This post is also available in: English
Trong môi trường làm việc từ xa ngày nay, các chuyên gia an ninh cần được đào tạo kiến thức chuyên sâu về an ninh bảo mật, vượt xa các chương trình đào tạo tiêu chuẩn về việc “không nhấp vào liên kết lừa đảo” cho phần còn lại của công ty. Mặc dù các nhà phân tích bảo rất giỏi trong việc nhận diện email lừa đảo và thiết lập mật khẩu an toàn, nhưng nhận thức về an ninh mạng cần phải được mở rộng để tối ưu hóa chiến lược quản lý log, nhằm bắt kịp các mối đe dọa ngày càng phát triển và tinh vi.
Chọn một Framework để săn lùng các mối đe dọa
Việc săn lùng các mối đe dọa rất cần để giảm thiểu rủi ro từ các cuộc tấn công lừa đảo. Để ngăn chặn các cuộc tấn công lừa đảo trở thành các sự cố rò rỉ dữ liệu hoặc ransomware, việc chủ động tìm kiếm các dấu hiệu xâm nhập là rất cần thiết.
Xây dựng một chương trình bảo mật vững chắc bao gồm việc hiểu các mô hình tấn công khác nhau và có khả năng theo dõi các chiến thuật, kỹ thuật và quy trình (TTPs) của các tác nhân đe dọa. Bốn framework nổi bật nhất cho mục đích này là:
- Lockheed Martin Cyber Kill Chain®
- FireEye Attack Lifecycle
- Gartner Cyber Attack Model
- MITRE ATT&CK Lifecycle
Mỗi khung làm việc cung cấp một cách tiếp cận riêng biệt để theo dõi các tác nhân đe dọa, nhưng chúng đều có một số điểm tương đồng. Ví dụ, sự khác biệt giữa Lockheed Martin Cyber Kill Chain và MITRE ATT&CK lifecycle minh họa các phương pháp giám sát tác nhân đe dọa khác nhau.
Tại sao việc chọn Framework lại quan trọng
Việc chọn framework phù hợp là rất quan trọng vì nó hướng dẫn cách bạn lập bản đồ các truy vấn săn lùng mối đe dọa một cách chủ động. Hiểu rõ mục tiêu bạn cần tìm kiếm và cách tìm kiếm cho phép bạn tạo ra các cảnh báo có độ chính xác cao hơn, từ đó cải thiện các chỉ số quan trọng như Thời gian Trung bình để Xác định (Mean Time to Identify – MTTI) và Thời gian Trung bình để Phản ứng (Mean Time to Respond – MTTR).
Bằng cách đồng bộ hóa các chiến lược săn lùng mối đe dọa của bạn với framework đã chọn, bạn có thể nâng cao khả năng của tổ chức trong việc phát hiện và phản ứng với các mối đe dọa một cách hiệu quả hơn, đảm bảo một mạng lưới an toàn và bền vững hơn.
Ví dụ
So sánh Lockheed Martin Cyber Kill Chain MITRE ATT&CK framework cho thấy cách mà framework thay đổi cách tiếp cận của các nhà phân tích bảo mật đối với các hoạt động như săn lùng và phát hiện các mối đe dọa.
