Tìm hiểu hệ thống thông tin tình báo về mối đe dọa an ninh mạng - Threat Intelligent (Phần 1)

[nktung]

Ngày nay, các cuộc tấn công mạng có xu hướng ngày càng nguy hiểm, tinh vi, do các nhóm tấn công được tổ chức bài bản, chuyên nghiệp với tiềm lực tài chính dồi dào. Trong khi đó, các giải pháp an nình truyền thống chỉ có thể xác định được các mối đe dọa đã biết. Do đó, dịch vụ Threat Intelligence (TI) ra đời nhằm cung cấp nguồn dữ liệu khổng lồ về các mối đe dọa trên không gian mạng, đồng thời có các biện pháp phòng chống mối nguy hại từ sớm.​

Threat Intelligence (TI) là gì?

Threat Intelligence (TI) là thông tin tình báo về mối đe dọa an ninh mạng. Hệ thống TI chủ động đi tìm các nguồn tấn công thông qua một loạt các biện pháp theo dấu, tìm kiếm phân tích dữ liệu trên không gian mạng. Sau khi có kết quả, dữ liệu về mối đe dọa sẽ được gửi cho các khách hàng là doanh nghiệp sử dụng dịch vụ Threat Intelligence. Từ đây, các doanh nghiệp sẽ có những biện pháp tăng cường bảo mật, vá lỗ hổng nguy hiểm, cảnh báo đến nhân sự những mối đe dọa tiềm tàng có thể xuất hiện trong các email lạ.​

Các pha trong Threat Intelligence

Hình dưới đây mô tả các pha trong vòng đời thông tin tình báo về mối đe dọa.

1. Lập kế hoạch

Giai đoạn một của vòng đời thông tin tình báo về mối đe dọa được cho là giai đoạn quan trọng nhất không phải vì nó diễn ra đầu tiên mà vì nó đặt ra mục đích và phạm vi của tất cả các hoạt động tình báo tiếp theo. Bước đầu tiên này sẽ vạch ra các mục tiêu và nhiệm vụ chính cho chương trình TI, thường được gọi là yêu cầu tình báo (Intelligent Request - IR). IR phải phản ánh các mục tiêu cốt lõi và giá trị mà TI sẽ mang lại (ví dụ: tăng hiệu quả hoạt động, giảm thiểu rủi ro cũng như phát hiện và phản hồi nhanh hơn).​

2. Thu thập và xử lý thông tin

Triển khai các kỹ thuật thu thập và xử lý dữ liệu. Số lượng và chất lượng dữ liệu đều là những khía cạnh quan trọng của giai đoạn thu thập thông tin tình báo về mối đe dọa như: dấu hiệu lừa đảo, đăng nhập trái phép, log, lỗ hổng bảo mật (CVE), các biến thể của phần mềm độc hại và các hoạt động độc hại khác do các tác nhân đe dọa tạo ra.

Sau khi thu thập dữ liệu, thực hiện chuẩn hóa, cấu trúc và loại bỏ sự trùng lặp bằng cách:​

• Giảm khối lượng dữ liệu thô,​
• Thu thập thông tin từ Dark web​
• Trích xuất thông tin từ các mẫu phần mềm độc hại.​

3. Phân tích thông tin

Chuyển thông tin thô thành các nhân tố, các sự kiện và thuộc tính có ý nghĩa. Các thông tin cần được phân loại. Đây một quá trình phân tích định tính và có định hướng của con người. Ngày nay trí tuệ nhân tạo và máy học tiếp tục phát triển, một số nhiệm vụ thủ công mà ít làm sai lệch đến kết quả cuối cùng, sẽ do máy đảm nhiệm.​

4. Trình bày thông tin

Khi quá trình phân tích thông tin tình báo về mối đe dọa hoàn tất, giai đoạn này tập trung vào việc sắp xếp thông tin thành các biểu đồ, Dashboard và báo cáo dạng đồ họa. Trong khi trình bày cần xác định thông tin có ý nghĩa nhất và rút ra kết luận logic từ dữ liệu và phân tích đã hoàn thành ở giai đoạn trước.​

5. Báo cáo

Các báo cáo tình báo được gửi cho các bên liên quan. Các bên nàycó thể là: đội chống lừa đảo; các đội tình báo về mối đe dọa mạng (CTI); đội hoạt động an ninh (SecOps); các nhóm quản lý lỗ hổng bảo mật; nhóm phân tích rủi ro của bên thứ ba; và các nhóm lãnh đạo cấp cao chịu trách nhiệm phân bổ nguồn lực và hoạch định chiến lược.

Sau khi nhận được thông tin tình báo hoàn chỉnh, các bên liên quan sẽ đánh giá các phát hiện, đưa ra các quyết định quan trọng và cung cấp phản hồi để liên tục tinh chỉnh các hoạt động tình báo.​

(Còn tiếp...)​