An ninh mạng

Kỷ nguyên Mythos: Tại sao NDR là chìa khóa để ngăn chặn tấn công mạng?

Trong kỷ nguyên Mythos với sự bùng nổ của các lỗ hổng zero-day, chuyên gia Richard Bejtlich nhấn mạnh tầm quan trọng của Network Detection and Response (NDR) trong việc xác thực bằng chứng và ngăn...

Nguyen Hung
25 Tháng 6, 2026 2 Min Read
2 0

Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi, các đội ngũ vận hành an ninh (SecOps) đang đối mặt với một thách thức lớn: làm thế nào để trả lời chính xác các câu hỏi về sự cố khi dữ liệu cảnh báo (alert) quá tải nhưng thiếu tính xác thực. Richard Bejtlich, trong tài liệu hướng dẫn mới nhất về NDR (Network Detection and Response), gọi giai đoạn hiện nay là “Kỷ nguyên Mythos” – thời điểm mà việc phát hiện lỗ hổng diễn ra với tốc độ chóng mặt, khiến các quy trình truyền thống trở nên quá tải.

Table Of Content

Tầm quan trọng của việc ngăn chặn trên mạng (Network Interdiction)

Thay vì chỉ tập trung vào các biện pháp phòng ngừa (prevention) vốn thường bị vô hiệu hóa bởi các kỹ thuật như đánh cắp thông tin đăng nhập hay malware, Bejtlich lập luận rằng các chương trình an ninh cần tập trung vào interdiction (ngăn chặn chủ động). Mục tiêu là cô lập và kiểm soát kẻ tấn công ngay sau khi chúng xâm nhập nhưng trước khi chúng đạt được mục tiêu cuối cùng.

NDR đóng vai trò cốt lõi trong chiến lược này bằng cách cung cấp khả năng hiển thị toàn diện thông qua bốn nguồn dữ liệu chính:

  • Full packet captures (Ghi lại toàn bộ gói tin)
  • Extracted files (Tệp tin được trích xuất)
  • Transaction logs (Nhật ký giao dịch)
  • Alerts and detections (Cảnh báo và phát hiện)

Threat hunting dựa trên giả thuyết

Thay vì chỉ phản ứng với các cảnh báo, các đội ngũ an ninh nên chuyển sang tư duy threat hunting chủ động dựa trên giả thuyết về kỹ thuật của kẻ tấn công. Các chuyên gia cần tập trung vào những bất thường có thể quan sát được như: các tệp thực thi lạ, giao thức bất thường, lưu lượng outbound lớn, chuyển động ngang (lateral movement) hoặc các chứng chỉ đáng ngờ.

Vai trò của AI trong NDR

AI đang thay đổi cuộc chơi trong cả tấn công và phòng thủ. Theo Bejtlich, AI giúp tối ưu hóa khung cảnh báo, hỗ trợ triage tự động (agentic triage) để tăng tốc phản ứng sự cố và điều phối khả năng tương tác giữa các công cụ (tool interoperability) từ endpoint, cloud đến ứng dụng. Tuy nhiên, ông nhấn mạnh rằng sự xác thực của con người vẫn là điểm kiểm soát quan trọng nhất để tránh các rủi ro từ việc AI đưa ra kết quả sai lệch (hallucination).

Bài học cho vận hành an ninh

Để cải thiện hiệu quả, các tổ chức nên xem xét chiến lược “zero-baseline” cho các quy tắc cảnh báo. Việc kích hoạt quá nhiều quy tắc mặc định dễ dẫn đến tình trạng “alert fatigue”, làm tê liệt khả năng phản ứng của đội ngũ an ninh. Thay vào đó, việc tinh chỉnh dựa trên dữ liệu thực tế từ mạng sẽ giúp các đội ngũ tập trung vào những mối đe dọa thực sự có khả năng gây hại.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept