Săn lùng mối đe dọa mạng: Những điều cần biết

Nguyễn Thùy Linh, Nguyễn Tất Hưng| 17/04/2019 18:34
Theo dõi ICTVietnam trên

Bằng cách kết hợp săn lùng mối đe dọa mạng và thông tin tình báo về mối đe dọa (Threat Intelligence, viết tắt là TI - một lĩnh vực của an ninh mạng tập trung vào việc thu thập và phân tích thông tin về các cuộc tấn công hiện tại và tiềm năng đe dọa sự an toàn của tổ chức hoặc tài sản của tổ chức), các công ty có thể khám phá và xử lý các lỗ hổng trong hệ thống mạng của mình để cải thiện tổng thể bảo mật dữ liệu.

Không có gì bất ngờ khi tội phạm mạng đang tiếp tục gây ra những trì hoãn lớn của quá trình số hóa thế giới kinh doanh trong những năm tới. Mặc dù đã triển khai tất cả các biện pháp truyền thống để bảo vệ an minh mạng nhưng các tổ chức vẫn tiếp tục rơi vào bẫy của kẻ  mạo danh (tấn công đánh cắp quyền truy cập của người sử dụng có thẩm quyền), lừa đảo và phần mềm độc hại.

Điều này đã đủ đáng sợ?

Không hề, điều tồi tệ hơn là các mối đe dọa mạng đang ngày càng độc hại. Chỉ trong hai năm qua, chỉ riêng các vụ lừa đảo chiếm đoạt email doanh nghiệp đã dẫn đến thiệt hại gần 13 tỷ USD. Cùng với đó, tốc độ phần mềm độc hại mới phát triển hàng tháng đã tăng gấp đôi trong năm 2018.

Là do các công ty không chuẩn bị kịp thời? Hay việc theo kịp tiến độ phát triển đe đọa mạng là quá khó khăn? Để khắc phục tình trạng đáng báo động này, các chuyên gia an ninh mạng đang chuyển sang các cách tiếp cận mới như săn lùng mối đe dọa để bảo vệ mình trước các rủi ro trong không gian mạng.

Vậy, săn lung mối đe dọa chính xác là gì?

Săn lùng mối đe dọa là quá trình chủ động tìm kiếm và phát hiện các mối đe dọa mạng - bất kể chúng có gây ra lỗ hổng mạng chưa được khai thác hay đã vượt qua được các biện pháp phòng thủ hay chưa.

Quá trình săn lùng bắt đầu bằng việc phát triển các giả thuyết về nơi tội phạm mạng có thể tấn công và những kỹ thuật dựa trên hành vi nào chúng có thể sử dụng. Trong quá trình này, các thợ săn sử dụng TI để nhận ra những khiếm khuyết trong các bức tường an ninh mạng của mình và triển khai các hành động cần thiết để bảo vệ hệ thống.

Săn lùng mối đe dọa hoạt động như thế nào?

Thực hành săn lùng mối đe dọa bao gồm chuẩn bị, tạo giả thuyết, xác nhận mẫu, phản ứng phát hiện và chia sẻ kiến ​​thức.

Cụ thể hơn, thợ săn mối đe dọa phải được trang bị dữ liệu TI liên quan trước khi tiến hành. Một khi điều này được đảm bảo, họ có thể chuyển sang phát triển các lý thuyết và đặt ra các câu hỏi như là khu vực nào có xác suất bị nhắm mục tiêu cao nhất.

Bước thứ ba trong quy trình là về xác minh, trong đó các thợ săn tìm kiếm mối liên hệ giữa các mối đe dọa và các giả thuyết được tạo ra. Trong giai đoạn này, một số giả thuyết có thể bị bác bỏ trong khi một số khác được chấp nhận.

