Hiện nay các hoạt động bảo mật công nghệ thông tin (CNTT) chủ yếu mang tính phản ứng, theo đó nhiều tổ chức đang tập trung vào việc triển khai các biện pháp kiểm soát bảo mật nhằm phát hiện hành vi của kẻ tấn công. Sau đó là phản ứng khi các chỉ số về mối đe dọa được xác định trên mạng doanh nghiệp, đây vẫn thường được xem như là yếu tố trung tâm của các hoạt động bảo mật trong những năm gần đây và trở về trước. Tuy nhiên, việc tiếp cận phòng thủ theo hướng phản ứng về cơ bản vô tình tạo điều kiện để cho những kẻ thù tinh vi “trú ngụ” không bị phát hiện bên trong hệ thống mạng trong nhiều tuần, nhiều tháng hoặc thậm chí nhiều năm, từ đó chúng có nhiều thời gian để tìm kiếm và đánh cắp dữ liệu có giá trị hoặc làm gián đoạn hoạt động kinh doanh.
Ngược lại, truy tìm mối đe dọa là một cách tiếp cận chủ động để bảo vệ hệ thống CNTT của một tổ chức. Đây là quá trình chủ động săn lùng các dấu hiệu liên quan đến hoạt động độc hại trong mạng doanh nghiệp mà không cần biết trước về các dấu hiệu đó. Nhiệm vụ này cho phép các chuyên gia bảo mật có thể phát hiện ra các mối đe dọa tinh vi, đang ẩn náu bên trong môi trường mạng một tổ chức.
Mục tiêu chính của việc truy tìm mối đe dọa là giảm “thời gian trú ngụ của kẻ thù”, bằng cách tìm ra các thỏa hiệp càng sớm càng tốt, từ đó loại bỏ và vô hiệu quá các hoạt động độc hại khỏi hệ thống CNTT trước khi kẻ tấn công có thể hoàn thành mục tiêu cuối cùng. Bằng cách phát hiện sớm kẻ thù trong một cuộc xâm nhập, các tổ chức sẽ giảm được chi phí khắc phục, cũng như biết được họ đang phải đối mặt với những mối đe dọa nào và mức độ nghiêm trọng mà tổ chức đang gặp phải nếu không phát hiện kịp thời, từ đó có biện pháp ứng phó thích đáng trước khi quá muộn.
Để việc truy tìm các mối đe dọa an ninh mạng được hiệu quả, người thực hiện công việc truy tìm cần đứng dưới góc nhìn của kẻ xâm nhập để nghiên cứu cách thức mà kẻ tấn công sử dụng để giành quyền kiểm soát một hệ thống. Vì thế bên cạnh kinh nghiệm của đội ngũ chuyên gia, thì khung MITRE ATT&CK cần được sử dụng như là thông tin tham chiếu đầu vào đối với các hướng và kỹ thuật tấn công có thể xảy ra, sử dụng chính tư duy của kẻ tấn công để truy tìm nơi các tác nhân nguy hiểm đang trú ngụ, đồng thời khung tham chiếu này cũng chứa rất nhiều thông tin giá trị cho người thực hiện truy tìm như các chiến dịch tấn công liên quan, kỹ thuật, phương thức kẻ tấn công sử dụng... Khung này cũng cung cấp các đề xuất để phát hiện mối đe dọa, có giá trị cho cả việc truy tìm và giám sát bảo mật.
Hình 1. Các giai đoạn thực hiện truy tìm mối đe dọa an ninh tiềm ẩn
(1) Trước khi bắt đầu công việc truy tìm, chúng tôi sẽ tạo ra một hồ sơ liên quan đến mục đích thực hiện, phạm vi các mục tiêu cần truy tìm, qua đó tổ chức đánh giá để xác định các tài sản, thông tin đáng giá của một tổ chức, mô hình hóa các mối đe dọa để xác định các cách có thể tấn công và chiếm đoạt tài sản, thông tin này. Sau khi có cái nhìn tổng thể và hiểu rõ hơn về các mục tiêu cần truy tìm, chúng tôi sẽ đưa ra các giả thuyết truy tìm. Phân tích sơ đồ tấn công có thể đóng vai trò như một phần phân tích xác định hướng tấn công tới tài sản thông tin đáng giá. Những công việc này giúp chúng tôi thu hẹp phạm vi và giảm thiểu tối đa thời gian thực hiện.
