Phân loại thông tin tình báo mối đe dọa an ninh mạng

07:48 | 23/06/2020
ĐT

Công việc của những chuyên gia an ninh mạng dường như không bao giờ ngơi nghỉ. Nghiên cứu của Đại học Maryland định lượng tốc độ trung bình để hacker thực hiện mỗi tấn công là 39 giây. Khi quá trình số hóa ngày càng tăng tốc trên toàn cầu cũng là lúc tội phạm mạng liên tục tìm ra phương thức mới để khai thác điểm yếu trong cơ sở hạ tầng công nghệ thông tin của tổ chức. Trong bối cảnh không thể đoán trước, liệu một tổ chức có thể đón đầu về xu hướng an ninh mạng sắp tới hay không? Khi nói đến “đón đầu”, một trong những chìa khóa để đảm bảo an ninh mạng là sự chủ động, thay vì chỉ phản ứng khi xảy ra sự cố bảo mật mạng. Để làm được điều này, thông tin tình báo mối đe dọa an ninh mạng đóng vai trò quan trọng để bất kỳ tổ chức nào tránh được tấn công mạng. Dưới đây Tạp chí An toàn thông tin giới thiệu bài viết của ông Yeo Siang Tiong, Tổng Giám đốc Kapersky khu vực Đông Nam Á.

Ông Yeo Siang Tiong, Tổng Giám đốc Kapersky khu vực Đông Nam Á

Tại sao thông tin tình báo mối đe dọa an ninh mạng lại quan trọng?

Thông tinh tình báo mối đe dọa an ninh mạng là nhân tố chính của bất kỳ hệ sinh thái an ninh mạng nào. Gartner định nghĩa thông tin tình báo mối đe dọa an ninh mạng được xây dựng dựa trên bằng chứng, bao gồm bối cảnh, cơ chế, chỉ số, chỉ thị và lời khuyên định hướng hành động về mối đe dọa đã có hoặc mới xuất hiện, đe dọa tài sản của doanh nghiệp.

Đối với những tổ chức tự nhận mình là “kẻ cuồng dữ liệu”, trước khi họ trở nên quá phấn khích khi cho rằng sẽ được tự do tiếp cận sự kiện, số liệu thống kê thông qua thông tin tình báo mối đe dọa an ninh mạng, chúng tôi muốn nói rằng, dữ liệu về mối đe dọa an ninh mạng chỉ thu thập được bằng cách quan sát. Nó không mang nhiều ý nghĩa nếu chỉ đứng một mình và không gắn với bất kỳ bối cảnh nào. Mặt khác, thông tin tình báo mối đe dọa an ninh mạng là kết quả của quá trình phân tích dữ liệu, từ đó mang đến thông tin cho phép đề xuất phương cách giải quyết vấn đề đang xảy ra, cũng như củng cố an ninh mạng của doanh nghiệp.

Ngày nay, tình hình đe dọa an ninh mạng ngày càng trở nên nghiêm trọng. Sự thiếu hụt các chuyên gia an ninh mạng lành nghề trong lĩnh vực đánh giá mối đe dọa và lỗ hổng an ninh mạng trở thành vấn đề thường gặp. Điều quan trọng trong bối cảnh ngân sách công nghệ thông tin bị thu hẹp như hiện tại là cần trang bị công cụ phù hợp để xác định thông tin liên quan và sắp xếp mức độ ưu tiên cho những thông tin này.

Các loại thông tin tình báo mối đe dọa an ninh mạng

Trong khi các nhà cung cấp dịch vụ cho biết có thể cung cấp nhiều giải pháp thông tin tình báo mối đe dọa an ninh mạng, tổ chức cần tập trung vào bốn loại thông tin tình báo mối đe dọa an ninh mạng chính gồm: chiến lược, chiến thuật, kỹ thuật và vận hành. Trong khi giữa chúng có thể có sự chồng chéo, việc hiểu rõ chức năng của các loại sẽ cho phép tổ chức đưa thông tin đến đúng đối tượng.

Thông tin tình báo mối đe dọa chiến lược: Loại thông tin này thường bao gồm phân tích nâng cao với những xu hướng chung qua các giai đoạn về cách mối đe dọa an ninh mạng có thể gây ảnh hưởng đến doanh nghiệp, hướng đến đối tượng phi kỹ thuật thường là những người có vai trò ra quyết định trong tổ chức. Thông tin này khác với những loại khác ở chỗ chúng thường đến từ các nguồn mở như báo cáo và sách trắng (white papers).

Thông tin tình báo mối đe dọa chiến thuật: Thông tin tình báo mối đe dọa chiến thuật đề cập đến thông tin về chiến thuật, kỹ thuật và quy trình (TTP) của các tác nhân đe dọa an ninh mạng. Thông tin kỹ thuật dạng này có xu hướng tập trung vào tấn công hiện tại, vì những người chịu trách nhiệm bảo mật cơ sở hạ tầng công nghệ thông tin của tổ chức cần phải hiểu cách tổ chức có thể bị tấn công, từ đó đưa ra chiến lược bảo vệ doanh nghiệp.

Thông tin tình báo mối đe dọa kỹ thuật: Thông tin tình báo mối đe dọa kỹ thuật tập trung nhiều vào các chỉ số thỏa hiệp (IOC) như URLS đáng ngờ hoặc mã hash chứa mã độc.

Thông tin tình báo mối đe dọa vận hành: Thông tin tình báo mối đe dọa vận hành tìm cách trả lời các câu hỏi về ai, cái gì và làm thế nào để xâu chuỗi thông tin đến một cuộc tấn công mạng.

Có một số trùng lặp giữa thông tin tình báo mối đe dọa vận hành với thông tin tình báo mối đe dọa kỹ thuật, vì thông tin tình báo mối đe dọa vận hành chứa một số yếu tố của thông tin kỹ thuật về mặt phương thức tấn công, loại lệnh, hoặc miền kiểm soát đang được sử dụng. Tuy nhiên, các nguồn khác của thông tin tình báo mối đe dọa vận hành cũng có thể có được từ việc xâm nhập các kênh liên lạc của tác nhân đe dọa. Điều này cho phép tổ chức có hiểu biết chuyên sâu để hiểu khả năng tấn công của tội phạm mạng.

Xây dựng nền tảng của thông tinh tình báo mối đe dọa

Giai đoạn đầu với thông tin tình báo mối đe dọa có thể rất khó khăn, ngay cả đối với chuyên gia công nghệ thông tin dày dạn kinh nghiệm. Với rất nhiều nhà cung cấp dịch vụ thông tin tình báo mối đe dọa cung cấp nhiều giải pháp hiện nay, đâu mới là dịch vụ phù hợp nhất cho tổ chức?

Ngày nay, hầu hết các nhà cung cấp dịch vụ bảo mật đều có thể tự động hóa quy trình cung cấp dữ liệu tổng hợp theo thời gian thực và đây là yêu cầu trước tiên nếu doanh nghiệp muốn thiết lập một chương trình thông tin tình báo mối đe dọa chất lượng (CTI). Tuy nhiên, nếu chỉ nhận dữ liệu về mối đe dọa an ninh mạng là chưa đủ. Khả năng đưa ra giải pháp để hành động từ thông tin chi tiết ban đầu là điều kiện tiên quyết để tổ chức có thể tăng cường bảo vệ an ninh mạng.

Tại Kaspersky, chúng tôi cung cấp thông tin tình báo mối đe dọa an ninh mạng nhờ vào sự kết hợp của cơ sở dữ liệu toàn cầu của Kaspersky Security Network, năng lực học máy, và đội ngũ của Kaspersky - Nhóm Phân tích và Nghiên cứu Toàn cầu (GReAT).

Ví dụ, nguồn dữ liệu về mối đe dọa của Kaspersky được làm phong phú với hiểu biết chuyên sâu từ các chuyên gia và nhà nghiên cứu nội bộ của chúng tôi - GReAT. Hơn 40 chuyên gia an ninh mạng trên khắp thế giới có chuyên môn về tác nhân đe dọa, kết hợp những yếu tố của tình báo mối đe dọa chiến thuật, kỹ thuật và vận hành sẽ cung cấp những thông tin như tên mối đe dọa, dấu thời gian và địa chỉ IP của website bị nhiễm. Chúng có thể được sử dụng để trả lời câu hỏi ai, cái gì và làm thế nào để xác định nguồn lây nhiễm, cho phép tổ chức đưa ra quyết định kịp thời và cụ thể.

Báo cáo thông tin tình báo mối đe dọa an ninh mạng APT của chúng tôi có thể giúp doanh nghiệp hiểu về một số mối đe dọa tiên tiến một cách toàn diện, cũng như cho tổ chức thông tin chi tiết về một số tấn công APT đôi khi không được công khai.

Mặc dù, những ví dụ trên chỉ là một số giải pháp chúng tôi cung cấp, nhưng tổ chức có thể sử dụng chúng như điểm khởi đầu để xây dựng chương trình thông tin tình báo mối đe dọa an ninh mạng. Khi các mối đe dọa trực tuyến tiếp tục phát triển, chức năng của thông tin tình báo mối đe dọa an ninh mạng cũng tăng theo. Bí quyết cho tổ chức là tích hợp trí thông minh chiến lược, chiến thuật, vận hành và kỹ thuật theo cách cho phép họ xây dựng một môi trường an toàn hơn để ứng phó với các sự cố an ninh mạng.