Tầm quan trọng của Thông tin tình báo mối đe dọa an ninh mạng đối với tổ chức

25/05/2020 09:20

Bài viết của ông Yeo Siang Tiong, Tổng Giám đốc Kaspersky khu vực Đông Nam Á.

Ông Yeo Siang Tiong, Tổng Giám đốc Kaspersky khu vực Đông Nam Á

Thập kỷ mới mở ra với những đột phá mang tính “cách mạng”, như triển khai thương mại hóa mạng 5G, ứng dụng Trí tuệ nhân tạo vào nhiều lĩnh vực hơn, cũng như tích cực nâng cao năng lực phân tích dữ liệu. Ngoài ra, tầm quan trọng của tin tức tình báo trong thời đại thông tin kỹ thuật số cũng là một xu hướng công nghệ đáng lưu tâm hiện nay. Chỉ riêng ở khu vực Đông Nam Á, các nhà nghiên cứu của Kaspersky đã quan sát thấy sự gia tăng của các chiến dịch tấn công APT ngày càng tinh vi nhắm vào những tổ chức Chính phủ hay thậm chí là các thực thể chính trị.

Các nhóm tin tặc đang tìm cách tinh vi hóa kỹ thuật tấn công bằng những công cụ mới nhằm đánh cắp thông tin từ Chính phủ, thực thể chính trị hay các tổ chức/doanh nghiệp. Vậy tin tặc đang nhắm đến điều gì?

Đó chính là tin mật.

Có một loại thông tin tình báo có thể giúp các quốc gia và doanh nghiệp bảo vệ an toàn dữ liệu mật: đó là Thông tin tình báo mối đe dọa an ninh mạng (Threat Intelligence). Thông tin này giúp tổ chức nhận thức các mối đe dọa đã, đang và có thể nhắm vào hệ thống bảo mật, đóng vai trò nền tảng cho chiến lược an ninh mạng của tổ chức.

Hiện nay, có rất nhiều công ty đang cung cấp dịch vụ này. Vậy làm thế nào để tổ chức có thể đánh giá và chọn được nhà cung cấp tốt nhất? Giải quyết một số câu hỏi dưới đây có thể giúp tổ chức có được câu trả lời.

1. Tập tin này đáng ngờ như thế nào, và đáng ngờ ở những điểm gì?

Có hai thực tế về bảo mật Công nghệ Thông tin mà bất kỳ tổ chức nào cũng phải đối mặt - đó là tình trạng thiếu nhân lực và chẩn đoán sai mối đe dọa. Liệu những tổ chức đang thiếu nhân lực Công nghệ Thông tin đã sẵn sàng để đối phó với những tấn công dữ liệu ngày càng tinh vi trong giai đoạn này chưa?

Thực tế là không phải mọi tập tin đều chứa mã độc nguy hiểm và cần chú ý đặc biệt. Một số trường hợp vẫn có thể được xử lý dễ dàng bằng phần mềm chống vi-rút cơ bản. Thông tin tình báo mối đe dọa sẽ lọc ra được những chẩn đoán chưa chuẩn xác, từ đó, tổ chức chỉ cần tập trung vào các mối đe dọa thực sự nghiêm trọng.

Tuy nhiên, thiết bị bảo mật đầu cuối chỉ có thể phát hiện và phân loại tập tin là An toàn hoặc Nguy hiểm. Trong khi đó, công cụ phân tích trong hệ thống tình báo mối đe dọa sẽ cung cấp thông tin chi tiết về mức độ đáng ngờ và nguy hiểm của tệp, mã hash, địa chỉ IP và thậm chí là URL.

Nếu tham khảo báo cáo tình báo các mối đe dọa, tổ chức sẽ có được thông tin về hành vi, kỹ thuật khai thác, mức độ phổ biến của phần mềm độc hại, lịch sử và tác nhân tạo ra mối đe dọa, mục tiêu của mối đe dọa,...

2. Ai là người đứng sau chiến dịch tấn công này? Tôi có cần lo lắng về xu hướng tấn công này không?

Dịch vụ tình báo mối đe dọa cần kết hợp giữa cơ sở dữ liệu vững chắc về các mối đe dọa và những phân tích từ chuyên gia, chứ không phải là tổng hợp của các báo cáo từ nhiều công ty khác nhau.

Tại sao một cơ sở dữ liệu hoàn thiện và hiểu biết về kỹ thuật của tổ chức lại quan trọng? Đây là những yếu tố thiết yếu cho một hệ thống thông tin mối đe dọa đáng tin cậy. Dữ liệu cập nhật trên toàn cầu cùng thông tin tình báo mối đe dọa thông qua học máy được phân tích bởi trí tuệ con người sẽ cho góc nhìn toàn diện hơn về các mối đe dọa.

Đơn vị cung cấp dịch vụ tình báo mối đe dọa có thể cung cấp tất cả dữ liệu về mã độc, bao gồm họ mã độc, chỉ số thỏa hiệp (IOC), lịch sử tấn công và nguồn gốc mã độc. Những thông tin này có thể cho biết sự liên quan của tập tin chứa mã độc, mã hash, URL hay địa chỉ IP với một chiến dịch tấn công APT. Ngoài ra, báo cáo APT chuyên sâu cũng nên nằm trong dịch vụ thông tin tình báo, bên cạnh thông tin về lĩnh vực mục tiêu, tác nhân và động lực tấn công.

Một báo cáo thể hiện đầy đủ thông tin cơ bản sẽ giúp tổ chức biết cách phản hồi và tăng cường bảo mật để bảo đảm an toàn an ninh mạng.

3. Doanh nghiệp nên làm gì, và cần những thay đổi nào để tăng cường bảo mật?

Câu hỏi đặt ra từ những người quan tâm đến dịch vụ tình báo mối đe dọa là: Bạn có thể dự đoán tương lai không? Dù bạn có tin hay không, một dịch vụ tình báo mối đe dọa chất lượng có thể cho bạn câu trả lời vượt ngoài mong đợi.

Là một phần của bộ công cụ an ninh mạng, dịch vụ tình báo mối đe dọa chất lượng sẽ cung cấp những thông tin tình báo phù hợp với tổ chức - một báo cáo có thể vẽ ra được một bức tranh toàn diện về tình hình tấn công hiện tại, các điểm tấn công dễ bị khai thác và tiết lộ bằng chứng về những cuộc tấn công ở quá khứ, trong hiện tại và kế hoạch sắp tới. Tương quan các mối đe dọa mạng ở quá khứ, hiện tại và tương lai sẽ giúp tổ chức củng cố khả năng bảo mật Công nghệ Thông tin của mình.

Với những thông tin này, tổ chức có thể củng cố hệ thống phòng thủ an ninh mạng và tránh các cuộc tấn công. Ngoài ra, tổ chức và nhân viên sẽ có thể nắm bắt tốt hơn về cách xử lý khi gặp sự cố an ninh mạng.

Những câu hỏi này chỉ mang tính đại diện cho “phần nổi của tảng băng trôi”, nhưng chúng sẽ là cơ sở cho các đánh giá tình báo mối đe dọa phù hợp với tổ chức.

Mỗi tổ chức có một cơ sở hạ tầng và chính sách khác nhau, nhưng chắc chắn là không có bất cứ tội phạm mạng tinh vi nào có thể vượt qua hệ thống phòng thủ đã được tổ chức trang bị đầy đủ các chức năng của dịch vụ thông tin tình báo mối đe dọa an ninh mạng.
Bài liên quan:
Ý kiến bạn đọc (0)
Tên   Email

Các bài mới:
Lên đầu trang