Theo từ điển Oxford, một mối đe dọa được định nghĩa là “khả năng xảy ra một nỗ lực xấu nhằm làm hỏng hoặc phá vỡ hệ thống hoặc mạng máy tính.” Mối đe dọa là khả năng xảy ra một sự kiện không mong muốn mà cuối cùng có thể gây thiệt hại và làm gián đoạn các hoạt động vận hành và chức năng của một tổ chức.
Một mối đe dọa có thể ảnh hưởng đến tính toàn vẹn (integrity) và tính sẵn có (availability) của hệ thống. Tác động của các mối đe dọa là rất lớn. Sự tồn tại của các mối đe dọa có thể là tình cờ, cố ý hoặc do tác động của một số hành động.
Khái niệm thông tin tình báo về mối đe doạ
Hệ thống thông tin tình báo về mối đe doạ (Cyber Threat Intelligence), thường được gọi là CTI, là việc thu thập và phân tích thông tin về các mối đe dọa và kẻ thù, đồng thời tạo ra các mô hình cung cấp khả năng đưa ra các quyết định để chuẩn bị, phòng ngừa và thực hiện các hành động ứng phó chống lại các cuộc tấn công mạng khác nhau. Đó là quá trình nhận biết hoặc phát hiện ra bất kỳ “mối đe dọa chưa biết” nào mà một tổ chức có thể phải đối mặt.
Mục tiêu chính của CTI là làm cho tổ chức nhận thức được các mối đe dọa hiện có hoặc đang nổi lên và chuẩn bị một thế trận an ninh mạng chủ động trước khi khai thác. Quá trình này, trong đó các mối đe dọa chưa biết được chuyển thành những mối đe dọa có thể đã biết, giúp dự đoán cuộc tấn công trước khi nó có thể xảy ra, và cuối cùng dẫn đến một hệ thống tốt hơn và an toàn hơn. Do đó, CTI rất hữu ích trong việc chia sẻ dữ liệu an toàn và giao dịch toàn cầu giữa các tổ chức.
Các quy trình tình báo về mối đe dọa có thể được sử dụng để xác định các yếu tố nguy cơ gây ra các cuộc tấn công như SQL injection, rò rỉ dữ liệu, lừa đảo, tấn công từ chối dịch vụ và các cuộc tấn công khác. Những rủi ro như vậy, sau khi được lọc ra, có thể được đưa vào danh sách kiểm tra và xử lý thích hợp.
Phân loại
Thông tin tình báo về mối đe dọa được chia thành bốn loại khác nhau.
Strategic Threat Intelligence
Thông tin tình báo về mối đe dọa chiến lược cung cấp thông tin về thế trận an ninh mạng, các mối đe dọa, chi tiết về tác động tài chính của các hoạt động mạng khác nhau, xu hướng tấn công và tác động của các quyết định kinh doanh. Thông tin này được sử dụng bởi các nhà điều hành cấp cao và quản lý của tổ chức, chẳng hạn như quản lý CNTT và CISO.
- Tác động tài chính của hoạt động không gian mạng;
- Ghi nhận hành vi xâm nhập và vi phạm dữ liệu;
- Các tác nhân đe dọa và xu hướng tấn công;
- Mối đe dọa đối với các lĩnh vực công nghiệp khác nhau;
- Thông tin thống kê về vi phạm dữ liệu, đánh cắp dữ liệu và phần mềm độc hại;
- Xung đột địa chính trị liên quan đến các cuộc tấn công mạng;
- Thông tin về cách TTP của đối thủ thay đổi theo thời gian;
- Các ngành có thể bị ảnh hưởng do các quyết định kinh doanh;
Tactical Threat Intelligence
Thông tin tình báo mối đe dọa chiến thuật tình báo đóng một vai trò quan trọng trong việc bảo vệ các nguồn lực của tổ chức. Nó cung cấp thông tin liên quan đến các TTP được sử dụng bởi các tác nhân đe dọa (kẻ tấn công) để thực hiện các cuộc tấn công.
Thông tin tình báo về mối đe dọa chiến thuật được sử dụng bởi các chuyên gia an ninh mạng như người quản lý dịch vụ CNTT, người quản lý hoạt động bảo mật, nhân viên trung tâm điều hành mạng (NOC). Nó giúp các chuyên gia an ninh mạng hiểu được cách thức kẻ thù dự kiến sẽ thực hiện cuộc tấn công của họ vào tổ chức, xác định sự rò rỉ thông tin từ tổ chức và đánh giá khả năng kỹ thuật và mục tiêu của kẻ tấn công cùng với các vector tấn công.
Các nguồn thu thập thông tin tình báo về mối đe dọa chiến thuật bao gồm báo cáo chiến dịch, phần mềm độc hại, báo cáo sự cố, báo cáo nhóm tấn công và trí thông minh của con người, cùng các thông tin khác.
Operational Threat Intelligence
Thông tin tình báo về mối đe dọa hoạt động cung cấp thông tin về các mối đe dọa cụ thể chống lại tổ chức. OTI cung cấp thông tin theo ngữ cảnh về các sự kiện và sự cố bảo mật giúp biết được các rủi ro tiềm ẩn, cung cấp cái nhìn sâu sắc hơn về phương pháp của kẻ tấn công, thực hiện điều tra về hoạt động độc hại theo cách hiệu quả hơn.
Trong nhiều trường hợp, chỉ có các tổ chức chính phủ mới có thể thu thập loại thông tin tình báo này.
