Thống kê từ hệ thống của Trung tâm Giám sát an toàn không gian mạng quốc giaNCSC thuộc Cục An toàn thông tin – Bộ Thông tin và Truyền thông, trong tháng5/2023, Trung tâm đã ghi nhận, cản
Trang 1BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM
ĐỒ ÁN CHUYÊN NGÀNH
KHAI THÁC LỖ HỔNG HỆ THỐNG DỰA VÀO
MITRE ATT&CK FRAMEWORK
Ngành: AN TOÀN THÔNG TIN
Chuyên ngành: AN TOÀN THÔNG TIN
Giảng viên hướng dẫn : Đặng Hùng Kiệt Sinh viên thực hiện : Phan Duy Tuấn MSSV: 2011770224 Lớp: 20DATA1
Trang 2BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM
ĐỒ ÁN CHUYÊN NGÀNH
KHAI THÁC LỖ HỔNG HỆ THỐNG DỰA VÀO
MITRE ATT&CK FRAMEWORK
Ngành: AN TOÀN THÔNG TIN
Chuyên ngành: AN TOÀN THÔNG TIN
Giảng viên hướng dẫn : Đặng Hùng Kiệt Sinh viên thực hiện : Phan Duy Tuấn MSSV: 2011770224 Lớp: 20DATA1
Trang 4đồ án của em có thể đầy đủ và hoàn thiện hơn.
Xin chân thành cảm ơn thầy
TP Hồ Chí Minh, tháng 12 năm 2023
Trang 5LỜI CAM ĐOAN
Tôi xin cam đoan đồ án trên là công trình nghiên cứu của chúng tôi dưới sự hướngdẫn của Giảng viên Đặng Hùng Kiệt Những nhận định được nêu ra trong đồ án cũng làkết quả từ sự nghiên cứu trực tiếp, nghiêm túc, độc lập của tôi dựa vào các cơ sở tìmkiểm, hiểu biết và nghiên cứu tài liệu khoa học hay bản dịch khác đã được công bố Đồ
án vẫn sẽ giúp đảm bảo được tính khách quan, trung thực và khoa học
Trang 6MỤC LỤC Trang phụ bìa
Lời cảm ơn
Lời cam đoan
Mục lục
Chương 1 TỔNG QUAN 1
1.1 TÌNH HÌNH AN TOÀN THÔNG TIN TRÊN THẾ GIỚI VÀ VIỆT NAM HIỆN NAY 1
1.1.1 Tình hình an toàn thông tin trên thế giới hiện nay 1
1.1.2 Tình hình an toàn thông tin tại Việt Nam hiện nay 2
1.1.3 MITRE ATT&CK Framework là gì? 5
1.1.4 Tại sao nên chọn MITRE ATT&CK Framework? 5
1.2 NHIỆM VỤ ĐỒ ÁN 7
1.3 CẤU TRÚC ĐỒ ÁN 7
Chương 2 CƠ SỞ LÝ THUYẾT 8
2.1 GIỚI THIỆU CHUNG VỀ MỐI ĐE DOẠ VÀ KỸ THUẬT TẤN CÔNG 8
2.1.1 Giới thiệu các mối đe dọa tấn công mạng phổ biến 8
2.1.2 Giới thiệu một số kỹ thuật tấn công mạng cơ bản 9
2.1.3 Ví dụ thực tế 10
2.2 GIỚI THIỆU VỀ MITRE ATT&CK FRAMEWORK 11
2.2.1 Mô hình cấu trúc của MITRE ATT&CK Framework 11
2.2.2 Mục tiêu chính của MITRE ATT&CK Framework 11
2.2.3 Đối tượng sử dụng MITRE ATT&CK Framework 12
Trang 72.3 PHÂN LOẠI CHIẾN THUẬT VÀ KỸ THUẬT TẤN CÔNG TRONG
MITRE ATT&CK FRAMEWORK 13
2.3.1 Chiến thuật 13
2.3.2 Kỹ thuật 15
2.4 ỨNG DỤNG CỦA ATT&CK FRAMEWORK TRONG PHÁT TRIỂN CHIẾN LƯỢC BẢO MẬT 16
2.5 CUNG CẤP THÊM THÔNG TIN VỀ CÁC NHÓM TIN TẶC NGUY HIỂM VÀ HÀNH VI CỦA CÁC NHÓM NÀY 18
