Bài viết

18 Tháng Mười Một 2019 Chủ động xác minh nguy cơ sử dụng công nghệ AI

Chủ động xác minh nguy cơ giúp nhanh chóng xác minh những nguy cơ tiềm tàng và những lỗ hổng có thể bị tấn công bởi kẻ xấu để truy cập trái phép vào cơ sở dữ liệu của doanh nghiệp. Các mô hình IOC truyền thống, kết hợp ATT&CK Mitre TTPs và Trí thông minh nhân tạo AI nhằm xác minh những hành vi khác thường, những hành vi gây ra từ những kẻ tấn công từ rất sớm, cho phép ngăn chặn và giảm thiểu tối đa các cuộc tấn công một cách nhanh chóng và hiệu quả.

Việc thêm trí thông minh nhân tạo vào quá trình này sẽ giúp quá trình xác minh diễn ra chính xác và hiệu quả hơn:

  • Báo hiệu cho các nhà phân tích sự hiện diện của các lỗ hổng bảo mật
  • Cảnh báo về các hành vi bất thường
  • Khám phá các mẫu hành vi mới

Các hoạt động thông thường của Threat Hunter là tìm kiếm thông tin qua lịch sử lưu lại một cách trực tiếp hoặc hỗ trợ bởi SIEM để tìm kiếm sự bất thường và điều tra sự tương quan của những hành động đó với dữ liệu có sẵn Threat Intelligence từ các nguồn của bên thứ ba hoặc các nhóm khác trong tổ chức. Quy trình này diễn ra rất hiệu quả khi quy trình tự động hoá đóng vai trò chính trong toàn bộ quy trình, giúp quá trình diễn ra chính xác hơn, và đơn vị xử lý chỉ cần thực hiện vai trò khắc phục sự cố khi mã độc hại đã được xác định và cô lập hoàn toàn.

Chủ động phá vỡ nguy cơ

Quy trình chủ động phá vỡ nguy cơ tiềm ẩn thường được chia làm ba loại chính:

  • Tìm kiếm IOC (Indicators of Compromise): Dễ dàng tự động hoá, chỉ phát hiện các mối đe doạ đã biết, có sẵn trong lịch sử dữ liệu
  • Tìm kiếm TTP (Tactics, Techniques and Procedures): Khó tự động hoá hơn, phát hiện sớm các cuộc tấn công được đưa ra một phương thức hoạt động
  • Tìm kiếm hành động bất thường: Nên tự động hoá hoàn toàn, phát hiện sớm các mối đe doạ kể cả các mối đe doạ mới, không có trong lịch sử dữ liệu.

Mỗi thể loại đều có những ưu điểm và phạm vi khác nhau nhưng tất cả chúng đều hoạt động đồng bộ để ngan chặn nguy cơ từ những kẻ tấn công.

Tìm kiếm IOC (Indicators of Compromise)

IOCs (hashes, địa chỉ IP, tên miền…) được lấy từ các nhóm nội bộ đến các tổ chức, hoặc có thể từ đơn vị cung cấp thứ ba của dữ liệu thông minh. Loại tìm kiếm này hầu như không chủ động nhưng lại mang về một số lợi ích trong quá trình tìm kiếm: Nếu kẻ tấn công sử dụng lại cơ sở hạ tầng của phần mềm độc hại của chúng, sẽ rất dễ dàng để phát hiện ra các hoạt động độc hại ngay từ những bước đầu tiên, điều này đặc biệt đúng trong chiến dịch diện rộng, trong khi nó hiếm khi xảy ra với Các mối đe doạ liên tục nâng cao (Advanced Persistent Threats) và các cuộc tấn công có chủ đích.

Tìm kiếm IOC (Indicators of compromise)

Đây là cơ sở (thực tế IOCs là các chỉ số không chắc chắn) cho một tổ chức muốn thực hiện một hệ thống tìm kiếm chủ động, mặc dù chất lượng đầu ra phụ thuộc hoàn toàn vào loại và độ tin cậy của dữ liệu cung cấp bởi nguồn cấp dữ liệu IOC. Nếu doanh nghiệp được trang bị khả năng hiển thị endpoint thích hợp, quá trình này sẽ rất dễ triển khai tự động hoá.

