Tìm hiểu về Threat Intelligence

Threat Intelligence được hiểu đơn giản là những kiến thức giúp bạn xác định các mối đe dọa bảo mật và đưa ra quyết định đúng đắn. Threat intelligence có thể giúp bạn giải quyết các vấn đề sau:

  • Làm thế nào để cập nhật khối lượng thông tin khổng lồ về các mối đe dọa an ninh như các nhân tố xấu, phương thức tấn công, lỗ hổng, đối tượng …?
  • Làm thế nào để có được nhiều hơn kiến thức về tương lai các mối đe dọa bảo mật.
  • Làm thế nào để thông báo đến người quản lý về các nguy hiểm và hậu quả của một mối đe dọa cụ thể.

Threat Intelligence nhận được rất nhiều quan tâm gần đây. Nó có nhiều định nghĩa khác nhau và dưới đây là một vài trích dẫn thường gặp:

Threat intelligence là kiến thức dựa trên bằng chứng, bao gồm ngữ cảnh, cơ chế, chỉ số, các tin tức liên quan về một mối đe dọa hoặc nguy cơ đang hiện diện đối với tài sản – có thể được sử dụng để đưa ra quyết định phản ứng xử lý đối với mối đe dọa đó – Gartner

Tập hợp dữ liệu thu thập được, định mức và áp dụng đối với mối đe dọa bảo mật, nhân tố đe dọa, khai khác, mã độc, lỗ hổng và các chỉ số xâm hại – SANS Institute

Theo báo cáo của Verizon, trong năm 2015 các công ty thiệt hại khoảng 400 triệu USD do rò rỉ thông tin (từ 79,790 sự cố bảo mật). Các mối de dọa và rò rỉ luôn xảy ra khiến mọi tổ chức phải tìm cách bảo về chính mình. Tuy nhiên các mối đe dọa luôn thay đổi và rủi ro càng tăng cao do các tổ chức phải phụ thuộc vào hệ thống IT của mình.

Mối đe dọa đến từ cả nguồn nội bộ lẫn từ bên ngoài khiến các tổ chức rất cẳng thẳng khi đối mặt với chúng. Mặc dù thông tin dưới dạng dữ liệu gốc có sẵn rất đa dạng, nhưng rất khó và tốn thời gian để lấy ra thông tin có ích rồi đưa ra giải pháp cần thiết.

Các yếu tố đó thúc đẩy càng nhiều người sử dụng Threat Intelligence, giúp phân loại mối đe dọa với lượng dữ liệu, cảnh báo khổng lồ, phân loại tấn công và cung cấp thông tin hữu ích. Bảng dưới đây thể hiện một vài chỉ số thông thường của các vụ tấn công mà Threat Intelligence có thể xác định:

Chỉ số Ví dụ
Mạng
  • Địa chỉ IP
  • URL
  • Tên miền
Mã độc lây nhiễm vào các host nội bộ liên quan đến các nhân tố độc hại đã biết.
Email
  • Địa chỉ người gửi email, tên email.
  • File đính kèm
  • Đường dẫn
Các nỗ lực lừa đảo host nội bộ nhấn vào một email đáng ngờ và gửi đến một máy chủ điều khiển độc hại
Host-Based
  • Filenames và file hashes (e.g. MD5)
  • Registry key
  • Dynamic link libraries (DLL)
  • Mutex name
Các vụ tấn công từ bên ngoài bắt đầu từ các host hoặc các hành vi độc hại đã được biết đến.

Các cuộc tấn công có thể được phân loại rộng rãi dựa trên người dùng, ứng dụng hoặc cơ sở hạ tầng của mối đe dọa. Một vài mối đe dọa phổ biến nhất là SQL Injection, DDoS, tấn công ứng dụng web và lừa đảo.

Một trong những phương pháp hiệu quả để phát hiện và phản ứng với các mối đe dọa là sử dụng hệ thống SIEM (Security Information & Event Management system). SIEM có thể được sử dụng để theo dõi mọi thứ diễn ra trong môi trường của bạn và xác định các hành vi dị thường. Cách li sự cố tưởng chừng không có liên quan nhưng với phân tích các sự kiện và Threat Intelligence, bạn có thể thấy những gì thực chất đang diễn ra.

Nhưng điều đó vẫn chưa đủ để chống lại sự thay đổi của các mối đe dọa. Bạn cần phân tích tình huống, xác định mối đe dọa phải đối mặt và đưa ra các biện pháp ngăn ngừa. Dưới đây là một kinh nghiệm thực tiễn:

  • Có một danh sách đen và danh sách trắng các ứng dụng. Điều này giúp ngăn chặn mã độc thực thi hoặc những phần mềm không cho phép.
  • Kiểm tra log file cẩn thận để xem liệu có cuộc tấn công nào không hoặc có lỗ hổng nào bị khai thác hay không.
  • Xác định điều gì đã thay đổi khi một có một cuộc tấn công.
  • Kiểm thử log và xác định nguyên nhân sự cố xảy ra – có thể từ lỗ hổng hệ thống hoặc driver cũ…

THN

 

Bình luận

Từ khóa: