MISP là một nền tảng thu thập, chia sẻ, lưu trữ và liên kết các chỉ số thoả hiệp - IOC (Địa chỉ IP, tên miền, hàm băm), thông tin tình báo về mối đe dọa của các cuộc tấn công có chủ đích, kiểu tấn công (TTP, ATT&CK), thông tin về các lỗ hổng bảo mật trên không gian mạng. Dự án được phát triển bởi một nhóm các nhà phát triển từ CIRCL (Computer Incident Response Center Luxembourg), Bộ Quốc phòng Bỉ, NATO, NCIRC (NATO Computer Incident Response Capability) và được tài trợ bởi Liên minh châu Âu và Trung tâm ứng phó sự cố máy tính Luxembourg.
Mục đích của MISP là tạo ra một nền tảng tin cậy bằng cách lưu trữ thông tin về mối đe dọa và nâng cao khả năng phát hiện phần mềm độc hại để khuyến khích trao đổi thông tin giữa các tổ chức. Bên cạnh các tính năng phong phú nhằm theo dõi, phân tích mối đe dọa như trực quan hóa, gắn thẻ các trường thông tin, phân loại các mối đe doạ, hiển thị các cảnh báo, MISP cũng tích hợp các giao thức mở để truyền tải và chia sẻ dữ liệu, cho phép tích hợp với các hệ thống an ninh mạng và công cụ phân tích phổ biến hiện nay.
Các nền tảng chia sẻ thông tin tình báo về mối đe dọa luôn đòi hỏi sự cộng tác, chia sẻ thông tin nhanh chóng nhằm đưa ra các giải pháp giảm thiểu đối với từng loại tấn công trên “chiến trường” an ninh mạng, điều này được thực hiện rõ trong kiến trúc của nền tảng MISP với các thành phần chính như sau:
- Sự kiện: Là một mục mối đe dọa duy nhất được tạo bởi một tổ chức và chứa các thông tin như mối đe dọa, lần phát hiện cuối cùng, ngày phát hành, tổ chức chủ sở hữu, mức độ đe dọa và tất cả các IOC liên quan đến mối đe dọa đó.
- Nguồn cấp dữ liệu: Sau khi một sự kiện được tạo, người dùng phải gán sự kiện đó cho một nguồn cấp dữ liệu cụ thể. Nguồn cấp dữ liệu hoạt động như một danh sách tập trung các sự kiện riêng biệt có thể thuộc về một tổ chức cụ thể và chỉ chứa một loại sự kiện hoặc bất cứ số lượng các đặc điểm nhóm khác.
- Cộng đồng: Các tổ chức hỗ trợ MISP tạo thành một tập thể có tổ chức.
- API: Người dùng có thể lập trình các đoạn mã sử dụng các chức năng gửi và nhận (Pull/Push) thông tin về các mối đe dọa.
- Giao diện người dùng web: MISP đi kèm với nền tảng giao diện người dùng được lưu trữ trên web riêng biệt cho phép người dùng đăng nhập và tương tác với tất cả các tệp dữ liệu.
Hình 1. Kiến trúc nền tảng MISP
CHIA SẺ MỐI ĐE DỌA
Cộng đồng chuyên gia; nguồn cấp dữ liệu chất lượng; mức độ chia sẻ dữ liệu, sự kiện là yếu tố mấu chốt giúp cho nền tảng MISP hoạt động một cách hiệu quả. Hiện nay, nền tảng chia sẻ thông tin phần mềm độc hại đang được sử dụng bởi hơn 6000 tổ chức độc lập trong các ngành và lĩnh vực khác nhau, mỗi tổ chức đều có nguồn cung cấp dữ liệu về mối đe dọa độc quyền, công khai hoặc giới hạn trong một số nhóm. Khi hoàn tất việc thiết lập, các tổ chức có thể thêm sự kiện vào nguồn cấp dữ liệu và quy định về cấp độ chia sẻ các sự kiện thuộc về tổ chức.
