Bản sắc là vành đai mới: Cách tiếp cận của National Oilwell Varco để ngăn chặn 79% các cuộc tấn công không có phần mềm độc hại

National Oilwell Varco (NOV) đang trải qua một cuộc chuyển đổi an ninh mạng sâu rộng dưới sự lãnh đạo của CIO Alex Philips, áp dụng kiến trúc Zero Trust, tăng cường khả năng phòng thủ danh tính và đưa AI vào các hoạt động bảo mật. Mặc dù hành trình này chưa hoàn thành, nhưng kết quả, theo tất cả các báo cáo, là rất ấn tượng - một sự sụt giảm gấp 35 lần trong các sự kiện bảo mật, loại bỏ việc tạo lại ảnh PC liên quan đến phần mềm độc hại và tiết kiệm hàng triệu đô la nhờ loại bỏ phần cứng “địa ngục thiết bị” cũ.

VentureBeat gần đây đã có một cuộc phỏng vấn chuyên sâu, nơi Philips trình bày chi tiết cách NOV đạt được những kết quả này với nền tảng Zero Trust của Zscaler, các biện pháp bảo vệ danh tính mạnh mẽ và một “đồng nghiệp” AI tạo sinh cho nhóm bảo mật của mình.

Ông cũng chia sẻ cách ông giữ cho hội đồng quản trị của NOV tham gia vào rủi ro mạng trong bối cảnh mối đe dọa toàn cầu, nơi 79% các cuộc tấn công để giành quyền truy cập ban đầu không có phần mềm độc hại và đối thủ có thể di chuyển từ vi phạm sang đột nhập chỉ trong 51 giây.

Dưới đây là những đoạn trích từ cuộc phỏng vấn gần đây của Philips với VentureBeat:

VentureBeat: Alex, NOV đã “dốc toàn lực” vào Zero Trust một vài năm trước - những lợi ích nổi bật là gì?

Alex Philips: Khi chúng tôi bắt đầu, chúng tôi là một mô hình lâu đài và hào truyền thống không theo kịp. Chúng tôi không biết Zero Trust là gì, chúng tôi chỉ biết rằng chúng tôi cần danh tính và quyền truy cập có điều kiện là cốt lõi của mọi thứ. Hành trình của chúng tôi bắt đầu bằng việc áp dụng kiến trúc dựa trên danh tính trên Zero Trust Exchange của Zscaler và nó đã thay đổi mọi thứ. Phạm vi hiển thị và bảo vệ của chúng tôi đã tăng lên đáng kể đồng thời trải qua sự giảm 35 lần số lượng sự cố bảo mật. Trước đây, nhóm của chúng tôi đã theo đuổi hàng nghìn sự cố phần mềm độc hại; bây giờ, nó chỉ là một phần nhỏ của điều đó. Chúng tôi cũng đã chuyển từ việc tạo lại ảnh khoảng 100 máy bị nhiễm phần mềm độc hại mỗi tháng xuống gần như không có bây giờ. Điều đó đã tiết kiệm một lượng thời gian và tiền bạc đáng kể. Và vì giải pháp dựa trên đám mây, nên địa ngục thiết bị đã biến mất, như tôi thích nói.

Cách tiếp cận zero trust hiện cung cấp cho 27.500 người dùng NOV và bên thứ ba quyền truy cập dựa trên chính sách vào hàng nghìn ứng dụng nội bộ mà không cần phơi bày trực tiếp các ứng dụng đó lên internet.

Sau đó, chúng tôi đã có thể thực hiện một bước tạm thời và tái cấu trúc mạng của mình để tận dụng kết nối dựa trên internet so với MPLS đắt tiền cũ. “Trung bình, chúng tôi đã tăng tốc độ lên 10-20 lần, giảm độ trễ cho các ứng dụng SaaS quan trọng và giảm chi phí hơn 4 lần … Khoản tiết kiệm hàng năm [từ thay đổi mạng] đã đạt hơn 6,5 triệu đô la,” Philips đã lưu ý về dự án.

VB: Làm thế nào mà việc chuyển sang zero trust thực sự làm giảm tiếng ồn bảo mật với một hệ số lớn như vậy?

