Theo công ty Mordor Intelligence (Ấn Độ), thị trường tri thức an ninh mạng (Threat Intelligence - TI) thế giới dự kiến đạt 13,9 tỷ USD vào năm 2025, với CAGR là 17,5% trong giai đoạn 2020 - 2025. Việc nguồn gốc, mục tiêu, loại hình công nghệ và sự phát triển của các kỹ thuật tấn công là nguyên nhân chủ yếu thúc đẩy sự phát triển của thị trường TI. Bên cạnh đó, sự gia tăng khối lượng dữ liệu do các doanh nghiệp khác nhau tạo ra cũng là yếu tố thúc đẩy thị trường này phát triển.
Chia sẻ tri thức an ninh mạng là xu hướng phòng chống tấn công mạng
Việt Nam cũng không nằm ngoài xu hướng phát triển này. Theo dự đoán của chuyên gia từ Công ty An ninh mạng Viettel (VCS) nhu cầu của các tổ chức/ doanh nghiệp (TC/DN) về TI sẽ tập trung vào 3 vấn đề sau:
Thứ nhất: phòng thủ chủ động. Việc sử dụng TI sẽ giúp đưa ra cảnh báo về các lỗ hổng, khả năng khai thác thực tế đối với các hệ thống công nghệ thông tin đang được vận hành bởi các TC/DN. TI cũng đưa ra các dự đoán, cảnh báo về các cuộc tấn công có chủ đích trong cùng bối cảnh, ví dụ: cuộc tấn công có chủ đích vào một ngân hành A thì ngân hàng B cũng có nguy cơ tương tự. Bên cạnh đó, TI sẽ đưa ra các thông tin ảnh hưởng trực tiếp đến uy tín, rủi ro tài chính và các hoạt động kinh doanh khác của khách hàng.
Thứ hai: giám sát và phát hiện. Thông tin thu thập và được chia sẻ từ TI cho phép TC/DN thực hiện phân tích chuyên sâu, kết hợp với các giải pháp bảo mật khác trong hệ thống để phát hiện các kỹ thuật, chiến dịch tấn công. Ngoài ra, TI cũng giúp các tổ chức phát hiện các hoạt động gian lận, đánh cắp sở hữu trí tuệ liên quan đến tổ chức thông qua các nguồn dữ liệu thu thập được từ hệ thống bên trong cũng như nguồn tin từ nhiều kênh chia sẻ trên Internet.
Thứ ba: Xử lý phản hồi sự cố. Trong trường hợp xảy ra sự cố, TI có thể cung cấp thông tin chi tiết về các hoạt động ứng phó sự cố và các phương pháp giảm thiểu để đảm bảo thông tin quan trọng và tài sản của TC/DN luôn được bảo vệ. Không những thế, TI còn hỗ trợ thu thập và xử lý các thông tin truyền thông liên quan đến sự cố mà tổ chức đang đối mặt.
Để đáp ứng được các nhu cầu trên, chất lượng của một TI phải thỏa mãn các yếu tố:
Độ phủ nguồn tin: Đối với một hệ thống TI, độ bao trùm của nguồn dữ liệu là đặc biệt quan trọng. Nguồn thông tin càng lớn, thì chất lượng của TI càng cao. Với thế mạnh là một nhà cung cấp dịch vụ viễn thông lớn nhất Việt Nam, nguồn tri thức của Viettel (Viettel Threat Intelligence) rất phong phú, được thu thập và tổng hợp trên hệ thống mạng lưới rộng khắp, deep web, dark web, tấn công mã độc, tấn công có chủ đích… Đặc biệt là nguồn dữ liệu từ các nghiên cứu nội bộ do các chuyên gia hàng đầu của Viettel thực hiện.
Chất lượng của nguồn tin: Điều này phụ thuộc lớn vào giải pháp công nghệ mà tổ chức đang sử dụng, đảm bảo phân tích các mối đe dọa trên quy mô lớn (từ bên trong lẫn bên ngoài). Công nghệ sử dụng phải đảm bảo thu thập dữ liệu, thực hiện tương quan để sử dụng được cả dữ liệu có cấu trúc và không cấu trúc từ nhiều nguồn khác nhau, đồng thời có khả năng tự động hóa việc làm giàu dữ liệu từ đó cho phép đội ngũ kỹ thuật có thể tìm kiếm, khám phá tất cả các dữ liệu thu thập được với thời gian nhanh nhất và có độ chính xác cao trong việc xác định các nguy cơ, chiến dịch tấn công mạng hiện hữu hoặc tiềm năng trong tương lai mà có thể đe dọa đến hoạt động của tổ chức.
Đặc điểm của hệ thống Viettel Threat Intelligence
Viettel Threat Intelligence có khả năng thu thập thông tin nhanh, chính xác, giá trị cao, từ nhiều nguồn, đặc biệt từ các nguồn riêng, bí mật, không phổ biến để phân tích và cảnh báo. Các thông tin được cung cấp đầy đủ (bao gồm các cả các nguồn riêng) và được nhận định chuyên gia của VCS.
Thời gian cung cấp: TI phải đưa ra các cảnh báo từ rất sớm, ngay khi nguy cơ vừa xuất hiện kèm theo đầy đủ phân tích kỹ thuật, đánh giá chi tiết của chuyên gia, cách phát hiện, phòng chống, nhằm mang lại lợi thế giúp TC/DN nhanh chóng phản ứng và chặn đứng nguy cơ, ngay cả khi cuộc tấn công chưa diễn ra. Thông qua tính năng Threat Alert, Viettel Threat Intelligence có khả năng cảnh báo các mối đe dọa an ninh mạng mới nhất vừa xuất hiện bao gồm các lỗ hổng mới, kỹ thuật tấn công mới vượt qua các giải pháp phòng thủ, chiến dịch tấn công mới từ các nhóm tấn công có chủ đích, các loại mã độc mới nguy hiểm,…
Bên cạnh đó, các API tiêu chuẩn quốc tế như STIX/TAXII giúp Viettel Threat Intelligence không những được sử dụng để bổ sung dữ liệu phân tích cho giải pháp an toàn thông tin thành phần trong hệ sinh thái SOC của Công ty An ninh mạng Viettel mà còn có thể tích hợp được với các giải pháp của các hãng quốc tế khác.