Săn lùng mối đe dọa là một thành phần thiết yếu trong chiến lược an ninh mạng của bạn. Cho dù bạn mới bắt đầu hay ở trạng thái nâng cao, bài viết này sẽ giúp bạn tăng cường chương trình thông tin tình báo về mối đe dọa của mình.
Săn lùng mối đe dọa là gì?
Ngành an ninh mạng đang chuyển từ cách tiếp cận bị động sang chủ động. Thay vì đợi các cảnh báo an ninh mạng và sau đó giải quyết chúng, các tổ chức bảo mật hiện đang triển khai các đội đỏ để tích cực tìm kiếm các hành vi vi phạm, các mối đe dọa và rủi ro để có thể cô lập chúng. Điều này còn được gọi là “săn mối đe dọa.”
Tại sao săn lùng mối đe dọa bắt buộc?
Săn lùng mối đe dọa bổ sung cho các biện pháp kiểm soát an ninh phòng ngừa và phát hiện hiện có. Những biện pháp kiểm soát này rất cần thiết để giảm thiểu các mối đe dọa. Tuy nhiên, chúng được tối ưu hóa để có mức cảnh báo dương tính giả thấp. Mặt khác, các giải pháp săn tìm được tối ưu hóa cho tỷ lệ âm tính giả thấp. Điều này có nghĩa là các điểm bất thường và ngoại lệ được coi là dương tính giả đối với các giải pháp phát hiện, là các đầu mối của các giải pháp săn tìm, sẽ được điều tra. Điều này cho phép tìm kiếm mối đe dọa để loại bỏ khoảng cách hiện có giữa các giải pháp phát hiện. Một chiến lược bảo mật mạnh mẽ sẽ sử dụng cả hai loại giải pháp. Tal Darsan, Giám đốc Dịch vụ Bảo mật tại Cato Networks, cho biết thêm: “Nhìn chung, việc tìm kiếm mối đe dọa là rất quan trọng vì nó cho phép các tổ chức chủ động xác định và giải quyết các mối đe dọa bảo mật tiềm ẩn trước khi chúng có thể gây ra thiệt hại đáng kể. Các nghiên cứu gần đây cho thấy thời gian tồn tại của một mối đe dọa trong một mạng của tổ chức cho đến khi tác nhân đe dọa đạt được mục tiêu cuối cùng của chúng, có thể kéo dài hàng tuần đến hàng tháng. Do đó, việc có một chương trình săn tìm mối đe dọa tích cực có thể giúp phát hiện và phản hồi kịp thời các mối đe dọa mạng mà các công cụ hoặc sản phẩm bảo mật khác bỏ sót.”
Làm thế nào để săn mối đe dọa
Một thợ săn mối đe dọa sẽ bắt đầu bằng cách tiến hành nghiên cứu chuyên sâu về mạng cũng như các lỗ hổng và rủi ro của nó. Để làm như vậy, họ sẽ cần nhiều kỹ năng bảo mật công nghệ, bao gồm phân tích phần mềm độc hại, phân tích bộ nhớ, phân tích mạng, phân tích máy chủ và kỹ năng tấn công. Sau khi nghiên cứu của họ mang lại “đầu mối”, họ sẽ sử dụng nó để thách thức các giả thuyết bảo mật hiện có và cố gắng xác định cách tài nguyên hoặc hệ thống có thể bị vi phạm. Để chứng minh/bác bỏ giả thuyết của mình, họ sẽ thực hiện các chiến dịch săn lùng lặp đi lặp lại.
Nếu “thành công” trong việc vi phạm, họ có thể giúp tổ chức phát triển các phương pháp phát hiện và khắc phục lỗ hổng. Những kẻ săn lùng mối đe dọa cũng có thể tự động hóa một số hoặc tất cả quy trình này để quy trình có thể mở rộng quy mô.
