(Comptia Security+) Chapter 5: Threat     Actors,      Vectors, and Intelligence Sources (Phần 1)

(Để xem đầy đủ hình ảnh các bạn hãy tải file pdf ở phần cuối)

Tài liệu biên soạn bởi Viện Đào Tạo An Ninh Mạng Security365 / CertMaster Đông Dương)

Đặt Sách Comptia Bản In (kèm video quốc tế với phụ đề và video giới thiệu tổng quan bằng tiếng Việt về nội dung, chứng chỉ, cách đăng kí thi, cách học …)

Khi các quốc gia ngày càng trở nên phụ thuộc vào hệ thống máy tính và mạng, khả năng các yếu tố thiết yếu của xã hội có thể bị nhắm mục tiêu bởi các tổ chức hoặc các quốc gia khác được xác định là có ảnh hưởng xấu đến chúng đã trở thành hiện thực. Nhiều quốc gia ngày nay đã phát triển ở một mức độ nào đó khả năng tiến hành chiến tranh thông tin. Có một số định nghĩa về chiến tranh thông tin, nhưng một định nghĩa đơn giản là chiến tranh được tiến hành chống lại thông tin và thiết bị xử lý thông tin được sử dụng bởi kẻ thù. Trên thực tế, đây là một chủ đề phức tạp hơn nhiều, bởi vì thông tin không chỉ có thể là mục tiêu của kẻ thù mà còn có thể được sử dụng như một vũ khí. Dù bạn sử dụng định nghĩa nào thì chiến tranh thông tin cũng thuộc loại mối đe dọa có cấu trúc cao. Loại mối đe dọa này được đặc trưng bởi thời gian chuẩn bị lâu hơn (nhiều năm không phải là hiếm), sự hậu thuẫn tài chính to lớn và một nhóm lớn những kẻ tấn công có tổ chức. Mối đe dọa có thể bao gồm các nỗ lực không chỉ để lật đổ những người trong cuộc mà còn để đưa các cá nhân vào bên trong một mục tiêu tiềm năng trước một cuộc tấn công đã lên kế hoạch.

Một khía cạnh thú vị của chiến tranh thông tin là danh sách các mục tiêu có thể có. Chúng ta đã quen với ý tưởng rằng, trong chiến tranh, các lực lượng quân sự sẽ nhắm vào các lực lượng quân sự đối lập nhưng nhìn chung sẽ cố gắng phá hủy càng ít cơ sở hạ tầng dân sự càng tốt. Trong chiến tranh thông tin, các lực lượng quân sự chắc chắn vẫn là mục tiêu then chốt, nhưng người ta đã viết nhiều về các mục tiêu khác, chẳng hạn như các cơ sở hạ tầng khác nhau mà một quốc gia dựa vào để tồn tại hàng ngày. Các nhà máy lọc nước, điện, dầu khí và phân phối, tài chính ngân hàng, viễn thông đều thuộc nhóm cơ sở hạ tầng trọng yếu của một quốc gia. Cơ sở hạ tầng quan trọng là những cơ sở mà sự mất mát sẽ để lại hậu quả nặng nề cho quốc gia. Với việc các quốc gia phụ thuộc quá nhiều vào các cơ sở hạ tầng này, việc họ bị coi là mục tiêu hợp lệ trong cuộc xung đột là điều không thể tránh khỏi. Với mức độ phụ thuộc của các cơ sở hạ tầng này vào các hệ thống và mạng máy tính, cũng không thể tránh khỏi việc các hệ thống và mạng máy tính tương tự này sẽ là mục tiêu tấn công mạng trong một cuộc chiến tranh thông tin.

Hacktivists

Như thể hiện trong Hình 5-1, ở cấp độ tiếp theo bên dưới các hacker ưu tú là những người có khả năng viết script để khai thác các lỗ hổng đã biết. Những cá nhân này có năng lực kỹ thuật cao hơn nhiều so với những đứa trẻ tập lệnh (cuối cùng của phổ) và chiếm khoảng 8 đến 12 phần trăm hoạt động độc hại trên Internet. Khi các tin tặc làm việc cùng nhau cho một nỗ lực tập thể, thường nhân danh một số nguyên nhân, họ được gọi là những người theo chủ nghĩa hacktivists. Các nhóm hacktivist có thể bao gồm những đứa trẻ viết kịch bản, nhưng nói chung những đứa trẻ viết kịch bản không có kỹ năng để tham gia một cách có ý nghĩa vào việc thúc đẩy một mục tiêu hacktivist, mặc dù chúng có thể được gia nhập làm quân trên bộ để tăng thêm khối lượng cho một cuộc tấn công.

