Ngày 31 tháng 5 năm 2023Tin tức về tin tặc Săn lùng mối đe dọa / An ninh mạng
Phát hiện các tác nhân đe dọa trước khi chúng tìm thấy bạn là chìa khóa để tăng cường khả năng phòng thủ trên mạng của bạn. Làm thế nào để thực hiện điều đó một cách hiệu quả và hiệu quả không phải là một nhiệm vụ dễ dàng – nhưng với một khoản đầu tư nhỏ về thời gian, bạn có thể thành thạo việc săn lùng mối đe dọa và tiết kiệm cho tổ chức của mình hàng triệu đô la.
Hãy xem xét thống kê đáng kinh ngạc này. Cybersecurity Ventures ước tính rằng tội phạm mạng sẽ gây thiệt hại 10,5 nghìn tỷ đô la cho nền kinh tế toàn cầu vào năm 2025. Nếu tính con số này với tư cách một quốc gia, chi phí do tội phạm mạng gây ra tương đương với nền kinh tế lớn thứ ba thế giới sau Hoa Kỳ và Trung Quốc. Nhưng với việc săn tìm mối đe dọa hiệu quả, bạn có thể ngăn chặn những kẻ xấu phá hoại tổ chức của mình.
Bài viết này đưa ra lời giải thích chi tiết về săn lùng mối đe dọa – nó là gì, cách thực hiện triệt để và hiệu quả cũng như cách tình báo về mối đe dọa mạng (CTI) có thể hỗ trợ nỗ lực săn lùng mối đe dọa của bạn.
Săn mối đe dọa là gì?
Săn lùng mối đe dọa trên mạng đang thu thập bằng chứng cho thấy mối đe dọa đang thành hiện thực. Đó là một quá trình liên tục giúp bạn tìm ra các mối đe dọa gây rủi ro đáng kể nhất cho tổ chức của bạn và trao quyền cho nhóm của bạn để ngăn chặn chúng trước khi một cuộc tấn công bắt đầu.
Bảo vệ tổ chức của bạn khỏi tội phạm mạng tốn kém với báo cáo toàn diện mới nhất có tiêu đề ‘Săn lùng mối đe dọa để có an ninh mạng hiệu quả.' Tải xuống ngay bây giờ để tìm hiểu cách lập kế hoạch, thực hiện và đánh giá hiệu quả các cuộc săn lùng mối đe dọa, đảm bảo rằng hệ thống của bạn được củng cố trước bối cảnh ngày càng phát triển của các mối đe dọa mạng.
Săn lùng mối đe dọa trong sáu phần
Trong suốt cuộc săn, việc lập kế hoạch cẩn thận và chú ý đến từng chi tiết là rất cần thiết, cũng như đảm bảo tất cả các thành viên trong nhóm tuân theo cùng một kế hoạch. Để duy trì hiệu quả, hãy ghi lại từng bước để những người khác trong nhóm của bạn có thể dễ dàng lặp lại quy trình tương tự.
1 — Tổ chức cuộc săn.
Đảm bảo nhóm của bạn được chuẩn bị và tổ chức bằng cách kiểm kê các tài sản quan trọng của bạn, bao gồm điểm cuối, máy chủ, ứng dụng và dịch vụ. Bước này giúp bạn hiểu những gì bạn đang cố gắng bảo vệ và các mối đe dọa mà chúng dễ mắc phải nhất. Tiếp theo, hãy xác định vị trí của từng nội dung, người có quyền truy cập và cách thức cung cấp quyền truy cập diễn ra.
Cuối cùng, hãy xác định các yêu cầu thông minh ưu tiên (PIR) của bạn bằng cách đặt câu hỏi về các mối đe dọa tiềm ẩn dựa trên môi trường và cơ sở hạ tầng của tổ chức bạn. Ví dụ: nếu bạn có lực lượng lao động từ xa hoặc kết hợp, những câu hỏi như vậy có thể bao gồm:
Những mối đe dọa nào là thiết bị từ xa dễ bị tổn thương nhất? Những mối đe dọa đó sẽ để lại bằng chứng gì? Làm thế nào chúng ta sẽ xác định nếu một nhân viên bị xâm phạm?2 — Lên kế hoạch đi săn.
Trong giai đoạn này, bạn sẽ thiết lập các thông số cần thiết thông qua các bước sau:
Nêu rõ mục đích của bạn – bao gồm lý do tại sao việc săn lùng là cần thiết và bạn nên tập trung vào (những) mối đe dọa nào, như được xác định bởi các PIR của bạn. (Ví dụ: lực lượng lao động từ xa có thể dễ bị tấn công lừa đảo hơn theo mô hình BYOD.) Xác định phạm vi – xác định các giả định của bạn và nêu giả thuyết của bạn dựa trên những gì bạn biết. Bạn có thể thu hẹp phạm vi của mình bằng cách hiểu bằng chứng nào sẽ xuất hiện nếu mối đe dọa mà bạn đang tìm kiếm khởi chạy. Hiểu các giới hạn của bạn, chẳng hạn như bạn có thể truy cập tập dữ liệu nào, bạn phải phân tích tài nguyên nào và bạn có bao nhiêu thời gian. Đặt thời gian khung với một thời hạn thực tế. Xác định môi trường nào cần loại trừ và tìm kiếm các mối quan hệ hợp đồng có thể ngăn bạn thực hiện tìm kiếm trong các cài đặt cụ thể. Hiểu các ràng buộc pháp lý và quy định mà bạn phải tuân theo. (Bạn không thể vi phạm pháp luật, ngay cả khi săn lùng kẻ xấu.)
