Outpost24: Tại sao việc hợp nhất kiểm thử xâm nhập và tình báo an ninh vượt trội hơn các silo bảo mật rời rạc

Trước thềm Hội nghị Bảo mật Mạng & Điện toán Đám mây,Outpost24giải thích lý do việc tích hợp kiểm thử xâm nhập và tình báo mối đe dọa là sống còn đối với DevOps.

Các nhóm bảo mật thường quản lý kiểm thử xâm nhập và tình báo mối đe dọa như những luồng công việc riêng biệt, không liên kết.
Sự tách biệt này tạo ra một điểm yếu về cấu trúc mà các đối thủ ngày càng khai thác.

Marcelo Castro Escalada, Quản lý Sản phẩm Cấp cao tại Outpost24.” height=”297″ src=”https://cafedev.vn/wp-content/uploads/2026/02/cafedev_marcelo.jpg” width=”297″/>

Marcelo Castro Escalada, Quản lý Sản phẩm Cấp cao tại Outpost24, cảnh báo mô hình truyền thống không còn đủ nữa.
Đối với các trưởng nhóm kỹ thuật và kiến trúc sư kỹ thuật, sự căng thẳng giữa duy trì tốc độ triển khai và thực thi quản trị bảo mật là một cuộc chiến không ngừng.
Nhịp độ tiêu chuẩn (xây dựng, tạm dừng để đánh giá, vá lỗi, phát hành) đang vật lộn để theo kịp với bối cảnh đối thủ hoạt động liên tục.

“Điểm mù then chốt mà điều này tạo ra là các tổ chức đánh giá bảo mật trong các ốc đảo tĩnh, tại một thời điểm cụ thể, trong khi những kẻ tấn công hiện đại hoạt động một cách liên tục, thích ứng và được thúc đẩy từ bên ngoài,” Marcelo nói.

Các khung hiện tại thường coi các chức năng này như những đầu vào biệt lập.
Kiểm thử xâm nhập xác thực một môi trường được phạm vi hóa tại một thời điểm cụ thể, thường thiếu bối cảnh thời gian thực.
Tình báo mối đe dọa cung cấp dữ liệu về chiến thuật của đối thủ nhưng hiếm khi được chuyển thành các thông số kiểm thử cụ thể.
Trong khi đó, Quản lý Bề mặt Tấn công Bên ngoài (EASM) xác định các tài sản hướng ra internet nhưng thường thiếu bối cảnh để xác thực khả năng bị khai thác.

Những sự ngắt kết nối này dẫn đến một cái nhìn tổng thể không phản ánh đúng thực tế của một cuộc tấn công có chủ đích.
Marcelo ủng hộ việc tích hợp các lĩnh vực này để chuyển chương trình bảo mật từ các bài tập riêng lẻ sang mô hình quản lý lộ diện liên tục.
Trong cấu trúc này, các tài sản bên ngoài được ưu tiên dựa trên tình báo mối đe dọa chủ động và được xác thực thông qua kiểm thử được căn chỉnh theo đối thủ.

“Điều này trực tiếp giải quyết khoảng cách giữa cách những người phòng thủ truyền thống hoạt động và cách những kẻ tấn công khai thác các tổ chức ngày nay,” Marcelo lưu ý.

Cái bẫy quản trị

Đối với các nhóm DevOps, các phương pháp bảo mật mới thường báo hiệu sự căng thẳng gia tăng như nhiều cổng kiểm soát hơn, phê duyệt thủ công và tần suất triển khai chậm lại.

Marcelo lập luận rằng siết chặt kiểm soát là một bản năng sai lầm.
“Thực thi quản trị triển khai nghiêm ngặt hơn không phải là giải pháp để tăng tốc chu kỳ phát triển — cách tiếp cận đó phản ánh một mô hình bảo mật lỗi thời dựa trên cổng kiểm soát,” ông giải thích.

Mục tiêu là nhúng các khả năng bảo mật hoạt động ở cùng tốc độ với DevOps.
“Bảo mật không nên đóng vai trò như một vật cản, mà là một khả năng được nhúng hoạt động ở cùng tốc độ với DevOps,” Marcelo tuyên bố.

Điều này đòi hỏi tích hợp bảo mật xuyên suốt vòng đời phát triển thông qua một SDLC An toàn.
Bằng cách tự động hóa các kiểm soát và liên tục xác thực rủi ro trong các đường ống CI/CD, các nhóm có thể giảm chi phí khắc phục và phát hành nhanh hơn mà không tích lũy nợ tiềm ẩn.

