KIỂM THỬ XÂM NHẬP
3.4 Chia sẻ thông tin tinh báo môi de dọa và các khái
niệm liên quan
Thông tin tình báo mối đe dọa (Threat Intelligence)[8] là kiến thức về các mối
đe dọa mạng dựa trên các bằng chứng nhằm giúp tổ chức nắm bắt và phản ứng
45
Chương 3. Cơ sở lý thuyết
nhanh chóng trước các mối de dọa tiém năng hoặc đang diễn ra. Chia sẻ thông tin tinh báo mối đe doa là một phan quan trọng trong việc xây dựng một chiến
lược bảo mật hiệu quả và đảm bảo an toàn thông tin.
3.4.1 Lợi ích của chia sẻ thông tin tinh báo mối đe dọa
Có nhiều lý do để nhiều tổ chức nhận định tầm quan trọng của chia sẻ thông tin tình báo về mối đe dọa bao gồm:
© Phát hiện sớm mối de dọa: Thông tin tinh báo mối đe dọa cung cấp thông
tin chỉ tiết về các mô hình tấn công, hành vi của kẻ tân công và các biểu hiện tiền dé cho các cuộc tan công sắp tới. Điều này giúp tổ chức phát hiện va ứng phó với mối đe dọa ngay từ khi nó mới xuất hiện, giảm thiểu tổn hại và thời gian hồi phục.
© Hiểu rõ hơn về kẻ tan công: Thông qua phân tích thông tin tinh báo, tổ chức
có thể hiểu rõ hơn về hành vi, mục tiêu và phương pháp tấn công của kẻ tấn công. Điều này giúp xác định được mức độ nguy hiểm và đánh giá khả năng tan công, từ đó tăng cường biện pháp phòng ngừa va dé xuất các biện
pháp bảo mật phù hợp.
¢ Phản ứng trước sự cô một cách nhanh chóng: Thông tin tình báo mồi đe doa
cung cấp sự nhạy bén với những thay đổi trong hành vi tấn công và các mối
đe dọa mới. Điều này cho phép tổ chức nhanh chóng điều chỉnh các biện pháp bảo mật, triển khai các giải pháp phòng ngừa và phản ứng kịp thời để giảm thiểu rủi ro.
Việc chia sẻ thông tin tình báo mối đe dọa và hợp tác giữa các tổ chức đóng một vai trò vô cùng quan trọng. Điều này bởi vì cuộc tan công không chỉ xảy ra đối với một tổ chức đơn lẻ, mà thường liên quan đến một nhóm các tổ chức hoạt động
trong cùng một lĩnh vực. Việc chia sẻ thông tin tình báo giúp xây dựng một cộng
đồng an ninh mạng đồng thuận, cung cấp thông tin chỉ tiết và mới nhất về các mối đe dọa.
46
Chương 3. Cơ sở lý thuyết
3.4.2 Các loại mối đe dọa
Dưới đây là một số mối đe dọa điển hình, được giới thiệu trong nghiên cứu của nhóm tác giả Wiem Tounsi và Helmi Rais[8]:
1. Mối đe dọa thé hệ mới: Các mối de dọa thé hệ mới (New Generation Threats)
là các mối đe doa sử dụng nhiều bề mặt tan công và xảy ra theo nhiều giai đoạn khác nhau. Để thực hiện các cuộc tan công thế hệ mới, những kẻ tan công được trang bị các lỗ hổng zero-day (các lỗ hổng chưa từng được biết đến) mới nhất, các kỹ thuật công nghệ nâng cao và các kỹ thuật tan công xã
hội.
. Mối đe dọa dai dang nâng cao: Các mối đe doa dai dang nâng cao (Ad- vanced Persistent Threats) là một ví dụ về mối đe doa thế hệ mới. Nó là các cuộc tan công tinh vi, kẻ tan công liên tục có gắng xâm nhập hệ thống trong một thời gian đài mà không bị phát hiện. Mục tiêu của nó chủ yếu là đánh cắp thông tin chứ không phải phá hoại hệ thống. Các cuộc tân công như vậy thường nhắm vào các mục tiêu có giá trị cao như các cơ quan chính phủ.