Cyber Kill Chain | MITRE ATT&CK |
Reconnaissance: looking for information about a company, scanning networks | Reconnaissance: looking for information about a company, scanning networks |
Weaponization: looking for a vulnerability that they can exploit as a backdoor | Resource Development: Looking for resources that can support their plan |
Delivery: Delivering the payload to the victim | Initial Access: Attempting to gain unauthorized access to systems, network, software |
Exploitation: Using the discovered vulnerability to execute the malicious code | |
Installation: Installing malware on target asset | Execution: Executing malicious code |
Persistence: Finding a way to remain in systems and networks | |
Privilege Escalation: Attempting to gain additional levels of access and permissions within systems and networks | |
Defense Evasion: Hiding from security tools and analysts and not triggering alerts | |
Credential Access: Attempting to steal usernames and passwords | |
Credential Access: Attempting to steal usernames and passwords | |
Discovery: Learning about the environment | |
Lateral Movement: Moving throughout the environment as part of persistence | |
Collection: Gathering or exfiltrating sensitive information | |
Command and Control (C2): Establishing a remote communication channel | Command and Control (C2): Establishing a remote communication channel |
Actions on Objectives: Completing the attack either by deploying a malware or exfiltrating information | Exfiltration: Stealing data |
Impact: Manipulating, interrupting, or destroying systems and data |
Trong khi Cyber Kill Chain tập trung vào việc xác định các chỉ báo của malware và ransomware, MITRE ATT&CK framwork được thiết kế để phát hiện các cuộc tấn công có chủ đích (Advanced persistent threats – APTs), cũng có thể liên quan đến malware hoặc ransomware. Cả hai framework đều nhấn mạnh cách mà các cuộc tấn công lừa đảo thường bắt đầu với các chiến thuật trinh sát (Reconnaisance) cơ bản và tấn công phi kỹ thuật (social engineering) để chuyển tải các gói dữ liệu hoặc tạo điều kiện phát triển tài nguyên.
Lập bản đồ truy vấn săn lùng mối đe dọa Framework
Cảnh báo theo thời gian thực là rất quan trọng, nhưng chìa khóa để đạt được điều này nằm ở cách bạn tổng hợp và liên kết dữ liệu log của mình. Không phải mọi cảnh báo đều chỉ ra sự hiện diện của kẻ tấn công, do đó việc nâng cao dữ liệu là cần thiết để thiết lập các kích hoạt phù hợp.
Các cuộc tấn công lừa đảo thường dẫn đến việc đánh cắp thông tin xác thực. Tội phạm mạng có thể sử dụng những thông tin này để xác minh email hoặc đăng nhập vào các tổ chức hoặc gửi phần mềm độc hại kết nối với trung tâm điều khiển của chúng (C2).
Để đạt được cảnh báo chính xác cao, hãy đảm bảo rằng bạn có thể nhóm dữ liệu đã tổng hợp theo các trường hoặc tạo nhiều nhóm khác , chẳng hạn như:
- Các điều kiện xung quanh việc gia tăng lỗi đối với các triển khai mới
- Tỷ lệ đăng nhập thất bại cao theo tên người dùng
- Khởi động cổng TCP mới trên các máy chủ có kết nối đến các vị trí không xác định
Việc tạo ra các cảnh báo bảo mật hiệu quả đòi hỏi việc thiết lập các quy tắc đủ phức tạp để có thể phát hiện nhưng không quá phức tạp đến mức chúng không bao giờ được kích hoạt.
Ensuring Data Works for Forensics
Security analysts are also investigators. Forensic analysis can be time-consuming because it requires examining historical data to understand what happened before, during, and after an event.
In the aftermath of a phishing attack, you need to trace activities back to the original compromised user and device. Effective forensic analysis capabilities can help you shut down threats efficiently.
Đảm bảo Dữ liệu Hoạt động Tốt cho Phân tích Điều tra
Các nhà phân tích bảo mật cũng là những điều tra viên. Phân tích điều tra có thể mất nhiều thời gian vì nó đòi hỏi phải kiểm tra dữ liệu lịch sử để hiểu những gì đã xảy ra trước, trong và sau một sự kiện.
Sau một cuộc tấn công lừa đảo, bạn cần truy ngược lại các hoạt động ban đầu của người dùng và thiết bị đã bị xâm phạm. Khả năng phân tích điều tra hiệu quả có thể giúp bạn loại bỏ các mối đe dọa một cách nhanh chóng.
