Hình dưới đây mô tả Cyber Defense Pyramid, một mô hình thể hiện mức độ trưởng thành của một chương trình vận hành an ninh mạng (SOC/SecOps). Mỗi tầng là một năng lực cần có, và chỉ khi xây dựng vững tầng bên dưới thì doanh nghiệp mới có thể phát triển hiệu quả các năng lực ở tầng trên.
1. Inventory – Bạn đang bảo vệ những tài sản nào?
Câu hỏi: Can you name the assets you are defending?
Đây là nền tảng của mọi chương trình bảo mật. Nếu không biết mình đang sở hữu những gì thì rất khó để bảo vệ chúng.
Inventory bao gồm toàn bộ tài sản như máy chủ, máy trạm, thiết bị mạng, máy ảo, workload trên cloud, thiết bị IoT hay tài khoản người dùng. Các công cụ như CMDB, Cisco Catalyst Center, Microsoft Defender hay ServiceNow thường được sử dụng để quản lý tài sản.
2. Telemetry – Bạn có nhìn thấy những gì đang diễn ra?
Câu hỏi: Do you have visibility across your assets?
Sau khi biết mình có gì, bước tiếp theo là thu thập dữ liệu từ toàn bộ hệ thống.
Telemetry bao gồm Syslog, NetFlow, Windows Event Log, Firewall Log, DNS, DHCP, EDR Telemetry, CloudTrail... Mục tiêu là xây dựng khả năng quan sát (Visibility) trên toàn bộ hạ tầng.
Có một câu rất nổi tiếng trong ngành:
3. Detection – Bạn có phát hiện được hoạt động bất thường không?
Câu hỏi: Can you detect unauthorized activity?
Detection là quá trình biến dữ liệu thu thập được thành các cảnh báo bảo mật.
Ví dụ như phát hiện Brute Force, Malware, Lateral Movement, Data Exfiltration hay DNS Tunneling. Các giải pháp SIEM, IDS/IPS, EDR/XDR và NDR thường đảm nhiệm vai trò này.
4. Triage – Alert nào thực sự nguy hiểm?
Câu hỏi: Can you accurately classify detection results?
Một SOC có thể nhận hàng nghìn cảnh báo mỗi ngày nhưng không phải cảnh báo nào cũng là sự cố.
Triage giúp xác minh False Positive, đánh giá mức độ nghiêm trọng và ưu tiên xử lý. Nếu làm không tốt, SOC sẽ rơi vào tình trạng Alert Fatigue, còn các cuộc tấn công thực sự lại dễ bị bỏ sót.
5. Threats – Bạn đang đối đầu với ai?
Câu hỏi: Who are your adversaries? What are their capabilities?
Ở tầng này, mục tiêu không còn là xử lý từng Alert mà là hiểu rõ đối thủ.
Threat Intelligence giúp trả lời các câu hỏi như ai đang tấn công, họ sử dụng công cụ gì, chiến thuật nào và mục tiêu là gì. Những nguồn quen thuộc gồm MITRE ATT&CK, Cisco Talos, Microsoft Threat Intelligence hay Mandiant.
6. Behaviors – Phát hiện hành vi thay vì chỉ IOC
Câu hỏi: Can you detect adversary activity within your environment?
Thay vì chỉ tìm kiếm IP, Domain hay Hash độc hại, SOC bắt đầu tập trung vào hành vi của kẻ tấn công.
Ví dụ như PowerShell bất thường, Credential Dumping, PsExec, WMI Execution hay Living-off-the-Land (LOLBins). Cách tiếp cận này hiệu quả hơn vì hành vi thường khó thay đổi hơn IOC.
7. Hunt – Chủ động săn tìm mối đe dọa
Câu hỏi: Can you detect an adversary that is already embedded?
Đây là giai đoạn chuyển từ phòng thủ sang chủ động.
Threat Hunting không chờ Alert xuất hiện mà dựa trên Telemetry, Threat Intelligence và MITRE ATT&CK để chủ động tìm dấu vết của kẻ tấn công đang ẩn trong hệ thống.
