làm cách nào để phân bổ ngân sách đầu tư an ninh mạng một cách toàn diện?

Yêu cầu các quản lý cấp cao phê duyệt ngân sách cho an ninh mạng có lẽ là một trong những nhiệm vụ khó khăn và gây bức bối mà các trưởng phòng IT hay chuyên gia bảo mật phải làm hàng năm. An ninh mạng thường không đóng góp vào lợi nhuận cuối năm nên thường các quản lý đều xem đó là một dạng chi phí. Nên các trưởng phòng IT phải tìm cách phân bổ ngân sách một cách hiệu quả nhất có thể. Vậy thì danh mục đầu tư an ninh mạng toàn diện nên làm thế nào?

Có nhiều lĩnh vực bảo mật khác nhau mà bạn có thể chi ngân sách vào đó, nhưng để đơn giản mọi chuyện, hãy tập trung vào 3 nơi này:

1. Prevention - Ngăn ngừa

Đây là dạng sản phẩm hoặc dịch vụ được thiết kế để phát hiện và ngăn chặn mối đe dọa trước khi nó thành công. Tường lửa, antivirus, hệ thống ngăn chặn xâm nhập (IPS - Intrusion Prevention System), giải pháp bảo vệ chống phần mềm độc hại tiên tiến, giải pháp lọc email dựa trên cloud và những giải pháp tương tự đều được xem như là những công nghệ ngăn ngừa.

2. Detection & Response - Phát hiện và phản hồi

Những giải pháp này giúp xác định và dọn dẹp mối đe dọa sau khi nó đã lây nhiễm vào hệ thống. Nói cách khác, khi có cuộc tấn công hoặc phần mềm độc hại vượt qua lớp phòng thủ, những sản phẩm này giúp IT hiểu thêm về mối đe dọa và khắc phục nó. Một vài ví dụ như sản phẩm phát hiện và phản hồi ở điểm cuối (EDR - Endpoint Detection & Response), giải pháp quản lý các sự kiện và thông tin bảo mật (SIEM - Security Information & Event Management) và các công cụ xử lý sự cố khác.

3. Business continuity and disaster recovery (BC/DR) - Tiếp tục và phục hồi sau tấn công

Nhóm này bao gồm những dịch vụ và công nghệ giúp phục hồi hệ thống IT và dữ liệu cần thiết để tiếp tục công việc sau thảm họa, ví dụ như tấn công mạng. Những sản phẩm hoặc dữ liệu backup, những giải pháp lưu trữ ảo hoặc cloud và thậm chí bảo hiểm mạng cũng được xem như là những chi tiêu cho BC/DR.


Như đã đề cập trước đó, các chuyên gia trong ngành ước tính rằng các công ty chi 75& ngân sách của họ cho việc phòng ngừa, để lại 25% còn lại cho việc phát hiện & phản hồi cùng với phục hồi sau thảm họa. Tuy vậy, việc chia ngân sách lại không hợp lý. Tỷ lệ tốt nhất là giữ 50% cho việc phòng ngừa, 30% cho việc phản hồi và 20% còn lại để phục hồi.

Tại sao lại là tỷ lệ này? Ngăn ngừa là quan trọng, nhưng chưa bao giờ thực sự là hoàn hảo nhất. Các mối đe dọa tinh vi mới nhất như là ransomware đa hình và phần mềm độc hại không xác định đã chứng minh rằng việc bảo vệ thực sự không thể chặn hết mọi thứ. Ví dụ, các phần mềm độc hại mới nhất thường xuyên tự sửa chữa lại, và có thể tránh được các phương thức bảo mật dựa vào chữ ký.

Mặc dù chủ động hơn, các giải pháp phần mềm độc hại dựa trên hành vi có thể giúp một chút, đôi khi chúng cũng không thực sự hoàn hảo. Các chuyên gia khuyến cáo nên đầu tư vào các công cụ ngăn chặn, đặc biệt là các giải pháp phòng chống phần mềm độc hại tiên tiến mà có thể có khả năng tự học tập và/hoặc phân tích hành vi để tóm được các mối đe dọa mới. Nhưng tốt hơn hết vẫn nên chi một nửa ngân sách cho phần này.

Tiếp theo, hãy dành 30% ngân sách bảo mật hệ thống cho việc phát hiện và ngăn ngừa để giảm xuống thời gian cần thiết để phát hiện mã độc hại sau khi đã xâm nhập vào hệ thống. Một khi cuộc tấn công đã vượt qua được vòng bảo vệ của doanh nghiệp, họ thường không có công cụ cần thiết để phát hiện mối đe dọa đó.

Theo báo cáo nghiên cứu Chi phí cho việc thất thoát dữ liệu từ viện nghiên cứu Ponemon và IBM, trung bình mất 190 ngày để xác định cuộc tấn công đã xâm nhập vào hệ thống. Như thế là quá, quá lâu. Mất nhiều phút và nhiều giờ - không phải nhiều ngày - để ăn cắp hàng terabytes dữ liệu. Khối lượng thiệt hại mà kẻ tấn công có thể gây ra trong 190 ngày thực sự là không thể tưởng tượng nổi. Các doanh nghiệp cần phải giảm thiểu thời gian phát hiện (hay còn gọi là thời gian dừng) này xuống, tốt nhất là đến từng phút. Các chuyên gia tin rằng nên tập trung một phần ngân sách đáng kể cho các công cụ phát hiện và phản hồi.