. Mối đe dọa đa hình: Các mối đe dọa đa hình (Polymorphic Threats) là các cuộc tân công mạng sử dụng viruses, worms hoặc Trojans liên tục thay đổi hình thái của chúng. Mã nguồn trong các mối đe dọa đa hình được thay đổi liên tục nhưng chức năng của chúng van được giữ nguyên. Việc xuất hiện mối đe dọa đa hình khiến cho việc nhận biết và ngăn chặn chúng trở nên khó khăn và tốn kém hơn.
. Mối đe dọa lỗ hổng Zero-day: Các mối de dọa lỗ hổng Zero-day (Zero-day Threats) là các mối đe dọa mang lại bởi các lỗ hổng zero-day, đây là các lỗ hổng mà chưa từng được biết đến trên các ứng dụng, hệ điều hành, thiết bị,... Các cuộc tấn công sử dụng lỗ hổng zero-day thực sự hiệu quả vì chúng chưa từng được biết đến nên rất khó để phát hiện ra. Có thé mat tới nhiều tháng hoặc thậm chí nhiều năm để phát hiện ra chúng.
. Mối đe dọa tổng hợp: Các mối đe dọa tổng hợp (Composite Threats) là các cuộc tấn công kết hợp việc khai thác các lỗ hổng kỹ thuật và các kỹ thuật tấn công xã hội. Ví dụ như kẻ tấn công gửi thư lừa đảo tới một nhân viên có
47
Chương 3. Cơ sở lý thuyết
đính kèm một tệp đính kèm với mong muốn khi tệp đính kèm mở ra, một
lỗ hổng zero-day sẽ được khai thác.
3.43. Công cụ MISP
MISP (Malware Information Sharing Platform)[9] là một công cụ mã nguồn mở
và miễn phí được thiết kế để chia sẻ thông tin tình báo về mối đe dọa. MISP cung cấp một nền tang để tổ chức và cộng đồng an ninh mạng có thể thu thập, lưu trữ, chia sẻ và phân tích thông tin về các sự kiện mối đe dọa.
Các tính năng nổi bật của MISP bao gồm:
Chia sẻ thông tin tình báo: MISP cho phép người dùng chia sẻ thông tin tình
báo về các mối de dọa như địa chỉ IP độc hại, tệp tin độc hại, mẫu mã độc, nhận dạng hành vi xâm nhập,... Thông tin này có thể được chia sẻ trong nội
bộ tổ chức hoặc với các cộng đồng an ninh mạng.
Hợp tác phân tích: MISP hỗ trợ việc cộng tác phân tích tình báo, cho phép
nhiều người dùng cùng làm việc trên cùng một sự kiện mối de doa. Người dùng có thể ghi chú, gắn thẻ và đánh giá các thông tin tình báo, tạo ra các báo cáo và tài liệu phân tích để chia sẻ với cộng đồng.
Quản lý và lưu trữ tài liệu: MISP cho phép lưu trữ các tài liệu liên quan đến thông tin tình báo như bài viết, báo cáo, tài liệu kỹ thuật, hướng dẫn xử lý
sự cô va các tài liệu tham khảo khác. Điều này giúp tổ chức và cộng đồng
an ninh mạng có thể duy tri và truy cập dé dang vào kiến thức và thông tin
quan trọng.
Tích hợp và mở rộng: MISP cung cấp các giao diện lập trình ứng dụng (Ap-
plication Programming Interface - API) cho phép tích hợp với các công cụ
và hệ thống khác. Nó cũng hỗ trợ các mô-đun mở rộng (misp-modules) để
mở rộng khả năng phân tích và tích hợp với các nguồn tình báo bên ngoài.
MISP là một công cụ mạnh mẽ để xây dựng và quản lý cộng đồng tình báo mối đe dọa. Nó tạo điều kiện cho việc chia sẻ thông tin tình báo, tăng cường khả năng phát hiện và phản ứng đối với các mối đe doa, và cung cấp sự cộng tác giữa các tổ chức và cộng đồng an ninh mạng.
48
Chương 3. Cơ sở lý thuyết
3.4.4 Công cụ T-Pot