Chỉ thị NIS2 đã mở ra một kỷ nguyên mới về quy định an ninh mạng trên toàn EU. Với trọng tâm là thiết lập quy trình và các yêu cầu kỹ thuật, NIS2 buộc các tổ chức phải xem xét lại cách họ quản lý rủi ro an ninh mạng. Dù việc xây dựng khung quản trị là rất quan trọng, NIS2 cũng yêu cầu các biện pháp kỹ thuật thiết yếu như quản lý tài sản, phân đoạn mạng và phát hiện sự cố. Đối với nhiều tổ chức, những yêu cầu kỹ thuật này có thể gây cảm giác quá tải: Làm thế nào để đáp ứng hiệu quả? Chúng tôi đã có công cụ phù hợp chưa? Đây chính là lúc GREYCORTEX Mendel đóng vai trò then chốt, giúp bạn thu hẹp khoảng cách giữa quy trình và công nghệ. Mendel trao quyền cho các tổ chức đơn giản hóa việc tuân thủ bằng cách cung cấp công cụ giám sát, bảo vệ và tối ưu hóa hạ tầng mạng một cách hiệu quả. Trong bài viết này, chúng tôi sẽ chỉ ra cách Mendel hỗ trợ tuân thủ các khía cạnh kỹ thuật của NIS2, đồng thời giúp bạn nâng cao tư thế phòng thủ an ninh mạng trong khi vẫn đáp ứng đầy đủ các yêu cầu của chỉ thị.
Tổng Quan Nhanh Về Chỉ Thị NIS2
Chỉ thị NIS2 (Network and Information Security) là một quy định an ninh mạng quan trọng của EU, được giới thiệu vào tháng 12 năm 2020. Mục tiêu chính của chỉ thị là thiết lập một mức độ bảo vệ an ninh mạng đồng đều trên toàn bộ các quốc gia thành viên EU thông qua việc bắt buộc các yêu cầu và biện pháp cụ thể. So với người tiền nhiệm là Chỉ thị NIS ban đầu, NIS2 mở rộng đáng kể phạm vi áp dụng và mức độ tham vọng. Mặc dù các yêu cầu cụ thể có thể khác nhau tùy theo quốc gia khi luật hóa NIS2 vào luật quốc gia, nhưng nhiều thách thức vẫn là phổ quát. Đây chính là nơi GREYCORTEX Mendel có thể hỗ trợ. Bất kể sự khác biệt về quy định tại quốc gia của bạn, Mendel cung cấp các công cụ và thông tin thiết thực để giúp bạn đáp ứng các yêu cầu kỹ thuật chính, đảm bảo tổ chức của bạn an toàn và tuân thủ.
NIS2 Trong Thực Tiễn: GREYCORTEX Mendel Giúp Gì
Quản lý tài sản
Tổ chức phải có khả năng quan sát được tất cả thiết bị và hệ thống trong hạ tầng của mình, bao gồm cả các tương tác giữa chúng. GREYCORTEX Mendel giúp đơn giản hóa quy trình này bằng cách tự động kiểm kê tài sản và vẽ sơ đồ các kết nối giữa chúng.
Ví dụ, một nhà cung cấp dịch vụ y tế khu vực đã phát hiện ra 15 thiết bị không được ghi nhận nhờ Mendel. Việc này giúp họ nhận diện các hệ thống cũ dễ bị khai thác và xây dựng kế hoạch giảm thiểu rủi ro. Mendel phát hiện và lưu trữ thông tin về mọi thiết bị có giao tiếp trên mạng. Bạn có thể sử dụng hệ thống để xem danh sách các mạng và subnet, cũng như chi tiết về các thiết bị trong từng subnet. Giao diện này còn hiển thị mức độ rủi ro của từng thiết bị và subnet, cùng với thông tin chi tiết về hostname, thẻ, hệ điều hành và các tham số khác.
Trong hệ thống, bạn sẽ thấy một bản đồ trực quan thể hiện các kết nối giữa thiết bị và mạng, cũng như tổng quan về người dùng. Khi tích hợp với các nguồn nhận dạng như Active Directory hoặc LDAP, Mendel cho phép liên kết các kết nối mạng cụ thể với từng người dùng.
Quản lý rủi ro
Việc hiểu được hệ thống nào là quan trọng – và hậu quả nếu hệ thống đó gặp sự cố – là yếu tố cốt lõi trong quản lý rủi ro. Mendel giúp tổ chức xác định và ưu tiên các tài sản then chốt, từ đó đánh giá được hậu quả tiềm ẩn nếu có gián đoạn xảy ra.
Bằng cách xác định mức độ quan trọng của tài sản, tổ chức có thể phân bổ nguồn lực một cách hiệu quả, tập trung vào những gì thực sự thiết yếu cho hoạt động và yêu cầu tuân thủ.
Ví dụ, một công ty sản xuất đã sử dụng Mendel để phát hiện ra việc phân đoạn mạng chưa đầy đủ xung quanh hệ thống điều khiển cũ. Việc khắc phục lỗ hổng này đã giúp họ tránh được một cuộc tấn công ransomware có thể làm ngừng toàn bộ dây chuyền sản xuất.