3 — Sử dụng các công cụ phù hợp cho công việc.
Có rất nhiều công cụ để tìm kiếm mối đe dọa, tùy thuộc vào giả thuyết và kiểm kê tài sản của bạn. Ví dụ: nếu bạn đang tìm kiếm một thỏa hiệp tiềm ẩn, SIEM và các công cụ điều tra có thể giúp bạn xem lại nhật ký và xác định xem có bất kỳ rò rỉ nào không. Sau đây là danh sách mẫu các tùy chọn có thể cải thiện đáng kể hiệu quả săn lùng mối đe dọa:
Trí thông minh về mối đe dọa – cụ thể là nguồn cấp dữ liệu tự động và cổng điều tra lấy thông tin về mối đe dọa từ trang web sâu và tối Công cụ tìm kiếm và mạng nhện Thông tin từ các nhà cung cấp phần mềm chống vi-rút và an ninh mạng Tài nguyên chính phủ Phương tiện truyền thông đại chúng – blog an ninh mạng, trang tin tức trực tuyến và tạp chí SIEM, SOAR, điều tra công cụ và công cụ OSINT
4 — Thực hiện cuộc săn.
Khi thực hiện cuộc săn, tốt nhất là giữ cho nó đơn giản. Thực hiện theo kế hoạch của bạn từng điểm một để đi đúng hướng và tránh bị chuyển hướng và mất tập trung. Việc thực hiện diễn ra trong bốn giai đoạn:
Thu thập: đây là phần tốn nhiều công sức nhất trong quá trình tìm kiếm mối đe dọa, đặc biệt nếu bạn sử dụng các phương pháp thủ công để thu thập thông tin về mối đe dọa. Quy trình: biên dịch và xử lý dữ liệu ở định dạng có tổ chức và dễ đọc để các nhà phân tích mối đe dọa khác hiểu được. Phân tích: xác định những phát hiện của bạn tiết lộ điều gì. Kết luận: nếu bạn tìm thấy một mối đe dọa, bạn có dữ liệu để hỗ trợ mức độ nghiêm trọng của nó không?
5 — Kết luận và đánh giá cuộc săn.
Đánh giá công việc của bạn trước khi bạn bắt đầu cuộc săn tiếp theo là điều bắt buộc để giúp bạn cải thiện trong quá trình thực hiện. Dưới đây là một số câu hỏi cần xem xét trong giai đoạn này:
Giả thuyết được chọn có phù hợp với cuộc săn không? Phạm vi đã đủ hẹp chưa? Bạn đã thu thập thông tin tình báo hữu ích hay một số quy trình có thể được thực hiện theo cách khác? Bạn đã có các công cụ phù hợp chưa? Mọi người có làm theo kế hoạch và quy trình không? Lãnh đạo có cảm thấy được trao quyền để giải quyết các câu hỏi trên đường đi không và họ có quyền truy cập vào tất cả các thông tin cần thiết không?
6 — Báo cáo và hành động dựa trên những phát hiện của bạn.
Khi kết thúc cuộc săn lùng, bạn có thể xem liệu dữ liệu của mình có hỗ trợ cho giả thuyết của mình hay không – và nếu có, bạn sẽ thông báo cho các nhóm ứng phó sự cố và an ninh mạng. Nếu không có bằng chứng về vấn đề cụ thể, bạn sẽ cần đánh giá tài nguyên và đảm bảo không có lỗ hổng nào trong quá trình phân tích dữ liệu. Ví dụ: bạn có thể nhận ra rằng mình đã xem lại nhật ký của mình để tìm sự xâm phạm nhưng không kiểm tra dữ liệu bị rò rỉ trên web tối.
Đưa việc săn lùng mối đe dọa lên một tầm cao mới với CTI
CTI có thể là một thành phần hiệu quả trong chương trình tìm kiếm mối đe dọa của bạn, đặc biệt khi dữ liệu tình báo về mối đe dọa là toàn diện và bao gồm bối cảnh kinh doanh cũng như mức độ phù hợp với tổ chức của bạn. Cybersixgill loại bỏ rào cản truy cập vào các nguồn CTI có giá trị nhất và cung cấp khả năng điều tra chuyên sâu để giúp nhóm của bạn tìm kiếm các mối đe dọa mạng tiềm ẩn có mức độ ưu tiên cao nhất.
Cổng thông tin điều tra của chúng tôi cho phép bạn biên soạn, quản lý và giám sát toàn bộ kho tài sản của mình trên web sâu, tối và rõ ràng. Thông tin tình báo này giúp bạn xác định các rủi ro và mức độ phơi bày tiềm ẩn, hiểu các đường tấn công tiềm ẩn và TTP của tác nhân đe dọa để chủ động vạch trần và ngăn chặn các cuộc tấn công mạng mới nổi trước khi chúng được vũ khí hóa.
Để biết thêm thông tin, vui lòng tải xuống báo cáo mới nhất của tôi về Săn lùng Đe dọa để có An ninh mạng Hiệu quả. Để lên lịch trình demo, hãy truy cập https://cybersixgill.com/book-a-demo.
Lưu ý: Bài viết này được viết và đóng góp một cách chuyên nghiệp bởi Michael-Angelo Zummo, Nhà phân tích tình báo về mối đe dọa mạng cấp cao tại Cybersixgill.