Ngày nay, các giải pháp phát hiện và phản ứng ở đầu cuối (EDR) ngày càng trở nên phổ biến. Những giải pháp này chạy trên thiết bị đầu cuối và sử dụng rất nhiều phương thức khác nhau để loại bỏ phần mềm độc hại được cài đặt trên thiết bị. Những giải pháp EDR tốt nhất cũng có thể tự động dọn dẹp hoặc loại bỏ các mối nguy hại mà nó tìm được. Nếu bạn là doanh nghiệp vừa và nhỏ, bạn nên cân nhắc những công cụ phát hiện và phản hồi mà có thể tương quan với cả điểm cuối và các điểm mạng để tìm những vùng lây lan tiềm ẩn và phức tạp.

Cuối cùng, các doanh nghiệp nên đầu tư ít nhất 20% ngân sách bảo mật cho những công cụ và dịch vụ có thể nhanh chóng phục hồi những tiện ích IT cần thiết cho doanh nghiệp trong trường hợp khẩn cấp. Điều này sẽ giúp giảm thời gian phục hồi từ những thảm họa bảo mật và giảm thiểu thất thoát lợi nhuận trong suốt quá trình đó. Nếu những mối đe dọa mạng như ransomware hoặc tấn công DDOS lấy đi các nguồn tài nguyên IT của doanh nghiệp, họ sẽ chảy hết tiền cho đến khi các nguồn được phục hồi. Trong khi đa phần BC/DR là về quy trình, có rất nhiều sản phẩm và dịch vụ bao gồm backup, dịch vụ hosting và ảo hóa có thể giúp được gì đó.

Dưới đây là một vài phương án BC/DR tốt nhất. Trong khi đa số các doanh nghiệp ít nhất sẽ backup dữ liệu của họ, ngạc nhiên là chỉ có số ít có kế hoạch phục hồi sau thảm họa. Không có kế hoạch rõ ràng, các doanh nghiệp sẽ tốn thời gian (và cả tiền bạc) xáo trộn để phản ứng lại với các cuộc tấn công mạng. Thêm vào đó, rất nhiều doanh nghiệp với backup không hề cân nhắc đến việc phải mất bao nhiêu thời gian để phục hồi dữ liệu. Nếu chỉ mất chừng 2 ngày để lấy lại các dữ liệu backup sau tấn công ransomware, thì điều đó vẫn khiến nạn nhân mất đi một số tiền không nhỏ. Chuyên gia đề nghị nên xem xét đến việc lưu trữ đám mây mà có thể đẩy nhanh quá trình phục hồi. Bảo hiểm mạng cũng là một hạng mục đầu tư cho BC/DR rất tốt vì có thể đỡ được một phần chi phí sau những cuộc tấn công mạng.

Rõ ràng, đây là một cái nhìn tổng quan để cân bằng ngân sách an ninh mạng. Có rất nhiều lĩnh vực tiềm năng quan trọng khác trong việc bảo mật thông tin mà cần phải chi tiêu, như là cảnh báo và huấn luyện người dùng đầu cuối, tuân thủ và kiểm toán và dự đoán rủi ro. Tuy nhiên, vấn đề chính là việc chi quá nhiều ngân sách cho việc ngăn ngừa trong khi đó lại mất hàng tháng để doanh nghiệp tìm thấy vi phạm (hãy để chúng tự dọn sạch) và họ lại không có kế hoạch để phục hồi chúng.

Nếu các chuyên gia bảo mật và trưởng phòng IT cắt giảm ngân sách cho việc ngăn ngừa xuống còn 50%, họ có thể giành 30% cho các công cụ tìm kiếm những mối nguy hại và 20% còn lại cho việc phục hồi sau thảm họa. Những cải tiến này có thể giúp các nhà điều hành dễ dàng chấp nhận phương án chi ngân sách vào việc bảo mật năm sau.


Hãng bảo mật WatchGuard đến từ Mỹ với các dòng sản phẩm phù hợp cho mọi quy mô doanh nghiệp lớn nhỏ, với giải pháp đơn giản, dễ sử dụng sẽ giúp bạn bảo vệ hệ thống toàn diện nhất. Công ty ITMAP ASIA tự hào là nhà phân phối chính thức của hãng WatchGuard tại Việt Nam. Hãy liên lạc với chúng tôi để nhận được sự tư vấn cặn kẽ nhất và cơ hội dùng thử miễn phí.

ITMAP ASIA – Nhà phân phối chính thức WatchGuard tại Việt Nam

Địa chỉ: 555 Trần Hưng Đạo, P.Cầu Kho, quận 1, Tp.HCM

Điện thoại: 08 5404 0717 – 08 5404 0799

Email: tuananh@itmapasia.com