8. Track – Theo dõi đối thủ theo thời gian thực
Câu hỏi: During an intrusion, can you observe adversary activity in real time?
Khi phát hiện xâm nhập, nhiều tổ chức sẽ không vội chặn ngay mà theo dõi hoạt động của đối phương để hiểu rõ mục tiêu, phạm vi ảnh hưởng và thu thập bằng chứng phục vụ điều tra số.
Đây là năng lực thường thấy ở các SOC trưởng thành hoặc đội CERT/CSIRT.
9. Act – Ứng phó và khôi phục
Câu hỏi: Can you deploy proven countermeasures to evict and recover?
Sau khi hiểu rõ cuộc tấn công, tổ chức cần triển khai các biện pháp ứng phó như cô lập Endpoint, khóa tài khoản, cập nhật Firewall Rule, vá lỗ hổng và khôi phục hệ thống từ Backup.
Đây là giai đoạn của Incident Response và Recovery.
10. Collaborate – Hợp tác để ngăn chặn các chiến dịch tấn công
Câu hỏi: Can you collaborate with trusted partners to disrupt adversary campaigns?
Đỉnh cao của mô hình là khả năng phối hợp với cộng đồng an ninh mạng để chia sẻ Threat Intelligence, hợp tác với CERT/CSIRT, ISAC hoặc các hãng bảo mật nhằm ngăn chặn các chiến dịch tấn công trên quy mô lớn.
Tổng kết
Điều mình thích ở mô hình này là nó nhắc chúng ta rằng một SOC trưởng thành không bắt đầu bằng AI hay Threat Hunting. Mọi thứ luôn khởi đầu từ những điều rất cơ bản: biết mình đang bảo vệ những tài sản nào (Inventory) và thu thập đầy đủ dữ liệu (Telemetry).
Khi hai nền tảng này đủ vững, doanh nghiệp mới có thể xây dựng các năng lực cao hơn như Detection, Threat Intelligence, Behavior Analytics, Threat Hunting, Incident Response và cuối cùng là hợp tác với cộng đồng an ninh mạng để chủ động làm gián đoạn các chiến dịch của kẻ tấn công. Đây cũng là lộ trình mà phần lớn các SOC hiện đại đang hướng tới.
1. Inventory – Bạn đang bảo vệ những tài sản nào?
Câu hỏi: Can you name the assets you are defending?
Đây là nền tảng của mọi chương trình bảo mật. Nếu không biết mình đang sở hữu những gì thì rất khó để bảo vệ chúng.
Inventory bao gồm toàn bộ tài sản như máy chủ, máy trạm, thiết bị mạng, máy ảo, workload trên cloud, thiết bị IoT hay tài khoản người dùng. Các công cụ như CMDB, Cisco Catalyst Center, Microsoft Defender hay ServiceNow thường được sử dụng để quản lý tài sản.
2. Telemetry – Bạn có nhìn thấy những gì đang diễn ra?
Câu hỏi: Do you have visibility across your assets?
Sau khi biết mình có gì, bước tiếp theo là thu thập dữ liệu từ toàn bộ hệ thống.
Telemetry bao gồm Syslog, NetFlow, Windows Event Log, Firewall Log, DNS, DHCP, EDR Telemetry, CloudTrail... Mục tiêu là xây dựng khả năng quan sát (Visibility) trên toàn bộ hạ tầng.
Có một câu rất nổi tiếng trong ngành:
You cannot protect what you cannot see.
3. Detection – Bạn có phát hiện được hoạt động bất thường không?
Câu hỏi: Can you detect unauthorized activity?
Detection là quá trình biến dữ liệu thu thập được thành các cảnh báo bảo mật.
Ví dụ như phát hiện Brute Force, Malware, Lateral Movement, Data Exfiltration hay DNS Tunneling. Các giải pháp SIEM, IDS/IPS, EDR/XDR và NDR thường đảm nhiệm vai trò này.
4. Triage – Alert nào thực sự nguy hiểm?
Câu hỏi: Can you accurately classify detection results?