2.6 ƯU VÀ NHƯỢC ĐIỂM CỦA MITRE ATT&CK FRAMEWORK 19
2.6.1 Ưu điểm 19
2.6.2 Nhược điểm 19
2.7 TÍCH HỢP MITRE ATT&CK VỚI GIẢI PHÁP BẢO MẬT SIEM 20
2.8 SO SÁNH MITRE ATT&CK, NIST VÀ MITRE D3FEND 20
Chương 3 KẾT QUẢ THỰC NGHIỆM 23
3.1 Mô hình 23
3.2 Công cụ thực hiện 23
3.3 Mô tả quá trình 24
3.4 Quy trình thực hiện 24
Chương 4 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ĐỀ TÀI 36
4.1 Kết luận 36
4.2 Hướng phát triển 36
TÀI LIỆU THAM KHẢO 37
Trang 8CHƯƠNG 1: TỔNG QUAN.
1.1 Tình hình an toàn thông tin trên thế giới và việt nam hiện nay.
1.1.1 Tình hình an toàn thông tin trên thế giới hiện nay
Tình hình an toàn thông tin trên thế giới hiện nay đang đối mặt với nhiều thách thức vàbiến đổi đáng kể Ví dụ như các vụ tấn công vào hệ thống thư điện tử của Bộ Ngoại giao
Mỹ, hệ thống máy tính của Nhà trắng, Hạ viện Đức, Bộ Ngoại giao Australia,… Tàichính là mục tiêu lớn nhất thúc đẩy tin tặc hành động, với 73% số lượng các cuộc tấncông mạng Chính trị, tình báo là mục tiêu lớn thứ hai với 21% các cuộc tấn công Dướiđây là một mô tả tổng quan về tình hình này:
Tăng cường về mặt công nghệ: Công nghệ thông tin và truyền thông ngày càngphát triển nhanh chóng, với sự gia tăng của các công nghệ như trí tuệ nhân tạo(AI), học máy, và Internet of Things (IoT) Điều này đã tạo ra nhiều cơ hội mớicho tấn công mạng và đe dọa an toàn thông tin
Tấn công mạng ngày càng phức tạp: Kỹ thuật tấn công mạng ngày càng tinh vi vàphức tạp hơn Các cuộc tấn công bao hacking, phishing, và mã độc đã trở nênthông minh hơn và khó déo bám
Rủi ro từ các nhóm tội phạm mạng và nhà nước: Các nhóm tội phạm mạng và cácnước có khả năng tấn công mạng đã trở nên nguy hiểm hơn Chúng có thể tấncông vào hệ thống quốc gia, tổ chức doanh nghiệp, và cá nhân với mục tiêu từ việctrộm thông tin quan trọng đến làm hỏng cơ sở hạ tầng quan trọng
Bảo vệ dữ liệu và quyền riêng tư: Ngày càng có nhiều quy định và luật pháp vềbảo vệ dữ liệu và quyền riêng tư, như chính sách GDPR của Liên minh châu Âu vàcác biện pháp tương tự ở nhiều quốc gia khác Điều này đặt áp lực lớn lên doanhnghiệp và tổ chức để đảm bảo rằng họ tuân thủ các quy định này
Sự gia tăng của tình báo trực tuyến: Nhiều nước đã tăng cường hoạt động tình báotrực tuyến, không chỉ để bảo vệ quốc gia mình mà còn để theo dõi và tấn công các
Trang 9 Sự nhận thức về an toàn thông tin: Sự nhận thức về an toàn thông tin ngày càngtăng, với sự tham gia của cả chính phủ, tổ chức doanh nghiệp và cá nhân Điều này