Các cấp độ này bao gồm:
- Các sự kiện chỉ chia sẻ trong nội bộ tổ chức.
- Các sự kiện được chia sẻ trong cộng đồng nhất định.
- Các sự kiện được chia sẻ trong một cộng đồng kết nối cùng nhau.
- Các sự kiện được chia sẻ trong toàn bộ cộng đồng.
Số lượng dữ liệu, sự kiện ngày càng tăng nhanh dẫn đến các tranh chấp, sửa đổi trái phép sự kiện trên toàn bộ nền tảng. Các cơ chế xác thực cần thiết đã được bổ sung trên các phiên bản MISP gần đây nhằm ngăn chặn việc đánh cắp, sửa đổi các sự kiện được chia sẻ. Cụ thể, cơ chế này cho phép người tạo sự kiện đính kèm một bộ khóa ký sử dụng thuật toán mã hóa PGP (Pretty Good Privacy) vào một sự kiện, được sử dụng để ký các sự kiện trên mỗi bước nhảy của quá trình đồng bộ hóa. Điều này giúp người nhận sự kiện loại bỏ mọi cập nhật đến từ các nút không thể tạo chữ ký hợp lệ bằng một trong các khóa ký ban đầu.
Hình 2. Xác thực dữ liệu, sự kiện được chia sẻ trên MISP
Hình 2 thể hiện cơ chế đảm bảo tính xác thực của chủ sở hữu sự kiện. Alice có thể thêm khóa ký của riêng mình cũng như của Bob vào sự kiện, đảm bảo rằng các bên duy nhất có thể chuyển tiếp các sửa đổi đối với sự kiện sẽ là Alice và Bob. EBa sẽ bị từ chối khi thực hiện sửa đổi sự kiện A và cố gắng chia sẻ sự kiện đó ngược lại với Bob.
Khi tham gia cộng đồng, các tổ chức có thể đăng ký các nguồn cấp dữ liệu liên quan trực tiếp đến các mối đe dọa với các chỉ số IOC theo danh mục cụ thể. Thông qua các API, dữ liệu này có thể được trích xuất thành các tệp có định dạng đồng bộ với hệ thống quản lý và phân tích sự kiện bảo mật, hệ thống phát hiện xâm nhập, hệ thống tường lửa,... Mặt khác, các tổ chức cũng có thể đóng góp bằng cách chia sẻ nguồn cấp dữ liệu, sự kiện của tổ chức đến cộng đồng sử dụng nền tảng MISP.
MISP khuyến khích một môi trường cộng tác, nơi các tổ chức có thể cùng nhau bảo vệ chống lại các mối đe dọa trên không gian mạng, tập hợp chuyên môn và nguồn lực để cùng nhau thúc đẩy phòng thủ an ninh mạng chủ động. Việc tận dụng các nguồn dữ liệu bên ngoài và việc sử dụng các nguyên tắc phân loại trong MISP cho phép cụ thể hóa thông tin tình báo về các mối đe dọa, cung cấp hiểu biết sâu hơn về các chiến thuật, kỹ thuật và quy trình của đối thủ.
Trong bối cảnh các tin tặc đang ngày càng phát triển nhiều kỹ thuật và phương thức tấn công mới, cùng với các mối đe dọa mạng tiếp tục gia tăng về mức độ phức tạp và tần suất, việc chia sẻ thông tin tình báo về mối đe dọa hiệu quả là rất quan trọng để duy trì hệ thống phòng thủ an ninh mạng được hiệu quả. Bằng cách tận dụng sức mạnh của sự cộng tác, chia sẻ thông tin nhanh chóng và phòng thủ chung, các tổ chức có thể phát hiện sớm các mối đe dọa và phản ứng nhanh chóng hơn. Việc sử dụng MISP như một phần của chiến lược tình báo về mối đe dọa toàn diện sẽ trao quyền cho các tổ chức bảo vệ tài sản kỹ thuật số và thúc đẩy một cộng đồng an ninh mạng mạnh mẽ và linh hoạt hơn.
