Hệ sinh thái CTI và các mối đe dọa mạng tiềm ẩn

Hệ sinh thái CTI

Bối cảnh của mối đe dọa an ninh mạng là một hệ sinh thái phức tạp gồm các mối đe dọa, tác nhân đe dọa và kỹ thuật tấn công cũng chịu ảnh hưởng của các sự kiện thế giới. Kiến thức và công cụ tốt nhất mà chúng ta có ngày hôm nay để giảm tác động của các mối đe dọa trên mạng có thể không phù hợp với mối đe dọa.

Gần đây, việc chia sẻ Thông tin về Mối đe dọa Mạng (Cyber Threat Intelligence - CTI) đã trở thành một vũ khí quan trọng để những người bảo vệ mạng nhằm giảm thiểu số lượng ngày càng tăng của các cuộc tấn công mạng một cách chủ động và hợp tác.

Tuy nhiên, với sự gia tăng đáng kể trong việc triển khai thông tin liên lạc được chia sẻ giữa các tổ chức, dữ liệu là ưu tiên chính để phát hiện các mối đe dọa trong nền tảng chia sẻ CTI.

Trong môi trường hiện đại, một tài sản có giá trị là dữ liệu về mối đe dọa của người dùng. Chính sách quyền riêng tư là cần thiết để đảm bảo tính bảo mật của dữ liệu người dùng trong cộng đồng chia sẻ thông tin tình báo về mối đe dọa mạng. Học liên kết hoạt động như một kỹ thuật học máy đặc biệt để bảo vệ quyền riêng tư và cung cấp ngữ cảnh hóa dữ liệu trong nền tảng chia sẻ CTI.

Ý tưởng phòng thủ chiến lược với khái niệm “phòng thủ tích cực, truy xuất nguồn gốc và các biện pháp đối phó” đã được đề xuất để chống lại các cuộc tấn công mạng và giảm thiểu tình trạng an toàn thông tin mạng ngày càng nghiêm trọng. CTI là việc hợp tác giải quyết các mối đe dọa mạng cũng như các cuộc tấn công liên tục (Advanced Persistent Threats - APT).

CTI bao gồm các thông tin về cuộc tấn công mạng, chẳng hạn như các thông tin tình báo về kẻ tấn công mạng, thông tin tình báo kỹ thuật và tệp nhật ký thiết bị. CTI có thể giúp các tổ chức xác định, đánh giá, phân tích và ứng phó với các rủi ro mạng và giảm thời gian phân loại các mối đe dọa. Do đó, các nền tảng chia sẻ của CTI đã trở thành một thành phần bảo mật quan trọng trong hoạt động kinh doanh của tổ chức. Hơn nữa, họ đang dần chú ý đến việc trao đổi thông tin và kiến thức chuyên môn như kiến thức về mối đe dọa, dấu hiệu tấn công (IoC), kỹ thuật phát hiện và biện pháp giảm thiểu rủi ro.

Chia sẻ và phân tích CTI giữa các tổ chức có thể giải quyết vấn đề về kho chứa thông tin sử dụng dữ liệu riêng tư để phát hiện mối đe dọa mạng. CTI được minh chứng toàn bộ tiềm năng của mình trong việc hợp tác phát hiện và ngăn chặn mối đe dọa bằng cách chia sẻ dữ liệu về mối đe dọa. Hầu hết dữ liệu chứa thông tin cá nhân riêng tư và cần được bảo vệ cẩn thận. Điều cực kỳ quan trọng là khuyến khích các tổ chức chủ động chia sẻ dữ liệu riêng tư trong một môi trường an toàn và đáng tin cậy mà không sợ vi phạm quyền riêng tư.

Một số nhà nghiên cứu đã phát triển các tiêu chuẩn khác nhau để trao đổi thông tin tình báo về mối đe dọa nhằm đáp ứng yêu cầu chia sẻ CTI, bao gồm STIX, TAXII và CybOX. Ngoài ra, các tổ chức chia sẻ dữ liệu về mối đe dọa phi cấu trúc được thu thập từ các thiết bị an toàn thông tin hoặc nhật ký hệ thống và phân tích dữ liệu để phát hiện các mối đe dọa bằng thuật toán học máy (ML) và học sâu (DL).