đã dẫn đến việc tăng cường đầu tư vào giáo dục và đào tạo về an toàn thông tin
Biện pháp đáp ứng: Tình hình an toàn thông tin đòi hỏi sự hợp tác toàn cầu và nỗlực liên ngành Các tổ chức quốc tế như Liên hợp quốc và INTERPOL đã tham giavào việc đối phó với các mối đe dọa mạng toàn cầu
Hình 1: Tình hình an toàn thông tin trên thế giới hiện nay
Nhìn chung, tình hình an toàn thông tin trên thế giới hiện nay là một cuộc chiến khôngngừng nghỉ giữa các bên tấn công và các bên phòng ngự Sự tăng cường về mặt côngnghệ và những tác động toàn cầu đã tạo ra một môi trường phức tạp và đầy thách thức đốivới an toàn thông tin Việc duy trì một tầm nhìn rộng rãi và biện pháp đáp ứng hiệu quả
là điều cần thiết để bảo vệ dữ liệu và hệ thống quan trọng trên khắp thế giới
1.1.2 Tình hình an toàn thông tin tại Việt Nam hiện nay
Việt Nam lọt vào top 20 quốc gia có số lượng website bị tấn công lớn nhất thế giới trongquý 3 năm 2018, theo Báo cáo an ninh website quý 3 năm 2018 bởi CyStack Ở vị trí thứ
Trang 10của đại đa số các tin tặc Cụ thể, 71,51% số cuộc tấn công nhằm vào các website doanhnghiệp, theo sau bởi website thương mại điện tử với 13,86%.
Hình 2: Tình hình an toàn thông tin tại Việt Nam hiện nay
Thống kê từ hệ thống của Trung tâm Giám sát an toàn không gian mạng quốc gia(NCSC) thuộc Cục An toàn thông tin – Bộ Thông tin và Truyền thông, trong tháng5/2023, Trung tâm đã ghi nhận, cảnh báo và hướng dẫn xử lý 695 cuộc tấn công mạnggây ra sự cố vào các hệ thống thông tin tại Việt Nam, tăng 39,6% so với tháng 4 năm naygiảm 17,9% so với cùng kỳ tháng 5 năm ngoái
Tuy nhìn chung cả nước có giảm so với năm trước nhưng các đơn vị chuyên trách vềcông nghệ thông tin, quản trị hệ thống cần thường xuyên rà soát từ thiết kế hạ tầng, cấuhình an ninh, quy trình vận hành đến mã nguồn của website, cập nhật đầy đủ các bản vá
lỗ hổng Cùng với đó, cần xây dựng các phương án giám sát 24/24h để phát hiện chủđộng và kịp thời ứng phó với các cuộc tấn công mạng
Dưới đây là một mô tả về tình hình an toàn thông tin tại Việt Nam:
Trang 11 Tăng cường quyền lợi và nguy cơ của người dùng: Cùng với sự phát triển củainternet và mạng xã hội, người dùng ở Việt Nam ngày càng trở nên nhạy bén hơnvới việc bảo vệ thông tin cá nhân Những vụ vi phạm bảo mật thông tin, lừa đảotrực tuyến và xâm nhập vào dữ liệu cá nhân đã trở thành mối đe dọa đối với cánhân và doanh nghiệp.
