Khi các tổ chức nói về "bảo mật doanh nghiệp", điều đó thường nghe có vẻ trừu tượng; bảng điều khiển, chính sách và danh sách kiểm tra tuân thủ. Đối với Vishnu Gatla, đó là điều gì đó cụ thể hơn nhiều. Trong thập kỷ qua, ông đã có mặt trong các cuộc họp nơi những quyết định quan trọng được đưa ra, làm việc cùng các ngân hàng, trường đại học và nhà cung cấp cơ sở hạ tầng quan trọng để giữ cho hoạt động kỹ thuật số của họ được bảo mật và vận hành trơn tru. Là một chuyên gia tư vấn cao cấp về cơ sở hạ tầng và bảo mật ứng dụng chuyên về F5 BIG-IP và tự động hóa tường lửa ứng dụng web, Gatla đã xây dựng sự nghiệp bằng cách biến các công cụ bảo mật mạnh mẽ nhưng phức tạp thành các biện pháp phòng thủ thiết thực thực sự hoạt động trong thế giới thực.
Trong cuộc phỏng vấn này với TechBullion, ông chia sẻ về việc bảo mật các hệ thống quan trọng thực sự như thế nào, cách các nhóm dày dạn kinh nghiệm suy nghĩ về rủi ro và khả năng phục hồi, và tại sao bảo mật ứng dụng hiệu quả không chỉ liên quan đến công nghệ mà còn về con người và quy trình.
Bạn có thể cho chúng tôi biết thêm một chút về bản thân và tác động bạn đang tạo ra trong chuyên môn của mình không?
Tôi tên là Vishnu Gatla. Tôi là Chuyên gia tư vấn dịch vụ chuyên nghiệp cấp cao chuyên về bảo mật ứng dụng doanh nghiệp và cơ sở hạ tầng, với hơn một thập kỷ kinh nghiệm hỗ trợ các tổ chức được quản lý chặt chẽ ở Hoa Kỳ, bao gồm các tổ chức tài chính lớn, trường đại học và môi trường cơ sở hạ tầng quan trọng.
Công việc của tôi chủ yếu tập trung vào chiến lược tường lửa ứng dụng web (WAF), tự động hóa bảo mật ứng dụng và cung cấp ứng dụng có khả năng phục hồi, đặc biệt trong các môi trường nơi các biện pháp kiểm soát bảo mật tồn tại nhưng không hoạt động đáng tin cậy trong điều kiện sản xuất thực tế. Tôi giúp các tổ chức vượt qua các triển khai hướng đến tuân thủ bằng cách chuyển đổi các biện pháp kiểm soát bảo mật thành các biện pháp phòng thủ có thể đo lường, hiệu quả về mặt hoạt động thông qua xác thực, tự động hóa và ra quyết định dựa trên rủi ro.
Tác động của công việc tôi được phản ánh qua việc giảm các sự cố sản xuất, cải thiện tính khả dụng của ứng dụng trong các sự kiện bảo mật và các hoạt động bảo mật có thể dự đoán hơn trong các môi trường quan trọng nơi thời gian ngừng hoạt động hoặc cấu hình sai mang lại rủi ro đáng kể.
Từ một thập kỷ làm việc của bạn trong các lĩnh vực được quản lý chặt chẽ, những chỉ báo thực tế nào cho thấy chương trình bảo mật ứng dụng của một tổ chức được thúc đẩy bởi tuân thủ hơn là quản lý rủi ro thực sự?
Một chương trình hướng đến tuân thủ thường có thể nhận biết bằng sự phụ thuộc vào các chỉ báo tĩnh thay vì kết quả hoạt động. Các dấu hiệu phổ biến bao gồm các biện pháp kiểm soát bảo mật được triển khai về mặt kỹ thuật nhưng hiếm khi được kiểm tra trong điều kiện lưu lượng thực tế, các chính sách vẫn ở chế độ học tập hoặc giám sát vô thời hạn, và các chỉ số thành công gắn liền với kiểm toán hơn là giảm sự cố.
Một chỉ báo khác là việc ra quyết định ưu tiên tài liệu hơn xác thực. Khi các nhóm không thể giải thích rõ ràng những mối đe dọa nào đang được giảm thiểu tích cực, hoặc khi các biện pháp kiểm soát thường xuyên bị bỏ qua để duy trì thời gian hoạt động mà không có đánh giá rủi ro có cấu trúc, điều đó cho thấy chương trình được thiết kế để đáp ứng các danh sách kiểm tra quy định hơn là quản lý rủi ro thực tế.
Khi các biện pháp kiểm soát bảo mật làm gián đoạn một dịch vụ quan trọng, các nhóm có kinh nghiệm xác định điều gì cần điều chỉnh, điều gì cần khôi phục và điều gì phải giữ nguyên như thế nào?
Các nhóm trưởng thành phân biệt giữa lỗi kiểm soát và ma sát kiểm soát. Bước đầu tiên là xác định liệu sự gián đoạn có do các giả định không chính xác, đường cơ sở không đầy đủ hay xung đột thực sự giữa bảo vệ và hành vi ứng dụng gây ra.
Các biện pháp kiểm soát giải quyết các mối đe dọa đã biết, có tác động cao hiếm khi bị loại bỏ hoàn toàn. Thay vào đó, các nhóm có kinh nghiệm điều chỉnh phạm vi, ngưỡng thực thi hoặc logic tự động hóa trong khi duy trì các biện pháp bảo vệ cơ bản. Việc khôi phục được dành cho những thay đổi gây ra sự bất ổn hệ thống, không phải cho các biện pháp kiểm soát chỉ đơn giản cần tinh chỉnh.
Cách tiếp cận này đòi hỏi sự tự tin vào phép đo từ xa, lịch sử thay đổi và khả năng hiển thị lưu lượng, nếu không có những điều đó, các nhóm có xu hướng điều chỉnh quá mức và làm suy yếu bảo mật một cách không cần thiết.
Những rủi ro về khả năng phục hồi nào thường bị đánh giá thấp nhất khi các doanh nghiệp vận hành nền tảng WAF trên các môi trường lai tại chỗ và đám mây?
Một trong những rủi ro bị đánh giá thấp nhất là sự trôi dạt cấu hình giữa các môi trường. Các chính sách hoạt động chính xác tại chỗ có thể hoạt động rất khác trong các triển khai đám mây do sự khác biệt về mô hình lưu lượng, hành vi mở rộng quy mô và tích hợp ngược dòng.
Một rủi ro khác là quyền sở hữu phân mảnh. Khi các nhóm đám mây và tại chỗ hoạt động độc lập, tính nhất quán trong thực thi và phối hợp phản ứng sự cố bị ảnh hưởng. Sự phân mảnh này thường chỉ trở nên rõ ràng trong các sự cố ngừng hoạt động hoặc tấn công tích cực, khi đường dẫn phản ứng không rõ ràng.
Cuối cùng, tự động hóa không nhận biết môi trường có thể khuếch đại lỗi ở quy mô lớn, biến các cấu hình sai nhỏ thành gián đoạn rộng khắp.
Trong các ngân hàng lớn và trường đại học, những rào cản quản trị nào thường cản trở việc triển khai và khắc phục WAF hiệu quả nhất?
Rào cản phổ biến nhất là trách nhiệm không rõ ràng. Các nền tảng WAF thường nằm giữa các nhóm cơ sở hạ tầng, ứng dụng và bảo mật, không có nhóm nào sở hữu kết quả. Điều này dẫn đến khắc phục chậm và cấu hình bảo thủ ưu tiên ổn định hơn bảo vệ.
Quản trị thay đổi là một thách thức khác. Các quy trình phê duyệt kéo dài không khuyến khích cập nhật chính sách kịp thời, ngay cả khi rủi ro được hiểu rõ. Theo thời gian, điều này dẫn đến các biện pháp bảo vệ lỗi thời không còn phù hợp với hành vi ứng dụng đang phát triển hoặc các mô hình mối đe dọa.
Các chương trình hiệu quả giải quyết vấn đề này bằng cách liên kết quyền sở hữu với kết quả và nhúng các quyết định bảo mật vào quy trình làm việc hoạt động thay vì coi chúng là ngoại lệ.
Bạn hướng dẫn các tổ chức từ phản ứng sự cố thụ động sang phòng thủ ứng dụng chủ động như thế nào mà không tạo ra ma sát hoạt động?
Quá trình chuyển đổi bắt đầu bằng việc chuyển trọng tâm từ chặn sự kiện sang hiểu các mô hình. Thay vì phản ứng với các cảnh báo riêng lẻ, các nhóm được hưởng lợi từ việc xác định các hành vi lặp lại, đường dẫn tấn công và độ nhạy cảm của ứng dụng.
Tự động hóa đóng một vai trò, nhưng chỉ khi dựa trên các giả định đã được xác thực. Phòng thủ chủ động đạt được bằng cách thực thi các biện pháp bảo vệ từng bước, liên tục đo lường tác động và điều chỉnh các biện pháp kiểm soát dựa trên kết quả quan sát được thay vì rủi ro lý thuyết.