Mendel cho phép bạn lọc ra các client có giao tiếp với một dịch vụ hoặc ứng dụng cụ thể – từ đó đánh giá được mức độ quan trọng của dịch vụ hoặc ứng dụng đó.
An ninh nhân sự và kiểm soát truy cập
Theo dõi hành vi người dùng và quyền truy cập là rất quan trọng để ngăn chặn các hoạt động trái phép. Ví dụ điển hình như người dùng giao tiếp với hệ thống mà họ không nên truy cập, truy cập VPN bằng tài khoản hoặc phương thức kết nối từ xa đáng lẽ phải bị chặn, hoặc nhà cung cấp bên ngoài vẫn có quyền truy cập vào mạng nội bộ doanh nghiệp sau khi hợp đồng đã kết thúc.
Mendel phát hiện các mẫu truy cập bất thường, chẳng hạn như nỗ lực đăng nhập vào hệ thống hạn chế hoặc sử dụng thông tin xác thực đã bị rò rỉ.
Một khách hàng của Mendel đã phát hiện thông tin đăng nhập của một nhân viên bị sử dụng trái phép để truy cập vào các ứng dụng nhạy cảm ngoài giờ làm việc. Mendel đã cảnh báo kịp thời, giúp đội ngũ CNTT xử lý ngay trước khi xảy ra vi phạm an ninh.
Khi tích hợp Mendel với các công cụ quản lý tài sản hoặc nguồn nhận dạng người dùng, bạn có thể tạo danh sách người dùng và phân tích hành vi giao tiếp của họ với các người dùng và dịch vụ khác. Việc này giúp phát hiện liệu có người dùng nào không được phép xuất hiện trong hệ thống hay không.
Kiểm toán an ninh mạng
Các cuộc kiểm toán định kỳ giúp đảm bảo rằng các biện pháp an ninh luôn phù hợp với hoạt động hàng ngày. Trong khi các cuộc kiểm toán truyền thống thường chỉ diễn ra 1–2 lần mỗi năm, Mendel cho phép bạn liên tục xác minh chính sách và mức độ tuân thủ hàng ngày, mang lại khả năng kiểm soát linh hoạt và chủ động hơn nhiều.
Bảo mật mạng truyền thông
Phân đoạn mạng là nền tảng trong chiến lược bảo mật mạng hiệu quả. Với GREYCORTEX Mendel, bạn có thể dễ dàng xác minh việc phân đoạn mạng có được triển khai đúng cách hay không. Mendel cung cấp cái nhìn rõ ràng về việc liệu các thiết bị từ một subnet có đang giao tiếp sai mục đích với thiết bị ở subnet khác hay có bị truy cập từ Internet trái phép hay không.
Ví dụ, các thiết bị sản xuất quan trọng thường được giới hạn trong mạng nội bộ vì lý do an ninh. Tuy nhiên, đôi khi chúng cần được cấp quyền truy cập Internet tạm thời để cập nhật hoặc bảo trì từ xa. Nếu quyền truy cập này không bị thu hồi sau khi sử dụng, Mendel sẽ phát hiện và cảnh báo mọi giao tiếp không hợp lệ, đảm bảo mạng của bạn vẫn an toàn. Khả năng của Mendel còn mở rộng hơn nữa: hệ thống có thể xử lý các giao thức như MODBUS và các giao thức chuyên dụng cho OT khác, cho phép hiển thị trực quan luồng giao tiếp của thiết bị sản xuất. Điều này giúp bạn không chỉ xác định các điểm mà thiết bị đang giao tiếp, mà còn kiểm tra xem những giao tiếp đó có tuân thủ chính sách bảo mật hay không. Ngoài ra, Mendel đơn giản hóa việc phát hiện các kết nối bất hợp pháp. Ví dụ, bạn có thể lọc và giám sát các phiên giao tiếp qua Remote Desktop Protocol (RDP) vốn có thể bị cấm bởi chính sách công ty, hoặc phát hiện kết nối TeamViewer trái phép.
Phát hiện các sự kiện an ninh mạng
Khả năng phát hiện là một trong những năng lực cốt lõi của GREYCORTEX Mendel, bên cạnh việc ghi lại và phân tích – tất cả đều là yếu tố then chốt để ngăn chặn sự cố hiệu quả.Mendel nổi bật trong việc phát hiện mối đe dọa thông qua phân tích lưu lượng mạng, kết hợp giữa phát hiện theo dấu hiệu (signature-based) và phát hiện hành vi bất thường (anomaly-based). Nhờ vậy, tổ chức có thể ứng phó với các mối nguy ở nhiều giai đoạn khác nhau của một cuộc tấn công mạng.Ví dụ, Mendel có thể phát hiện giao tiếp Command-and-Control, vốn là dấu hiệu đặc trưng của các cuộc tấn công APT (Advanced Persistent Threat), hoặc tấn công brute force, một kỹ thuật phổ biến trong các chiến dịch ransomware. Ngoài ra, Mendel cũng phát hiện các hành vi nguy hiểm khác, như quét mạng (scans) hoặc tunnel hóa (tunneling).