Nâng cao nhận thức về an toàn thông tin: Chính phủ và các tổ chức liên quan đãtăng cường hoạt động tuyên truyền và giáo dục để nâng cao nhận thức của ngườidân về an toàn thông tin Các chương trình đào tạo và hướng dẫn về cách bảo vệthông tin cá nhân và doanh nghiệp đang được triển khai rộng rãi
Chính sách và quy định về an toàn thông tin: Chính phủ Việt Nam đã đưa ra cácquy định và chính sách về an toàn thông tin để bảo vệ cơ sở hạ tầng quốc gia và dữliệu cá nhân Các doanh nghiệp cũng đang phải tuân thủ các quy định này và đầu
tư vào biện pháp bảo mật để ngăn chặn các tấn công mạng
Các mối đe dọa từ mạng: Tình hình an toàn mạng tại Việt Nam đang phải đối mặtvới nhiều mối đe dọa, bao gồm các cuộc tấn công mạng từ cá nhân hay tổ chức có
ý đồ xấu, việc lừa đảo trực tuyến, và sự lan truyền của các phần mềm độc hại như
mã độc và ransomware
Phát triển ngành công nghiệp an toàn thông tin: Việt Nam đang chứng kiến sự pháttriển của ngành công nghiệp an toàn thông tin, với sự xuất hiện của nhiều công tychuyên cung cấp dịch vụ và sản phẩm an toàn thông tin Điều này đồng nghĩa vớiviệc tạo ra cơ hội việc làm và thúc đẩy sự phát triển của ngành này
Tóm lại, tình hình an toàn thông tin tại Việt Nam đang được quan tâm và tăng cường,nhưng vẫn đang đối mặt với nhiều thách thức do sự phát triển nhanh chóng của côngnghệ thông tin và internet Việc nâng cao nhận thức và thực thi chính sách an toàn thôngtin cùng với sự hợp tác của cộng đồng quốc tế sẽ đóng vai trò quan trọng trong việc đảmbảo an toàn thông tin tại Việt Nam trong tương lai
Trang 121.1.3 MITRE ATT&CK Framework là gì?
MITRE Corporation là một công ty phi lợi nhuận được thành lập vào năm 1958 với sứmệnh “giải quyết các vấn đề vì một thế giới an toàn hơn” Mục tiêu này đang được hoànthành thông qua một cơ sở tri thức có chọn lọc của công ty với tên gọi MITREATT&CK
ATT&CK là tên viết tắt của “Adversarial Tactics, Techniques, and CommonKnowledge”, tạm dịch: Các chiến thuật, kỹ thuật phá hoại và các hiểu biết thông thường
Hình 3: MITRE ATT&CK Framework
MITRE ATT&CK Framework mô tả cách mà kẻ tấn công xâm nhập vào hệ thống, dichuyển sang bên, leo thang đặc quyền,… nói chung là trốn tránh sự phòng thủ và pháthiện của bạn ATT&CK tổ chức các hành vi của đối thủ thành một chuỗi chiến thuật vàcác mục tiêu kỹ thuật cụ thể mà kẻ tấn công muốn đạt được Trong mỗi chiến thuật,ATT&CK xác định một loạt các kỹ thuật mà kẻ tấn công có thể sử dụng tuỳ vào chuyênmôn của họ hoặc những yếu tố mang tính sẵn có như công cụ hoặc cách mà hệ thống củabạn được cấu hình
1.1.4 Tại sao nên chọn MITRE ATT&CK Framework?
MITRE ATT&CK Framework là một công cụ quan trọng trong lĩnh vực bảo mật thôngtin Nó được sử dụng để mô tả và phân tích các kỹ thuật tấn công mà các kẻ xâm nhậpthường sử dụng, mang lại nhiều giá trị quan trọng cho các tổ chức và chuyên gia bảo mật.Dưới đây là một số lý do nên chọn MITRE ATT&CK Framework và giá trị mà nó manglại:
Hiểu rõ hơn về kẻ xâm nhập: ATT&CK Framework cung cấp một bộ tài liệu chitiết về các phương pháp và kỹ thuật mà các kẻ xâm nhập thường sử dụng để xâmnhập và tiến hành các cuộc tấn công Điều này giúp cho các chuyên gia bảo mật
Trang 13hiểu rõ hơn về cách các mối đe dọa hoạt động và phát triển chiến lược bảo mậthiệu quả hơn.