(2) Lịch sử các sự cố trong quá khứ được chúng tôi sử dụng ở giai đoạn này để kích hoạt những điều tra ban đầu. Với kinh nghiệm ứng cứu sự cố bảo mật, chúng tôi nhận thấy trong giai đoạn sau khi kết thúc sự cố, nhiều hoạt động sẽ được thực hiện để tránh việc tái diễn sự cố tương tự. Tuy nhiên, trong một vài trường hợp, gốc rễ của nguyên nhân chưa được tìm ra để xử lý triệt để, đây chính là những trường hợp tiêu biểu sẽ được đưa ra điều tra truy tìm, bởi điều này đã được chứng minh trong quá khứ, là kẻ tấn công đã xâm nhập thành công hệ thống của tổ chức. Tại thời điểm này, chúng tôi đồng thời tiến hành thu thập dữ liệu phục vụ cho việc tìm kiếm và cập nhật dữ liệu cho hệ thống giám sát để đảm bảo các hoạt động liên quan đến kẻ tấn công sẽ được theo dõi chặt chẽ. Công việc này sẽ được lặp đi lặp lại mỗi khi phát hiện một mối đe dọa mới.
(3) Đây là giai đoạn quan trọng nhất trong hành trình truy tìm các mối đe dọa an ninh tiềm ẩn. Sau khi đã có được dữ liệu liên quan đến các mục tiêu cần săn lùng, chúng tôi sử dụng kết hợp công nghệ và kinh nghiệm của đội ngũ chuyên gia để tìm kiếm xung quanh các mục tiêu liên quan nhằm phát hiện những hoạt động bất thường, những dấu hiệu đáng ngờ. Sau đó, giới hạn phạm vi truy tìm và tiến hành thu thập chứng cứ liên quan đến hệ thống, vùng mạng có khả năng bị xâm nhập, tiến hành điều tra chuyên sâu để xác định cách thức phần mềm độc hại được đưa tới hệ thống, phạm vi ảnh hưởng, khả năng tác động của cuộc tấn công lên trên tổng thể hạ tầng CNTT.
(4) Sau khi phân tích và xác định được nguyên nhân, nguồn gốc, phạm vi tấn công, chúng tôi sẽ kích hoạt quá trình ứng phó sự cố, bằng việc cô lập hệ thống ra một vùng mạng riêng để giám sát kỹ hơn, cập nhật lại dữ liệu cho hệ thống giám sát, hệ thống đánh chặn và hệ thống nguồn tin nguy cơ. Những chứng cứ thu được cũng sẽ được cung cấp cho các bộ phận liên quan nhằm phục vụ mục đích truyền thông nội bộ, cũng như nâng cao nhận thức nhân viên trong tổ chức, đưa ra những bài học kinh nghiệm để hạn chế tối đa việc hệ thống bị xâm nhập theo kịch bản tương tự trong tương lai.
(5) Mục đích cuối cùng của truy tìm mối đe dọa chính là qua đó chúng ta cải thiện lại hệ thống phòng thủ, tinh chỉnh lại các tập luật trên tường lửa để tăng cường sự kiểm soát, cập nhật lại các bản vá bảo mật cũng như đào tạo để nâng cao nhận thức về an toàn thông tin của người dùng trong tổ chức. Nguồn tin nguy cơ (Threat Intelligence) sẽ được chúng tôi sử dụng trong suốt quá trình truy tìm các mối đe dọa liên quan đến tấn công mạng. Nhóm nguồn tin nguy cơ sẽ cung cấp thông tin về các tác nhân đe dọa, phương pháp, khả năng, cơ sở hạ tầng kỹ thuật và các nạn nhân khác liên quan cùng một tác nhân. Những thông tin này sau đó sẽ được sử dụng để mở rộng điều tra truy tìm thêm hoạt động độc hại. Việc sử dụng nguồn tin nguy cơ sẽ giúp cho các “chuyên gia tìm kiếm” có một cái nhìn tổng quan đầy đủ hơn về cuộc tấn công đã diễn ra. Ví dụ: Nguồn tin nguy cơ giúp xác định được các máy tính có nguy cơ nhiễm mã độc thông qua dữ liệu các máy chủ C&C mà hệ thống chúng tôi đang có, cũng như các chiến dịch tấn công liên quan.
Để săn lùng các mối đe dọa trên phạm vi một tổ chức với nhiều hệ thống chuyên biệt, chúng tôi xây dựng một hạ tầng để cung cấp các nền tảng có thể đáp ứng việc thu thập được tất cả các dữ liệu từ điểm cuối (endpoint) và dữ liệu mạng, sau đó thực hiện phân tích trên các hệ thống chuyên dụng do chúng tôi phát triển.
