CMC InfoSec giải bài toán xây dựng Trung tâm điều hành An ninh mạng cho khối ngân hàng
Trung tâm điều hành an ninh mạng (SOC) – “không lạ nhưng vẫn còn mới”
Tại các nền kinh tế phát triển trong khu vực như: Nhật Bản, Singapore, Hong Kong… việc xây dựng và vận hành SOC nhằm kiểm soát toàn diện và nâng cao khả năng phòng thủ cho hệ thống CNTT của các tổ chức đã được chú trọng đầu tư từ năm 2004. Đến nay, SOC đã trở thành bộ phận không thể tách rời trong mọi hoạt động của các tổ chức Chính phủ, tập đoàn đa quốc gia và các ngân hàng lớn. Theo báo cáo của Gartner, tính đến hết 2019, sẽ có khoảng 50% các tập đoàn lớn của châu Á thực hiện các hoạt động quản trị ATTT thông qua SOC.
Nắm bắt được xu thế và nhu cầu tất yếu này, khoảng 2 năm trở lại đây, các ngân hàng Việt đã có kế hoạch phát triển SOC. Tuy nhiên, việc “không lạ” với khái niệm SOC chưa thể khẳng định ngân hàng “đã quen” và nắm rõ cách thức vận hành của một SOC hoàn chỉnh. Thực tế triển khai, các ngân hàng gặp phải một số vấn đề vướng mắc.
Thứ nhất, về công nghệ, một số ngân hàng bước đầu đã đầu tư hệ thống giám sát an toàn mạng (SIEM) và mua các thiết bị, công nghệ từ nhiều hãng khác nhau dẫn đến việc quản trị vận hành SOC không tập trung và thiếu đồng bộ. Việc liên tục cập nhật các phương thức và công nghệ tấn công mới cũng là một thử thách với các đơn vị không chuyên về ATTT. Thứ hai, về nhân lực, hiện tại các ngân hàng đã bắt đầu chú trọng vào nhân sự chuyên trách, tuy nhiên, gặp nhiều khó khăn trong khâu đào tạo và giữ nguồn nhân lực chất lượng cao. Thứ ba, kinh phí đầu tư quá lớn. Ước tính, chi phí đầu tư bao gồm giải pháp SIEM, Forensis, Log/Backup, các thiết bị phần cứng và theo dõi phục vụ điều tra số vào khoảng 1.300.000 USD. Chi phí này chưa bao gồm chi phí vận hành, xử lý sự cố và nhân sự quản lý hằng năm.
Thuê ngoài dịch vụ SOC – Hiệu quả thời gian, tiết kiệm chi phí, tối ưu nguồn lực
Theo ông Hà Thế Phương, Phó Tổng Giám đốc CMC InfoSec – đơn vị xây dựng và phát triển CMC NextGen SOC, khi phân tích cấp độ phát triển của SOC, các chuyên gia sẽ phân thành 6 cấp độ. Cụ thể: Cấp độ 1 - có nhân sự thuộc bộ phân IT hoặc phần mềm theo dõi tình trạng ANATTT; Cấp độ 2 – tích hợp 1 phần trong Trung tâm điều hành mạng (NOC); Cấp độ 3 – đã có SOC, có công nghệ và việc vận hành báo cáo đã tách ra khỏi bộ phận IT; Cấp độ 4 – giải được bài toán về nguồn lực (phát triển, phân tích, xử lý sự cố); Cấp độ 5 - kiểm soát được các mối đe dọa đã được định danh; Cấp độ 6 – kết hợp phòng ngừa, giám sát, phát hiện, phản ứng nhanh và liên tục cải tiến.
Ở Việt Nam, đạt đến cấp độ 5 hiện có CMC NextGen SOC. Ngoài việc kiểm soát được các mối đe dọa đã được định danh, trung tâm này của CMC còn tích hợp trí tuệ nhân tạo (AI), công nghệ Automation đầu tiên tại Việt Nam và có các đối tác hỗ trợ trong việc chống lại các mối nguy hiểm mới; có đội ngũ DevOps và tư vấn đáp ứng các nhu cầu đặc biệt từ phía các tổ chức, ngân hàng.
Cho nên, phương án hợp lý nhất cho các ngân hàng tại thời điểm này là thuê ngoài trọn gói dịch vụ SOC (SOC- As- a-Service) hoặc nếu đã có hệ thống SIEM thì nên hợp tác cùng một nhà cung cấp dịch vụ SOC khác (Hybrid) tư vấn - triển khai về quy trình và nhân lực quản lý thay vì tự phát triển một SOC nội bộ (In-house SOC). Trường hợp kết hợp (Hybrid), khi ngân hàng đã đầu tư hệ thống công nghệ, nhà cung cấp dịch vụ SOC có thể tích hợp thêm các giải pháp của mình vào đảm bảo vận hành tương thích, đưa ra các quy trình xử lý sự cố chuẩn và cung cấp nguồn lực… Song, tối ưu nhất vẫn là việc lựa chọn thuê ngoài trọn gói dịch vụ SOC. Khi đó, ngân hàng được chọn một nhà cung cấp dịch vụ toàn diện và phù hợp nhất, có sẵn công nghệ, chuyên gia, nhân sự chuyên trách…đồng thời giải được bài toán về chi phí đầu tư khi giảm được từ 6 đến 12 lần so với chi phí tự phát triển hệ thống và giảm thiểu tối đa các rủi ro khi quản trị hệ thống tập trung hơn.
Dựa trên thực tế tư vấn và triển khai cho thuê ngoài dịch vụ SOC tới các ngân hàng, ông Phương cho hay: “Việc thuê ngoài dịch vụ SOC hoàn toàn phù hợp với xu thế chuyển dịch từ chi phí đầu tư sang chi phí vận hành của các ngân hàng muốn xây dựng hệ thống phòng thủ bền vững. Không những thế, các ngân hàng sẽ không gặp khó khăn về nguồn lực bảo mật khi chỉ cần một đầu mối kết hợp với mô hình báo cáo, xử lý sự cố của nhà cung cấp dịch vụ và vẫn có thể giám sát 24/7”.