Trần Nhật Long (Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ), Nguyễn Đình Chiến (Công ty Misoft)
13:00 | 04/08/2023
13:00 | 06/12/2022
09:00 | 14/09/2023
10:00 | 16/05/2024
22:00 | 26/01/2025
Các sản phẩm được thiết kế an toàn là những sản phẩm được các nhà sản xuất phần mềm tạo ra, phân phối và bảo trì, trong đó bảo mật là yếu tố cốt lõi cần quan tâm ngay từ những giai đoạn đầu tiên của vòng đời phát triển sản phẩm. Điều này giúp đảm bảo rằng các sản phẩm mà tổ chức mua sắm và sử dụng được thiết kế an toàn, có khả năng chống lại mã độc tống tiền và các cuộc tấn công mạng khác. Hiện nay, các nhà sản xuất phần mềm đang cố gắng cung cấp các tính năng bảo mật theo yêu cầu của khách hàng, vì vậy điều quan trọng là bản thân khách hàng phải hiểu và đưa ra được những yêu cầu rõ ràng về bảo mật như một phần của quy trình mua sắm.
13:00 | 23/01/2025
Cách mạng khoa học công nghiệp 4.0 với sự hội tụ của hệ thống không gian mạng thực - ảo, điện toán đám mây, Internet vạn vật (IoT) được đưa vào ứng dụng rộng rãi, ảnh hưởng trực tiếp đời sống, kinh tế, xã hội, quốc phòng, an ninh của các quốc gia. Sự xuất hiện của các thiết bị IoT làm gia tăng sự kết nối của con người, dịch vụ, thúc đẩy mạnh mẽ số hóa, tự động hóa ở tất cả các ngành nghề, lĩnh vực, mang lại những lợi ích to lớn, tạo ra các mô hình kinh doanh mới nhưng đồng thời cũng tiềm ẩn nhiều nguy cơ bị tấn công mạng, gây mất an toàn thông tin, an ninh mạng. Bài viết sẽ thông tin tới độc giả về xu hướng tấn công vào thiết bị IoT và đưa ra một số kiến nghị để ứng phó với các thách thức đang đặt ra.
10:00 | 30/10/2024
Cục An toàn thông tin vừa phát đi cảnh báo về chiêu trò lừa đảo mới mạo danh cơ quan an sinh xã hội, dụ người dân nhận tiền hỗ trợ, trợ cấp... Tuy nhiên, đằng sau những lời "có cánh" lại là cái bẫy tinh vi nhằm chiếm đoạt tài sản.
10:00 | 25/10/2024
Triết lý an ninh mạng Zero Trust đặt ra nguyên tắc không có bất kỳ người dùng nào trong hoặc ngoài hệ thống mạng đủ tin tưởng mà không cần thông qua sự kiểm tra chặt chẽ về danh tính. Để triển khai Zero Trust hiệu quả, cần áp dụng các giải pháp công nghệ mạnh mẽ. Bài báo này sẽ trình bày những vấn đề cơ bản về Zero Trust.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Trong bối cảnh phát triển mạnh mẽ của Trí tuệ nhân tạo (AI), vấn đề khai thác lỗ hổng (Jailbreak) đã trở thành một thách thức đáng chú ý trong việc quản lý và kiểm soát mô hình ngôn ngữ lớn tạo sinh (Generative Pre-trained Transformer - GPT). Trong phạm vi bài viết này, nhóm tác giả sẽ giới thiệu tổng quan về mô hình ngôn ngữ lớn GPT hiện nay, một số phương thức khai thác lỗ hổng trong mô hình GPT và cung cấp một góc nhìn về khai thác lỗ hổng trong tương lai.
22:00 | 30/01/2025
