TỔNG QUAN VỀ MISP

MISP là một nền tảng thu thập, chia sẻ, lưu trữ và liên kết các chỉ số thoả hiệp - IOC (Địa chỉ IP, tên miền, hàm băm), thông tin tình báo về mối đe dọa của các cuộc tấn công có chủ đích, kiểu tấn công (TTP, ATT&CK), thông tin về các lỗ hổng bảo mật trên không gian mạng. Dự án được phát triển bởi một nhóm các nhà phát triển từ CIRCL (Computer Incident Response Center Luxembourg), Bộ Quốc phòng Bỉ, NATO, NCIRC (NATO Computer Incident Response Capability) và được tài trợ bởi Liên minh châu Âu và Trung tâm ứng phó sự cố máy tính Luxembourg.

Mục đích của MISP là tạo ra một nền tảng tin cậy bằng cách lưu trữ thông tin về mối đe dọa và nâng cao khả năng phát hiện phần mềm độc hại để khuyến khích trao đổi thông tin giữa các tổ chức. Bên cạnh các tính năng phong phú nhằm theo dõi, phân tích mối đe dọa như trực quan hóa, gắn thẻ các trường thông tin, phân loại các mối đe doạ, hiển thị các cảnh báo, MISP cũng tích hợp các giao thức mở để truyền tải và chia sẻ dữ liệu, cho phép tích hợp với các hệ thống an ninh mạng và công cụ phân tích phổ biến hiện nay.

KIẾN TRÚC MISP

Các nền tảng chia sẻ thông tin tình báo về mối đe dọa luôn đòi hỏi sự cộng tác, chia sẻ thông tin nhanh chóng nhằm đưa ra các giải pháp giảm thiểu đối với từng loại tấn công trên “chiến trường” an ninh mạng, điều này được thực hiện rõ trong kiến trúc của nền tảng MISP với các thành phần chính như sau:

- Sự kiện: Là một mục mối đe dọa duy nhất được tạo bởi một tổ chức và chứa các thông tin như mối đe dọa, lần phát hiện cuối cùng, ngày phát hành, tổ chức chủ sở hữu, mức độ đe dọa và tất cả các IOC liên quan đến mối đe dọa đó.

- Nguồn cấp dữ liệu: Sau khi một sự kiện được tạo, người dùng phải gán sự kiện đó cho một nguồn cấp dữ liệu cụ thể. Nguồn cấp dữ liệu hoạt động như một danh sách tập trung các sự kiện riêng biệt có thể thuộc về một tổ chức cụ thể và chỉ chứa một loại sự kiện hoặc bất cứ số lượng các đặc điểm nhóm khác.

- Cộng đồng: Các tổ chức hỗ trợ MISP tạo thành một tập thể có tổ chức.

- API: Người dùng có thể lập trình các đoạn mã sử dụng các chức năng gửi và nhận (Pull/Push) thông tin về các mối đe dọa.

- Giao diện người dùng web: MISP đi kèm với nền tảng giao diện người dùng được lưu trữ trên web riêng biệt cho phép người dùng đăng nhập và tương tác với tất cả các tệp dữ liệu.

Hình 1. Kiến trúc nền tảng MISP

CHIA SẺ MỐI ĐE DỌA

Cộng đồng chuyên gia; nguồn cấp dữ liệu chất lượng; mức độ chia sẻ dữ liệu, sự kiện là yếu tố mấu chốt giúp cho nền tảng MISP hoạt động một cách hiệu quả. Hiện nay, nền tảng chia sẻ thông tin phần mềm độc hại đang được sử dụng bởi hơn 6000 tổ chức độc lập trong các ngành và lĩnh vực khác nhau, mỗi tổ chức đều có nguồn cung cấp dữ liệu về mối đe dọa độc quyền, công khai hoặc giới hạn trong một số nhóm. Khi hoàn tất việc thiết lập, các tổ chức có thể thêm sự kiện vào nguồn cấp dữ liệu và quy định về cấp độ chia sẻ các sự kiện thuộc về tổ chức.