Hạ tầng này bao gồm EDR được cài đặt ở các endpoint làm nhiệm vụ thu thập tất cả các hành vi liên quan đến thiết bị đầu cuối, dữ liệu mạng lưu chuyển sẽ được thiết lập để đi qua thiết bị thu thập lưu lượng mạng. Tất cả sẽ được gửi về máy chủ trung tâm, nơi có các nền tảng phục vụ cho việc phân tích dữ liệu. Với hạ tầng triển khai như trên, chúng tôi có thể thực hiện trên một phạm vi rộng lớn lên đến hàng trăm ngàn mục tiêu trong khoảng thời gian ngắn, những dữ liệu liên quan đến các mối đe dọa sẽ được cập nhật liên tục từ hệ thống nguồn tin nguy cơ. Với hạ tầng đang triển khai, chúng tôi tiến hành truy tìm các mối đe dọa an ninh thông tin trên 2 phân vùng chính (trên thiết bị đầu cuối và trên vùng mạng) kết hợp với nguồn tin nguy cơ của PwC.
Hình 2. Mô hình tổng quan hạ tầng phục vụ việc truy tìm các mối đe dọa an ninh tiềm ẩn
Khó khăn lớn nhất của việc truy tìm các mối đe dọa trên endpoint là khi triển khai các agent đóng vai trò như một sensor gửi về máy chủ trung tâm, đặc biệt là ở các ngân hàng thì endpoint rất đa dạng, đủ loại hệ điều hành và hệ thống nghiệp vụ khác nhau. Vì thế khi lựa chọn EDR phục vụ cho việc truy tìm các mối đe dọa, chúng ta cần lựa chọn những giải pháp thích hợp. Hiện tại ở PwC chúng tôi đang sử dụng Tanium và thường được chúng tôi triển khai trên các hệ thống của khách hàng 1 tháng. Tanium được kết nối đến một máy chủ trung tâm, từ đây chúng tôi có thể thực hiện các tác vụ như quét tất cả các file hệ thống, quét bộ nhớ RAM, giải pháp này hiện đang được triển khai cho nhiều tổ chức trên toàn cầu có sử dụng dịch vụ tìm kiếm các mối đe dọa của PwC.
Khi thực hiện truy tìm các mối đe dọa trên trên vùng mạng, chúng tôi triển khai một thiết bị cho phép quan sát mọi lưu lượng ra vào hệ thống để theo dõi những hoạt động đang diễn ra, kết hợp với nhóm nguồn tin nguy cơ của chúng tôi có thể phát hiện các vi phạm đã và đang diễn ra thông qua việc phân tích nguồn dữ liệu bên ngoài và nguồn dữ liệu riêng của PwC.
Hình 3. Quy trình truy tìm trên thiết bị đầu cuối
“Bourbon” là tài sản cơ sở hạ tầng về mã độc DNS sinkhole của PwC, giúp giám sát các kết nối từ địa chỉ IP của khách hàng tới các miền máy chủ C&C của kẻ tấn công. Chúng tôi thu thập và phân tích dữ liệu botnet và vùng dữ liệu bị rò rỉ/xâm nhập có chứa thông tin của khách hàng. Chúng tôi phân tích hàng TB mã độc từ kho lưu trữ để xác định các mẫu tiềm năng mà khách hàng của chúng tôi hiện đang là mục tiêu trực tiếp.
Ngoài ra chúng tôi cũng phân tích các trang web Paste & dump trong thời gian thực hiện dự án, giám sát các trang web kết xuất phổ biến như Pastebin để ghi nhận tất cả các tham chiếu đến thương hiệu và tên miền của khách hàng và bất kỳ liên kết nào đến hoạt động độc hại.
Chúng tôi tìm kiếm tên miền của khách hàng trên hàng trăm bộ dữ liệu được thu thập từ botnet, câu lệnh của mã độc, máy chủ chỉ huy và dữ liệu vi phạm để xác định thông tin bị rò rỉ.
Hình 4. Quy trình truy tìm trên vùng mạng
Nhiệm vụ của an toàn thông tin là làm cho hệ thống luôn được an toàn trước các cuộc tấn công mạng. Tuy nhiên, ngay cả trong trường hợp hệ thống đã bị xâm nhập, nếu chúng ta có thể phát hiện sớm thì sẽ giảm thiểu được tối đa các thiệt hại về chi phí do nó gây ra, hơn là việc phải xử lý những thỏa hiệp toàn diện lên toàn bộ hệ thống CNTT khi mọi thứ đã quá muộn. Lúc này truy tìm các mối đe dọa an ninh thông tin có thể được xem như là tuyến phòng thủ cuối cùng mà chúng ta cần phải chủ động thực hiện, sau khi những biện pháp ngăn chặn trước đó đã bị thất bại.
