Vai trò của thông tin tình báo mối đe dọa an ninh mạng
Vào tháng 8/2019, nhiều cơ quan chính quyền tại bang Texas, Mỹ đã bị mã độc tống tiền (ransomware) tấn công. Ví dụ, thị trấn Borger, Texas, đã mất quyền truy cập vào các số liệu thống kê quan trọng và hệ thống thanh toán tiện ích. Một thị trấn khác, Kaufman, cũng không thể sử dụng điện thoại hay truy cập hệ thống của mình hoặc chấp nhận các thanh toán từ người dân. Trong nhiều trường hợp, những kẻ tấn công ransomware đã nhắm vào các lỗ hổng cũ hoặc sự thiếu nhận thức của nhân viên về các cuộc tấn công lừa đảo.
Khi quá trình số hóa diễn ra trên toàn cầu cũng là lúc tội phạm mạng liên tục tìm ra phương thức mới để khai thác điểm yếu trong cơ sở hạ tầng CNTT của tổ chức. Trong bối cảnh không thể đoán trước, liệu một tổ chức có thể đón đầu về xu hướng an ninh mạng sắp tới hay không? Khi nói đến "đón đầu", một trong những chìa khóa để đảm bảo an ninh mạng là sự chủ động, thay vì chỉ phản ứng khi xảy ra sự cố bảo mật mạng. Để làm được điều này, thông tin tình báo mối đe dọa an ninh mạng đóng vai trò quan trọng để bất kỳ tổ chức nào tránh được tấn công mạng.
Mặc dù, việc xây dựng các hệ thống an ninh bảo mật có thể giúp mỗi thị trấn riêng lẻ trong hơn 1.200 thị trấn và thành phố tại bang Texas phát hiện một cuộc tấn công và giảm thiểu nguy cơ tiềm ẩn, nhưng việc chia sẻ thông tin tình báo mối đe dọa có thể bảo vệ hiệu quả nhiều thị trấn hơn.
Daniel Basile, Giám đốc an toàn thông tin (CISO) cơ sở Rellis thuộc Hệ thống Đại học Texas A&M (TAMUS - bang Texas, Mỹ), cho biết có thể phát hiện việc tin tặc xâm nhập vào các hệ thống trong các văn phòng thị trấn, sở cảnh sát và các tổ chức khác nếu thông tin về các kỹ thuật khai thác và các chỉ số xâm phạm (IOC) được thu thập từ những nạn nhân ban đầu và được chia sẻ.
Basile cho biết: "Lợi ích lớn ở đây là khi các tổ chức sẵn sàng chia sẻ thông tin, cho phép mọi người tập trung vào các mối đe dọa thực sự. Thay vì 10 - 20 nguồn thông tin khác nhau, bạn có một nguồn thông tin nhắm mục tiêu chính xác".
Theo ông Yeo Siang Tiong, Tổng Giám đốc Kapersky khu vực Đông Nam Á, dữ liệu về mối đe dọa an ninh mạng chỉ thu thập được bằng cách quan sát. Nó không mang nhiều ý nghĩa nếu chỉ đứng một mình và không gắn với bất kỳ bối cảnh nào. Mặt khác, nó là kết quả của quá trình phân tích dữ liệu, từ đó mang đến thông tin cho phép đề xuất phương cách giải quyết vấn đề đang xảy ra, cũng như củng cố an ninh mạng của doanh nghiệp.
Ngày nay, các mối đe dọa an ninh mạng ngày càng trở nên nghiêm trọng, nhưng đội ngũ chuyên gia an ninh mạng trình độ cao lại đang thiếu hụt. Do đó, trong bối cảnh ngân sách CNTT bị thu hẹp cần trang bị công cụ phù hợp để xác định thông tin liên quan và sắp xếp mức độ ưu tiên cho những thông tin này.
Các nhà cung cấp dịch vụ có thể cung cấp nhiều giải pháp thông tin tình báo mối đe dọa an ninh mạng, nhưng tổ chức cần tập trung vào 4 loại thông tin tình báo mối đe dọa an ninh mạng chính: chiến lược, chiến thuật, kỹ thuật và vận hành.
Xây dựng nền tảng của thông tinh tình báo mối đe dọa
Để bảo vệ chống lại các cuộc tấn công trong tương lai, Giám đốc an toàn thông tin Basile và Hệ thống Đại học Texas A&M đang hợp tác với các cơ quan và tổ chức liên bang, tiểu bang khác xây dựng và điều hành một tổ chức phân tích và chia sẻ thông tin (ISAO) cho bang Texas. Trong đó, mục tiêu chính là cung cấp nguồn lực để mọi người có thể chia sẻ thông tin và các chỉ số xâm phạm, để giúp phát hiện những kẻ tấn công trên toàn bang.