Philips: Một lý do lớn là lưu lượng truy cập internet của chúng tôi hiện đi qua Security Service Edge (SSE) với khả năng kiểm tra SSL đầy đủ, sandboxing và ngăn ngừa mất dữ liệu. Zscaler kết nối trực tiếp với Microsoft, vì vậy lưu lượng Office 365 đã nhanh hơn và an toàn hơn - người dùng đã ngừng cố gắng vượt qua các biện pháp kiểm soát vì hiệu suất được cải thiện. Sau khi bị từ chối kiểm tra SSL bằng thiết bị tại chỗ, cuối cùng chúng tôi đã nhận được sự chấp thuận pháp lý để giải mã lưu lượng SSL vì proxy đám mây không cho phép NOV truy cập để theo dõi dữ liệu đó. Điều đó có nghĩa là phần mềm độc hại ẩn trong các luồng được mã hóa bắt đầu bị bắt trước khi tấn công các điểm cuối. Tóm lại, chúng tôi đã thu hẹp bề mặt tấn công và để lưu lượng truy cập tốt lưu thông tự do. Ít mối đe dọa hơn có nghĩa là ít cảnh báo hơn nói chung.

John McLeod, CISO của NOV, đồng ý rằng “mô hình vành đai mạng cũ không hoạt động trong một thế giới kết hợp” và cần một ngăn xếp bảo mật đám mây lấy danh tính làm trung tâm. Bằng cách định tuyến tất cả lưu lượng doanh nghiệp thông qua các lớp bảo mật đám mây (và thậm chí cô lập các phiên web rủi ro thông qua các công cụ như Zero Trust Browser của Zscaler), NOV đã cắt giảm đáng kể các nỗ lực xâm nhập. Khả năng kiểm tra toàn diện này là những gì cho phép NOV phát hiện và ngăn chặn các mối đe dọa đã từng lọt qua, giảm khối lượng sự cố xuống 35 lần.

VB: Có bất kỳ lợi ích nào không lường trước được khi áp dụng Zero Trust mà bạn không mong đợi ban đầu không?

Alex Philips: Có, người dùng của chúng tôi thực sự thích trải nghiệm Zero Trust dựa trên đám mây hơn các ứng dụng VPN cũ, vì vậy việc áp dụng rất đơn giản và mang lại cho chúng tôi sự linh hoạt chưa từng có cho tính di động, mua lại và thậm chí cả những gì chúng tôi thích gọi là “Sự kiện Thiên nga đen”. Ví dụ: khi COVID-19 tấn công, NOV đã chuẩn bị sẵn sàng! Tôi nói với nhóm lãnh đạo của mình rằng nếu tất cả 27.500 người dùng của chúng tôi cần làm việc từ xa, hệ thống CNTT của chúng tôi có thể xử lý được. Lãnh đạo của tôi đã sững sờ và công ty của chúng tôi tiếp tục tiến lên mà không bỏ lỡ một nhịp nào.

VB: Các cuộc tấn công dựa trên danh tính đang gia tăng - bạn đã đề cập đến các số liệu thống kê đáng kinh ngạc về hành vi trộm cắp thông tin xác thực. NOV đang củng cố quản lý danh tính và truy cập như thế nào?

Philips: Những kẻ tấn công biết rằng thường dễ dàng đăng nhập bằng thông tin xác thực bị đánh cắp hơn là thả phần mềm độc hại. Trên thực tế, 79% các cuộc tấn công để giành quyền truy cập ban đầu vào năm 2024 không có phần mềm độc hại, dựa trên thông tin xác thực bị đánh cắp, lừa đảo dựa trên AI và các trò gian lận deepfake, theo các báo cáo về mối đe dọa gần đây. Một trong ba vụ xâm nhập đám mây năm ngoái liên quan đến thông tin xác thực hợp lệ. Chúng tôi đã thắt chặt các chính sách danh tính để làm cho các chiến thuật đó trở nên khó khăn hơn.

Ví dụ: chúng tôi đã tích hợp nền tảng Zscaler của mình với Okta để kiểm tra danh tính và quyền truy cập có điều kiện. Các chính sách truy cập có điều kiện của chúng tôi xác minh rằng các thiết bị có tác nhân chống vi-rút SentinelOne của chúng tôi đang chạy trước khi cấp quyền truy cập, thêm một kiểm tra tư thế bổ sung. Chúng tôi cũng đã hạn chế đáng kể những người có thể thực hiện thiết lập lại mật khẩu hoặc MFA. Không một quản trị viên nào được phép tự mình bỏ qua các biện pháp kiểm soát xác thực. Sự phân chia nhiệm vụ này ngăn chặn người trong cuộc hoặc tài khoản bị xâm phạm đơn giản tắt các biện pháp bảo vệ của chúng tôi.