Một SOC có thể nhận hàng nghìn cảnh báo mỗi ngày nhưng không phải cảnh báo nào cũng là sự cố.
Triage giúp xác minh False Positive, đánh giá mức độ nghiêm trọng và ưu tiên xử lý. Nếu làm không tốt, SOC sẽ rơi vào tình trạng Alert Fatigue, còn các cuộc tấn công thực sự lại dễ bị bỏ sót.
5. Threats – Bạn đang đối đầu với ai?
Câu hỏi: Who are your adversaries? What are their capabilities?
Ở tầng này, mục tiêu không còn là xử lý từng Alert mà là hiểu rõ đối thủ.
Threat Intelligence giúp trả lời các câu hỏi như ai đang tấn công, họ sử dụng công cụ gì, chiến thuật nào và mục tiêu là gì. Những nguồn quen thuộc gồm MITRE ATT&CK, Cisco Talos, Microsoft Threat Intelligence hay Mandiant.
6. Behaviors – Phát hiện hành vi thay vì chỉ IOC
Câu hỏi: Can you detect adversary activity within your environment?
Thay vì chỉ tìm kiếm IP, Domain hay Hash độc hại, SOC bắt đầu tập trung vào hành vi của kẻ tấn công.
Ví dụ như PowerShell bất thường, Credential Dumping, PsExec, WMI Execution hay Living-off-the-Land (LOLBins). Cách tiếp cận này hiệu quả hơn vì hành vi thường khó thay đổi hơn IOC.
7. Hunt – Chủ động săn tìm mối đe dọa
Câu hỏi: Can you detect an adversary that is already embedded?
Đây là giai đoạn chuyển từ phòng thủ sang chủ động.
Threat Hunting không chờ Alert xuất hiện mà dựa trên Telemetry, Threat Intelligence và MITRE ATT&CK để chủ động tìm dấu vết của kẻ tấn công đang ẩn trong hệ thống.
8. Track – Theo dõi đối thủ theo thời gian thực
Câu hỏi: During an intrusion, can you observe adversary activity in real time?
Khi phát hiện xâm nhập, nhiều tổ chức sẽ không vội chặn ngay mà theo dõi hoạt động của đối phương để hiểu rõ mục tiêu, phạm vi ảnh hưởng và thu thập bằng chứng phục vụ điều tra số.
Đây là năng lực thường thấy ở các SOC trưởng thành hoặc đội CERT/CSIRT.
9. Act – Ứng phó và khôi phục
Câu hỏi: Can you deploy proven countermeasures to evict and recover?
Sau khi hiểu rõ cuộc tấn công, tổ chức cần triển khai các biện pháp ứng phó như cô lập Endpoint, khóa tài khoản, cập nhật Firewall Rule, vá lỗ hổng và khôi phục hệ thống từ Backup.
Đây là giai đoạn của Incident Response và Recovery.
10. Collaborate – Hợp tác để ngăn chặn các chiến dịch tấn công
Câu hỏi: Can you collaborate with trusted partners to disrupt adversary campaigns?
Đỉnh cao của mô hình là khả năng phối hợp với cộng đồng an ninh mạng để chia sẻ Threat Intelligence, hợp tác với CERT/CSIRT, ISAC hoặc các hãng bảo mật nhằm ngăn chặn các chiến dịch tấn công trên quy mô lớn.
Tổng kết
Điều mình thích ở mô hình này là nó nhắc chúng ta rằng một SOC trưởng thành không bắt đầu bằng AI hay Threat Hunting. Mọi thứ luôn khởi đầu từ những điều rất cơ bản: biết mình đang bảo vệ những tài sản nào (Inventory) và thu thập đầy đủ dữ liệu (Telemetry).
Khi hai nền tảng này đủ vững, doanh nghiệp mới có thể xây dựng các năng lực cao hơn như Detection, Threat Intelligence, Behavior Analytics, Threat Hunting, Incident Response và cuối cùng là hợp tác với cộng đồng an ninh mạng để chủ động làm gián đoạn các chiến dịch của kẻ tấn công. Đây cũng là lộ trình mà phần lớn các SOC hiện đại đang hướng tới.