Khi có sự phù hợp giữa giả thuyết và mối đe dọa thực tế, hai bước cuối cùng liên quan đến việc sử dụng các phát hiện như là cơ sở để yêu cầu nhóm làm việc giải quyết vấn đề và chia sẻ tất cả kiến ​​thức có được trong kế hoạch nâng cao nhận thức bảo mật của công ty.

Làm thế nào để sử dụng nó hiệu quả?

Săn lùng mối đe dọa là một quá trình có yêu cầu khắt khe. Nó đòi hỏi bạn phải có hiểu biết thực tế về các mối đe dọa trên mạng, tư duy phản biện mạnh mẽ và kỹ năng giải quyết vấn đề cùng với chuyên môn kỹ thuật. Và để có hiệu quả, các thợ săn mối đe dọa sẽ cần phải thực hiện các thực hành tốt nhất, bao gồm:

Tận dụng dữ liệu TI

Tận dụng tối đa dữ liệu TI từ nhiều nguồn khác nhau là một khía cạnh thiết yếu của việc săn lùng mối đe dọa. Những thông tin này đóng vai trò quan trọng trong suốt quá trình, trang bị cho các thợ săn những dấu hiệu của những mối đe dọa sắp tới cũng như hiện tại và thủ phạm đằng sau chúng.

Hiện nay có một số phương pháp để có được dữ liệu về các mối đe dọa và một cách phổ biến để có quyền truy cập vào những hiểu biết sâu sắc này là hợp tác với các nhà cung cấp thông tin tình báo về mối đe dọa như Threat Intelligence Platform và Whois XML API.

Nhưng làm thế nào để việc sử dụng dữ liệu có thể hỗ trợ các nỗ lực săn lùng? Ví dụ, bạn là một chuyên gia được giao nhiệm vụ xác định các tên miền được liên kết với một trang web hoặc IP độc hại. Những gì bạn có thể làm là khôi phục lại danh sách các địa chỉ được kết nối với mục tiêu của chúng và đưa chúng vào danh sách đen hoặc xây dựng một cơ sở dữ liệu để điều tra thêm.

Hiểu được suy nghĩ của một tội phạm mạng

Để đưa ra các giả thuyết hợp lý, nhóm săn lùng mối đe dọa phải hiểu được lý luận của những kẻ tấn công. Điều này rất quan trọng vì nó là cơ sở để dự đoán những gì chúng định làm và làm thông qua điểm truy cập nào.

Để bắt đầu suy nghĩ như chúng, các thợ săn cần phải biết các thuộc tính đặc trưng của một tội phạm mạng có năng lực. Những kẻ này rất thông minh và có kỹ năng trong những gì chúng làm. Chúng chấp nhận rủi ro và rất giỏi trong việc thao túng mọi người để có được quyền truy cập vào thông tin nhạy cảm.

Đó là lý do tại sao tận dụng dữ liệu chất lượng từ các tài nguyên khác nhau như tường lửa, nhật ký điểm cuối và thông tin DNS là rất quan trọng trong việc hiểu được những mối đe dọa mạng hiện nay để từ đó có thể phát hiện ra những điểm yếu của hệ thống và các hành động bất chính.

Những kẻ tấn công liên tục nghĩ ra nhiều cách mới để xâm phạm tuyến phòng thủ an ninh mạng. Thật không may, ngày nay không có nhiều tổ chức được trang bị hoặc đủ nhanh để xử lý các cuộc tấn công đó.

Bằng cách kết hợp săn lùng mối đe dọa và thông tin tình báo về mối đe dọa, các công ty có thể khám phá và đối phó với lỗ hổng trong mạng của mình để cải thiện tổng thể bảo mật dữ liệu. Cách tiếp cận chủ động này cũng có thể được sử dụng để xác định các mối đe dọa đã vượt qua được những giao thức hiện có và đưa ra hành động chống lại chúng kịp thời.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
Săn lùng mối đe dọa mạng: Những điều cần biết
POWERED BY ONECMS - A PRODUCT OF NEKO