VB: Bạn đã đề cập đến việc tìm thấy một khoảng trống ngay cả sau khi tắt tài khoản của người dùng. Bạn có thể giải thích không?

Philips: Chúng tôi phát hiện ra rằng nếu bạn phát hiện và tắt tài khoản người dùng bị xâm phạm, mã thông báo phiên của kẻ tấn công vẫn có thể hoạt động. Việc thiết lập lại mật khẩu là không đủ; bạn phải thu hồi mã thông báo phiên để thực sự loại bỏ kẻ xâm nhập. Chúng tôi đang hợp tác với một công ty khởi nghiệp để tạo ra các giải pháp vô hiệu hóa mã thông báo gần như theo thời gian thực cho các tài nguyên được sử dụng phổ biến nhất của chúng tôi. Về cơ bản, chúng tôi muốn làm cho một mã thông báo bị đánh cắp trở nên vô dụng trong vòng vài giây. Kiến trúc Zero Trust giúp ích vì mọi thứ được xác thực lại thông qua proxy hoặc nhà cung cấp danh tính, cho chúng ta một điểm nghẽn duy nhất để hủy mã thông báo trên toàn cầu. Bằng cách đó, ngay cả khi kẻ tấn công lấy được cookie VPN hoặc phiên đám mây, chúng cũng không thể di chuyển ngang vì chúng tôi sẽ tiêu diệt mã thông báo đó nhanh chóng.

VB: Bạn còn bảo mật danh tính tại NOV bằng cách nào khác?

Philips: Chúng tôi thực thi xác thực đa yếu tố (MFA) ở hầu hết mọi nơi và theo dõi các mẫu truy cập bất thường. Okta, Zscaler và SentinelOne cùng nhau tạo thành một vành đai bảo mật dựa trên danh tính, nơi mỗi lần đăng nhập và tư thế thiết bị được xác minh liên tục. Ngay cả khi ai đó đánh cắp mật khẩu người dùng, họ vẫn phải đối mặt với kiểm tra thiết bị, thử thách MFA, quy tắc truy cập có điều kiện và rủi ro thu hồi phiên tức thì nếu có bất kỳ điều gì có vẻ không ổn. Thiết lập lại mật khẩu không còn đủ nữa — chúng ta phải thu hồi mã thông báo phiên ngay lập tức để ngăn chặn sự di chuyển ngang. Triết lý đó là nền tảng cho chiến lược phòng thủ mối đe dọa danh tính của NOV.

VB: Bạn cũng là một người sớm áp dụng AI trong an ninh mạng. NOV đang tận dụng AI và các mô hình tạo sinh như thế nào trong SOC?

Philips: Chúng tôi có một nhóm bảo mật tương đối nhỏ cho phạm vi hoạt động toàn cầu của mình, vì vậy chúng tôi phải làm việc thông minh hơn. Một cách tiếp cận là đưa “đồng nghiệp” AI vào trung tâm điều hành bảo mật (SOC) của chúng tôi. Chúng tôi đã hợp tác với SentinelOne và bắt đầu sử dụng công cụ phân tích bảo mật AI của họ — một AI có thể viết và chạy các truy vấn trên nhật ký của chúng tôi với tốc độ máy. Đó là một yếu tố thay đổi cuộc chơi, cho phép các nhà phân tích đặt câu hỏi bằng tiếng Anh đơn giản và nhận được câu trả lời trong vài giây. Thay vì tự tạo các truy vấn SQL, AI gợi ý truy vấn tiếp theo hoặc thậm chí tự động tạo báo cáo, điều này đã làm giảm thời gian phản hồi trung bình của chúng tôi.