Các thuật toán ML/DL đóng vai trò quan trọng trong việc phân tích CTI và phát hiện các mối đe dọa để các tổ chức có thể chủ động phòng thủ trước các cuộc tấn công mạng. Tuy nhiên, dữ liệu CTI được lấy từ việc chia sẻ giữa các tổ chức và cần lưu trữ tập trung để huấn luyện thuật toán ML/DL. Quá trình chia sẻ và lưu trữ tập trung có thể tạo ra một số vấn đề, bao gồm các vấn đề về quyền riêng tư.

Các mối đe dọa tiềm ẩn

1. Chuỗi các phần mềm phụ thuộc trong hệ sinh thái

Tình huống xảy ra: Các tác nhân có sự bảo trợ lợi dụng cửa sau xâm nhập thư viện nguồn mở nổi tiếng và phổ biến trên kho lưu trữ trực tuyến. Chúng sử dụng điều này để xâm nhập thông tin từ hầu hết các tập đoàn lớn và sử dụng thông tin này để tống tiền các nhà lãnh đạo, hoạt động gián điệp hoặc gây ra sự gián đoạn.

Nhiều thành phần và dịch vụ tích hợp hơn từ các nhà cung cấp và đối tác bên thứ ba có thể dẫn đến những lỗ hổng mới và không lường trước được với sự thỏa hiệp từ phía nhà cung cấp và khách hàng.

Chúng ta có thể dự đoán trước hành động và khoanh vùng đối tượng là các nhóm hoặc tổ chức tội phạm được bảo trợ sẽ sử dụng các phương thức tấn công như: Phá hoại, trộm cắp, trinh sát mạng, mã độc, lạm dụng rò rỉ thông tin và tác động sau cuộc tấn công là gián đoạn, trục trặc, mất dữ liệu, rò rỉ dữ liệu.

2. Chiến dịch sử dụng thông tin nâng cao

Tình huống xảy ra: Các phần tử có sự bảo trợ có thể mạo danh một nhân vật quan trọng bằng cách sử dụng kỹ thuật giả mạo sâu (deepfake) và giả mạo danh tính kỹ thuật số, gây ảnh hưởng đáng kể một sự kiện lớn quan trọng.

Các cuộc tấn công deepfake có thể thao túng cộng đồng vì lý do chính trị hay lợi ích.

Chúng ta có thể dự đoán trước hành động và khoanh vùng đối tượng là các nhóm, tổ chức tội phạm, hacker được bảo trợ sẽ sử dụng các phương thức tấn công như: Gian lận, truy cập trái phép, chiếm quyền điều khiển phiên, đánh cắp danh tính, lạm dụng dữ liệu cá nhân và gây ra các tác động sau cuộc tấn công là sự nghi ngờ, thông tin sai lệch, thiệt hại tài chính, thao túng và can thiệp thông tin nước ngoài (FIMI).

3. Lỗi con người và các hệ thống khai thác trong hệ sinh thái mạng vật lý

Tình huống xảy ra: Đối tượng nhắm đến là tất cả các thiết bị truyền thống đều có kết nối mạng và được nghiên cứu chủ yếu bởi các nhà sản xuất do nhà nước tài trợ. Sau khi tìm thấy lỗ hổng, chúng sẽ nhắm mục tiêu vào thiết bị người dùng hoặc các sản phẩm IoT khác được sử dụng. Tội phạm bắt đầu sử dụng một dạng ransomware mới, trong đó chúng phá hủy cơ sở hạ tầng quan trọng và tống tiền, vì nhà điều hành có thể thiếu nguồn lực để tự giải quyết vấn đề.

Việc áp dụng nhanh chóng IoT, nhu cầu tận dụng di sản của các hệ thống cũ và tình trạng thiếu kỹ thuật có thể dẫn đến thiếu kiến thức, đào tạo và hiểu biết về hệ sinh thái vật lý không gian mạng, từ đó có thể dẫn đến các vấn đề bảo mật.

Chúng ta có thể dự đoán trước hành động và khoanh vùng đối tượng là các nhóm được bảo trợ, tội phạm mạng, kẻ tấn công mạng với các phương thức tấn công: giả mạo, lỗi liên kết truyền thông, từ chối dịch vụ, hoạt động độc hại, thao túng thông tin, tấn công có chủ đích, truy cập vật lý trái phép và gây ra tác động: trục trặc, hư hỏng và ngừng hoạt động, hư hỏng vật chất.

4. Các tấn công mục tiêu (ví dụ: ransomware) được nâng cao bằng dữ liệu thiết bị thông minh

Tình huống xảy ra: Tội phạm mạng có thể sử dụng lượng dữ liệu có sẵn ngày càng tăng từ các thiết bị thông minh và phân tích dữ liệu đó bằng AI để tạo ra mô hình hành vi của nạn nhân cho các chiến dịch lừa đảo trực tuyến hoặc theo dõi. Thông qua dữ liệu thu được từ các thiết bị thông minh được kết nối Internet, kẻ tấn công có thể truy cập thông tin để thực hiện các cuộc tấn công phù hợp và tinh vi hơn.

Chúng ta có thể dự đoán trước hành động và khoanh vùng đối tượng là tội phạm mạng, tin tặc với các phương thức tấn công: Từ chối dịch vụ, chặn thông tin, kỹ thuật xã hội, hoạt động trái phép, vi phạm dữ liệu và gây ra tác động: Thiệt hại tài chính và vi phạm quyền riêng tư.

5. Thiếu phân tích và kiểm soát cơ sở hạ tầng

Tình huống xảy ra: Những kẻ tấn công truy cập vào cơ sở hạ tầng không gian, xây dựng năng lực và kiến thức về công nghệ cũng như đảm bảo sự hiện diện của chúng để thực hiện các cuộc tấn công. Mục đích của chúng có thể là tạo ra các trục trặc về cơ sở hạ tầng như một công cụ quản lý nhằm phá hoại các hoạt động và hệ thống.

Do sự giao thoa giữa cơ sở hạ tầng tư nhân và công cộng trong không gian, nên cần phải nghiên cứu tính bảo mật của các cơ sở hạ tầng và công nghệ mới này vì việc thiếu kiến thức, phân tích và kiểm soát cơ sở hạ tầng trên không gian có thể khiến cơ sở hạ tầng trên không gian dễ bị tấn công và ngừng hoạt động.

Chúng ta có thể dự đoán trước hành động và khoanh vùng đối tượng là các tác nhân được bảo trợ, các tội phạm mạng, tin tặc với các phương thức tấn công: Sử dụng trái phép các tài nguyên được bảo vệ quyền sở hữu trí tuệ, tấn công có chủ đích, gian lận, phá hoại, rò rỉ thông tin, chiếm quyền điều khiển phiên, phần mềm độc hại và các tác động để lại: Hư hỏng, ngừng hoạt động, trục trặc.

6. Sự tăng trưởng của các mối đe dọa hỗn hợp

Tình huống xảy ra: Tin tặc được một tập đoàn thuê để điều tra công nghệ mới đang được đối thủ cạnh tranh phát triển. Trong nhiệm vụ của mình, chúng có thể truy xuất siêu dữ liệu, xem mã và thiết lập thuật toán học máy liên tục thu thập các thay đổi đối với mã, sau đó truy cập liên tục vào tài khoản người dùng để ngăn hệ thống giám sát nhận ra rằng kẻ tấn công đang ở trong mạng.

Song song đó, chúng làm xáo trộn hoạt động bằng cách truyền bá tin tức giả mạo về giao dịch nội gián và gián điệp công nghiệp từ đối thủ cạnh tranh thứ ba bằng cách đưa ra bằng chứng giả về sự xâm nhập vật lý.

Các cuộc tấn công vật lý hoặc ngoại tuyến đang phát triển và thường được kết hợp với các cuộc tấn công mạng do sự gia tăng của các thiết bị thông minh, việc sử dụng đám mây, nhận dạng trực tuyến và các nền tảng xã hội.

Chúng ta có thể dự đoán trước hành động và khoanh vùng đối tượng là các tác nhân được bảo trợ, tin tặc được thuê, tội phạm mạng với các phương thức tấn công như: Truy cập trái phép, kỹ thuật xã hội, lạm dụng dữ liệu cá nhân, thực thi lệnh từ xa, hoạt động độc hại và các tác động dự kiến là vi phạm quyền riêng tư, ngừng hoạt động, lỗi hoặc trục trặc hệ thống.