Quan trọng không kém là sự hợp tác. Các nhóm bảo mật phải định vị các biện pháp kiểm soát là công cụ tạo điều kiện khả dụng thay vì là trở ngại để được chấp nhận lâu dài.
Bạn dựa vào những tín hiệu có thể đo lường nào để xác định xem tự động hóa WAF có thực sự giảm các sự cố trong thế giới thực không?
Các tín hiệu có ý nghĩa bao gồm giảm các loại sự cố lặp lại, giảm can thiệp thủ công trong các cuộc tấn công và cải thiện thời gian trung bình để giải quyết mà không tăng kết quả dương tính giả.
Một chỉ báo quan trọng khác là khả năng dự đoán. Khi các biện pháp kiểm soát tự động hoạt động nhất quán qua các bản phát hành và thay đổi lưu lượng, sự tự tin hoạt động tăng lên. Ngược lại, tự động hóa gây ra biến động hoặc hành vi không giải thích được thường cho thấy xác thực không đầy đủ.
Các chỉ số chỉ gắn liền với khối lượng cảnh báo là không đủ; trọng tâm nên là tác động sự cố và tính ổn định hoạt động.
Khi bảo vệ các ứng dụng cũ với khả năng WAF hiện đại, bạn thường thương lượng những thỏa hiệp nào với các nhóm ứng dụng và nền tảng?
Sự thỏa hiệp chính liên quan đến việc chấp nhận thực thi một phần để đổi lấy cải thiện dài hạn. Các ứng dụng cũ thường không thể chịu đựng các hồ sơ bảo mật nghiêm ngặt ngay lập tức, vì vậy các biện pháp bảo vệ được giới thiệu dần dần.
Các nhóm có thể đồng ý bảo vệ các vectơ tấn công quan trọng trước trong khi cho phép thời gian để khắc phục hành vi ứng dụng kích hoạt kết quả dương tính giả. Điều quan trọng là đảm bảo rằng việc giảm thực thi là tạm thời và có thể đo lường được, không phải là ngoại lệ vĩnh viễn.
Thời gian rõ ràng và trách nhiệm chia sẻ giúp ngăn các ràng buộc cũ trở thành các lỗ hổng bảo mật vĩnh viễn.
Dựa trên kinh nghiệm của bạn trong các môi trường cơ sở hạ tầng quan trọng, những thay đổi văn hóa nào quan trọng hơn công nghệ trong việc cải thiện kết quả bảo mật?
Thay đổi văn hóa có tác động lớn nhất là chuyển từ tránh đổ lỗi sang trách nhiệm chung. Khi các nhóm xem các sự cố bảo mật là lỗi hệ thống thay vì sai lầm cá nhân, nguyên nhân gốc rễ được giải quyết hiệu quả hơn.
Một sự thay đổi quan trọng khác là đánh giá cao phản hồi hoạt động hơn giả định. Các nhóm thường xuyên xác thực các biện pháp kiểm soát so với lưu lượng thực tế và sự cố thực tế hoạt động tốt hơn những nhóm chỉ dựa vào các mô hình thời gian thiết kế.
Cuối cùng, văn hóa quyết định liệu công nghệ được sử dụng như một biện pháp bảo vệ tĩnh hay một biện pháp phòng thủ cải thiện liên tục.
Nhìn về phía trước, sự chuyển đổi nào trong kiến trúc đám mây hoặc ứng dụng sẽ thách thức nhất các mô hình bảo mật doanh nghiệp truyền thống, và tại sao?
Sự trừu tượng hóa ngày càng tăng của cơ sở hạ tầng thông qua các dịch vụ được quản lý, nền tảng serverless và kiến trúc ứng dụng phân tán sẽ thách thức các mô hình bảo mật được xây dựng xung quanh các điểm kiểm soát tập trung.
Khi việc thực thi tiến gần hơn đến ứng dụng và trở nên năng động hơn, các cách tiếp cận tập trung vào chu vi truyền thống mất hiệu quả. Các doanh nghiệp sẽ cần thích nghi bằng cách nhấn mạnh khả năng hiển thị, tự động hóa và chính sách dựa trên ý định thay vì các bộ quy tắc tĩnh.
Các nhóm bảo mật không thể phát triển cùng với kiến trúc ứng dụng hiện đại có nguy cơ mất sự liên quan, ngay cả khi các công cụ của họ vẫn tinh vi về mặt kỹ thuật.
