Tình báo về mối đe dọa là gì?

Tình báo về mối đe dọa kết hợp dữ liệu từ các nguồn bên trong và bên ngoài khác nhau để hiểu các rủi ro mạng hiện có và mới nổi đối với doanh nghiệp và tăng cường các chiến lược phòng thủ. Một chương trình tình báo về mối đe dọa thành công sẽ phân tích thông tin về mối đe dọa, lọc và ưu tiên các mối đe dọa dựa trên rủi ro kinh doanh, đồng thời cung cấp dữ liệu trở lại vào các hệ thống nội bộ và biện pháp kiểm soát bảo mật. Tình báo về mối đe dọa là một thành phần quan trọng trong chương trình an ninh mạng hoàn thiện.

Tình báo về mối đe dọa mạng trình bày các mối đe dọa hiện tại và mới nổi đối với tổ chức. Bằng cách hiểu các chiến thuật, kỹ thuật và quy trình của đối thủ, các tổ chức có thể chống lại các mối đe dọa hiệu quả hơn ở thời điểm trước, trong và sau một sự kiện bảo mật.

Các chương trình tình báo về mối đe dọa giúp các tổ chức đưa ra quyết định hiệu quả hơn về cách giải quyết các lỗ hổng bảo mật, tiến hành các chiến lược thử nghiệm, phát triển kế hoạch ứng phó với sự cố và đảm bảo tính kinh doanh liên tục trong trường hợp xảy ra sự kiện. Nhóm tình báo về mối đe dọa hợp tác với nhóm rủi ro mạng và nhóm bảo mật.

Hệ thống tình báo về mối đe dọa là một trung tâm thu thập, phân tích và tạo ra thông tin chuyên sâu để phản ứng với dữ liệu an ninh mạng. Các hệ thống này giúp truy vết sự kiện bảo mật và xác định những tác nhân đe dọa nào đang hiện diện và báo cáo cho nhóm bảo mật về cách ứng phó. Những hệ thống này thường dựa vào tình báo về mối đe dọa mạng (CTI). Đây là một tập hợp các nguồn dữ liệu bên trong và bên ngoài để giúp cung cấp ngữ cảnh cho hệ thống.

Một hệ thống tình báo về mối đe dọa hoạt động như một phần trong giải pháp phần mềm bảo mật toàn diện. Các giải pháp như AWS Security Hub thường tích hợp các hoạt động trong vòng đời tình báo về mối đe dọa để quản lý tập trung.

Vòng đời tình báo về mối đe dọa là một quá trình liên tục, đòi hỏi cập nhật và đánh giá thường xuyên.

Dưới đây là các giai đoạn chính trong vòng đời tình báo về mối đe dọa.

Phạm vi môi trường

Trước khi triển khai chương trình tình báo về mối đe dọa, các tổ chức phải xác định hệ thống, dữ liệu, mạng, dịch vụ, người dùng và các tài sản khác của tổ chức. Các tổ chức nên phân loại tài sản của tổ chức theo mức độ quan trọng trong vận hành và độ nhạy cảm của dữ liệu. Việc hiểu phạm vi của môi trường tổ chức, bạn có thể biết mối đe dọa nào sẽ liên quan đến doanh nghiệp và tài sản nào có thể là mục tiêu lớn hơn.

Thu thập dữ liệu về mối đe dọa

Sau khi xác định phạm vi, bước tiếp theo trong vòng đời tình báo về mối đe dọa trên mạng là đối chiếu nhiều nguồn dữ liệu để tạo ra một nguồn trung tâm sát thực. Hệ thống tình báo về mối đe dọa sẽ tải nhập dữ liệu bảo mật nội bộ, báo cáo hệ thống và các nguồn bên ngoài như nguồn cấp dữ liệu về mối đe dọa nguồn mở và do nhà cung cấp phân phối, cơ sở dữ liệu về lỗ hổng bảo mật, cũng như mạng xã hội và việc giám sát web tối.