7. Thiếu kỹ năng

Tình huống xảy ra: Sự thiếu hụt kỹ năng dẫn đến sự gia tăng các quảng cáo việc làm trực tuyến cho kẻ tấn công biết về công nghệ mà mỗi tổ chức đang sử dụng và số lượng vị trí trống gần đúng. Một tác nhân được bảo trợ có thể sử dụng điều này để tạo lợi thế cho mình như một phần của chiến dịch lớn hơn nhằm can thiệp vào cơ sở hạ tầng quan trọng cấp quốc gia.

Thiếu kỹ năng và năng lực có thể khiến các nhóm tội phạm mạng nhắm mục tiêu vào các tổ chức có khoảng cách kỹ năng lớn nhất và kém trưởng thành nhất

Chúng ta có thể dự đoán trước hành động và khoanh vùng đối tượng là tội phạm mạng, tin tặc được thuê, tác nhân được bảo trợ với các phương thức tấn công như: Tấn công lừa đảo trực tuyến, kỹ thuật xã hội và gây ra sự thiệt hại về tài chính.

8. AI bị lạm dụng

Tình huống xảy ra: Một tác nhân thao túng dữ liệu học tập của thuật toán sử dụng trong các hệ thống thực thi pháp luật để nhắm mục tiêu vào các nhóm cá nhân cụ thể, gây ra các cuộc biểu tình và bạo lực trên diện rộng. Chúng sử dụng AI phân tích về nơi ở, lịch sử sức khỏe của cá nhân - mối tương quan của dữ liệu cá nhân đó chỉ có thể khả thi khi sử dụng các công cụ AI.

Việc thao túng các thuật toán AI và dữ liệu đào tạo có thể được sử dụng để tăng cường các hoạt động bất chính như tạo ra thông tin sai lệch và nội dung giả mạo, khai thác sai lệch, thu thập sinh trắc học và dữ liệu nhạy cảm khác và đầu độc dữ liệu.

Chúng ta có thể dự đoán trước hành động và khoanh vùng đối tượng là các tác nhân được bảo trợ, tội phạm mạng, tin tặc được thuê với các phương thức tấn công như: Giả mạo, từ chối dịch vụ, mã độc, truy cập trái phép, tấn công có chủ đích, lạm dụng thông tin, tấn công trung gian và gây ra các tác động như: Ra quyết định sai, vi phạm quyền riêng tư, thao túng và can thiệp thông tin nước ngoài (FIMI)

Một số các giải pháp và sản phẩm CTI hàng đầu thế giới hiện nay

Các giải pháp CTI được thiết kế để thu thập dữ liệu, phân tích xu hướng, sau đó cung cấp cho các tổ chức thông tin hữu ích về các mối đe dọa an toàn thông tin mạng. Thông tin này cần phải được đối chiếu một cách kịp thời để đảm bảo nó là hữu ích. Dựa vào các thông tin chính xác này, các tổ chức có thể chống lại các mối đe dọa trước khi chúng trở nên nguy hiểm hơn.

Mỗi giải pháp sẽ có một cấu hình khác nhau về AI, ML chuyên môn hóa và tự động hóa, đảm bảo giải pháp phù hợp cho mỗi tổ chức. Nền tảng CTI tốt nhất sẽ có nhiều tính năng để đảm bảo dữ liệu được thu thập hiệu quả và dữ liệu đó được phân tích hiệu quả. Sau đây là một số các giải pháp và sản phẩm ưu tú về CTI.

1. AI-powered cung cấp trong TI

Security AI Workbench mới của Google Cloud Security công bố tại Hội nghị RSA ở San Francisco năm 2023, sử dụng tiến bộ gần đây của Mô hình ngôn ngữ lớn (LLM) để giải quyết ba trong số những thách thức lớn nhất trong an toàn thông tin mạng: mối đe dọa quá nhiều, công cụ phức tạp và thiếu hụt nhân tài. Tại Google Cloud, các dịch vụ chia sẻ thông tin về mối đe dọa dựa trên ba nguyên tắc cốt lõi:

- Đáng tin cậy: Khách hàng có thể tin tưởng Mandiant Threat Intelligence có bề rộng, chiều sâu và tính kịp thời hàng đầu trong ngành để cung cấp thông tin quan trọng.