Theo chuyên gia của Kaspersky, giai đoạn đầu với thông tin tình báo mối đe dọa có thể rất khó khăn, ngay cả đối với chuyên gia CNTT dày dạn. Sự đa dạng của thông tin được tạo ra bởi các tổ chức, cùng với chất lượng thông tin, khiến việc sử dụng thông tin tình báo mối đe dọa trở thành một thách thức lớn đối với hầu hết các công ty.
Andrew Morrison, người phụ trách về chiến lược mạng và phản ứng tại công ty tư vấn Deloitte cho biết: "Một vài năm trước, chúng tôi không có nhiều dữ liệu, vì vậy chúng tôi đã thúc giục các công ty thu thập mọi thứ. Tuy nhiên, bây giờ lại có quá nhiều dữ liệu có sẵn và các công ty đang gặp khó khăn khi phải xử lý tất cả".
Sự đa dạng của thông tin tình báo mối đe dọa vừa đem lại lợi ích nhưng cũng chính là vấn đề. Các loại thông tin tình báo về mối đe dọa bao gồm: Danh sách đen các tên miền và địa chỉ IP đã tấn công các công ty; Thông tin lượm lặt được từ các diễn đàn trên web đen; Mối liên hệ giữa các kỹ thuật tấn công phổ biến và các nhóm đối thủ; Danh sách các chỉ số thỏa hiệp có liên quan với các cuộc tấn công cụ thể.
Ngày nay, hầu hết các nhà cung cấp dịch vụ bảo mật đều có thể tự động hóa quy trình cung cấp dữ liệu tổng hợp theo thời gian thực, và đây là yêu cầu trước tiên nếu doanh nghiệp muốn thiết lập một chương trình thông tin tình báo mối đe dọa chất lượng (CTI). Tuy nhiên, nếu chỉ nhận dữ liệu về mối đe dọa an ninh mạng là chưa đủ. Khả năng đưa ra giải pháp để hành động từ thông tin chi tiết ban đầu là điều kiện tiên quyết để tổ chức có thể tăng cường bảo vệ an ninh mạng.
Ở cấp độ chiến lược nhất, thông tin tình báo mối đe dọa nhắm mục tiêu vào một ngành cụ thể có thể giúp cho các công ty trong ngành đó biết những ưu tiên họ cần là gì. Nếu bọn tội phạm đang sử dụng chiến thuật tấn công lừa đảo để đánh cắp thông tin đăng nhập, doanh nghiệp nên tăng cường đào tạo nhân viên và phòng thủ chống lừa đảo. Nếu tin tặc đang khai thác các lỗ hổng chưa được vá trong hệ thống Windows, thì bạn cần tìm ra các lỗ hổng và phương thức tấn công để thực hiện những biện pháp nhằm giảm thiểu rủi ro.
Cách thứ hai sử dụng thông tin tình báo mối đe dọa là điều tra trực tiếp và phản ứng với các cuộc tấn công. Nếu nhóm bảo mật của bạn phát hiện được một máy tính bị xâm nhập và xác định được nhóm tin tặc đứng đằng sau thì có thể theo dõi và tìm kiếm các chiến thuật tấn công khác mà chúng sẽ sử dụng. Ví dụ, nếu kẻ tấn công được cho là nhóm Gothic Panda, hay còn gọi là APT3, thì bộ phận phụ trách bảo mật nên tìm kiếm các máy tính có bật có giao thức máy tính để bàn từ xa, vì đó là chiến thuật mà nhóm tấn công này hay sử dụng.
Theo ông Yeo Siang Tiong, Kaspersky cung cấp thông tin tình báo mối đe dọa an ninh mạng nhờ vào sự kết hợp của cơ sở dữ liệu toàn cầu của Kaspersky Security Network, năng lực học máy, đội ngũ chuyên gia phân tích và nghiên cứu toàn cầu (GReAT)...
Khi các mối đe dọa trực tuyến tiếp tục phát triển, chức năng của thông tin tình báo mối đe dọa an ninh mạng cũng tăng theo. "Bí quyết cho tổ chức là tích hợp trí thông minh chiến lược, chiến thuật, vận hành và kỹ thuật theo cách cho phép họ xây dựng một môi trường an toàn hơn để ứng phó với các sự cố an ninh mạng", ông Yeo Siang Tiong cho biết.