấy có động lực để đối phó với bộ máy quan liêu khi làm việc cho các tập đoàn lớn đã vẽ nên một bức tranh ảm đạm về thị trường việc làm hiện tại.

Sẽ là phi đạo đức và không đúng sự thật nếu đề xuất rằng tôi có một danh sách các giải pháp nhanh chóng và dễ dàng, vì vậy chúng ta với tư cách là một ngành phải cùng nhau tìm ra chúng. Chúng ta có thể bắt đầu bằng cách bỏ yêu cầu “5 năm kinh nghiệm” đối với các công việc mới bắt đầu và xây dựng dựa trên điều đó khi chúng ta tiếp tục, loại bỏ các thành kiến và cải thiện quy trình tuyển dụng của mình.

Bắt kỹ sư phần mềm làm bảo mật

Khi mọi thứ trong lĩnh vực bảo mật đang trở thành mã, một trong những con đường hiếm khi được thảo luận để thu hút nhân tài về an ninh mạng có thể là kỹ thuật phần mềm. Một số ý kiến cho rằng việc dạy bảo mật cho các kỹ sư có thể dễ dàng hơn là dạy kỹ thuật phần mềm cho các chuyên gia bảo mật công nghệ. Mặc dù tôi không phải là người phù hợp để đưa ra đánh giá về tính đúng đắn của tuyên bố này, nhưng tôi đã chứng kiến đủ các kỹ sư phần mềm trở thành những người hành nghề bảo mật để biết rằng con đường đó là có thật.

Thách thức nằm ở việc làm cho mọi người biết rằng an ninh mạng là một con đường sự nghiệp khả thi cho sinh viên tốt nghiệp ngành kỹ thuật phần mềm, cung cấp cho họ chương trình đào tạo phù hợp (thêm các khóa học an ninh mạng cấp độ sâu vào các chương trình khoa học máy tính) và thiết kế các lộ trình nghề nghiệp có ý nghĩa để họ tìm thấy con đường của mình trong tương lai. an ninh mạng. Điều này đặt ra câu hỏi về mức lương thưởng cho nhiều công việc an ninh mạng cấp đầu vào mà sinh viên mới tốt nghiệp có thể yêu cầu: liệu một người có thể nhận được công việc đầu tiên trong lĩnh vực phần mềm với mức lương cao hơn 20-40% so với bất kỳ công việc nào họ được mời trong lĩnh vực bảo mật (nếu họ thậm chí có thể nhận được một cuộc phỏng vấn ), toàn bộ ý tưởng để các kỹ sư phần mềm làm công việc bảo mật đã sụp đổ.

Đào tạo thế hệ kỹ sư bảo mật mới

Người ta nói rất nhiều về tình trạng thiếu hụt nhân tài trong lĩnh vực an ninh mạng và thật dễ dàng nhận thấy một biển những người mới tham gia hứa hẹn sẽ giải quyết vấn đề này. Từ các chương trình đào tạo về an ninh mạng kéo dài 6 tuần đến các khóa học trực tuyến, cũng như các bằng cấp cao đẳng và đại học mới, - mọi người đều muốn có một miếng bánh trong việc “giáo dục tương lai của bảo mật”. Thật hấp dẫn khi nghĩ rằng tất cả những gì chúng ta cần là thu hút thêm nhiều học sinh trung học và người lớn sẵn sàng thay đổi nghề nghiệp, hào hứng với bảo mật và đăng ký tham gia các chương trình này, và 3-5 năm sau, tất cả chúng ta đã sẵn sàng, tôi thấy vấn đề còn sâu sắc hơn nhiều.

Nếu bạn nhìn vào phần lớn các chương trình giáo dục, bạn sẽ nhận thấy rằng chương trình giảng dạy của họ có xu hướng bỏ qua thành phần kỹ thuật. Tôi đã không dành đủ thời gian để tổng hợp dữ liệu nên những quan sát của tôi về chủ đề này khá mang tính giai thoại, nhưng đây là những gì tôi đang thấy:

• Hầu hết các chương trình đào tạo đều ngắn và cấp cao đến mức khó có thể tin rằng họ có thể cung cấp cho sinh viên tốt nghiệp bất kỳ kiến thức chuyên sâu nào về ngành. Tôi đã gặp nhiều chuyên gia bảo mật tuyệt vời đã trải qua bootcamp. Tuy nhiên, họ trở nên tuyệt vời không phải vì họ được tham gia bootcamp, mà vì những gì họ đã làm bên ngoài họ. Tôi không cho rằng những khóa học nhập vai ngắn hạn này không mang lại giá trị gì. Để minh họa cho quan điểm mà tôi đang cố gắng trình bày, tôi khuyến khích bạn nghĩ về lý do tại sao có quá nhiều chương trình đào tạo kéo dài 4-8 tuần dạy phát triển front-end và rất ít khóa đào tạo kéo dài 4-8 tuần dạy phát triển back-end. Câu trả lời đơn giản là vì phát triển back-end, tương tự như bảo mật, đòi hỏi sự hiểu biết vững chắc về các lý thuyết và khái niệm kỹ thuật sâu sắc, cũng như khả năng xử lý các khái niệm này và triển khai chúng trong mã mà thường không có bất kỳ phản hồi trực quan nào. Tôi sẽ tiếp tục nói rằng bạn không thể dạy điều đó trong cùng một khoảng thời gian cần thiết để dạy mọi người cách tạo một trang web đơn giản.
• Nhiều chương trình đại học, đặc biệt là ở cấp độ thạc sĩ, tập trung nhiều hơn vào việc viết chính sách hơn là phát triển các kỹ năng thực tế. Ngay cả những thứ sâu sắc hơn và thực tế hơn, có xu hướng là những gì giáo dục đại học nói chung - quá cũ, quá lý thuyết và quá nông cạn. Bảo mật đang phát triển hàng ngày, với các khai thác mới, lỗ hổng bảo mật mới, vectơ tấn công mới và công nghệ mới cũng được tạo ra hàng ngày. Các chương trình đại học phải trải qua quá trình phê duyệt kéo dài, đánh giá và đánh giá học thuật nghiêm ngặt, đến mức vào thời điểm một chương trình được phê duyệt, nó đã nói về tin tức từ sáu tháng trước trở lên. Có một số giáo viên và người hướng dẫn tuyệt vời đang làm việc chăm chỉ để bắt kịp tốc độ của ngành và dạy cho sinh viên của họ những kỹ năng hữu ích, thiết thực và hiện đại. Tất cả chúng ta nên biết ơn sâu sắc về công việc của họ, nhưng điều đáng nói là những người này không làm việc phù hợp với chính hệ thống giáo dục, mà thay vào đó, họ làm việc xung quanh những hạn chế của nó để làm điều tốt cho học sinh và xã hội.
• Chứng chỉ an ninh mạng không phản ánh các kỹ năng và kinh nghiệm mà thị trường cần. Tôi không có ý định giảm bớt nỗ lực mà mọi người đã bỏ ra và tôi không gợi ý rằng chúng không mang lại giá trị gì. Thay vào đó, ý tôi muốn nói là với rất, rất ít trường hợp ngoại lệ, các chứng chỉ này đưa ra các khái niệm lý thuyết và khiến mọi người cảm thấy như họ biết cách bảo mật nên được thực hiện mà không đưa ra bất kỳ kỹ năng thực sự nào để thực hiện việc đó. Trong khi những kẻ tấn công đang tìm hiểu sâu về mã và tìm cách vượt qua các biện pháp kiểm soát, khai thác lỗ hổng và đánh cắp dữ liệu, chúng tôi dường như nghiêm túc nghĩ rằng chúng tôi có thể ngăn chặn chúng bằng cách dạy mọi người cách viết chính sách và vượt qua các bài kiểm tra trắc nghiệm về bảo mật đám mây . Hãy tưởng tượng bạn được phẫu thuật bởi một bác sĩ phẫu thuật tim có “chứng chỉ tim mạch”, người chưa từng thực hiện một ca phẫu thuật nào trong đời (tôi không thể).

Tất cả điều này là một chặng đường dài để nói rằng các chuyên gia bảo mật giỏi nhất hiện nay không đến từ các trường đại học và cũng không phải từ những gì nó xuất hiện sẽ đến vào ngày mai. Những người trở thành chuyên gia hàng đầu trong lĩnh vực kỹ thuật bảo mật đến từ các công việc thực tế trong thử nghiệm thâm nhập, quân đội, NSA và các tổ chức chính phủ khác có các thành phần tấn công mạnh mẽ. Họ đến từ các nhóm bảo mật trưởng thành tại các doanh nghiệp dựa trên nền tảng đám mây coi trọng vấn đề bảo mật. Họ tự học trước máy tính, tại các cuộc thi CTF (bắt cờ) và tại các sự kiện như Open SOC, Black Hat, DefCon, v.v.