- Hữu ích: cá nhân hóa bối cảnh mối đe dọa sao cho phù hợp với từng khách hàng, ưu tiên các mối đe dọa có khả năng ảnh hưởng đến họ.

- Phản ứng: Thông tin về mối đe dọa của Google Cloud có thể cung cấp nhiều hơn vì họ tự động hóa quy trình từ đầu đến cuối từ dữ liệu thô đến kiểm soát an toàn.

Google đã áp dụng nhiều phương pháp xử lý ngôn ngữ tự nhiên (NLP) và máy học (ML) để chuyển đổi dữ liệu thô về mối đe dọa thành thông tin hữu ích trong nhiều năm.

2. Anomali ThreatStream

Anomali là một công ty an ninh mạng có trụ sở tại California, chuyên cung cấp các giải pháp XDR dựa trên trí thông minh cho các doanh nghiệp trên toàn cầu. ThreatStream là sản phẩm thông minh về mối đe dọa mạnh mẽ, tận dụng tự động hóa để thu thập, sắp xếp và phổ biến dữ liệu về mối đe dọa một cách dễ dàng và hiệu quả, cung cấp cho khách hàng thông tin hữu ích.

Anomali sử dụng thuật toán ML để chấm điểm IoC, giúp các nhóm ưu tiên phản ứng của họ đối với các mối đe dọa. Nền tảng ThreatStream thu thập dữ liệu về mối đe dọa từ nhiều nguồn cấp dữ liệu khác nhau - bao gồm hàng trăm nguồn cấp dữ liệu thông minh mã nguồn mở, nguồn cấp dữ liệu cao cấp, nguồn cấp dữ liệu do Anomali Lab quản lý, thông tin từ môi trường hoạt động của khách hàng,... và tận dụng công nghệ ML để tăng cường dữ liệu, loại bỏ các thông báo sai và điểm số rủi ro IoC cao. Anomali ThreatStream có thể tích hợp trực tiếp vào các công cụ an toàn thông tin khác chẳng hạn như SIEM, EDR, SOAR, ...

Ưu điểm: Giao diện người dùng trực quan và tích hợp dễ dàng với các nhà cung cấp, công cụ và nguồn cấp dữ liệu khác.

Nhược điểm: Thiếu khả năng tùy biến và tính linh hoạt.

3. CrowdStrike Falcon X

Được thành lập vào năm 2011, CrowdStrike là công ty hàng đầu thế giới về bảo mật dựa trên đám mây và đặc biệt nổi tiếng với khả năng bảo vệ thiết bị đầu cuối và các dịch vụ CTI mạnh mẽ. Nền tảng Falcon X của nó theo dõi và báo cáo IoC trong thời gian thực, cung cấp hồ sơ tác nhân chi tiết, tự động phát hiện và khắc phục mối đe dọa, đồng thời thực hiện tìm kiếm mối đe dọa và lỗ hổng kỹ lưỡng.

Điều làm nên sự khác biệt của CrowdStrike là thông tin về mối đe dọa chi tiết và theo bối cảnh, không chỉ cung cấp thông tin chi tiết về sự cố mà còn cung cấp bối cảnh rộng lớn hơn đằng sau mối đe dọa. Điều này có thể nâng cao hiểu biết của các tổ chức về lý do và cách thức một mối đe dọa xâm nhập vào mạng.

Ưu điểm: Trí thông minh nhanh, kỹ lưỡng, chính xác và sâu sắc, cũng như tùy chọn hưởng lợi từ một nhà phân tích thông tin chuyên dụng (đi kèm với Falcon X Elite).

Nhược điểm: Hỗ trợ kém cho Mac OS và Linux.

4. IBM Security X-Force

Là một trong những nhà cung cấp phần mềm, phần mềm trung gian và phần cứng máy tính lớn nhất thế giới, IBM là một lựa chọn mạnh mẽ cho các tổ chức đang tìm kiếm các khả năng CTI mạnh mẽ. Là một phần của IBM Cloud Pak for Security (cũng bao gồm các ứng dụng như trình khám phá dữ liệu, SOAR, trình quản lý rủi ro và thông tin chuyên sâu Guardium), ứng dụng Threat Intelligence Insights cho phép người dùng nhanh chóng xác định, điều tra, ưu tiên và khắc phục các mối đe dọa trên một cách dễ dàng.