Giai đoạn này nhằm thu thập càng nhiều dữ liệu về mối đe dọa càng tốt để có được một loạt thông tin toàn diện. Việc tải nhập dữ liệu ở giai đoạn này có tính tự động cao, liên tục và không lọc theo phạm vi kinh doanh.

Xử lý dữ liệu

Sau khi đối chiếu dữ liệu, tổ chức sau đó lọc, cấu trúc, chuẩn hóa, làm phong phú và chuyển đổi dữ liệu thành dữ liệu hữu ích. Dữ liệu phi cấu trúc được chuyển đổi thành định dạng có thể đọc bằng máy, trong khi dữ liệu có cấu trúc được làm sạch để cải thiện chất lượng dữ liệu và được gắn thẻ siêu dữ liệu. Dữ liệu dư thừa và ngoài phạm vi sẽ bị xóa. Quá trình xử lý nên được tự động hóa đến mức nhiều nhất có thể.

Phân tích

Giai đoạn phân tích chuyển đổi dữ liệu tình báo về mối đe dọa thành thông tin chuyên sâu hữu ích cho doanh nghiệp. Các hệ thống tự động sẽ bắt đầu xác định các mẫu và mối quan hệ trong mọi dữ liệu đã xử lý, tìm kiếm điểm bất thường, điểm khác biệt hoặc kết quả mà nhóm an ninh mạng sẽ điều tra thêm.

Ở giai đoạn này, các nhà phân tích dữ liệu có thể sử dụng một loạt các kỹ thuật tiên tiến, như áp dụng công nghệ máy học và lập mô hình dự đoán, để xác định các chỉ báo cụ thể về mối đe dọa. Các quy trình này có thể diễn ra theo cách thủ công và tự động, được thiết kế để mang lại cho nhóm bảo mật thông tin chuyên sâu có liên quan và hữu ích, rồi sau đó cung cấp thông tin cho các chiến lược phòng thủ mạng.

Báo cáo

Báo cáo cung cấp kết quả phân tích tình báo về mối đe dọa cho các bên liên quan trong doanh nghiệp và các nhóm có liên quan. Báo cáo được điều chỉnh cho phù hợp với đối tượng mục tiêu và có thể bao gồm bảng thông tin hạn chế, tệp văn bản, bài thuyết trình hoặc các hình thức thông tin liên lạc khác.

Giai đoạn báo cáo thường được tự động hóa, trong đó các hệ thống tình báo về mối đe dọa tạo ra một báo cáo và phân phối đến bất kỳ nhân sự nào cần thiết. Khi các mối đe dọa bảo mật lớn hơn xuất hiện, bạn có thể cần phải báo cáo thủ công.

Các nhóm cũng có thể báo cáo các mối đe dọa mới và chưa xác định đến cộng đồng rộng lớn hơn để các tổ chức khác có thể tích hợp thông tin này vào hệ thống của riêng họ.

Giám sát và điều chỉnh

Hệ thống tình báo về mối đe dọa giám sát các vấn đề bảo mật tiềm ẩn, theo dõi IOC và hỗ trợ các đội ngũ bảo mật. Hệ thống tình báo về mối đe dọa là một phần mềm quan trọng trong trung tâm hoạt động bảo mật (SOC) có nhân viên túc trực 24/7.

Trong quá trình phân tích, các nhóm có thể theo dõi các dấu vết tấn công hệ thống (IOC) liên quan đến các sự kiện bảo mật tiềm ẩn để phát triển các kế hoạch và cẩm nang ứng phó với sự cố, triển khai các biện pháp kiểm soát bảo mật mới hoặc đã điều chỉnh, thực hiện thay đổi kiến trúc hệ thống và cập nhật thông tin về rủi ro cho doanh nghiệp. Cách ứng phó với thông tin đầy đủ này đảm bảo rằng tình trạng bảo mật của công ty vẫn không bị ảnh hưởng.

Các nhóm cần phải học hỏi từ các sự kiện bảo mật ngoài dự kiến và thông tin mới để sau đó lặp lại và cải thiện hiệu năng so với tình trạng trước đó. Các nhóm bảo mật có thể xem xét hiệu năng của các công cụ bảo mật, nhận xét về cách phản ứng và đánh dấu những điểm không nhất quán để giúp phần mềm tình báo về mối đe dọa liên tục cải thiện.

Các tính năng của chương trình tình báo về mối đe dọa mạng phụ thuộc vào độ phức tạp của môi trường kinh doanh, các yêu cầu về dữ liệu nhạy cảm và nghĩa vụ tuân thủ. Dưới đây là một số tính năng phổ biến nhất của các chương trình tình báo về mối đe dọa.

Nguồn cấp dữ liệu

Nguồn cấp dữ liệu đề cập đến tất cả các nguồn thông tin mà các nền tảng tình báo về mối đe dọa dựa vào để cung cấp thông tin chuyên sâu. Các dịch vụ tình báo về mối đe dọa này là một thành phần cốt lõi của chương trình tình báo về mối đe dọa.

Các nguồn cấp dữ liệu bên ngoài bao gồm tình báo nguồn mở trong thời gian thực (OSINT), nguồn cấp dữ liệu về mối đe dọa công khai và thông tin được cung cấp bởi các cơ quan an ninh mạng của chính phủ. Nguồn cấp dữ liệu nội bộ bao gồm bản ghi tường lửa, hành vi truy cập của người dùng, cảnh báo từ hệ thống phát hiện xâm nhập (IDS), bản ghi điểm cuối và tính năng đo từ xa của dịch vụ đám mây.

Các công nghệ

Tình báo về mối đe dọa dựa trên một số công nghệ phối hợp với nhau để cung cấp dữ liệu, phân tích thông tin và cung cấp thông tin chuyên sâu hữu ích cho nhóm bảo mật. Ví dụ: Một số phần mềm tình báo về mối đe dọa giúp tải nhập và sắp xếp dữ liệu, cũng như chia sẻ thông tin chuyên sâu trực tiếp với nhóm bảo mật khi họ cần hành động.

Công nghệ phân tích đóng vai trò thiết yếu trong việc tìm kiếm các mẫu và điểm bất thường trong dữ liệu, giúp đánh dấu các sự kiện bảo mật tiềm ẩn. Khả năng phân tích trong tình báo về mối đe dọa mạng đề cập đến bất kỳ công nghệ nào mà các nhóm sử dụng để nâng cao độ rõ ràng, chính xác và độ sâu của dữ liệu. Những khả năng này bao gồm phân tích máy học, thuật toán dự đoán và phân tích hành vi.

Các hệ thống quản lý sự kiện và thông tin bảo mật (SIEM) đối chiếu dữ liệu bản ghi bảo mật nội bộ với thông tin về sự kiện để cung cấp thông tin chuyên sâu trong thời gian thực về cách các mối đe dọa mới nổi có thể tác động đến doanh nghiệp của bạn. Một số công ty cũng nhúng cảnh báo trong ứng dụng vào sản phẩm của họ nhằm cung cấp cho các nhà phát triển thêm bối cảnh về các lỗi tiềm ẩn khi làm việc về các khía cạnh nhất định.

Khung

Các khung bao gồm thông tin tình báo về mối đe dọa cung cấp một cấu trúc tiêu chuẩn để các tổ chức tuân theo. Các khuôn khổ này được đánh giá cao và được cập nhật thường xuyên để bao gồm hướng dẫn chi tiết và theo quy định cho các tổ chức. Các khung an ninh mạng tập trung vào tình báo về mối đe dọa là khung MITRE ATT&CK và Cyber Kill Chain. Cả hai khung này đều bao gồm các cách để xử lý các chiến thuật, véc-tơ tiêu chuẩn và IOC.

Hoạt động

Các hệ thống tình báo về mối đe dọa mạng tham gia vào một số hoạt động để tạo ra thông tin chuyên sâu và cải thiện khả năng của hệ thống. Ví dụ: Các hệ thống này có thể tiến hành đánh giá rủi ro trong thời gian thực, vá các lỗ hổng bảo mật đã biết bằng các bản cập nhật, ứng phó với các sự cố bằng phản hồi và cung cấp cho các chuyên gia an ninh mạng thông tin chuyên sâu về những sự kiện mà họ nên ưu tiên.

Có bốn loại tình báo về mối đe dọa trên mạng mà các chuyên gia bảo mật sẽ sử dụng.

Tình báo về mối đe dọa chiến lược

Tình báo về mối đe dọa chiến lược đề cập đến thông tin bao quát hơn về bối cảnh mối đe dọa mà các hệ thống thu thập, bao gồm dữ liệu địa chính trị, dữ liệu kinh tế và tình báo phi kỹ thuật khác có thể hữu ích trong việc xây dựng hồ sơ theo ngữ cảnh của một sự kiện an ninh tiềm ẩn. Tình báo về mối đe dọa chiến lược, phi kỹ thuật cung cấp những hiểu biết có giá trị, giúp nắm bắt các lỗ hổng bảo mật rộng hơn và diễn biến của các lỗ hổng đó.

Tình báo về mối đe dọa chiến thuật

Tình báo về mối đe dọa chiến thuật đề cập đến việc thu thập thông tin liên quan đến chiến thuật, kỹ thuật và quy trình (TTP) của đối phương, bao gồm TTP từ các mối đe dọa tấn công có chủ đích (APT). Dữ liệu tình báo toàn ngành được chia sẻ trên các nguồn cấp dữ liệu bảo mật công khai. Thông tin này cung cấp cho các chuyên gia bảo mật vốn hiểu biết về hành vi điển hình của các cuộc tấn công cụ thể, các véc-tơ được sử dụng và chuỗi hành động xảy ra trong một sự kiện bảo mật nhất định.

Tình báo về mối đe dọa kỹ thuật

Tình báo về mối đe dọa kỹ thuật đề cập đến bất kỳ dấu vết tấn công hệ thống do máy móc xác định. Các IOC này, chẳng hạn như sự hiện diện của địa chỉ IP độc hại, URL bảo mật ngoài dự kiến, phản hồi của tường lửa hoặc thay đổi đột ngột trong các giá trị vận hành dự kiến của hệ thống, đều sẽ được gắn cờ để các nhóm điều tra thêm.

Tình báo về mối đe dọa vận hành

Tình báo về mối đe dọa vận hành là một hình thức tình báo tổng hợp giữa thông tin chiến thuật và kỹ thuật. Tình báo về mối đe dọa vận hành sẽ cung cấp thông tin chuyên sâu về kiến thức toàn ngành, chẳng hạn như cách một dạng phần mềm tống tiền hoặc phần mềm độc hại cụ thể xuất hiện ngày càng nhiều ở một số công ty hoặc khu vực nhất định. Tình báo về mối đe dọa vận hành giúp các công ty thực hiện các bước để giảm thiểu các sự kiện bảo mật tiềm ẩn trước khi những sự kiện đó xảy ra.

Bảo mật đám mây AWS giúp bảo mật môi trường đám mây của bạn bằng các tiện ích tích hợp, quy trình tự động hóa và thành phần trực quan hóa chuyên dụng cho tình báo về mối đe dọa. Bảo mật đám mây AWS giúp xác định các rủi ro tiềm ẩn, bảo vệ cơ sở hạ tầng bằng cách áp dụng các biện pháp bảo vệ dữ liệu, giám sát tình trạng bảo mật để đề phòng các sự kiện ngoài dự kiến và thậm chí là ứng phó trực tiếp với các sự cố.

AWS Security Hub ưu tiên các vấn đề bảo mật quan trọng và giúp bạn ứng phó trên quy mô lớn để bảo vệ môi trường của mình. Dịch vụ này cung cấp thông tin về mối đe dọa, phát hiện các vấn đề quan trọng bằng cách tương quan và làm phong phú các tín hiệu thành những thông tin chuyên sâu hữu ích, cho phép phản hồi hợp lý.

Bắt đầu sử dụng tình báo về mối đe dọa trên AWS bằng cách tạo tài khoản miễn phí ngay hôm nay.