Tìm kiếm TTP (Tactics, Techniques and Procedures)

TTPs là một phần của nguồn cung cấp cho dữ liệu lỗ hổng bảo mật thông minh, mô tả phương thức những kẻ tấn công hoạt động, thay vì dựa vào các chỉ số thô dễ bị sửa đổi. Chủ động tìm kiếm mối đe doạ yêu cầu phân tích các TTPs liên quan đến các tác nhân khác nhau. Vì các dữ liệu đó phản ứng cách thức hoạt động của một tác nhân đe doạ, nó đủ linh hoạt để đưa ra dự đoán về các mối hiểm hoạ tấn công mới từ tác nhân đe doạ đó. Những kẻ tấn công tinh vi sẽ hiếm khi sử dụng lại cùng một cơ sở dữ liệu hoặc công cụ với các mục tiêu cao cấp khác nhau, tuy nhiên cách thức tấn công có thể giống nhau. Ví dụ, loại phần mềm độc hại được sử dụng hoặc các kỹ thuật được sử dụng để thực hiện lấy cắp thông tin và thu thập thông tin xác thực có thể giống nhau.

TTPs tuân theo cấu trúc phân cấp, chuyên sâu hơn về các khía cạnh thực tế của cuộc tấn công:

ATT & CK Mitre cung cấp bản tóm tắt của tất cả các chiến thuật được ghi lại, mỗi chiến thuật bao gồm nhiều kỹ thuật khác nhau và mỗi kỹ thuật được thực hiện thông qua một quy trình. Ví dụ dưới đây cho thấy các chiến thuật được sử dụng bởi những kẻ tấn công bắt đầu từ lần truy cập ban đầu:

Tóm tắt chiến thuật tấn công

Một danh sách mô tả các thao tác điều khiển của kẻ tấn công, trong trường hợp này chúng ta đang xem xét các kỹ thuật được MuddyWater áp dụng, được liệt kê cụ thể lịch sử hoạt động bởi ReaQta:

Các chiến thuật được sử dụng bởi kẻ tấn công

Một ví dụ thực tế được báo cáo dưới đây, trong trường hợp này chúng tôi quan sát kẻ tấn công sao chép và đổi tên hệ thống nhị phân sang một thư mục khác để trốn tránh các quy tắc dựa trên đường dẫn/tên tệp:

Sự bất thường được phát hiện bởi ReaQta-Hive và được đánh dấu màu đỏ, cho thấy hệ thống nhị phân đã được sao chép ở nơi khác:

Sao chép nhị phân hệ thống không có tác động trực tiếp đến bảo mật và nó khó có thể được phân loại là vi phạm bảo mật, nhưng một hoạt động duy nhất không nói lên toàn bộ câu chuyện, trên thực tế, kẻ tấn công sau đó đã sử dụng nhị phân này để tải xuống nội dung độc hại từ máy chủ từ xa. Tầm nhìn trên toàn bộ quá trình đảm bảo phát hiện sớm và, ở một mức độ nào đó, sẽ có thể giúp xác định tác nhân đe dọa có liên quan.

Tìm kiếm thủ công vẫn có thể có giá trị để xác định các tập hợp hành vi mà chúng tôi cho là khác thường. Trong trường hợp bên dưới, kẻ tấn công đã đổi tên nhị phân độc hại để bắt chước thành phần của hệ thống, kỹ thuật này được định nghĩa là TA1036 (Defense Evasion) và nhị phân được sử dụng để lọc các ảnh chụp màn hình, được định nghĩa là kỹ thuật T1113 (Bộ sưu tập).

Nền tảng tìm kiếm đang được sử dụng để trích xuất tất cả các tệp nhị phân có tên nhất định (svchost.exe trong trường hợp này) không được Microsoft ký và thực hiện bất kỳ hoạt động nào trong số: bỏ các tệp nhị phân thực thi, lấy ảnh chụp màn hình, lấy tổ hợp phím hoặc thu thập thông tin đăng nhập. Khi chúng ta có tất cả các kỹ thuật này được nhóm lại với nhau, chúng ta có thể bắt đầu tìm kiếm các dấu hiệu của hoạt động độc hại.

Tìm kiếm các dấu hiệu của hoạt động gây hại

Tự động hóa việc tìm kiếm TTPs là một nhiệm vụ phức tạp hơn, đòi hỏi một nền tảng có khả năng mã hóa thông tin TTP và tìm kiếm nó, nó vẫn có thể chạy quy trình một cách thủ công mà không mất độ chính xác, tất nhiên là ở mức giá đầu tư nhiều hơn vào giai đoạn tìm kiếm. Mặt khác, rất khó để duy trì giám sát theo thời gian thực đối với TTP mà không tự động hóa đúng cách và điều đó có thể dẫn đến việc trì hoãn phát hiện vi phạm.

Tìm kiếm theo hành vi (hỗ trợ bởi AI)

Loại thứ ba mà một phần của quá trình Tìm kiếm mối đe dọa chủ động đòi hỏi khả năng giám sát hành vi thông qua một nền tảng có khả năng trích xuất và phân tích thông tin hành vi ở cấp độ endpoint. Không có hướng dẫn hoặc điểm bắt đầu để giúp nghiên cứu ban đầu (còn gọi là một bộ TTP được xác định), hầu hết các công việc thường được dẫn dắt bởi một chuyên gia trong lĩnh vực, sàng lọc thông qua nhật ký và xác định các mẫu bất thường.

Khái niệm này có thể được mở rộng và đơn giản hóa thông qua Trí tuệ nhân tạo (AI), có khả năng tìm kiếm dấu vết của LOLbins mới nhất đồng thời lên phương án chống lại tác động của cuộc tấn công chưa được công bố. Các thuật toán ngày càng tốt hơn trong việc phát hiện sự bất thường trong lĩnh vực an ninh mạng, chúng ta có thể tận dụng các kỹ thuật mới này để chủ động xác định các loại mối đe dọa mới mà không cần có dữ liệu từ trước, như trong ví dụ dưới đây:

chủ động xác định, tìm kiếm mối đe doạ

Một mô hình trí tuệ nhân tạo (AI) tạo hồ sơ hoạt động của mỗi và mọi ứng dụng được tìm thấy trong tổ chức, phát hiện sự bất thường thông báo khi có bất kì hoạt động bất thường nào xảy ra. Quá trình này giúp nhà phân tích xác định các kỹ thuật mới, mà không đòi hỏi công việc thủ công để xác định hoạt động bất thường đó. Phát hiện một hoạt động bất thường và trích xuất thông tin dữ liệu đó một cách thủ công gây tốn kém cả thời gian cũng như ảnh hưởng đến sự chính xác trong quá trình thực thi.

Tất nhiên với dữ liệu hành vi được tạo ra với khối lượng lớn bởi các Endpoint và rất khó để xử lý tác động một cách thủ công, khi đó việc sử dụng Trí tuệ nhân tạo AI là thực sự cần thiết để nhanh chóng phát hiện bất thường và cảnh báo nguy cơ về cuộc tấn công có thể xảy ra.

Quản lý hoạt động chủ động phát hiện bất thường

ReaQta cung cấp dịch vụ Tìm kiếm mối đe dọa chủ động được quản lý thông qua các đối tác toàn cầu của chúng tôi, trong đó Force 21 Việt Nam là đại diện cung cấp giải pháp an ninh mạng nổi tiếng ở Việt Nam. Nếu tổ chức của bạn đang tìm kiếm khả năng phát hiện và phòng chống tốt hơn, Force 21 Việt Nam sẽ có thể giúp đỡ bằng cách chạy quy trình này một cách minh bạch và cảnh báo cho đội của bạn khi phát hiện bất kỳ điều gì khả nghi. Khi việc giám sát Endpoint trở nên phổ biến hơn, các khả năng mới sẽ mở ra khi một loại dữ liệu phong phú hơn có sẵn cho các nhà phân tích, cung cấp các khả năng tìm kiếm không thể tưởng tượng được chỉ sau vài năm.

Như chúng ta vừa thấy một tìm kiếm IOC kỹ lưỡng phải được kết hợp với tìm kiếm tự động cho các TTP đã biết, bước cuối cùng của chuỗi được thể hiện bằng khai thác dữ liệu và phát hiện bất thường giúp bảo mật cơ sở hạ tầng trước các mối đe dọa mới nổi, khi thông tin chưa được công khai. Kết hợp tất cả các kỹ thuật này giúp tổ chức duy trì cảnh giác, phát hiện sớm các cuộc tấn công và giảm thời gian trì hoãn lại trong trường hợp phát hiện và xử lý vi phạm.

Hãy liên hệ với chúng tôi để tìm hiểu giải pháp kĩ hơn.

Liên hệ với chúng tôi

Nguồn: ReaQta Blog