b. Bộ lọc hiển thị Wireshark
4.2.3 Tạo tri thức về nguy cơ bảo mật
Tri thức về các nguy cơ bảo mật (TI) là một phần của tập các tri thức như đã xác định trước đó trong phần đầu của chương. TI chỉ tập trung vào các bộ phận có thể gây hại, và tìm cách thu thập dữ liệu để hỗ trợ việc tạo ra một sản phẩm có thể được sử dụng để đưa ra quyết định về bản chất của các nguy cơ. Loại tri thức này có thể được chia thành ba loại con: TI chiến lược, TI khai thác và TI chiến thuật (Hình 4.40).
Hình 4.40 Các loại tri thức về các nguy cơ bảo mật
TI chiến lược là thông tin liên quan đến các chiến lược, chính sách, kế hoạch của kẻ tấn công ở mức cao. Thông thường, việc thu thập và phân tích thông tin ở cấp độ này chỉ xảy ra bởi chính phủ hoặc các tổ chức quân sự để đáp ứng với các nguy cơ từ các chính phủ hoặc quân đội khác. Các tổ chức lớn đang phát triển những tính năng này, và một số các tổ chức này hiện tại có bán dịch vụ về TI chiến lược. Các dịch vụ này tập trung vào những mục tiêu dài hạn của các lực lượng hỗ trợ tấn công hoặc cá nhân. Sản phẩm của loại TI này có thể bao gồm các tài liệu chính sách, thuyết chiến tranh, báo cáo vị thế, chính phủ, quân đội, hoặc mục tiêu nhóm.
TI khai thác là thông tin liên quan đến cách một kẻ tấn công hoặc nhóm những kẻ tấn công lập kế hoạch và hỗ trợ các hoạt động nhằm hỗ trợ cho các mục tiêu chiến lược. Điều này khác với TI chiến lược vì nó tập trung vào mục tiêu hẹp hơn, thường giới hạn cho các mục tiêu ngắn hạn chỉ là một phần của bức tranh lớn. TI khai thác thường dùng nhiều trong phạm vi chính phủ hoặc các tổ chức quân sự. Tuy nhiên các tổ chức riêng rẽ cũng thường trở thành nạn nhân của kẻ tấn công khi chúng thực hiện các hành vi nhằm thỏa mãn mục tiêu khai thác. Do vậy, một số tổ chức công cộng sẽ để ý tới các cuộc tấn công này, với khả năng tạo ra TI khai thác.
TI chiến thuật đề cấp tới các thông tin liên quan đến các hành động cụ thể thực hiện trong khi tiến hành các hoạt động ở cấp độ nhiệm vụ. Đây là nơi chúng ta đi sâu vào các công cụ, chiến thuật và thủ tục được sử dụng bởi kẻ tấn công, cũng là nơi các doanh nghiệp thực hiện NSM sẽ tập trung nỗ lực của họ vào. Nó thường gồm các chỉ báo tấn công (địa chỉ IP, tên file, chuỗi văn bản) hay danh sách các công cụ tấn công cụ thể. Loại thông tin này thường là tạm thời và nhanh chóng bị lỗi thời.
4.2.3.1 Nghiên cứu về các máy trạm không tin cậy
Khi một cảnh báo được tạo ra đối với một kết nối đáng nghi ngờ giữa một máy tính tin cậy và một máy tính không tin cậy, việc cần làm đối với một chuyên gia phân tích là tạo ra TI chiến thuật liên quan tới máy tính không tin cậy. Sau đó, hầu hết các cảnh báo IDS sẽ cho biết địa chỉ IP của máy tính và mẫu trao đổi thông tin gây ra cảnh báo. Trong phần này sẽ xem xét các thông tin có thể có được khi chỉ có duy nhất địa chỉ IP của máy tinh hoặc tên miền.