Tal Darsan cho biết thêm “Các nhóm MDR (Phát hiện và phản hồi được quản lý) đóng một vai trò quan trọng trong việc săn tìm mối đe dọa hiệu quả bằng cách cung cấp chuyên môn và công cụ chuyên biệt để theo dõi và phân tích các mối đe dọa bảo mật tiềm ẩn. Việc thuê dịch vụ MDR cung cấp cho các tổ chức sự hỗ trợ chuyên môn về an ninh mạng, công nghệ tiên tiến, 24 /7, ứng phó sự cố nhanh chóng và tiết kiệm chi phí. Các nhà cung cấp dịch vụ MDR có chuyên môn chuyên sâu và sử dụng các công cụ tiên tiến để phát hiện và ứng phó với các mối đe dọa tiềm ẩn trong thời gian thực.”
Nơi tìm kiếm các mối đe dọa
Một thợ săn mối đe dọa giỏi cần phải trở thành một chuyên gia về Trí tuệ nguồn mở (OSINT). Bằng cách tìm kiếm trực tuyến, những kẻ săn tìm mối đe dọa có thể tìm thấy bộ phần mềm độc hại, danh sách vi phạm, tài khoản khách hàng và người dùng, zero-day, TTP, v.v.
Những lỗ hổng này có thể được tìm thấy trong web rõ ràng, tức là Internet công cộng được sử dụng rộng rãi. Ngoài ra, nhiều thông tin có giá trị thực sự được tìm thấy trong web sâu và web tối, là các lớp internet bên dưới web rõ ràng. Khi vào trang web tối, bạn nên cẩn thận che giấu tính cách của mình; nếu không, bạn và công ty của bạn có thể bị tổn hại.
Bạn nên dành ít nhất nửa giờ mỗi tuần trên dark web. Tuy nhiên, vì rất khó để tìm ra các lỗ hổng ở đó nên hầu hết những gì bạn xác định được có thể là từ các trang web sâu và rõ ràng.
Cân nhắc cho chương trình tình báo mối đe dọa của bạn
Thiết lập một chương trình tình báo về mối đe dọa là một quá trình quan trọng, không được xem nhẹ. Do đó, điều cần thiết là phải nghiên cứu kỹ lưỡng và lên kế hoạch cho chương trình trước khi bắt đầu thực hiện. Dưới đây là một số cân nhắc để đưa vào tài khoản.
1. Suy nghĩ về “viên ngọc quý”
Khi xây dựng chiến lược săn lùng mối đe dọa của bạn, bước đầu tiên là xác định và bảo vệ những viên ngọc quý của chính bạn. Những gì bao gồm các tài sản quan trọng trong nhiệm vụ khác nhau giữa các tổ chức. Do đó, không ai có thể định nghĩa chúng cho bạn.
Sau khi bạn đã quyết định chúng là gì, hãy sử dụng Nhóm Tím để kiểm tra xem chúng có thể bị truy cập và vi phạm hay không và bằng cách nào. Bằng cách đó, bạn sẽ có thể biết kẻ tấn công sẽ nghĩ như thế nào để bạn có thể áp dụng các biện pháp kiểm soát bảo mật. Liên tục xác minh các kiểm soát này.
