Công cụ mới hỗ trợ thông tin về tấn công APT

V.N| 12/06/2020 10:31
Theo dõi ICTVietnam trên

Kaspersky đã chính thức giới thiệu giải pháp cung cấp thông tin tình báo mối đe dọa cho các nhà phân tích trung tâm điều hành an ninh (SOC) và đội ứng phó sự cố bằng cách đối chiếu mã độc với mẫu phần mềm độc hại đã từng được phát tán bởi các nhóm APT.

Sử dụng phương pháp độc quyền của mình, Kaspersky Threat Attribution Engine giúp đối chiếu mã độc được phát hiện với mẫu mã độc có trong một trong những cơ sở dữ liệu phần mềm độc hại lớn nhất trong ngành.

Dựa trên sự tương đồng về mã, phần mềm giúp nhận diện sự liên quan giữa mã độc với nhóm hoặc chiến dịch APT cụ thể. Thông tin này giúp các chuyên gia bảo mật ưu tiên đối phó các mối đe dọa rủi ro cao, thay vì tập trung vào những sự cố ít nghiêm trọng hơn.

Công cụ mới hỗ trợ thông tin về tấn công APT - Ảnh 1.

Bằng việc biết ai đang tấn công công ty và với mục đích gì, bộ phận an ninh mạng có thể nhanh chóng đưa ra kế hoạch ứng phó sự cố phù hợp. Tuy nhiên, nhận diện tin tặc đứng sau một cuộc tấn công là nhiệm vụ đầy thách thức, không chỉ đòi hỏi lượng lớn thông tin tình báo mối đe dọa an ninh mạng, mà còn cần những kỹ năng phù hợp để phân tích những thông tin đó.

Để tự động hóa việc phân loại và nhận dạng phần mềm độc hại tinh vi, Kaspersky giới thiệu công cụ Kaspersky Threat Attribution Engine.

Giải pháp được phát triển từ một công cụ nội bộ được sử dụng bởi Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT). Trước đó, Kaspersky Threat Attribution Engine đã được sử dụng trong quá trình điều tra các chiến dịch tấn công iOS implant LightSpy, TajMahal, ShadowHammer, ShadowPad và Dtrack campaigns.

Công cụ mới hỗ trợ thông tin về tấn công APT - Ảnh 2.

Để xác định mối đe dọa có liên quan đến một nhóm hoặc chiến dịch APT đã biết hay không, và cụ thể là mối đe dọa nào, Kaspersky Threat Attribution Engine sẽ tự động phân tách tập độc hại mới tìm thấy thành các mảnh nhị phân nhỏ. Sau đó, công cụ tiến hành so sánh với các mảnh trong bộ hơn 60.000 tệp liên quan đến tấn công APT của Kaspersky.

Để chính xác hơn, giải pháp cũng kết hợp một cơ sở dữ liệu lớn các tệp có trong danh sách trắng. Việc này cải thiện đáng kể chất lượng của việc phân loại phần mềm độc hại và nhận dạng tấn công, từ đó phục vụ cho hoạt động phản ứng sự cố.

Tùy thuộc vào mức độ tương hợp của tập được phân tích với các mẫu trong cơ sở dữ liệu, Kaspersky Threat Attribution Engine tính toán mức độ phổ biến, phân tích nguồn gốc mã độc và tin tặc thực hiện tấn công bằng một mô tả ngắn, cũng như liên kết dữ liệu đến tài nguyên riêng tư và công khai về các chiến dịch đã thực hiện trước đây.

Báo cáo Kaspersky APT Intelligence cho thấy những thông tin về chiến thuật, kỹ thuật và quy trình được sử dụng bởi tác nhân đe dọa, cũng như các bước phản hồi cần thực hiện tiếp theo.

Kaspersky Threat Attribution Engine được thiết kế để triển khai trên mạng của khách hàng, trên nền tảng trực tuyến, thay vì trong cơ sở dữ liệu đám mây của bên thứ ba. Cách tiếp cận này cho khách hàng quyền kiểm soát đối với việc chia sẻ dữ liệu.

Ngoài các thông tin về mối đe dọa có sẵn trên mạng, khách hàng có thể tạo cơ sở dữ liệu của riêng mình bằng cách điền vào đó mẫu mã độc được tìm thấy bởi những nhà phân tích an ninh mạng nội bộ. Do đó, Kaspersky Threat Attribution Engine sẽ được thông tin về phần mềm độc hại có trong cơ sở dữ liệu của khách hàng, trong khi vẫn giữ bí mật thông tin này.

Ông Costin Raiu, Giám đốc Nhóm phân tích và nghiên cứu toàn cầu tại Kaspersky cho biết: "Có nhiều cách để nhận diện ai là người đứng sau một vụ tấn công mạng. Ví dụ: các nhà phân tích có thể dựa vào dấu hiệu trong phần mềm độc hại để xác định kẻ tấn công có phải là người bản địa hay không, hoặc địa chỉ IP có thể cho biết địa điểm tấn công".