Sự cộng hưởng giữa EASM, Kiểm thử Xâm nhập như một Dịch vụ (PTaaS) và tình báo mối đe dọa mở rộng mô hình này ra ngoài phạm vi phát triển nội bộ, cung cấp khả năng hiển thị vào các tài sản bị lộ diện mà không tạo ra các nút thắt cổ chai thủ công.

Rủi ro tích hợp bên thứ ba

Bề mặt tấn công đã mở rộng ra ngoài mã nội bộ để bao gồm cả mạng lưới các dịch vụ mà mã kết nối đến.
Dữ liệu từ Outpost24 xác định các tích hợp bên thứ ba là rủi ro trước mắt nhất đối với môi trường doanh nghiệp.

“Trong nhiều trường hợp được quan sát suốt năm 2025, vectơ truy cập ban đầu là thông tin xác thực bị rò rỉ hoặc đánh cắp, nhưng tác động thực sự xảy ra sau khi truy cập được thực hiện, khi các tác nhân đe dọa lạm dụng các tích hợp bên thứ ba được giám sát kém để di chuyển ngang, leo thang đặc quyền hoặc truy cập dữ liệu nhạy cảm,” Marcelo nói.

Những kẻ tấn công đang kết hợp các kỹ thuật phổ biến – như xâm phạm thông tin xác thực và các tích hợp đáng tin cậy – để khai thác khoảng trống trong quản trị hơn là chỉ các lỗ hổng thuần túy kỹ thuật.
Đối với các kỹ sư, điều quan trọng là phân biệt giữa ác ý và sơ suất.

“Trong hầu hết các trường hợp, các tài sản không được giám sát là kết quả của các công cụ hoặc triển khai có thiện ý nhưng đơn giản là bị lãng quên, hơn là sự lẩn tránh ác ý,” Marcelo nói.
Sự phân biệt này quyết định phản ứng:
tài sản bị lãng quên đòi hỏi khả năng phát hiện và công cụ tốt hơn, trong khi sự lẩn tránh ác ý đòi hỏi phát hiện mối đe dọa chủ động.

Cấu trúc cho sự hợp tác

Chuyển sang mô hình thống nhất này đòi hỏi sự liên kết tổ chức.
“Các tổ chức cần liên kết các nhóm Tình báo Mối đe dọa, EASM và AppSec của họ xung quanh các mục tiêu, số liệu và quy trình làm việc chung, thay vì để mỗi nhóm hoạt động biệt lập,” Marcelo khuyên.

Điều này thường đòi hỏi các nhóm chức năng chéo hoặc các vai trò liên lạc để chính thức hóa việc chia sẻ thông tin.
Đổi mới bằng cách kết hợp các phương pháp luận có thể tạo ra sự phức tạp, vì vậy các nhóm nên xác thực các tích hợp mới trong các dự án thí điểm phạm vi hạn chế trước khi triển khai rộng rãi.

“Triển khai quy trình phù hợp xung quanh các công cụ cũng quan trọng như các công cụ bạn triển khai,” Marcelo tuyên bố.

Hiệu quả trong mô hình tích hợp này được đo lường khác với các kiểm tra tuân thủ biệt lập.
Marcelo chỉ ra ba KPI chính cho sự trưởng thành:

• Tỷ lệ Giảm Lộ diện Bên ngoài (EERR)theo dõi mức độ hiệu quả mà tổ chức giảm bề mặt tấn công thực sự, có thể bị khai thác từ bên ngoài.

• Thời gian Trung bình Khắc phục Phát hiện Có thể Khai thác (MTTR-EF)đo tốc độ tổ chức khắc phục các điểm yếu có liên quan đến kẻ tấn công đã được xác thực.

• Tỷ lệ Khả năng Hành động của Tình báo Mối đe dọa (TIAR)đánh giá “bao nhiêu phần tình báo mối đe dọa thực sự thúc đẩy hành động phòng thủ hoặc phòng ngừa, so với chỉ được tiêu thụ một cách thụ động.”

“Trong mô hình này, bảo mật mở rộng quy mô cùng với tốc độ phân phối thay vì hạn chế nó, và đúng ra được coi là một khoản đầu tư dài hạn vào khả năng phục hồi hơn là một loại thuế đánh vào sự đổi mới,” Marcelo kết luận.