IBM Security X-Force đi kèm với một số tính năng tích hợp, bao gồm “Điểm số Mối đe dọa” được cá nhân hóa (cho phép bạn ưu tiên các mối đe dọa), tìm kiếm “Tôi có bị ảnh hưởng không” (cho phép người dùng tìm kiếm trên nhiều nguồn để xác định mối đe dọa), nguồn cấp “thông tin về mối đe dọa” (bao gồm chi tiết về hoạt động và nhóm mối đe dọa), khả năng báo cáo và quản lý mối đe dọa từ đầu đến cuối. Điều này cung cấp cho người dùng cái nhìn tổng thể về bối cảnh mối đe dọa họ gặp phải và khả năng bảo vệ chống lại các mối đe dọa ở mọi giai đoạn trong vòng đời của mối đe dọa đó.

Ưu điểm: Nền tảng thân thiện với người dùng và có thể mở rộng với khả năng phân tích và báo cáo dễ dàng.

Nhược điểm: Giá cao và tài liệu trực tuyến phức tạp.

Thay lời kết

Ngày nay, với sự bùng nổ của công nghệ số, sự phát triển mạnh mẽ của AI và các công nghệ mới trên toàn cầu thì việc bảo đảm an toàn thông tin luôn được đặt lên hàng đầu. Giải quyết các thách thức về an toàn thông tin do sự phát triển quá nhanh của công nghệ là rất quan trọng.

Để thúc đẩy phát triển công nghệ mới và xây dựng hệ sinh thái kỹ thuật số một cách thuận lợi và an toàn, chúng ta cần thúc đẩy xây dựng song hành các chiến lược phát triển và các chính sách an toàn trong việc chia sẻ thông tin về các mối đe dọa; định hướng, khuyến khích các tổ chức và doanh nghiệp chia sẻ nguồn thông tin về các mối đe dọa sẵn có. Đồng thời với đó, trên cơ sở các hệ thống CTI, sử dụng các công nghệ mới phân tích các mối đe dọa tiềm ẩn có thể xảy ra trong thời gian ngắn để có sự phòng bị sẵn sàng đối mặt và làm giảm đi tác hại, ảnh hưởng mà nó có thể xảy ra.

“

Tài liệu tham khảo:
1. ENISA Foresight Cyb ersecurity Threats for 2030, www.
enisa.europa.eu/publications/enisa-foresight-cybersecurity-
threats-for-2030, 3/2023

2. Megan Rees, The Top 10 Cyber Threat Intelligence Solutions,
https://expertinsights.com/ins...
intelligence-solutions/, 11/2023

3. Irshad E và Basit Siddiqui A. (2023). Phân bổ mối đe dọa
mạng bằng cách sử dụng các báo cáo phi cấu trúc trong thông
tin tình báo về mối đe dọa mạng. Tạp chí Tin học Ai Cập.
10.1016/j.eij.2022.11.001. 24:1. (43-59). https://linkinghub.
elsevier.com/retrieve/pii/S111086652200069X, 3/2023.

4. Jiang T, Shen G, Guo C, Cui Y và Xie B. (2023). BFLS:
Blockchain và Học tập liên kết để chia sẻ các mô hình phát
hiện mối đe dọa dưới dạng Trí thông minh về mối đe dọa
mạng. Mạng máy tính. 10.1016/j.comnet.2023.109604.
224. (109604). https://linkinghub.elsevier.co...
S138912862300049X, 4/2023.

5. Zhang S, Li S, Chen P, Wang S và Zhao C. (2023). Tạo chiến
lược phòng thủ an ninh mạng dựa trên Sơ đồ tri thức về
mối đe dọa mạng. Kiến trúc và công nghệ mạng mới nổi.
10.1007/978-981-19-9697-9_41. (507-519). https://link.
springer.com/10.1007/978-981-19-9697-9_41, 2023

6. Leslie F. Sikos (Biên tập viên), AI trong an ninh mạng -
Springer (2018). http://www.springer.com/series...

7. https://cloud.google.com/blog/...
rsa-introducing-ai-powered-insights-threat-intelligence,
4/2023.

(Bài viết đăng ấn phẩm in Tạp chí TT&TT số 11 tháng 11/2023)