Script Kiddies

Nói về mặt kỹ thuật, ở mức thấp nhất của phổ là những gì thường được gọi là những script kiddies —individualsg cá nhân không có chuyên môn kỹ thuật để phát triển các tập lệnh hoặc phát hiện ra các lỗ hổng mới trong phần mềm, nhưng chỉ có đủ hiểu biết về các hệ thống máy tính. có thể tải xuống và chạy các tập lệnh mà những người khác đã phát triển. Những cá nhân này thường không quan tâm đến việc tấn công các mục tiêu cụ thể mà thay vào đó chỉ muốn tìm bất kỳ tổ chức nào có thể chưa vá lỗ hổng mới được phát hiện mà đứa trẻ viết kịch bản đã tìm được kịch bản để khai thác. Thật khó để ước tính có bao nhiêu cá nhân thực hiện các hoạt động như thăm dò mạng hoặc quét các hệ thống riêng lẻ là một phần của nhóm này, nhưng chắc chắn đây là nhóm phát triển nhanh nhất và phần lớn các hoạt động “không thân thiện” xảy ra trên Internet là có thể được thực hiện bởi những cá nhân này.

Criminal Syndicates

Khi các doanh nghiệp ngày càng phụ thuộc vào hệ thống máy tính và mạng, và khi số lượng giao dịch tài chính được thực hiện qua Internet tăng lên, thì không thể tránh khỏi tội phạm có tổ chức cuối cùng sẽ chuyển sang thế giới điện tử như một mục tiêu mới để khai thác. Một trong những thay đổi lớn trong thập kỷ qua về an ninh mạng là khả năng kiếm tiền từ những nỗ lực của tin tặc. Một phần của điều này là do sự gia tăng của tiền điện tử, chẳng hạn như bitcoin, nhưng toàn bộ thị trường trên web đen tồn tại để đánh cắp danh tính, dữ liệu tài chính và tài sản trí tuệ, tính theo đô la, lớn hơn buôn bán ma túy quốc tế. Điều này đã dẫn đến một lớp nhân vật tội phạm có tổ chức hoàn toàn mới, tội phạm an ninh mạng, những kẻ có thể ẩn mình trong bóng tối ẩn danh và tạo ra phần mềm độc hại và thực hiện các cuộc tấn công, tất cả đều nhắm đến việc kiếm tiền.

Hoạt động tội phạm trên Internet về cơ bản không khác gì hoạt động tội phạm trong thế giới vật chất. Gian lận, tống tiền, trộm cắp, biển thủ và giả mạo đều diễn ra trong môi trường điện tử.

Một điểm khác biệt giữa các nhóm tội phạm và hacker “trung bình” là cấp độ tổ chức mà các phần tử tội phạm sử dụng trong cuộc tấn công của họ. Các nhóm tội phạm thường có nhiều tiền hơn để chi tiêu cho việc hoàn thành hoạt động phạm tội và sẵn sàng dành thêm thời gian để hoàn thành nhiệm vụ, miễn là mức thưởng khi kết thúc là đủ lớn. Với số lượng tiền khổng lồ được trao đổi qua Internet hàng ngày, mức thưởng cho một vụ tấn công thành công đủ cao khiến các phần tử tội phạm quan tâm. Các cuộc tấn công của các tổ chức tội phạm thường thuộc loại đe dọa có cấu trúc, được đặc trưng bởi số lượng kế hoạch lớn hơn, thời gian dài hơn để tiến hành hoạt động, hỗ trợ tài chính nhiều hơn để thực hiện nó và có thể tham nhũng hoặc thông đồng với những người trong cuộc.

Hackers

Hackers là một thuật ngữ được tải, vì nó được nhiều người sử dụng cho các mục đích khác nhau. Việc sử dụng thuật ngữ ban đầu liên quan đến những cá nhân đã dành thời gian cố gắng tìm ra cách hoạt động của một thứ gì đó để họ có thể kiểm soát nó theo những cách mà nó không được thiết kế. Điều này đôi khi có nghĩa là kiểm soát lật đổ, dẫn đến việc sử dụng trái phép. Ngày nay, nhóm này vẫn tồn tại. Nhưng nhiều người cũng sử dụng thuật ngữ này để mô tả bất kỳ ai sử dụng máy tính không đúng cách, kể cả tội phạm. Điều này đã dẫn đến các trình mô tả được ủy quyền, trái phép và bán ủy quyền.

Authorized

Những cá nhân được ủy quyền sử dụng kỹ năng “hack” máy tính của họ cho mục đích tốt thường có tên chung là tin tặc “mũ trắng”. Họ có thể là nhà tư vấn bảo mật theo đuổi các lỗ hổng hoặc thực hiện các bài kiểm tra thâm nhập, cũng như nhiều hoạt động bảo mật khác. