MỨC ĐỘ ƯU TIÊN DỰA TRÊN BẰNG CHỨNG ĐỐI VỚI CÁC MỐI ĐE DỌA AN NINH MẠNG
Bước 1: Xây dựng mô hình
Trước hết các TC/DN cần lên phương án xây dựng mô hình theo mức độ ưu tiên về những mối đe dọa có thể xảy ra, để thực hiện được mục tiêu này cần xác định khả năng một chiến dịch tấn công sẽ tác động đến TC/DN ở mức độ nào, các khả năng này được tổng hợp từ những mối đe dọa thực tế, ví dụ từ các sự kiện được phát hiện thông qua hệ thống giám sát an ninh mạng nội bộ, hoặc thông tin các nguồn bên ngoài từ các tổ chức bảo mật khác. Phương pháp Factor Analysis of Information Risk (FAIR) mang đến một mô hình cung cấp thông tin, phân tích và lượng hóa rủi ro an ninh mạng dựa trên sự phân loại các yếu tố cấu thành nên rủi ro đó (Hình 1). Trong đó Loss Event Frequency (LEF) có thể xem như là điểm bắt đầu cho quá trình phân mức ưu tiên đe dọa dựa trên bằng chứng.
LEF thể hiện xác suất mà một tác nhân đe dọa (threat actor) có thể thực thi thành công một chiến dịch tấn công nhắm đến các TC/DN. LEF được cấu thành từ 2 yếu tố là “TEF” và “Vulnerability”, cụ thể:
- Tần suất phát sinh đe dọa
- Theat Event Frequency (TEF) gồm 2 biến số:
+ Tần suất tương tác: Thể hiện tần suất tác nhân đe dọa tương tác được với tài sản TC/DN.
+ Xác suất hành động: Thể hiện xác suất một tác nhân đe dọa tác động đến tài sản đó một khi tương tác xảy ra.
- Lỗ hổng bảo mật gồm 2 biến số:
+ Khả năng gây đe dọa (Threat capability): Khả năng tấn công của tác nhân đe dọa lên tài sản.
+ Khả năng chống chịu (Resistance strength): Mức độ kiểm soát, chống đỡ lại sự tấn công đó.
Bước 2: Xác định các đặc tính có thể lượng hóa liên quan đến mối đe dọa (Threat-Oriented Metrics)
Để dễ dàng kiểm định về mô hình phân mức ưu tiên đe dọa dựa trên bằng chứng, các yếu tố của mô hình FAIR cần phải được phân chia nhỏ hơn đến các thành phần dễ quan sát và có thể đo đếm được, thể hiện qua Hình 2 dưới đây.
Trong hình trên, 4 biến số của mô hình FAIR được chia thành từng danh mục chi tiết hơn, trong đó:
- Tần suất tương tác (Contact Frequency) được chia thành 2 loại:
+ Chuỗi sự cố xảy ra trong quá khứ: Bao gồm dữ liệu các sự cố thu thập được từ hệ thống quản lý sự kiện và thông tin bảo mật, chẳng hạn như số lượng các sự cố tấn công có chủ đích APT trong một khoảng thời gian nhất định.
+ Thông tin nạn nhân trong quá khứ: Thông thường những dữ liệu này có thể được chia sẻ bằng cách sử dụng Nền tảng tri thức mối đe dọa an toàn thông tin - Threat Intelligence Platform (TIP). Các ngôn ngữ được sử dụng trong các cuộc tấn công trước đây cũng có thể có liên quan. Các nhóm APT có thể nhắm mục tiêu thành công đến các TC/DN thông qua email lừa đảo bằng một ngôn ngữ nhất định.
- Xác suất hành động (Probability of Action): Mô tả khả năng tác nhân đe dọa thực hiện cuộc tấn công nhắm tới một tổ chức cụ thể. Tổ chức có thể bị tấn công vì phù hợp với các mục tiêu của chiến dịch tấn công mà tác nhân đe dọa đang theo đuổi cũng như mức độ cam kết thực hiện tấn công của nhóm tin tặc đó.
- Khả năng gây đe dọa (Threat Capability): Nhân tố này tập trung vào các đặc tính khác nhau của tác nhân đe dọa trong các chiến dịch tấn công. Bên cạnh đó, nhân tố này có thể được sử dụng trong kỹ thuật MITRE ATT&CK như là một chỉ báo xác định khả năng của nhóm tấn công APT.
- Khả năng chống chịu (Resistance Strength) được chia thành 3 phần:
+ Khả năng phát hiện (Detection capabilities): Bằng cách sử dụng mô hình Lockheed Martin kill chain, ngoài ra khả năng phát hiện của TC/DN có thể được đo lường bằng cách sử dụng framework DETT&CT.
+ Khả năng giảm bề mặt tấn công (Exploitation surface): Được chia thành bề mặt khai thác chung và khai thác chiến dịch. Các kỹ thuật MITER ATT&CK được sử dụng trong các cuộc tấn công trước đây của các nhóm APT có thể phát hiện các bề mặt tấn công này.
+ Khả năng ứng phó sau khi phát hiện (Postdetection capabilities): Tập trung vào khả năng của trung tâm giám sát an ninh mạng (SOC) và Nhóm ứng cứu sự cố khẩn cấp máy tính (CSIRT) của các TC/DN. Họ sẽ tính đến thời gian trung bình phân tích và thời gian phản hồi cho một sự cố.
Bước 3: Tính toán điểm số thể hiện mức độ nghiêm trọng của mối đe dọa (Aggregated Threat Score)
Dựa trên tất cả các chỉ số này, mối đe dọa có thể được xếp mức ưu tiên bằng cách tính toán điểm rủi ro đơn lẻ sử dụng mô hình xác suất dạng đồ thị Bayesian Belief Networks (BBN). BBN là công cụ suy luận và biểu diễn tri thức mạnh mẽ dưới những điều kiện bất định. BBN là đồ thị có hướng phi chu trình (DAG) với một phân phối xác suất có điều kiện cho mỗi nút. Bên cạnh đó, BBN còn là một dạng của biểu đồ ảnh hưởng (Influence Diagram), kết hợp giữa lý thuyết xác suất và lý thuyết đồ thị để giải quyết hai vấn đề quan trọng: tính không chắc chắn và tính phức tạp, được ứng dụng rộng rãi trong toán học và kỹ thuật.
Cấu trúc FAIR trong Hình 3 là một ví dụ của DAG. Các chỉ số ở cuối đồ thị kết nối đến các nút trung gian bằng các mũi tên thể hiện sự phụ thuộc thống kê và sự phụ thuộc xác suất này được thể hiện giữa hai biến số trong bảng xác suất có điều kiện. Theo cách đó, xác suất được quảng bá lên tới đỉnh đồ thị.
Đối với phương pháp ưu tiên mối đe dọa, một BBN rời rạc đã được sử dụng, chỉ dựa trên các biến phân loại (sử dụng các nhãn như “VERY_LOW” và “HIGH”). Mặc dù một số dữ liệu bị mất trong quá trình chuyển đổi từ biến liên tục sang biến phân loại, nhưng nó cho phép phân tích cụ thể hơn cho TC/DN và phù hợp với môi trường của họ. Ví dụ, số lượng sự cố là 10.000 có thể cao đối với một TC/DN này nhưng rất thấp đối với TC/DN khác.
Nhìn chung việc phân mức ưu tiên rủi ro an ninh mạng dựa trên bằng chứng mang tới sự tường minh và phản ánh chính xác mức độ rủi ro khó có thể phân biệt bởi con người. Việc các TC/DN cần hướng tới đó là tìm kiếm nguồn thông tin đủ để lượng hóa mức độ rủi ro từ thực tế.
CHIẾN LƯỢC PHÒNG THỦ DỰA TRÊN THÔNG TIN VỀ MỐI ĐE DỌA
Các TC/DN cần đưa vào nhiều hơn cách tiếp cận dựa trên bằng chứng đồng thời đo đếm và lượng hóa cụ thể tính hiệu quả đối với các biện pháp kiểm soát hiện tại mà họ đang áp dụng.
Nguyên tắc quan trọng của giải pháp phòng thủ dựa trên thông tin mối đe dọa (Threat-Informed Defense) là kim tự tháp mối đe dọa, trong đó càng lên cao tới đỉnh tháp thể hiện khả năng bị tấn công khó hơn. Ở đáy tháp là các biện pháp phòng thủ và kiểm soát địa chỉ IP truy cập thường dễ bị tin tặc qua mặt. Đỉnh tháp là các biện pháp phòng thủ mức Tactic, Technique or Procedure (TTP) và rất khó để tin tặc có thể vượt qua, vì việc thay đổi TTP không phải là một quá trình đơn giản, bởi lẽ nó tác động trực tiếp đến chiến lược tấn công và phương thức hoạt động của họ (TTP mô tả hoạt động của các tin tặc, nhằm xác định các chiến thuật, kỹ thuật và quy trình thực hiện tấn công của một tác nhân đe dọa nhất định, từ đó các TC/DN có thể đưa ra biện pháp chủ động phòng chống). Hiện nay, MITER ATT&CK là một giải pháp phòng thủ dựa trên thông tin mối đe dọa mà các TC/DN có thể cân nhắc để sử dụng.
MITRE ATT&CK là framework tập hợp danh sách tất cả các TTP được quan sát từ các vụ tấn công thực tế và liên kết ngược trở lại các tác nhân đe dọa. Do đó, nếu như TC/DN đang lo lắng về một mối đe dọa nào đó, ví dụ ransomware Darkside và Ryuk thì họ có thể sử dụng MITRE ATT&CK như một công cụ để tham chiếu những TTP nào mà các tin tặc đang sử dụng, và bắt đầu đo đếm để đảm bảo triển khai các biện pháp kiểm soát dò tìm và ngăn chặn chúng.
Thực tế rằng các biện pháp truyền thống về xác định chỉ số, đo lường tính bảo mật như Key Performance Indicator (KPI) và Key Risk Indicator (KRI) không phải là không có tác dụng, tuy nhiên các biện pháp đó thường tiếp cận ở mức quá cao để xác định nguyên nhân dẫn đến việc kiểm soát bị bỏ qua hoặc không phát hiện được, đơn giản hóa bối cảnh bảo mật và không đủ để đưa ra các thực thi cụ thể nhằm nâng cao an ninh bảo mật. Đó là lý do cần có cách tiếp cận dựa trên bằng chứng nhiều hơn và để đạt được sự phòng thủ có thông tin về mối đe dọa thì cần thực hiện các bước sau:
- Sử dụng framework đánh giá rủi ro mang tính định lượng để xác định mối đe dọa nào gây rủi ro lớn nhất đến tổ chức và xác định các TTP kèm theo.
- Xây dựng các chỉ số để lượng hóa được tác động mà mối de dọa đó có thể tác động đến tổ chức. Đồng thời, phát triển các chỉ số để có thể lượng hóa được mức độ hiệu quả của các biện pháp kiểm soát ứng phó đối với các đe dọa đó, cũng như chỉ số trong việc lượng hóa mức độ hiệu quả của quy trình tiếp nhận và xử lý sự cố liên quan đến đe dọa đó.
- Các TC/DN cần có giải pháp mô phỏng mối đe dọa để có thể đánh giá mà không tạo ra lỗ hổng bảo mật thực sự cho tổ chức. Công cụ Breach and Attack Simulation (BAS) và nhóm bảo mật chuyên mô phỏng các cuộc tấn công (Red Team) là các nhân tố chính trong việc triển khai giải pháp này.
- Mô phỏng đe dọa, thu thập các số liệu đã phát triển để cung cấp một cái nhìn thực tế về thiệt hại mà một mối đe dọa cụ thể có thể gây ra, cũng như mức độ hiệu quả của các biện pháp kiểm soát khác nhau.
- Phân tích dữ liệu nhằm xác định bất cứ điểm yếu nào có thể khắc phục cũng như cải tiến có thể thực hiện để nâng cao an toàn, an ninh thông tin.
- Cập nhật các bản vá bảo mật và ứng dụng những phát triển các sản phẩm bảo mật nhằm khắc phục các lỗ hổng gây ra.
- Lặp lại quá trình kiểm thử để chứng minh các thay đổi đó thực sự cải thiện mức độ bảo mật.
KẾT LUẬN
Bằng cách thực hiện một cách tiếp cận dựa trên bằng chứng, phương pháp này kiểm tra rõ về tính hiệu quả của kiểm soát và các quy trình phản hồi. Bảo mật cần được đo lường trong mối tương quan chặt chẽ với cách chúng ta phát hiện và ngăn chặn chúng. Liên tục đo lường các chỉ số mức độ bảo mật và nâng cao an ninh bảo mật là biện pháp quan trọng đối với các TC/DN trong bối cảnh nhiều nguy cơ tiềm ẩn và ngày càng gia tăng các cuộc tấn công mạng như hiện nay.