Lê Công Phú (Tập đoàn PwC)
14:00 | 05/07/2021
10:00 | 14/10/2021
14:00 | 28/04/2021
09:00 | 31/01/2022
13:00 | 06/12/2022
10:00 | 04/11/2021
08:00 | 21/12/2023
Theo số liệu của DataReportal, hiện Việt Nam đang có khoảng 49,9 triệu người sử dụng mạng xã hội TikTok, xếp thứ 6 trên 10 quốc gia có số người sử dụng TikTok nhiều nhất thế giới. Đáng chú ý là mạng xã hội này đang dần chiếm lĩnh thị trường nhờ vào những đoạn video có nội dung đa dạng mang tính "gây nghiện", thu hút mọi lứa tuổi trong đó có trẻ em. Tuy nhiên không như những mạng xã hội khác, TikTok thường xuyên bị cáo buộc việc gây ra những rủi ro nghiêm trọng về bảo mật và quyền riêng tư của người dùng. Thời gian qua đã có ít nhất 10 quốc gia cấm sử dụng ứng dụng này, trong đó có những nguyên nhân là do Tiktok gây ảnh hưởng nghiêm trọng tới suy nghĩ và hành động của trẻ em.
10:00 | 03/10/2023
Với sự gia tăng nhanh chóng của các mối đe dọa mạng tinh vi, các tổ chức ngày nay đang phải đối mặt với những thách thức lớn trong việc ngăn chặn và giảm thiểu các cuộc tấn công mạng. Để chống lại điều này, việc chia sẻ và phân tích thông tin tình báo về mối đe dọa vì thế càng trở nên mang tính cấp thiết và quan trọng. Nền tảng chia sẻ thông tin phần mềm độc hại (MISP) chính là một khuôn khổ nổi bật nhằm tạo điều kiện trao đổi thông tin tình báo về mối đe dọa giữa các tổ chức và cộng đồng an ninh mạng. Bài viết này cung cấp đánh giá cơ bản về nền tảng MISP, thảo luận về kiến trúc, các tính năng chia sẻ mối đe dọa cũng như những triển vọng của nó trong việc thúc đẩy phòng thủ an ninh mạng chủ động.
10:00 | 20/09/2023
ChatGPT và các mô hình ngôn ngữ lớn (LLM) tương tự đã làm tăng thêm độ phức tạp trong bối cảnh mối đe dọa trực tuyến ngày càng gia tăng. Tội phạm mạng không còn cần các kỹ năng mã hóa nâng cao để thực hiện gian lận và các cuộc tấn công gây thiệt hại khác chống lại các doanh nghiệp và khách hàng trực tuyến nhờ vào bot dưới dạng dịch vụ, residential proxy, CAPTCHA và các công cụ dễ tiếp cận khác. Giờ đây, ChatGPT, OpenAI và các LLM khác không chỉ đặt ra các vấn đề đạo đức bằng cách đào tạo các mô hình của họ về dữ liệu thu thập trên Internet mà LLM còn đang tác động tiêu cực đến lưu lượng truy cập web của doanh nghiệp, điều này có thể gây tổn hại lớn đến doanh nghiệp đó.
09:00 | 25/11/2022
Kiểm thử xâm nhập là một giải pháp ngăn chặn các cuộc tấn công mạng hữu hiệu nhất. Nhưng không giống như các phương thức hay giải pháp bảo mật khác, kiểm thử xâm nhập chống lại mối đe dọa bằng cách tự suy nghĩ và hành động như một mối đe dọa để xâm nhập thử vào hệ thống hay ứng dụng của tổ chức. Kết quả kiểm tra sau đó được sử dụng để khắc phục các lỗi đang tồn tại trong hệ thống hoặc ứng dụng mà chưa được biết đến, bằng cách tinh chỉnh và tăng cường bảo mật.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Những ngày gần đây, liên tục các kênh YouTube với lượng người theo dõi lớn như Mixigaming với 7,32 triệu người theo dõi của streamer nổi tiếng Phùng Thanh Độ (Độ Mixi) hay Quang Linh Vlogs - Cuộc sống ở Châu Phi với 3,83 triệu người theo dõi của YouTuber Quang Linh đã bị tin tặc tấn công và chiếm quyền kiểm soát.
10:00 | 22/04/2024
