Một số công cụ và hệ thống giúp cho việc giám sát, săn tìm và phát hiện tấn công APT trên máy như sau:
2.4.3.1 Săn tìm mối đe dọa thông qua các bản ghi sự kiện của windows: APT-Hunter.
Công cụ APT-Hunter này sẽ phát hiện các chuyển động của APT và phát hiện ra các hoạt động đáng ngờ. Nó được viết bởi Ahmed Khlief. Công cụ này sẽ hữu ích cho Thợ săn đe dọa, Người phản hồi sự cố hoặc các nhà điều tra pháp y. Danh sách các quy tắc mặc định trong công cụ này sẽ phát hiện chỉ báo tấn công, bao gồm các kỹ thuật apt và ánh xạ các chiến thuật và kỹ thuật của khung Mitre ATT & CK với ID sự kiện của nhật ký sự kiện Windows.
Các tính năng của APT-Hunter:
• Cung cấp đầu ra với định dạng phác thảo thời gian để tải lên trực tiếp và bắt đầu phân tích dòng thời gian.
• Sự kiện được phân loại dựa trên Mức độ nghiêm trọng để giúp lọc dễ dàng và tập trung vào những gì quan trọng.
• Có một tập lệnh tự động thu thập nhật ký để thu thập tất cả các nhật ký được yêu cầu nhằm tiết kiệm thời gian cần thiết để xuất các nhật ký quan trọng. • Thu thập và phân tích (Sysmon, Security, System, Powershell,
Powershell_Operational, SchedisedTask, WinRM, TerminalServices, Windows_Defender).
• Quy tắc này đã thử nghiệm trong nhiều sự cố thực tế và cung cấp một thông tin tuyệt vời giúp giảm thời gian phát hiện bằng chứng ban đầu.
• Dễ dàng thêm quy tắc phát hiện mới vì các trường rõ ràng và cú pháp dễ sử dụng.
• Hỗ trợ các bản ghi sự kiện windows được xuất dưới dạng EVTX và CSV.
Tải xuống và cài đặt công cụ này tại:
2.4.3.2 Sử dụng các hệ thống SIEM tích hợp các giải pháp để phát hiện tấn công APT
SIEM là hệ thống quản lý nhật ký và sự kiện tập trung, có nhiệm vụ thu thập thông tin nhật ký, sự kiện trong toàn hệ thống doanh nghiệp và tổng hợp tất cả trên 1 giao diện duy nhất thay vì phải làm thủ công từng cái một.
Hình 2.35 Hình ảnh minh họa việc phân tích log bằng SIEM
Chức năng của hệ thống SIEM:
• Quản lý tập trung: Thu thập, lưu trữ tập trung nhật ký và sự kiện từ tất cả các thiết bị trên 1 giao diện giúp quản trị viên có được cái nhìn toàn diện về những gì đang xảy ra trong hệ thống.
• Giám sát an toàn mạng: Phân tích thông tin qua các thuật toán, dự đoán các sự cố bảo mật giúp các bộ phận liên quan chủ động hơn trong công việc.
• Xử lý sự cố hiệu quả: Đưa ra cảnh báo khi có xâm nhập trái phép để kịp thời xử lý và khắc phục sự cố nhanh nhất.
Tính năng của hệ thống SIEM:
• Bảo mật dữ liệu. • Toàn vẹn dữ liệu. • Tính khả dụng cao.
• Phân tích chuyên sâu theo thời gian thực.
Thành phần trong hệ thống SIEM:
Hình 2.36 Các thành phần trong hệ thống SIEM
Hệ thống SIEM thường bao gồm 3 bộ phận chính. Đó là bộ phận thu thập nhật ký ATTT, phân tích và lưu trữ, quản trị tập trung.
- Thu thập nhật ký ATTT: có chức năng thu thập nhật ký từ các thiết bị hoạt
động. Sau khi dữ liệu được tập hợp sẽ được gửi toàn bộ về bộ phận phân tích và lưu trữ.
- Phân tích và lưu trữ: có nhiệm vụ tiếp nhận, tổng hợp, phân tích và lưu trữ dữ
liệu. Các thuật toán so sánh sau quá trình phân tích sẽ đưa ra cảnh báo (nếu có). - Quản trị tập trung: cung cấp giao diện quản lý tập trung cho toàn bộ hệ thống
giám sát an ninh. Hàng ngàn mẫu báo cáo được tập hợp sẵn có thể sử dụng được ngay trong mọi trường hợp.
Mỗi bộ phận đều có chức năng và nhiệm vụ riêng biệt. Khi kết hợp hoạt động cùng lúc sẽ tạo nên giải pháp SIEM hoàn chỉnh, làm việc hiệu quả.
2.4.3.3 Sử dụng EDR - Hệ thống Phát hiện và phản hồi các mối nguy hại tại điểm cuối.
Các giải pháp EDR được sử dụng để phát hiện và đánh giá mọi hoạt động đáng ngờ trên các điểm cuối của hệ thống mạng. EDR đang trở thành một giải pháp được hầu
hết các doanh nghiệp ưa chuộng sử dụng nhằm đảm bảo an ninh mạng. Việc xem xét EDR cũng như SIEM (hệ thống quản lý thông tin nhật ký và các sự kiện an ninh) là rất quan trọng và hai giải pháp này sẽ đem tới kết quả tốt hơn khi được phối hợp với nhau.
2.4.3.4 Giải pháp Threat Intelligence
Thay vì bị động bảo vệ hệ thống trước các vụ tấn công, Threat Intelligence chủ động đi tìm các nguồn tấn công thông qua một loạt các biện pháp theo dấu, tìm kiếm phân tích dữ liệu trên không gian mạng, từ nguồn mở đến nguồn đóng như dark/deep web. Sau khi có kết quả, dữ liệu về mối đe dọa sẽ được gửi cho các khách hàng là doanh nghiệp sử dụng dịch vụ Threat Intelligence. Từ đây, các doanh nghiệp sẽ có những biện pháp tăng cường bảo mật, vá lỗ hổng nguy hiểm, cảnh báo đến nhân sự những mối đe dọa tiềm tàng có thể xuất hiện trong các email lạ.
Bảng dưới đây thể hiện một vài chỉ số thông thường của các vụ tấn công mà Threat Intelligence có thể xác định và từ đó giúp phân loại mối đe dọa với lượng dữ liệu, cảnh báo khổng lồ, phân loại tấn công và cung cấp thông tin hữu ích.
Chỉ số Ví dụ
Mạng • Địa chỉ IP
• URL
• Tên miền
Mã độc lây nhiễm vào các host nội bộ liên quan đến các nhân tố độc hại đã biết.
Email • Địa chỉ người gửi email,
tên email.
• File đính kèm
• Đường dẫn
Các nỗ lực lừa đảo host nội bộ nhấn vào một email đáng ngờ và gửi đến một máy chủ điều khiển độc hại
Host-Based • Filenames và file hashes
(e.g. MD5)
• Registry key
• Dynamic link libraries
(DLL)
• Mutex name
Các vụ tấn công từ bên ngoài bắt đầu từ các host hoặc các hành vi độc hại đã được biết đến.