Thông tin tình báo về mối đe dọa hoạt động thường được thu thập từ các nguồn như con người, phương tiện truyền thông xã hội hoặc từ các hoạt động và sự kiện trong thế giới thực dẫn đến các cuộc tấn công mạng. Thông tin tình báo về mối đe dọa hoạt động thu được bằng cách phân tích hành vi của con người và thường xuất hiện dưới dạng một báo cáo chứa các hoạt động độc hại đã được xác định, các hành động được khuyến nghị và cảnh báo về các cuộc tấn công đang nổi lên.
Technical Threat Intelligence
Tình báo về mối đe dọa kỹ thuật cung cấp thông tin về các nguồn lực mà kẻ tấn công sử dụng để thực hiện một cuộc tấn công; điều này bao gồm các công cụ và các mục khác. Nó có tuổi thọ ngắn hơn so với tình báo về mối đe dọa chiến thuật và chủ yếu tập trung vào một loC cụ thể (xem thêm khái niệm IoC tại Phần 2). Nó cung cấp khả năng phân phối và phản ứng nhanh chóng với các mối đe dọa.
Các chỉ số được thu thập từ các chiến dịch đang hoạt động hoặc nguồn cấp dữ liệu do các bên thứ ba bên ngoài cung cấp. Thông tin tình báo này được đưa trực tiếp vào các thiết bị bảo mật ở định dạng kỹ thuật số để chặn và xác định lưu lượng độc hại đến và đi xâm nhập vào mạng.
Mô hình hoá mối đe doạ
Khái niệm mô hình hoá mối đe doạ
Mô hình hóa mối đe dọa là một phương pháp đánh giá rủi ro để phân tích tính bảo mật của một ứng dụng bằng cách nắm bắt, tổ chức và phân tích tất cả thông tin ảnh hưởng đến nó. Mô hình mối đe dọa bao gồm ba yếu tố:
- Hiểu quan điểm của đối thủ.
- Mô tả đặc điểm bảo mật của hệ thống.
- Xác định các mối đe dọa.
Mỗi ứng dụng phải có một mô hình mối đe dọa được phát triển và được lập thành tài liệu, mô hình này cần được xem xét lại khi ứng dụng phát triển và phát triển.
Mô hình hóa mối đe dọa giúp:
- Xác định các mối đe dọa liên quan đến một tình huống ứng dụng cụ thể;
- Xác định các lỗ hổng chính trong thiết kế của ứng dụng;
- Cải thiện thiết kế bảo mật;
Khi sử dụng phương pháp này, quản trị viên nên:
- Cố gắng không cứng nhắc về các bước hoặc cách triển khai cụ thể mà cần tập trung vào cách tiếp cận. Nếu bất kỳ bước nào không thể vượt qua, hãy chuyển sang ngay bước 4 của quy trình lập mô hình mối đe dọa và xác định vấn đề.
- Sử dụng các tình huống để xác định phạm vi hoạt động mô hình hóa.
- Sử dụng các tài liệu thiết kế hiện có.
- Sử dụng phương pháp lặp lại. Bổ sung thêm chi tiết và cải thiện mô hình mối đe dọa khi thiết kế và phát triển tiếp tục. Điều này sẽ giúp làm quen với quá trình lập mô hình và phát triển mô hình mối đe dọa để kiểm tra tốt hơn các tình huống có thể xảy ra.
Các bước mô hình hoá mối đe doạ
Xác định các mục tiêu bảo mật (Identify Security Objectives)
Mục tiêu bảo mật là các mục tiêu và ràng buộc liên quan đến tính bảo mật, tính toàn vẹn và tính khả dụng của ứng dụng. Để xác định các mục tiêu bảo mật, cần quan tâm những vấn đề như:
- Dữ liệu nào cần được bảo vệ?
- Có bất kỳ yêu cầu tuân thủ nào không?
- Có các yêu cầu cụ thể về chất lượng dịch vụ không?
- Có tài sản vô hình cần bảo vệ không?
Tổng quan về ứng dụng (Application Overview)
Cần khái quát hoạt động và cấu trúc của ứng dụng, các hệ thống và các đặc điểm triển khai của nó (nếu có). Sơ đồ triển khai phải chứa:
- Cấu trúc liên kết triển khai end-to-end
- Các lớp logic
- Các thành phần chính
- Các dịch vụ chính
- Cổng giao tiếp và giao thức
- Danh tính
- Sự phụ thuộc bên ngoài
Phân rã ứng dụng (Decompose the Application)
- Xác định ranh giới tin cậy
- Xác định các luồng dữ liệu
- Xác định điểm đầu vào
- Xác định điểm thoát
Xác định mối đe dọa (Identify Threats)
Admin cần xác định các mối đe dọa liên quan đến bối cảnh và kịch bản kiểm soát bằng cách sử dụng thông tin thu được trong phần tổng quan về ứng dụng và phân tích các bước ứng dụng.
Xác định lỗ hổng (Identify Vulnerabilities)
Lỗ hổng là một điểm yếu trong một ứng dụng (được triển khai trong hệ thống thông tin) cho phép kẻ tấn công khai thác, từ đó dẫn đến vi phạm bảo mật.
Người làm bảo mật cần sử dụng các danh mục lỗ hổng để xác định lỗ hổng và sửa chúng trước để ngăn chặn các cuộc tấn công.
Comments 1