Để hỗ trợ việc này, hãy triển khai các biện pháp quản lý log tập trung vào an ninh mạng. Bạn có thể cân nhắc:
- Thu thập log từ các thiết bị, người dùng và ứng dụng phù hợp
- Đảm bảo tính nhất quán giữa dữ liệu và các định dạng
- Thiết lập một mốc thời gian nhất quán trên tất cả các log
Với các biện pháp quản lý log đúng đắn, công cụ quản lý log tập trung của bạn có thể trở thành một công cụ phân tích an ninh mạnh mẽ.
Tự động hóa các Quy trình Thủ công
Tự động hóa có thể giảm đáng kể các chỉ số an ninh quan trọng cần phải theo dõi, đặc biệt đối với các nhóm nhỏ. Mặc dù “tận dụng tự động hóa” có thể nghe như một khẩu hiệu, nhưng một số quy trình tự động hóa ít tốn công sức thực sự mang lại giá trị cao giúp tăng cường khả năng phòng thủ an ninh của bạn.
Tự động hóa có thể tiết kiệm thời gian và thực các biện pháp chủ động để ngăn chặn tội phạm mạng, dù là để tuân thủ quy định hay giảm thiểu rủi ro từ các cuộc tấn công lừa đảo. Tự động hóa hiệu quả bao gồm:
- Lên lịch báo cáo
- Thiết lập các quy tắc đa tầng để chặn tự động
- Thực hiện các truy vấn săn lùng mối đe dọa được định trước một cách thường xuyên
Graylog: Quản lý Log Tập trung cho Nhận thức Tình huống
Đối với các nhà phân tích an ninh, nhận thức được hiểu là nhận thức tình hình (Situation Awareness). Việc hiểu rõ các rủi ro cụ thể ảnh hưởng đến tổ chức của bạn thường đòi hỏi sự hợp nhất của các dữ liệu đa dạng để có được cái nhìn tổng thể.
Giải pháp quản lý log tập trung của Graylog cho phép bạn thu thập, tổng hợp và liên kết dữ liệu log trong môi trường phức tạp của bạn. Giao diện trực quan của chúng tôi giúp người dùng ở mọi trình độ kỹ năng có thể bảo vệ dữ liệu nhạy cảm một cách chủ động. Với khả năng phân tích an ninh của Graylog, bạn có được nhận thức tình huống cần thiết, và các bảng điều khiển của chúng tôi cung cấp những cái nhìn nhanh chóng để giám sát và giảm thiểu rủi ro một cách chủ động.
Về DT Asia
DT Asia được thành lập năm 2007 với sứ mệnh đưa các giải pháp bảo mật CNTT tiên phong khác nhau từ Hoa Kỳ, Châu Âu và Israel gia nhập thị trường.
Hiện tại, DT Asia đã là một nhà phân phối giá trị gia tăng trong khu vực đối với các giải pháp an ninh mạng, cung cấp công nghệ tiên tiến cho các tổ chức chính phủ trọng yếu cũng như các khách hàng tư nhân lớn bao gồm các ngân hàng toàn cầu và các công ty trong danh sách Fortune 500. Với các văn phòng và đối tác rộng khắp trong khu vực Châu Á Thái Bình Dương, chúng tôi hiểu rõ hơn về thị trường và từ đó mang đến những giải pháp bản địa hóa phù hợp với từng quốc gia, từng tổ chức.
Cách chúng tôi có thể giúp bạn
Nếu bạn muốn biết thêm về “Security Awareness and Log Management for Security Analysts”, bạn đang ở đúng nơi, chúng tôi sẵn sàng giúp đỡ! DTA là nhà phân phối của Graylog, đặc biệt tại Việt Nam và châu Á, các kỹ thuật viên của chúng tôi có kinh nghiệm sâu rộng về sản phẩm và các công nghệ liên quan mà bạn luôn có thể tin tưởng. Chúng tôi cung cấp các giải pháp trọn gói cho sản phẩm này, bao gồm tư vấn, triển khai và dịch vụ bảo trì.
Nhấn vào đây để biết thêm thông tin chi tiết: https://dtasiagroup.com/graylog/