Cyber threat intelligence là gì ?
Threat Intelligence là kiến thức, kỹ năng và thông tin dựa trên kinh nghiệm liên quan đến sự xuất hiện và đánh giá cả các mối đe dọa mạng và vật lý cũng như các tác nhân đe dọa nhằm giúp giảm thiểu các cuộc tấn công tiềm ẩn và các sự kiện có hại nhắm vào các tổ chức, ngành, lĩnh vực hoặc chính phủ.
Phân loại
Threat Intelligence hướng tới việc tìm hiểu mối quan hệ giữa môi trường hoạt động của bạn và đối thủ của bạn.
- Strategic Intel: Thông tin cấp cao xem xét bối cảnh mối đe dọa của tổ chức và vạch ra các khu vực rủi ro dựa trên xu hướng, mô hình và các mối đe dọa mới nổi có thể ảnh hưởng đến các quyết định kinh doanh.
- Technical Intel: Xem xét bằng chứng và tác nhân về cuộc tấn công của kẻ thù. Các nhóm Ứng phó Sự cố có thể sử dụng thông tin này để tạo ra bề mặt tấn công cơ bản nhằm phân tích và phát triển các cơ chế phòng thủ.
- Tactical Intel: Đánh giá chiến thuật, kỹ thuật và thủ tục (TTP) của đối thủ. Thông tin này có thể tăng cường các biện pháp kiểm soát bảo mật và giải quyết các lỗ hổng thông qua các cuộc điều tra thời gian thực.
- Operational Intel: Xem xét động cơ và ý định cụ thể của kẻ thù để thực hiện một cuộc tấn công. Các nhóm bảo mật có thể sử dụng thông tin này để hiểu các tài sản quan trọng có sẵn trong tổ chức (con người, quy trình và công nghệ) có thể được nhắm mục tiêu.
Các công cụ đánh giá, điều tra mối đe doạ mạng
Urlscan.io
Urlscan.io là một dịch vụ miễn phí được phát triển để hỗ trợ quét và phân tích các trang web. Nó được sử dụng để tự động hóa quá trình duyệt và thu thập thông tin qua các trang web để ghi lại các hoạt động và tương tác.
Khi một URL được gửi, thông tin được ghi lại bao gồm các miền và địa chỉ IP được liên hệ, tài nguyên được yêu cầu từ các miền, ảnh chụp nhanh của trang web, các công nghệ được sử dụng và siêu dữ liệu khác về trang web.
Kết quả quét URL cung cấp thông tin phong phú, với các lĩnh vực chính sau đây là cần thiết để xem xét:
- Summary: Cung cấp thông tin chung về URL, từ địa chỉ IP đã xác định, chi tiết đăng ký miền, lịch sử trang và ảnh chụp màn hình của trang web.
- HTTP: Cung cấp thông tin về các kết nối HTTP do máy quét thực hiện với trang web, với thông tin chi tiết về dữ liệu được tìm nạp và các loại tệp nhận được.
- Redirects: Hiển thị thông tin về bất kỳ chuyển hướng HTTP và phía máy khách đã xác định nào trên trang web.
- Links: Hiển thị tất cả các liên kết được xác định đi từ trang chủ của trang web.
- Behaviour: Cung cấp chi tiết về các biến và cookie được tìm thấy trên trang web. Những điều này có thể hữu ích trong việc xác định các khuôn khổ được sử dụng để phát triển trang web.
- Indicators: Liệt kê tất cả IP, miền và mã băm được liên kết với trang web. Các chỉ báo này không ngụ ý hoạt động độc hại liên quan đến trang web.
Abuse.ch
Abuse.ch là một dự án nghiên cứu được tổ chức bởi Viện Kỹ thuật và An ninh Mạng tại Đại học Khoa học Ứng dụng Bern ở Thụy Sĩ. Nó được phát triển để xác định và theo dõi phần mềm độc hại và mạng botnet thông qua một số nền tảng hoạt động được phát triển trong dự án. Các nền tảng này là:
- Malware Bazaar: Một tài nguyên để chia sẻ các mẫu phần mềm độc hại.
- Feodo Tracker: Một tài nguyên được sử dụng để theo dõi và điều khiển (C2) cơ sở hạ tầng botnet được liên kết với Emotet, Dridex và TrickBot.
- SSL Blacklist: Tài nguyên để thu thập và cung cấp danh sách chặn các chứng chỉ SSL độc hại và dấu vân tay JA3/JA3s.
- URL Haus: Một tài nguyên để chia sẻ các trang web phân phối phần mềm độc hại.
- Threat Fox: Một tài nguyên để chia sẻ các chỉ số về sự thỏa hiệp (IOC).