Ghi log sự kiện
Một trong những yêu cầu quan trọng của NIS2 là lưu giữ các bản ghi sự kiện an ninh mạng trong ít nhất 18 tháng. GREYCORTEX Mendel giúp đơn giản hóa việc tuân thủ quy định này bằng cách ghi lại đầy đủ, an toàn và dễ truy xuất toàn bộ dữ liệu cần thiết – lên đến nhiều tháng, thậm chí nhiều năm, tùy theo dung lượng lưu trữ bạn có.
Mendel cũng hỗ trợ tích hợp với các công cụ khác nhờ khả năng tải lên và xuất file PCAP. Tính năng này cho phép bạn phân tích dữ liệu bên ngoài hoặc nhập ngược lại vào Mendel để điều tra chi tiết, đảm bảo tổ chức luôn linh hoạt trong xử lý sự kiện an ninh mạng.
Phân tích các sự kiện an ninh mạng
Việc đánh giá liên tục và tập trung các sự kiện được phát hiện là điều cần thiết để duy trì tư thế phòng thủ an ninh mạng mạnh mẽ. Quá trình này bao gồm xác định mối tương quan, đánh giá mức độ liên quan của nguồn dữ liệu và tạo cảnh báo, dù là tự động theo thời gian thực hay do người dùng cấu hình thủ công.
Với GREYCORTEX Mendel, bạn có thể đi sâu vào từng chi tiết của mỗi sự kiện được phát hiện. Mendel phân loại sự kiện theo khung MITRE ATT&CK, mang lại góc nhìn có cấu trúc và được công nhận trong ngành về các mối đe dọa. Ngoài ra, hệ thống còn cung cấp nhiều góc nhìn trực quan và bộ lọc thông minh, giúp bạn phân tích dữ liệu từ nhiều khía cạnh và tập trung vào những gì thực sự quan trọng đối với tổ chức của bạn.
Thuật toán mã hóa
GREYCORTEX Mendel giúp bạn xác minh rằng các hệ thống của mình đang sử dụng tiêu chuẩn mã hóa hiện đại, đồng thời loại bỏ rủi ro liên quan đến giao tiếp không mã hóa hoặc truyền mật khẩu dưới dạng văn bản thuần (plaintext). Ví dụ, Mendel đã phát hiện nhiều lần truyền mật khẩu plaintext trong hệ thống của một khách hàng, từ đó cho phép họ áp dụng chính sách mã hóa nghiêm ngặt và ngăn chặn nguy cơ đánh cắp thông tin xác thực. Ngoài ra, Mendel còn kiểm tra tính hợp lệ của chứng chỉ giao tiếp, đảm bảo rằng các kết nối được mã hóa không chỉ an toàn mà còn tuân thủ các chuẩn thực hành tốt nhất.
Bảo mật tài sản công nghiệp
Chỉ thị NIS2 đặc biệt nhấn mạnh vào việc bảo mật hệ thống mạng công nghiệp, một lĩnh vực mà nhiều tổ chức vẫn còn gặp khó khăn. GREYCORTEX Mendel giải quyết vấn đề này bằng cách hỗ trợ các giao thức công nghiệp như MODBUS, OMRON, BACnet, v.v…, cho phép giám sát toàn diện môi trường công nghệ vận hành (OT).
Không chỉ dừng ở việc phân tích lưu lượng mạng CNTT, Mendel còn trực quan hóa giao tiếp giữa các thiết bị đến tầng 2 của mô hình Purdue, bao gồm cảm biến, động cơ, và các thành phần công nghiệp khác. Với cấu hình đúng cách, Mendel có thể trích xuất thông tin chuyên sâu về thiết bị OT như:
- Nhiệt độ lò nung
- Tốc độ quay của máy ly tâm
- Áp suất trong đường ống
- Mực nước trong bồn chứa
Mendel cung cấp dữ liệu quan trọng để đảm bảo độ tin cậy và an toàn cho hạ tầng sản xuất, bao gồm:
- Phát hiện các lỗ hổng bảo mật phổ biến (CVE) liên quan đến thiết bị OT
- Thông tin cấu hình hệ thống công nghiệp
- Thông tin firmware để kiểm soát phiên bản và đánh giá an ninh
Sẵn sàng đúng lúc
Việc áp dụng, thực thi và mức phạt theo NIS2 sẽ khác nhau tùy từng quốc gia EU. Nhưng trong lĩnh vực an ninh mạng, “hôm qua là đã quá muộn” là câu nói luôn đúng.
Không cần hoảng loạn, nhưng cũng đừng xem nhẹ an toàn của doanh nghiệp hoặc tổ chức của bạn. Tổ chức của bạn không phải đơn độc trên hành trình tuân thủ NIS2. Dù bạn mới bắt đầu hay đang tinh chỉnh quy trình hiện tại, GREYCORTEX Mendel mang lại cho bạn khả năng quan sát và kiểm soát cần thiết để đạt được thành công.
