MITRE_06

Hệ sinh thái các sản phẩm CyRadar và MITRE ATT&CK Framework

Năm 2013, tổ chức phi lợi nhuận MITRE đã cho ra mắt ATT&CK Framework, một nền tảng tổng hợp và cập nhật các thông tin về các chiến thuật, kỹ thuật của các cuộc tấn công mạng (cyber attack) trên thế giới. Trong bối cảnh các cuộc tấn công diễn ra ngày càng gia tăng cả về số lượng lẫn tính đa dạng, MITRE ATT&CK càng được biết đến và tham chiếu như một cuốn toàn thư về tấn công mạng.

ATT&CK được đặt tên theo kiểu chơi chữ (viết như Attack – tấn công) viết tắt của Adversarial Tactics (các chiến thuật tấn công), Techniques (các kỹ thuật) và Common Knowledge (các hiểu biết thông thường). Mỗi Tactics (chiến thuật) trong ATT&CK, được hiểu như một bước chính mà kẻ tấn công cần đạt được trong một chiến dịch tấn công, đó là: Thăm dò thông tin; chuẩn bị “vũ khí”; tấn công xâm nhập; thực thi trên môi trường mục tiêu;  kết nối về máy chủ điều khiển… Những bước này, cơ bản giống với phân loại của Lockheed Martin Cyber Kill Chain, một framework nổi tiếng khác cũng khái quát về các cuộc tấn công mạng. Tuy nhiên, ở ATT&CK còn có chi tiết về các kỹ thuật tấn công có thể được dùng trong mỗi bước, cùng với những thông tin liên kết tới tên các phần mềm độc hại và các chiến dịch tấn công thực tế.

Với độ bao phủ rộng hết các kỹ thuật tấn công, và liên tục được cập nhật đóng góp từ cộng đồng, MITRE ATT&CK mang lại nhiều thông tin giá trị cho cả các tổ chức, doanh nghiệp lẫn các cá nhân nghiên cứu bảo mật:

  • Đối với các cơ quan, doanh nghiệp cần bảo vệ hệ thống của mình trước các cuộc tấn công mạng thì việc ánh xạ với MITRE ATT&CK sẽ giúp cơ quan doanh nghiệp hiểu hơn về các bước tấn công, hiểu hơn về những mặt (surface) của mình có thể bị tấn công để từ đó có phương án đầu tư bảo vệ toàn diện, đạt hiệu quả tối đa mà tránh được lãng phí.
  • Đối với những nhà nghiên cứu về một cuộc tấn công mạng cụ thể, ATT&CK cung cấp nhiều thông tin tham chiếu hữu ích, đồng thời hỗ trợ việc ghi chép, thể hiện kết quả điều tra, phân tích được mạch lạc, dễ dàng cho việc báo cáo, lưu trữ và chia sẻ.
  • Đối với những công ty cung cấp sản phẩm, dịch vụ về an toàn thông tin thì việc đối chiếu với MITRE ATT&CK sẽ giúp cho công ty nhận thấy những mặt được và chưa được của sản phẩm, dịch vụ của mình trong việc chống lại các cuộc tấn công thực tế, để từ đó có phương hướng phát triển phù hợp.

 

CyRadar làm gì để bảo vệ người dùng cá nhân, các tổ chức, doanh nghiệp trước các chiến thuật và kỹ thuật tấn công tinh vi?

Trước hết, hãy cùng tìm hiểu các tactics (chiến thuật) phổ biến, được tới nhắc trong mô hình MITRE ATT&CK theo bảng dưới đây:

Tiếp tục tìm hiểu, phân tích thêm về các kỹ thuật tấn công được đề cập trong từng Tactics, nhận định các bề mặt (surface) có thể bị tấn công, nguồn dữ liệu (data sources) giúp phát hiện tấn công… để từ đó có thể đánh giá và cải thiện khả năng phát hiện của một giải pháp đối với từng kỹ thuật tấn công nhất định.

Biện pháp này luôn được áp dụng tại CyRadar để nâng cao chất lượng các sản phẩm ATTT, đồng thời củng cố và cập nhật kiến thức chuyên môn cho đội ngũ nhân sự.

(Tổng hợp phân tích các kỹ thuật tấn công, nguồn: Tableau)

Dưới đây là bức tranh về hệ sinh thái về các sản phẩm, dịch vụ của CyRadar cho mô hình một doanh nghiệp cơ bản. Trong đó CyRadar EDR, CyRadar Advanced Thread Detection, CyRadar Secure Emaill Gateway, CyRadar Secure DNS, CyRadar Internel Shield, CyRadar SIEM, CyRadar WAF là các sản phẩm của CyRadar triển khai cho hệ thống của khách hàng. Còn CyRadar Intelligence Platform là trung tâm đầu não đặt tại hạ tầng Cloud của CyRadar có chức năng hỗ trợ khả năng nhận diện cho các sản phẩm.

(Hệ sinh thái các sản phẩm CyRadar)

Với hệ thống sản phẩm trải khắp các lớp chính: máy chủ, đường truyền và máy trạm, có khả năng tiếp cận đầy đủ nguồn dữ liệu (data sources) cần thiết như: Netflow, Packet Capture, Fille Monitoring, Process Monitoring… Hệ sinh thái CyRadar có thể bao phủ hầu hết các kỹ thuật tấn công, với tỷ lệ nhận diện khác nhau cho từng kỹ thuật cụ thể. Có thể tóm tắt sơ bộ như sơ đồ dưới đây.

Bảng ma trận kỹ thuật dưới đây sẽ giúp người dùng hiểu rõ hơn các rủi ro, các nguy cơ tiềm ẩn trong hệ thống mạng và khả năng phát hiện của hệ sinh thái các sản phẩm đến từ CyRadar

(Bảng ma trận thể hiện khả năng phát hiện của CyRadar Products)

Lê Mạnh Tùng – CyRadar Team