PhishTool
PhishTool tìm cách nâng cao nhận thức về lừa đảo là một hình thức tấn công nghiêm trọng và cung cấp một phương tiện bảo mật email đáp ứng. Thông qua phân tích email, các nhà phân tích bảo mật có thể phát hiện ra các IOC qua email, ngăn chặn vi phạm và cung cấp các báo cáo pháp y có thể được sử dụng trong các hoạt động đào tạo và ngăn chặn lừa đảo.
Các tính năng chính bao gồm:
- Perform email analysis: PhishTool truy xuất siêu dữ liệu từ các email lừa đảo và cung cấp cho các nhà phân tích các giải thích và khả năng liên quan để theo dõi các hành động, tệp đính kèm và URL của email để xử lý tình huống.
- Heuristic intelligence: OSINT được đưa vào công cụ để cung cấp cho các nhà phân tích thông tin tình báo cần thiết để tránh các cuộc tấn công dai dẳng và hiểu những gì TTP đã được sử dụng để trốn tránh các biện pháp kiểm soát an ninh và cho phép kẻ thù tấn công xã hội một mục tiêu.
- Classification and reporting: Việc phân loại email lừa đảo được tiến hành để cho phép các nhà phân tích nhanh chóng thực hiện hành động. Ngoài ra, các báo cáo có thể được tạo ra để cung cấp hồ sơ pháp y có thể được chia sẻ.
Sau khi tải lên, email được hiển thị với cái nhìn sâu hơn:
- Headers: Cung cấp thông tin định tuyến của email, chẳng hạn như địa chỉ email nguồn và đích, địa chỉ IP và DNS gốc và Dấu thời gian.
- Received Lines: Thông tin chi tiết về quy trình truyền tải email trên nhiều máy chủ SMTP khác nhau cho mục đích truy tìm.
- X-headers: Đây là các tiêu đề mở rộng được thêm bởi hộp thư người nhận để cung cấp thêm thông tin về email.
- Security: Chi tiết về các chính sách và khuôn khổ bảo mật email như Khung chính sách người gửi (SPF), Thư được xác định theo DomainKeys (DKIM) và Xác thực Thư dựa trên Miền, Báo cáo và Tuân thủ (DMARC).
- Attachments: Liệt kê bất kỳ tệp đính kèm nào được tìm thấy trong email.
- Message URLs: Các URL bên ngoài được liên kết được tìm thấy trong email sẽ được tìm thấy ở đây.
Cisco Talos Intelligence
Các công ty CNTT và An ninh mạng thu thập một lượng lớn thông tin có thể được sử dụng để phân tích mối đe dọa và tình báo. Là một trong những công ty đó, Cisco đã tập hợp một nhóm lớn các học viên bảo mật có tên là Cisco Talos để cung cấp thông tin thông minh có thể hành động, khả năng hiển thị trên các chỉ số và bảo vệ chống lại các mối đe dọa mới nổi thông qua dữ liệu thu thập từ các sản phẩm của họ. Giải pháp có thể truy cập là Talos Intelligence.
Cisco Talos bao gồm sáu nhóm chính:
- Threat Intelligence & Interdiction: Tương quan và theo dõi các mối đe dọa nhanh chóng cung cấp một phương tiện để biến các IOC đơn giản thành thông tin giàu ngữ cảnh.
- Detection Research:: Phân tích lỗ hổng và phần mềm độc hại được thực hiện để tạo ra các quy tắc và nội dung để phát hiện mối đe dọa.
- Engineering & Development: Cung cấp hỗ trợ bảo trì cho các động cơ kiểm tra và cập nhật chúng để xác định và loại bỏ các mối đe dọa mới xuất hiện.
- Vulnerability Research & Discovery: Làm việc với các nhà cung cấp dịch vụ và phần mềm để phát triển các phương tiện xác định và báo cáo các lỗ hổng bảo mật có thể lặp lại.
- Communities: Duy trì hình ảnh của nhóm và các giải pháp nguồn mở.
- Global Outreach: Phổ biến thông tin tình báo cho khách hàng và cộng đồng bảo mật thông qua các ấn phẩm
Các tab chính mà nhà phân tích sẽ tương tác là:
- Vulnerability Information: Các báo cáo về lỗ hổng được tiết lộ và zero-day được đánh dấu bằng số CVE và điểm CVSS. Chi tiết về các lỗ hổng được báo cáo được cung cấp khi bạn chọn một báo cáo cụ thể, bao gồm cả tiến trình thực hiện để báo cáo được xuất bản. Các cố vấn về lỗ hổng bảo mật của Microsoft cũng được cung cấp, với các quy tắc snort hiện hành có thể được sử dụng.
- Reputation Center:Cung cấp quyền truy cập vào dữ liệu mối đe dọa có thể tìm kiếm liên quan đến IP và tệp bằng cách sử dụng hàm băm SHA256 của chúng. Các nhà phân tích sẽ dựa vào những lựa chọn này để tiến hành điều tra của họ.
- Email & Spam Data: Bạn có thể tìm thấy dữ liệu thư rác và email bổ sung.