TRI THỨC VỀ NGUY CƠ BẢO MẬT VÀ TÀI NGUYÊN CẦN BẢO VỆ

Một phần của tài liệu Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 (Trang 75 - 76)

b. Bộ lọc hiển thị Wireshark

4.2. TRI THỨC VỀ NGUY CƠ BẢO MẬT VÀ TÀI NGUYÊN CẦN BẢO VỆ

Tri thức về nguy cơ bảo mật và tài nguyên cần bảo vệ (Friendly and threat intelligence – TI) được hiểu đơn giản là những tri thức giúp xác định các mối đe dọa bảo mật và đưa ra quyết định đúng đắn. TI có thể giúp giải quyết các vấn đề sau:

 Làm thế nào để cập nhật khối lượng thông tin khổng lồ về các nguy cơ an ninh như các nhân tố xấu, phương thức tấn công, lỗ hổng, đối tượng,…?

 Làm thế nào để có được nhiều hơn tri thức về tương lai các nguy cơ bảo mật?

 Làm thế nào để thông báo đến người quản lý về các nguy hiểm và hậu quả của một nguy cơ cụ thể?

TI nhận được rất nhiều quan tâm gần đây. Có nhiều định nghĩa khác nhau về TI và dưới đây là một vài trích dẫn thường gặp:

 “TI là tri thức dựa trên bằng chứng, bao gồm ngữ cảnh, cơ chế, IOC, các tin tức liên quan về một mối đe dọa hoặc nguy cơ đang hiện diện đối với tài sản – có thể được sử dụng để đưa ra quyết định phản ứng xử lý đối với mối đe dọa đó” – Gartner

 “Tập hợp dữ liệu thu thập được, định mức và áp dụng đối với mối đe dọa bảo mật, nhân tố đe dọa, khai khác, mã độc, lỗ hổng và các chỉ số xâm hại” – SANS Institute

Theo báo cáo của Verizon, trong năm 2015 các công ty thiệt hại khoảng 400 triệu USD do rò rỉ thông tin (từ 79,790 sự cố bảo mật). Các nguy cơ (mối đe dọa) và rò rỉ luôn xảy ra khiến mọi tổ chức phải tìm cách bảo về chính mình. Tuy nhiên các nguy cơ luôn thay đổi và rủi ro càng tăng cao do các tổ chức phải phụ thuộc vào hệ thống IT của mình.

Bảng 4.2 Một số IOC thông thường

IOC Ví dụ

Mạng  Địa chỉ IP

 URL

 Tên miền

Mã độc lây nhiễm vào các host nội bộ liên quan đến các nhân tố độc hại đã biết.

Thư điện tử  Địa chỉ người gửi thư, tên thư.

 Tệp tin đính kèm

 Đường dẫn

Các nỗ lực lừa đảo máy chủ nội bộ nhấn vào một thư đáng ngờ và gửi đến một máy chủ điều khiển độc hại Dựa trên máy

chủ

 Tên tệp tin và hàm băm của tệp tin (như MD5)

 Khóa đăng ký

 Thư viện đường dẫn động (DLL)

 Tên Mutex

Các vụ tấn công từ bên ngoài bắt đầu từ các máy chủ hoặc các hành vi độc hại đã được biết đến.

Nguy cơ đến từ cả nguồn nội bộ lẫn từ bên ngoài khiến các tổ chức rất cẳng thẳng khi đối mặt với chúng. Mặc dù thông tin dưới dạng dữ liệu gốc có sẵn rất đa dạng, nhưng rất khó và tốn thời gian để lấy ra thông tin có ích rồi đưa ra giải pháp cần thiết.

Các yếu tố đó thúc đẩy càng nhiều người sử dụng TI, giúp phân loại nguy cơ với lượng dữ liệu, cảnh báo khổng lồ, phân loại tấn công và cung cấp thông tin hữu ích.

Bảng 4.2 thể hiện một vài IOC thông thường của các vụ tấn công mà TI có thể xác định:

Một phần của tài liệu Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 (Trang 75 - 76)

Tải bản đầy đủ (PDF)

(103 trang)