2. Chọn chiến lược săn lùng mối đe dọa
Có nhiều chiến lược tìm kiếm mối đe dọa khác nhau mà bạn có thể triển khai trong tổ chức của mình. Điều quan trọng là đảm bảo chiến lược của bạn giải quyết các yêu cầu của tổ chức. Các chiến lược ví dụ bao gồm:
Xây dựng một bức tường và chặn hoàn toàn quyền truy cập, để đảm bảo mọi thứ liên quan đến quyền truy cập và thực thi ban đầu đều bị chặn Xây dựng một bãi mìn, khi giả định rằng tác nhân đe dọa đã ở trong mạng của bạn Ưu tiên nơi bắt đầu theo khuôn khổ MITRE
3. Khi nào nên sử dụng Tự động hóa trí thông minh đe dọa
Tự động hóa thúc đẩy hiệu quả, năng suất và giảm lỗi. Tuy nhiên, tự động hóa không phải là điều bắt buộc để tìm kiếm mối đe dọa. Nếu bạn quyết định tự động hóa, bạn nên đảm bảo rằng:
Có nhân viên để phát triển, duy trì và hỗ trợ công cụ/nền tảng Đã hoàn thành công việc quản lý cơ bản để xác định và bảo vệ các viên ngọc quý. Thích hợp hơn, tự động hóa khi bạn ở cấp độ trưởng thành nâng cao Có các quy trình dễ dàng lặp lại Có thể giám sát chặt chẽ và tối ưu hóa quá trình tự động hóa để nó tiếp tục mang lại giá trị phù hợp
Mô hình trưởng thành săn lùng mối đe dọa
Giống như bất kỳ chiến lược kinh doanh được triển khai nào khác, có nhiều cấp độ trưởng thành khác nhau mà các tổ chức có thể đạt được. Để săn lùng mối đe dọa, các giai đoạn khác nhau bao gồm:
Giai đoạn 0 – Phản hồi các cảnh báo bảo mật Giai đoạn 1 – Kết hợp các chỉ báo tình báo về mối đe dọa Giai đoạn 2 – Phân tích dữ liệu theo quy trình do người khác tạo Giai đoạn 3 – Tạo quy trình phân tích dữ liệu mới Giai đoạn 4 – Tự động hóa phần lớn quy trình phân tích dữ liệu
Thực tiễn tốt nhất về thông tin tình báo về mối đe dọa
Cho dù bạn đang xây dựng chương trình của mình từ đầu hay đang lặp lại để cải thiện chương trình hiện có, dưới đây là các phương pháp hay nhất có thể giúp bạn tăng cường các hoạt động tìm kiếm mối đe dọa của mình:
1. Xác định điều gì là quan trọng
Xác định các tài sản quan trọng trong không gian mối đe dọa của bạn. Hãy ghi nhớ suy nghĩ “viên ngọc quý” khuyến nghị tạo một kho lưu trữ các tài sản quan trọng trong sứ mệnh của bạn, kiểm tra bối cảnh rủi ro, tức là cách chúng có thể bị xâm phạm và sau đó bảo vệ chúng.
2. Tự động hóa
Tự động hóa mọi quy trình mà bạn có thể, nếu có thể. Nếu bạn không thể, điều đó cũng không sao. Bạn sẽ đạt được điều đó khi bạn trưởng thành hơn.
3. Xây dựng mạng lưới của bạn
Bảo vệ khỏi các cuộc tấn công mạng là rất khó. Bạn không bao giờ có thể sai, trong khi những kẻ tấn công chỉ cần thành công một lần. Trên hết, họ không tuân theo bất kỳ quy tắc nào. Đó là lý do tại sao việc xây dựng mạng lưới của bạn và nhận (và cung cấp) thông tin từ những người chơi khác và các bên liên quan trong ngành là rất quan trọng. Mạng này nên bao gồm các đồng nghiệp trong các công ty khác, những người có ảnh hưởng, các nhóm và diễn đàn trực tuyến, nhân viên tại công ty của bạn từ các bộ phận khác, lãnh đạo và nhà cung cấp của bạn.
4. Suy nghĩ như tội phạm & hành động như kẻ đe dọa
Săn lùng mối đe dọa có nghĩa là chuyển từ lối suy nghĩ phản ứng sang chủ động. Bạn có thể khuyến khích suy nghĩ này bằng cách xem thông tin về mối đe dọa, theo dõi các nhóm, thử các công cụ và tận dụng Nhóm màu tím để thử nghiệm. Mặc dù điều này có vẻ phản trực giác, nhưng hãy nhớ rằng đây là cách bảo vệ tổ chức của bạn. Hãy nhớ rằng, đó là bạn hoặc kẻ tấn công.
Để tìm hiểu thêm về các loại thực hành an ninh mạng khác nhau và cách tận dụng chúng để bảo vệ tổ chức của bạn, bạn có thể xem loạt bài Lớp học nâng cao về an ninh mạng của Cato Networks.