Tuy nhiên, ông cho rằng nếu là tin tặc lành nghề, chúng có thể thao túng những điều này và khiến các nhà nghiên cứu dễ bị đánh lừa khi điều tra. Kinh nghiệm của chúng tôi cho thấy cách tốt nhất là tìm kiếm từ điểm chung của mã độc với những mẫu được xác định trong các sự cố hoặc chiến dịch trước đó. Để tự động hóa và tiết kiệm thời gian cho công việc này, chúng tôi đã tạo ra Kaspersky Threat Attribution Engine, hiện đã có sẵn để phục vụ cho khách hàng của công ty.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Chuyển đổi số hướng tới phục vụ người dân trong kỷ nguyên mới
    Đất nước ta đang bắt đầu bước vào kỷ nguyên mới, kỷ nguyên vươn mình, kỷ nguyên thịnh vượng của dân tộc Việt Nam phát triển, giàu mạnh, kỷ nguyên của sự bứt phá, đổi mới mạnh mẽ, quyết liệt và cách mạng, dưới sự lãnh đạo của Đảng Cộng sản, hướng tới mục tiêu dân giàu, nước mạnh, xã hội xã hội chủ nghĩa, sánh vai với các cường quốc năm châu như Chủ tịch Hồ Chí Minh hằng mong đợi.
  • Gỡ điểm nghẽn khoán chi và thương mại hóa các kết quả nghiên cứu
    Ngày 17/2, Quốc hội thảo luận ở hội trường về Dự thảo Nghị quyết thí điểm một số chính sách tháo gỡ vướng mắc trong hoạt động khoa học, công nghệ và đổi mới sáng tạo.
  • Chiêu trò lừa đảo giả mạo ứng dụng thuế tiếp tục tái diễn
    Cục An toàn thông tin, Bộ TT&TT, vừa đưa ra cảnh báo về các thủ đoạn lừa đảo trực tuyến nổi bật trong tuần từ 10/2 - 16/2/2025). Trong đó, đặc biệt đáng chú ý là tình trạng một số đối tượng lừa đảo bằng hình thức gọi điện thoại, gửi tin nhắn đến người nộp thuế tự xưng là công chức thuế tại các chi cục thuế đề nghị cài đặt các ứng dụng của ngành thuế.
  • Ngã rẽ nào cho Meta
    Facebook đã khởi động kỷ nguyên truyền thông xã hội hiện đại vào đầu những năm 2000. Nhưng tham vọng mở rộng của công ty mẹ Meta trong thập kỷ qua không đạt được thành công như vậy. Tuy nhiên, công ty này vẫn đang cố gắng hiện thực hóa với sản phẩm mới nhất: robot hình người (humanoid robots).
  • Hàng nhập khẩu từ 1 triệu đồng trở xuống gửi qua chuyển phát nhanh quốc tế phải nộp VAT
    Theo Quyết định số 01/2025/QĐ-TTg ngày 3/1/2025 của Thủ tướng Chính phủ, từ 18/2/2025, hàng hóa nhập khẩu gửi qua dịch vụ chuyển phát nhanh quốc tế có trị giá hải quan trong định mức miễn thuế nhập khẩu theo quy định tại khoản 2 Điều 29 Nghị định số 134/2016/NĐ-CP (hàng hóa giá trị từ 1 triệu đồng trở xuống hoặc có số tiền thuế phải nộp dưới 100.000 đồng Việt Nam) và không thuộc mặt hàng phải có giấy phép nhập khẩu, kiểm tra chuyên ngành phải nộp thuế giá trị gia tăng (GTGT).
  • Đào tạo chuyên sâu kiến trúc sư, kỹ sư trưởng và cao cấp thiết kế vi mạch bán dẫn
    Phát triển các chương trình đào tạo chuyên sâu về thiết kế vi mạch là yếu tố then chốt để ngành công nghiệp vi mạch bán dẫn của Việt Nam có thể vươn lên mạnh mẽ trong khu vực và thế giới.
  • Tạo đột phá pháp lý thực sự cho phát triển khoa học công nghệ
    Tiếp tục chương trình Kỳ họp bất thường lần thứ 9, sáng 17/2, Quốc hội thảo luận ở hội trường về Dự thảo Nghị quyết của Quốc hội thí điểm một số chính sách để tháo gỡ vướng mắc trong hoạt động khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia.
  • Chatbot AI mới tại Singapore thúc đẩy giao dịch bất động sản thuận lợi hơn
    Chatbot AI ở Singapore đang hỗ trợ người dân có nhu cầu mua bán bất động sản trở nên dễ dàng hơn bao giờ.
  • Lý do thực sự đằng sau cơn sốt DeepSeek
    DeepSeek đã làm đảo lộn thế giới công nghệ vào tháng trước. Theo các chuyên gia về AI, chúng ta có thể chỉ mới thấy khởi đầu của sự ảnh hưởng từ công ty khởi nghiệp công nghệ Trung Quốc này đối với lĩnh vực AI.
  • Báo chí kiến tạo: Trách nhiệm đồng hành cùng sự phát triển xã hội
    Bài viết này sẽ khám phá sự phát triển của báo chí kiến tạo từ lý thuyết nền tảng đến những ứng dụng cụ thể trên toàn cầu.
Công cụ mới hỗ trợ thông tin về tấn công APT
POWERED BY ONECMS - A PRODUCT OF NEKO