Cải thiện phát hiện và ứng phó: ATT&CK Framework giúp tăng khả năng pháthiện các tấn công bằng cách cung cấp danh sách các dấu vết hoặc hiện tượng cóthể xuất hiện trong một hệ thống khi bị tấn công Điều này giúp tổ chức nhanhchóng phát hiện sự xâm nhập và ứng phó một cách nhanh chóng
Tăng cường kiến thức và đào tạo: ATT&CK Framework cung cấp một nguồn tàiliệu quý báu để đào tạo và giáo dục các chuyên gia bảo mật và nhân viên IT Nógiúp họ hiểu rõ hơn về cách hoạt động của các mối đe dọa và cách bảo vệ hệ thốngcủa họ
Chuẩn hóa và chia sẻ thông tin: ATT&CK Framework là một ngôn ngữ chunggiúp các tổ chức và chuyên gia bảo mật trò chuyện và chia sẻ thông tin về mối đedọa Điều này tạo ra một sự hiểu biết chung về các mối đe dọa và cách ứng phóvới chúng trong cộng đồng bảo mật
Đánh giá và cải thiện bảo mật: ATT&CK Framework có thể được sử dụng để đánhgiá mức độ an toàn của một hệ thống hoặc môi trường mạng Nó giúp tổ chức xácđịnh các lỗ hổng bảo mật và cải thiện chiến lược bảo mật của họ
Trang 14Hình 4: Chức năng của MITRE ATT&CK Framework.
1.2 Nhiệm vụ đồ án.
Tạo ra một môi trường thử nghiệm và sau đó dựa vào hướng dẫn của MITRE ATT&CKFramework thực hiện các hoạt động tấn công mạng mô phỏng để kiểm tra và đánh giá độbảo mật của hệ thống Dưới đây là một số nhiệm vụ cụ thể được thực hiện trong dự ánnày:
Tìm hiểu về MITRE ATT&CK Framework
Xác định mục tiêu và tầm ảnh hưởng của phương án tấn công
Phân tích lỗ hổng đã phát hiện
Phát triển kịch bản tấn công
Thực hiện tấn công mô phỏng
Giám sát, đánh giá và tạo báo cáo
Trang 151.3 Cấu trúc đồ án.
Chương 1: Tổng quan (Phần này sẽ giới thiệu tổng quan của đồ án gồm mô tảframework sẽ đề cập trong đồ án, giúp chúng ta có thể hiểu rõ hơn về mục đích vàphạm vi của đồ án)
Chương 2: Cơ sở lý thuyết (Phần này sẽ giới thiệu về khái niệm cơ bản nhằm giúpngười đọc hiểu về MITRE ATT&CK Framework một cách tổng quan)
Chương 3: Kết quả thực nghiệm (Phần này sẽ đưa ra mục tiêu khi thực hiện demo,đưa ra mô hình muốn triển khai khi demo, các công cụ cần thiết khi thực hiện vàcác bước thực hiện khi triển khai demo)
Chương 4: Kết luận và hướng phát triển (Phần này sẽ rút ra những sai sót và lưu ýtrong quá trình thực hiện và đưa ra hướng phát triển để chương trình hoàn thiệnhơn theo góc nhìn khách quan)
Trang 16CHƯƠNG 2: CƠ SỞ LÝ THUYẾT.