Các cấp độ này bao gồm:

- Các sự kiện chỉ chia sẻ trong nội bộ tổ chức.

- Các sự kiện được chia sẻ trong cộng đồng nhất định.

- Các sự kiện được chia sẻ trong một cộng đồng kết nối cùng nhau.

- Các sự kiện được chia sẻ trong toàn bộ cộng đồng.

Số lượng dữ liệu, sự kiện ngày càng tăng nhanh dẫn đến các tranh chấp, sửa đổi trái phép sự kiện trên toàn bộ nền tảng. Các cơ chế xác thực cần thiết đã được bổ sung trên các phiên bản MISP gần đây nhằm ngăn chặn việc đánh cắp, sửa đổi các sự kiện được chia sẻ. Cụ thể, cơ chế này cho phép người tạo sự kiện đính kèm một bộ khóa ký sử dụng thuật toán mã hóa PGP (Pretty Good Privacy) vào một sự kiện, được sử dụng để ký các sự kiện trên mỗi bước nhảy của quá trình đồng bộ hóa. Điều này giúp người nhận sự kiện loại bỏ mọi cập nhật đến từ các nút không thể tạo chữ ký hợp lệ bằng một trong các khóa ký ban đầu.

Hình 2. Xác thực dữ liệu, sự kiện được chia sẻ trên MISP

Hình 2 thể hiện cơ chế đảm bảo tính xác thực của chủ sở hữu sự kiện. Alice có thể thêm khóa ký của riêng mình cũng như của Bob vào sự kiện, đảm bảo rằng các bên duy nhất có thể chuyển tiếp các sửa đổi đối với sự kiện sẽ là Alice và Bob. EBa sẽ bị từ chối khi thực hiện sửa đổi sự kiện A và cố gắng chia sẻ sự kiện đó ngược lại với Bob.

Khi tham gia cộng đồng, các tổ chức có thể đăng ký các nguồn cấp dữ liệu liên quan trực tiếp đến các mối đe dọa với các chỉ số IOC theo danh mục cụ thể. Thông qua các API, dữ liệu này có thể được trích xuất thành các tệp có định dạng đồng bộ với hệ thống quản lý và phân tích sự kiện bảo mật, hệ thống phát hiện xâm nhập, hệ thống tường lửa,... Mặt khác, các tổ chức cũng có thể đóng góp bằng cách chia sẻ nguồn cấp dữ liệu, sự kiện của tổ chức đến cộng đồng sử dụng nền tảng MISP.

MISP khuyến khích một môi trường cộng tác, nơi các tổ chức có thể cùng nhau bảo vệ chống lại các mối đe dọa trên không gian mạng, tập hợp chuyên môn và nguồn lực để cùng nhau thúc đẩy phòng thủ an ninh mạng chủ động. Việc tận dụng các nguồn dữ liệu bên ngoài và việc sử dụng các nguyên tắc phân loại trong MISP cho phép cụ thể hóa thông tin tình báo về các mối đe dọa, cung cấp hiểu biết sâu hơn về các chiến thuật, kỹ thuật và quy trình của đối thủ.

KẾT LUẬN

Trong bối cảnh các tin tặc đang ngày càng phát triển nhiều kỹ thuật và phương thức tấn công mới, cùng với các mối đe dọa mạng tiếp tục gia tăng về mức độ phức tạp và tần suất, việc chia sẻ thông tin tình báo về mối đe dọa hiệu quả là rất quan trọng để duy trì hệ thống phòng thủ an ninh mạng được hiệu quả. Bằng cách tận dụng sức mạnh của sự cộng tác, chia sẻ thông tin nhanh chóng và phòng thủ chung, các tổ chức có thể phát hiện sớm các mối đe dọa và phản ứng nhanh chóng hơn. Việc sử dụng MISP như một phần của chiến lược tình báo về mối đe dọa toàn diện sẽ trao quyền cho các tổ chức bảo vệ tài sản kỹ thuật số và thúc đẩy một cộng đồng an ninh mạng mạnh mẽ và linh hoạt hơn.