Đa phần các tổ chức, doanh nghiệp hay cơ quan nhà nước đều đang triển khai an ninh thông qua các biện pháp bảo mật để bảo vệ mạng lưới thông tin và hệ thống truyền dẫn khỏi các cuộc tấn công mạng. Tuy nhiên, theo đánh giá của Cơ quan An ninh mạng Liên minh châu Âu (ENISA), đây là hoạt động phòng thủ mạng thụ động.

Một số quốc gia như Vương quốc Anh, Mỹ, khu vực EU đã ban hành nhiều chính sách liên quan đến đảm bảo hệ thống an ninh mạng và phát triển các phương thức phòng thủ mạng một cách chủ động hơn.

Tại Vương quốc Anh, chương trình phòng thủ mạng chủ động được đưa vào chính sách bảo mật an ninh mạng quốc gia. Trung tâm An ninh mạng quốc gia Vương quốc Anh cung cấp các công cụ bổ sung để chống lại phần lớn mối đe dọa mạng. Tiêu biểu như ngăn chặn các loại tấn công thương mại, quét lỗ hổng tự động, phát hiện lừa đảo trên không gian mạng và các vụ tống tiền bằng phần mềm…

Viện Tiêu chuẩn và Công nghệ quốc gia Mỹ (NIST) định nghĩa phòng thủ mạng chủ động (Active Cyber Defense) là khả năng đồng bộ theo thời gian thực để phát hiện, phân tích và giảm thiểu các mối đe dọa về an ninh mạng, nhằm mục đích ngăn chặn một cuộc tấn công sắp xảy ra, có thể bao gồm tấn công, nhưng không nhất thiết. Ông Juhan Lepassaar, Giám đốc điều hành ENISA cho biết, phòng thủ mạng chủ động là một hoạt động nằm ngoài an ninh mạng truyền thống, được thực hiện nhằm ngăn chặn, phát hiện và ứng phó với các cuộc tấn công mạng trước khi chúng gây ra thiệt hại.

Phòng thủ mạng chủ động bao gồm nhiều công cụ và quy trình hơn như kiểm tra thâm nhập (Penetration Testing), săn tìm mối đe dọa (Threat Hunting) và phản ứng sự cố (Incident Response).

Kiểm tra xâm nhập gồm các hoạt động mô phỏng những cuộc tấn công mạng để xác định lỗ hổng và cải thiện bảo mật. Báo cáo của ENISA chỉ ra tiến trình kiểm tra xâm nhập bao gồm 8 bước là: lập kế hoạch và chuẩn bị nguồn lực; thăm dò và giám sát; rà soát và liệt kê; đánh giá tính dễ bị tổn thương; khai thác; sau khai thác; báo cáo; khắc phục và theo dõi.

Săn tìm mối đe dọa là quy trình chủ động tìm kiếm các lỗ hổng an ninh mạng độc hại trên mạng và hệ thống thông tin. Trên thực tế, phương thức săn tìm mối đe dọa sử dụng các công cụ và biện pháp bổ sung như “giăng bẫy” bảo mật hoặc các kỹ thuật “lừa dối” với mục đích thu thập thông tin về hành vi của kẻ xâm nhập trái phép.

Phản ứng sự cố là quá trình phát triển và thực hành kế hoạch ứng phó với các cuộc tấn công mạng. Ngày nay, ứng phó hoặc quản lý sự cố là một phần của các tiêu chuẩn an ninh mạng quốc tế, có thể kể đến ISO/IEC 27001 về hệ thống quản lý bảo mật thông tin.

Về lâu dài, Việt Nam cần triển khai phòng thủ mạng chủ động gồm các bước sau.

Một là, thiết lập chiến lược về phòng thủ mạng chủ động để tăng cường bảo vệ và ngăn chặn các cuộc tấn công từ xa. Chính phủ cần xem xét phát triển các giải pháp kiểm tra, phát hiện mối đe dọa trên không gian mạng (thư điện tử, các trang web độc hại); xây dựng chính sách dự báo an ninh mạng trong các lĩnh vực kinh tế như sản xuất công nghiệp, thương mại dịch vụ, đặc biệt là các lĩnh vực trọng yếu như quân sự, chính trị… Chẳng hạn như cập nhật danh sách các trang web có nguy cơ bị xâm nhập cao.

Hai là, triển khai các chính sách và quy trình bảo mật để giáo dục nhân viên về an ninh mạng và giảm nguy cơ lỗi của con người. Bên cạnh đó, đào tạo nguồn nhân lực chất lượng cao về kỹ sư phát hiện lỗ hổng mạng, dự báo các mối đe dọa không gian mạng.

Ba là, nâng cao dịch vụ an ninh trong kiểm tra web dưới dạng quét lỗ hổng, đặc biệt là đối với các trang web khu vực công. Đơn cử, cài đặt phần mềm bảo mật và cấu hình đúng cách, tăng cường triển khai tường lửa, phần mềm diệt vi-rút hay áp dụng các bản vá bảo mật cho phần mềm và phần cứng để khắc phục các lỗ hổng.