2.1 Giới thiệu chung về mối đe doạ và kỹ thuật tấn công.
2.1.1 Giới thiệu các mối đe dọa tấn công mạng phổ biến
Dưới đây là danh sách một số mối đe dọa phổ biến trong lĩnh vực bảo mật mạng:
Malware (Phần mềm độc hại): Được thiết kế để gây hại cho hệ thống hoặc thuthập thông tin mà không được phép Ví dụ: virus, worm, trojan, ransomware vàspyware Mã độc thường được sử dụng để đánh cắp dữ liệu, tiền mặt, hoặc đểkiểm soát hệ thống máy tính từ xa
Phishing: Kỹ thuật này thường bao gồm việc gửi thông điệp giả mạo thường quaemail, với mục tiêu lừa đảo người nhận để tiết lộ thông tin cá nhân hoặc thông tinđăng nhập Ví dụ: Email phishing, vishing (voice phishing), smishing (SMSphishing)
DoS/DDoS (Tấn công từ chối dịch vụ): Tấn công nhằm làm cho dịch vụ trở nênkhông khả dụng bằng cách gửi lưu lượng truy cập lớn đến một máy chủ hoặcmạng Ví dụ: Tấn công SYN flood, tấn công amplification
Social Engineering (Lợi dụng tâm lý): Các kẻ tấn công thường sử dụng kỹ thuậttâm lý lừa dối người khác để tiết lộ thông tin cá nhân hoặc thông tin quan trọng
Software Vulnerabilities (Lỗ hổng bảo mật phần mềm): Các ứng dụng và hệthống phần mềm thường có lỗ hổng bảo mật, và tấn công viên có thể tận dụngchúng để xâm nhập hoặc gây hại
Insider Threats (Tấn công bên trong): Các nhân viên hoặc người có quyền truy cậpvào hệ thống có thể là nguồn đe dọa, vì họ có khả năng kiểm soát hoặc tiết lộthông tin không đúng cách
Web Application Attacks (Tấn công vào ứng dụng web): Các ứng dụng webthường bị tấn công thông qua việc sử dụng lỗ hổng như SQL injection, cross-sitescripting (XSS), và cross-site request forgery (CSRF)
Trang 17 Password Attack (Tấn công vào mật khẩu): Thường được sử dụng để đánh cắpthông tin đăng nhập của người dùng hoặc kiểm soát tài khoản của họ Ví dụ: BruteForce Attack, Dictionary Attack, Keylogger,…
Hình 5: Các mối đe dọa tấn công mạng phổ biến
2.1.2 Giới thiệu một số kỹ thuật tấn công mạng cơ bản
Dưới đây là một số kỹ thuật tấn công mạng cơ bản:
Exploit Public-Facing Application: Sử dụng lỗ hổng trong ứng dụng web hoặcdịch vụ trực tuyến công khai để xâm nhập vào hệ thống
Privilege Escalation: Sử dụng các kỹ thuật để nâng cao quyền hạn truy cập, từngười dùng thông thường lên thành quản trị viên hoặc tài khoản có quyền đặc biệt
Command and Control: Thiết lập và duy trì kết nối với máy chủ điều khiển từ xa
để thực hiện các hoạt động tấn công
Brute Force Attack: Thử tất cả các khả năng mật khẩu cho một tài khoản đăngnhập để đánh lừa hệ thống
Trang 18 Cross-Site Scripting (XSS): Chèn mã JavaScript độc hại vào trang web để tấncông người dùng cuối
Credential Theft: Đánh cắp thông tin đăng nhập của người dùng thông qua phầnmềm độc hại hoặc kỹ thuật xâm nhập
Man-in-the-Middle Attack: Tấn công mà kẻ tấn công can thiệp vào giao tiếp giữahai bên để đánh cắp thông tin hoặc thay đổi nó
Social Engineering: Sử dụng kỹ thuật tâm lý để lừa dối người dùng hoặc nhân viên
để tiết lộ thông tin quan trọng
Fileless Malware: Sử dụng trong bộ nhớ hệ thống để tránh phát hiện bằng cáchkhông cần tạo tệp trên đĩa cứng
2.1.3 Ví dụ thực tế
Ví dụ 1: Chiếm quyền điều khiển máy chủ quản trị tập trung Active Directory, khai tháccác lỗ hổng để truy cập trái phép vào hệ thống sau đó tạo một tài khoản quyền cao nhấttrong hệ thống
Hình 6: Tấn công chiếm quyền điều khiển máy chủ
Ví dụ 2: Chiếm quyền hệ thống quản trị email thông qua khai thác việc giả mạo email tớingười dùng thông thường
Trang 19Hình 7: Tấn công chiếm quyền điều khiển máy chủ email.
