Khái niệm về Threat Intelligence

khai-niem-ve-threat-intelligenceThreat Intelligence (TI) là  thông tin giúp bạn xác định các mối đe dọa bảo mật, nó có thể giúp bạn giải quyết các vấn đề dưới đây. Chúng ta hãy cùng tìm hiểu xem đó là vấn đề gì nhé.

 

 

Các vấn đề mà TI giúp bạn giải quyết là :

  • Làm thế nào để cập nhật lượng thông tin lớn về những mối đe dọa bảo mật bao gồm các lỗ hổng, những nhân tố xấu, phương thức và mục tiêu tấn công?
  • Làm thế nào để chủ động hơn về các mối đe dọa bảo mật trong tương lai?
  • Làm thế nào để thông báo cho các nhà quản lý về sự nguy hiểm và ảnh hưởng của các mối đe dọa bảo mật cụ thể?

khai-niem-threat-intelligence

Gần đây, Threat intelligence nhận được rất nhiều sự chú ý. Trong khi có khá nhiều định nghĩa khác nhau về TI, dưới đây là một vài định nghĩa thường được sử dụng:

Threat intelligence là thông tin dựa trên bằng chứng, bao gồm bối cảnh, cơ chế, các chỉ số, hàm ý và lời khuyên về mối đe dọa hiện tại hoặc mới nổi hoặc gây nguy hiểm cho các tài sản có thể được sử dụng để thông báo các quyết định liên quan đến phản ứng xử lý đối tượng gây nguy hiểm. – Gartner

 Tập hợp các dữ liệu được thu thập, đánh giá và áp dụng liên quan đến các mối đe dọa bảo mật, các nhân tố đe dọa, khai thác, phần mềm độc hại, lỗ hổng và các chỉ số nguy hiểm khác. – Viện SANS

Tại sao mọi người chú ý đến Threat Intelligence?

Báo cáo điều tra vi phạm (DBIR) về vấn đề an ninh mạng của Verizon ước tính tổn thất tài chính của các công ty năm 2015 là 400 triệu $ bắt nguồn từ 79.790 sự cố bảo mật.

Chỉ cần các mối đe dọa an ninh và các vi phạm xảy ra, mỗi doanh nghiệp sẽ tìm cách để bảo vệ dữ liệu của họ. Mối đe dọa luôn thay đổi và các rủi ro kinh doanh ngày càng tăng vì sự phụ thuộc vào các hệ thống công nghệ thông tin. Các mối đe dọa đến từ các nguồn bên trong cũng như bên ngoài. Tóm lại là, các tổ chức đang chịu áp lực rất lớn để quản lý các mối đe dọa. Rất khó khăn và tốn nhiều thời gian để có được thông tin có ý nghĩa để thiết lập những biện pháp chủ động.

Điều này tự nhiên kéo càng nhiều người dùng TI vì nó giúp lọc ưu tiên các mối đe dọa trong hàng tấn dữ liệu, cảnh báo và các cuộc tấn công cũng như cung cấp thông tin hành động của các mối đe dọa.

Bảng dưới đây trình bày một số chỉ tiêu chung có thể được TI xác định:

 

Phân loại Các chỉ số nguy hiểm Các ví dụ
Network · Địa chỉ IP

· URLs

· Tên miền

Phần mềm độc hại nhắm mục tiêu vào máy chủ nội bộ liên quan với những nhân tố nguy hiểm đã biết.
Email · Địa chỉ email của người gửi và tiêu đề email

· File đính kèm

· Liên kết

Các nỗ lực lừa đảo host nội bộ nhấn vào một email đáng ngờ và gửi đến một điều khiển độc hại và kiểm soát máy chủ.
Host-Based · Tên tập tin và tập tin lộn xộn (ví dụ MD5)

· Các khóa đăng ký

· Thư viện liên kết động (DLL)

· Tên Mutex

 

Các cuộc tấn công từ bên ngoài của máy chủ mà có thể bị nhiễm độc hoặc các hoạt động bất chính đã biết.

Khả năng của Threat Intelligence

Một số trong những mối đe dọa phổ biến nhất là SQL injection, DDoS, tấn công ứng dụng web và lừa đảo. Điều quan trọng là phải có một giải pháp bảo mật công nghệ thông tin để quản lý các cuộc tấn công một cách chủ động và kịp thời. Bên cạnh đó, những kẻ tấn công liên tục thay đổi phương pháp của chúng để thách thức hệ thống an ninh. Do đó, các mối đe dọa trở nên không thể tránh khỏi đối với các tổ chức.

Một trong những phương pháp đã được chứng minh từ các cuộc tấn công là để phát hiện và đối phó với các mối đe dọa nên sử dụng một SIEM (hệ thống bảo mật thông tin & quản lý sự kiện). Một SIEM có thể được sử dụng để theo dõi tất cả mọi thứ xảy ra trong môi trường của bạn và xác định các hoạt động bất thường.

Bạn có thể xem cách TI làm việc trong một SIEMtải về bản dùng thử miễn phí của SIEM tại SolarWinds.

Tuy nhiên, lồng ghép TI và ứng phó với các cuộc tấn công là không đủ để chống lại các mối đe dọa luôn thay đổi. Bạn cần phải phân tích tình hình và xác định các mối đe dọa bạn có thể gặp phải, dựa vào đó bạn có thể đến với các biện pháp phòng ngừa. Dưới đây là danh sách 1 vài kinh nghiệm thực tiễn:

  • Có một ứng dụng danh sách trắng và danh sách đen. Điều này giúp ngăn ngừa thực hiện các chương trình độc hại hoặc các phần mềm không được cho phép: các file DLL, script và các trình cài đặt.
  • Kiểm tra các bản ghi của bạn một cách cẩn thận để xem có bị tấn công hay có lỗ hổng nào bị khai thác không.
  • Xác định những gì đã bị thay đổi sau khi xảy ra cuộc tấn công.
  • Kiểm tra bản ghi và xác định lý do tại sao sự việc này xảy ra – lý do có thể từ lỗ hổng hệ thống hoặc driver lỗi thời.

Nguồn : thehackernews.com

Ads

https://vnitnews.com

Leave a Reply

Email của bạn sẽ không được hiển thị công khai.