Chúng tôi đã thấy những câu chuyện thành công, nơi các cuộc săn lùng mối đe dọa được thực hiện nhanh hơn tới 80% bằng cách sử dụng trợ lý AI. Dữ liệu của chính Microsoft cho thấy rằng việc thêm AI tạo sinh có thể giảm thời gian giải quyết sự cố trung bình xuống 30%. Ngoài các công cụ của nhà cung cấp, chúng tôi cũng đang thử nghiệm các bot AI nội bộ để phân tích hoạt động, sử dụng các mô hình AI nền tảng OpenAI để giúp nhân viên không có kỹ thuật nhanh chóng truy vấn dữ liệu. Tất nhiên, chúng tôi có các biện pháp bảo vệ dữ liệu tại chỗ để các giải pháp AI này không làm rò rỉ thông tin nhạy cảm.

VB: An ninh mạng không còn chỉ là vấn đề CNTT. Làm thế nào để bạn thu hút hội đồng quản trị và các giám đốc điều hành của NOV về rủi ro mạng?

Philips: Tôi đã ưu tiên đưa hội đồng quản trị của chúng tôi đi cùng trên hành trình mạng của chúng tôi. Họ không cần những chi tiết kỹ thuật sâu sắc, nhưng họ cần hiểu về tư thế rủi ro của chúng tôi. Ví dụ, với sự bùng nổ của AI tạo sinh, tôi đã thông báo cho họ về cả lợi thế và rủi ro từ sớm. Giáo dục đó giúp ích khi tôi đề xuất các biện pháp kiểm soát để ngăn chặn rò rỉ dữ liệu — đã có sự thống nhất về lý do tại sao nó là cần thiết.

Hội đồng quản trị xem an ninh mạng là một rủi ro kinh doanh cốt lõi hiện nay. Họ được thông báo về nó trong mọi cuộc họp, không chỉ một lần một năm. Chúng tôi thậm chí đã thực hiện các bài tập trên bàn với họ để cho thấy một cuộc tấn công sẽ diễn ra như thế nào, biến các mối đe dọa trừu tượng thành các điểm quyết định hữu hình. Điều đó dẫn đến sự hỗ trợ từ trên xuống mạnh mẽ hơn.

Tôi luôn luôn nhấn mạnh thực tế về rủi ro mạng. Ngay cả với hàng triệu đô la đầu tư vào chương trình an ninh mạng của chúng tôi, rủi ro không bao giờ được loại bỏ hoàn toàn. Vấn đề không phải là liệu chúng ta sẽ có một sự cố hay khi nào.

VB: Dựa trên hành trình của NOV, bạn có lời khuyên cuối cùng nào cho các CIO và CISO khác ngoài kia không?

Philips: Đầu tiên, hãy nhận ra rằng chuyển đổi bảo mật và chuyển đổi kỹ thuật số đi đôi với nhau. Chúng tôi không thể chuyển sang đám mây hoặc kích hoạt làm việc từ xa một cách hiệu quả như vậy nếu không có Zero Trust, và khoản tiết kiệm chi phí kinh doanh đã giúp tài trợ cho các cải tiến bảo mật. Đó thực sự là một “chiến thắng, chiến thắng, chiến thắng”.

Thứ hai, tập trung vào việc tách biệt các nhiệm vụ trong danh tính và quyền truy cập. Không một người nào được phép làm suy yếu các biện pháp kiểm soát bảo mật của bạn — kể cả tôi. Những thay đổi quy trình nhỏ như yêu cầu hai người thay đổi MFA cho một giám đốc điều hành hoặc nhân viên CNTT có đặc quyền cao, có thể ngăn chặn những người trong cuộc, sai lầm và kẻ tấn công độc hại.

Cuối cùng, hãy chấp nhận AI một cách cẩn thận nhưng chủ động. AI đã là một thực tế ở phía kẻ tấn công. Một trợ lý AI được triển khai tốt có thể nhân lên khả năng phòng thủ của nhóm bạn, nhưng bạn phải quản lý rủi ro rò rỉ dữ liệu hoặc mô hình không chính xác. Hãy đảm bảo hợp nhất đầu ra của AI với kỹ năng của nhóm bạn để tạo ra “bAIn” được truyền AI.

Chúng tôi biết các mối đe dọa tiếp tục phát triển, nhưng với zero trust, bảo mật danh tính mạnh mẽ và giờ là AI về phía chúng tôi, nó giúp chúng tôi có một cơ hội chiến đấu.

Link bài báo gốc

• Tags:
• Ai
• April 18, 2025
• Venturebeat.com