2.2 Giới thiệu về MITRE ATT&CK Framework.
2.2.1 Mô hình cấu trúc của MITRE ATT&CK Framework
ATT&CK Framework là một hệ thống phân loại và mô tả các chiến thuật và kỹ thuật tấncông mạng mà các kẻ tấn công có thể sử dụng để xâm nhập vào một môi trường máy tính
và thực hiện các hoạt động xâm nhập, truy cập, và kiểm soát hệ thống từ đó giúp các tổchức xác định các lỗ hổng trong hệ thống và đề ra các biện pháp để bảo vệ an ninh mạngcho hệ thống của mình
Hình 8: Mô hình cấu trúc của MITRE ATT&CK Framework
2.2.2 Mục tiêu chính của MITRE ATT&CK Framework
Mô tả chi tiết các kỹ thuật tấn công: ATT&CK Framework cung cấp một bộ dữ
Trang 20thường sử dụng để tấn công mạng và hệ thống Điều này giúp cộng đồng bảo mật
có một hiểu biết chi tiết và sâu rộng về cách hoạt động của các mối đe dọa
Phát triển khả năng phát hiện: ATT&CK Framework giúp tổ chức nâng cao khảnăng phát hiện các cuộc tấn công bằng cách cung cấp danh sách các dấu vết hoặchiện tượng mà các tấn công có thể để lại Điều này giúp người quản trị hệ thống vàchuyên gia bảo mật nhanh chóng nhận biết sự xâm nhập và phản ứng kịp thời
Tạo ra khung làm việc chung: ATT&CK Framework cung cấp một khung làmviệc chung cho cộng đồng bảo mật, giúp đối phó với các mối đe dọa mạng mộtcách hiệu quả hơn Khung làm việc này bao gồm danh sách các tác vụ và kỹ thuật
có thể được sử dụng để phân tích, phát hiện, và đối phó với các cuộc tấn công
Chia sẻ thông tin và học hỏi: MITRE ATT&CK Framework tạo ra một ngôn ngữchung cho cộng đồng bảo mật để chia sẻ thông tin về các mối đe dọa và kỹ thuậttấn công Điều này giúp các tổ chức học hỏi từ nhau và tạo ra một sự hiểu biếtchung về cách đối phó với các tấn công
2.2.3 Đối tượng sử dụng MITRE ATT&CK Framework
Red Team: Là một nhóm chuyên gia hoặc cơ quan bảo mật thực hiện các hoạtđộng tấn công nhằm đánh giá và kiểm tra độ bảo mật của một tổ chức hoặc hệthống, phát triển và thử nghiệm các kịch bản tấn công, xác định các lỗ hổng bảomật và khả năng phát hiện, cung cấp báo cáo về các rủi ro và khuyến nghị cải thiệnbảo mật Red Team thường hành động như một kẻ tấn công thực sự dưới sự chophép của đơn vị, tổ chức yêu cầu
Blue team: Là một nhóm bảo mật hoặc tổ chức bảo mật nội bộ chịu trách nhiệmxây dựng và duy trì hệ thống bảo mật của tổ chức Blue Team hoạt động như mộtđội ngũ phòng thủ, tập trung vào giám sát, phát hiện và đối phó với các cuộc tấncông, xây dựng và duy trì các giải pháp bảo mật như tường lửa, IDS/IPS, antivirus,
… cải thiện bảo mật dựa trên kết quả từ Red Team và các sự kiện bảo mật trướcđó
Trang 21 Ngoài ra còn một số đối tượng khác có thể sử dụng MITRE ATT&CK Frameworkchẳng hạn như các nhà cung cấp dịch vụ bảo mật mạng, giảng viên đào tạo về bảomật mạng, học sinh-sinh viên có nhu cầu về tìm hiểu và triển khai các kỹ thuật về
