Tưởng tượng bạn nhận 1.000 tin nhắn mỗi ngày nhưng chỉ đọc 10 tin - đây chính là thực trạng đáng báo động trong các phòng SOC (Security Operations Center) của doanh nghiệp hiện nay. Nghiên cứu mới nhất phân tích hơn 25 triệu cảnh báo bảo mật từ 10 triệu thiết bị được giám sát cho thấy một thực tế đen tối: các đội ngũ an ninh mạng đã âm thầm thể chế hóa việc 'không nhìn' vào các cảnh báo mức độ thấp. Hậu quả? Mỗi tuần có ít nhất một mối đe dọa thực sự bị bỏ lỡ.

Thảm họa 'Alert Fatigue' - Khi cảnh báo trở thành tiếng ồn

Dữ liệu từ nghiên cứu cho thấy các doanh nghiệp trung bình nhận khoảng 2.500 cảnh báo bảo mật mỗi ngày. Trong đó, 80% được phân loại ở mức 'thông tin' (informational) hoặc 'mức độ thấp' (low-severity). Điều đáng lo ngại là 95% các cảnh báo này không được xem xét kỹ lưỡng. Các chuyên gia an ninh mạng gọi hiện tượng này là 'Alert Fatigue' - tình trạng mệt mỏi vì quá nhiều cảnh báo dẫn đến thái độ thờ ơ.

Chúng tôi nhận thấy đây là một vấn đề nghiêm trọng đã bị đánh giá thấp trong nhiều năm qua. Tại Việt Nam, theo khảo sát của Hiệp hội An ninh mạng quốc gia năm 2023, 68% doanh nghiệp thừa nhận họ 'không thể theo dõi hết' các cảnh báo bảo mật. Nhiều SOC analyst (chuyên viên phân tích bảo mật) chia sẻ họ chỉ tập trung vào các alert có mức độ 'High' và 'Critical', bỏ qua hoàn toàn những cảnh báo được đánh giá là ít nguy hiểm.

Tại sao cảnh báo 'vô hại' lại trở thành mối đe dọa thực sự?

Nghiên cứu chỉ ra một thực tế đáng sợ: 23% các cuộc tấn công thành công bắt đầu từ những dấu hiệu được phân loại ở mức 'low-severity'. Tin tặc hiện đại đã học cách khai thác chính điểm yếu này. Họ cố tình tạo ra các hoạt động có 'footprint' (dấu vết) nhỏ để tránh kích hoạt cảnh báo mức cao. Kỹ thuật này được gọi là 'Living off the Land' - sống bằng những gì có sẵn trên hệ thống mà không tạo ra tiếng ồn lớn.

Ví dụ điển hình là nhóm APT29 (Cozy Bear) từng sử dụng Windows PowerShell - một công cụ có sẵn và hợp pháp trên Windows - để thực hiện các lệnh độc hại. Hoạt động này thường chỉ tạo ra cảnh báo mức 'Medium' hoặc 'Low' vì PowerShell được coi là công cụ quản trị bình thường. Kết quả là nhiều tổ chức đã bị xâm nhập trong tháng trời mà không hay biết.

Con số biết nói: Thiệt hại từ việc 'nhắm mắt làm ngơ'

Nghiên cứu ước tính rằng việc bỏ qua các cảnh báo mức độ thấp khiến thời gian phát hiện tấn công (Mean Time to Detection - MTTD) tăng lên trung bình 67 ngày. Điều này có nghĩa tin tặc có hơn 2 tháng để di chuyển trong mạng nội bộ, thu thập dữ liệu và chuẩn bị cho đòn tấn công chính. Chi phí trung bình để khắc phục một sự cố bảo mật khi đó đã tăng từ 1.5 triệu USD lên 4.2 triệu USD.

Tại thị trường Việt Nam, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) ghi nhận năm 2023 có 8.174 sự cố an ninh mạng được báo cáo, tăng 15% so với năm trước. Theo phân tích của chúng tôi, phần lớn các sự cố này có thể được phát hiện sớm hơn nếu các tổ chức chú ý đến những 'tín hiệu yếu' từ các cảnh báo mức độ thấp.

Giải pháp thực tế: Từ 'Alert Storm' đến 'Smart Detection'

Để giải quyết bài toán này, các chuyên gia khuyến nghị doanh nghiệp áp dụng chiến lược 'Alert Correlation' (tương quan cảnh báo) thay vì xử lý từng alert riêng lẻ. Cụ thể, các tổ chức cần triển khai SIEM (Security Information and Event Management) platform với khả năng phân tích AI/ML để nhóm các cảnh báo có liên quan thành 'case' duy nhất. Bước đầu tiên là phân loại lại toàn bộ rule detection (quy tắc phát hiện) hiện có, loại bỏ những rule tạo ra 'noise' (nhiễu) không cần thiết.

Doanh nghiệp Việt Nam có thể bắt đầu bằng cách áp dụng quy tắc '5-3-1': trong 5 cảnh báo cùng loại xuất hiện trong 3 giờ, ít nhất 1 alert phải được analyst xem xét thủ công. Đồng thời, thiết lập 'Threat Hunting' (săn lùng mối đe dọa) định kỳ hàng tuần để chủ động tìm kiếm các IOC (Indicators of Compromise - chỉ báo xâm phậm) từ những cảnh báo đã bỏ qua. Cuối cùng, đầu tư vào đào tạo nhân lực SOC để họ hiểu được tầm quan trọng của việc phân tích 'big picture' thay vì chỉ tập trung vào từng sự kiện riêng lẻ.