Để định hình tương lai của an ninh và thu hẹp khoảng cách nhân tài, chúng ta không thể ngồi và hy vọng rằng những cá nhân đủ động lực sẽ tìm ra cách tự dạy cho mình những kỹ năng cần thiết để đảm bảo an toàn cho người dân, doanh nghiệp và quốc gia của chúng ta. Hy vọng không phải là một chiến lược và cũng không phải là bootcamp kéo dài 6 tuần; chúng ta cần xây dựng các hệ thống và thể chế để thu hẹp khoảng cách an ninh mạng kỹ thuật. An ninh là khó khăn. Dạy an ninh cũng khó nhưng cần phải làm. Việc tuân thủ và soạn thảo chính sách là quan trọng, nhưng chỉ riêng chúng sẽ không giúp chúng ta bảo vệ mạng của mình khỏi những kẻ tấn công - những kẻ vô cùng tài năng, có kỹ năng cao, có động lực lớn và được trả lương cao.

Mặc dù chúng ta cần tìm cách thu hút các kỹ sư phần mềm tham gia vào lĩnh vực an ninh mạng, nhưng chúng ta cũng cần các chuyên gia bảo mật có chuyên môn sâu để có được các kỹ năng kỹ thuật. Mặc dù không phải mọi chuyên gia ứng phó sự cố, pháp y kỹ thuật số và bảo mật điểm cuối đều sẽ trở thành kỹ sư, nhưng hầu hết mọi người sẽ được hưởng lợi từ việc biết kiến thức cơ bản về phát triển phần mềm và trở nên thông thạo các ngôn ngữ như Python. Việc áp dụng phương pháp tiếp cận kỹ thuật đối với các hoạt động bảo mật sẽ cho phép chúng tôi tự động hóa các phần thủ công của ứng phó sự cố và liên tục xây dựng các cách có thể mở rộng để bảo vệ vành đai của tổ chức đồng thời dành nhiều thời gian hơn cho việc chủ động xây dựng hệ thống phòng thủ. Để làm được điều đó, giáo dục an ninh mạng phải bắt đầu bao gồm các khóa học về công nghệ phần mềm theo cách tương tự như bằng cấp về công nghệ phần mềm và khoa học máy tính nên dạy những điều cơ bản về bảo mật.

Bớt tư tưởng

Thực sự không có viên đạn bạc nào có thể giải quyết tất cả các vấn đề bảo mật của chúng tôi và việc tạo ra nhiều kỹ sư bảo mật hơn cũng sẽ không làm được điều đó. Tuy nhiên, việc áp dụng phương pháp tiếp cận kỹ thuật đối với bảo mật có thể giúp chúng tôi tích hợp bảo mật vào các sản phẩm phần mềm ngay từ khi mới thành lập, đẩy nhanh sự trưởng thành của ngành và đảm bảo cho các hoạt động bảo mật của chúng tôi trong tương lai.

Sự thiếu hụt tài năng chắc chắn sẽ là một trở ngại. Tuy nhiên, chỉ vì chúng ta không có nguồn lực cần thiết, chúng ta không thể và không nên bỏ qua một giải pháp khả thi cho vấn đề khó khăn. Rõ ràng là chúng ta phải thay đổi phương thức tuyển dụng và đánh giá lại các tiêu chí được sử dụng để xác định các nhà lãnh đạo an ninh trong tương lai. Chúng tôi nhận được những gì chúng tôi tối ưu hóa cho. Mỗi ngày, những kẻ tấn công dành vô số thời gian để học các công nghệ mới, phần mềm kỹ thuật đảo ngược mà chúng tôi xây dựng và tìm kiếm các lỗ hổng trong mã. Nếu xem xét các tin tuyển dụng về bảo mật, rất dễ kết luận rằng chúng ta đang hy vọng ngăn chặn đối thủ bằng cách vượt qua các bài kiểm tra trắc nghiệm và đạt được các chứng chỉ, đây là những kỹ năng rất khác so với những kỹ năng cần thiết để hiểu cách thức hoạt động của mã và cách bảo vệ nó.

Tôi tin rằng phương pháp tiếp cận kỹ thuật đối với an ninh mạng là không thể tránh khỏi. Chúng tôi đang bắt đầu thấy các dấu hiệu tăng trưởng của nó và nó sẽ chỉ tăng tốc từ đây. Câu hỏi đặt ra là - chúng ta sẽ có thể xây dựng cơ sở hạ tầng cho sự phát triển của nó nhanh đến mức nào? Nếu lịch sử đã dạy chúng ta bất cứ điều gì, thì đó là tình trạng thực hành an ninh mạng nói chung đang tụt hậu nhiều năm so với các cuộc đàm phán mới nhất và lớn nhất được đưa ra tại DefCon, Black Hat, v.v. Chúng ta sẽ phải xem những sự kiện thay đổi ngành nào sẽ diễn ra tiếp theo.

Hình ảnh chính cho bài viết này được tạo bởiTrình tạo hình ảnh AI của HackerNoon thông qua lời nhắc "an ninh mạng".