Resource Development (Phát triển Tài nguyên): Liên quan đến việc phát triểnphần mềm độc hại để thực hiện các cuộc tấn công bao gồm việc phát triển mã độchại mới hoặc tùy chỉnh mã độc hại hiện có để tránh phần mềm chống vi-rút vàphát hiện xâm nhập Ví dụ: Malware Development, Attack TechniqueDevelopment,…
Initial Access (Tiếp cận ban đầu): Tập trung vào các chiến thuật và kỹ thuật mà kẻtấn công sử dụng để tiếp cận ban đầu hệ thống mục tiêu Ví dụ: Spear-phishing,Drive-by Compromise, Exploit Public-Facing Application
Execution (Thực thi): Liên quan đến các hoạt động tấn công để thực hiện mã độc
và kiểm soát hệ thống mục tiêu Ví dụ: PowerShell, Command-Line Interface,Scripting, Scheduled Task
Persistence (Duy trì quyền truy cập): Liên quan đến các kỹ thuật dùng để duy trìquyền truy cập và tồn tại trên hệ thống sau khi tiếp cận ban đầu đã được thực hiện
Ví dụ: Registry Run Keys / Startup Folder, Service, Scheduled Task
Privilege Escalation (Leo thang đặc quyền): Tập trung vào các hoạt động tấn công
để nâng cao quyền truy cập từ vai trò thường xuyên lên các quyền truy cập đặc
Trang 22 Defense Evasion (Tránh phòng thủ): Liên quan đến các kỹ thuật sử dụng để tránhphát hiện và phản ứng từ phía phòng thủ Ví dụ: Obfuscated Files or Information,Deception, Anti-virus Evasion.
Credential Access (Đánh cắp thông tin đăng nhập): Tập trung vào việc đánh cắpthông tin đăng nhập và chứng chỉ để tiếp tục cuộc tấn công Ví dụ: CredentialDumping, Steal Web Session Cookie, Password Spraying
Discovery (Khám phá hệ thống): Mô tả: Bao gồm việc thu thập thông tin về môitrường mục tiêu để chuẩn bị cho các hoạt động tấn công tiếp theo Ví dụ: QueryRegistry, System Network Configuration Discovery, Account Discovery
Lateral Movement (Mở rộng mục tiêu khai thác): Mô tả: Liên quan đến việc kẻ tấncông chuyển động từ một máy tính hoặc mạng con sang máy tính hoặc mạng conkhác trong hệ thống mục tiêu Ví dụ: Remote Desktop Protocol, SMB/WindowsAdmin Shares, Pass the Ticket
Collection (Thu thập): Liên quan đến việc thu thập thông tin, dữ liệu và tài liệuquan trọng từ hệ thống mục tiêu Ví dụ: Data from Local System, Data fromNetwork Shared Drive, Data Staged
Command and Control (Kiểm soát và điều khiển): Tập trung vào việc thiết lập vàduy trì các kênh liên lạc giữa kẻ tấn công và hệ thống mục tiêu Ví dụ: RemoteAccess Tools, Data Encoding,…
Exfiltration (Truyền dữ liệu ra ngoài): Tập trung vào việc truyền dữ liệu và thôngtin đánh cắp ra khỏi môi trường mục tiêu Ví dụ: Exfiltration Over Command andControl Channel, Exfiltration Over Alternative Protocol, Transfer Data to CloudAccount
Impact (Thay đổi hoặc phá hủy dữ liệu): Mô tả: Liên quan đến việc gây hại cho hệthống hoặc dữ liệu trong môi trường mục tiêu Ví dụ: Data Destruction, DiskStructure Wipe, Firmware Corruption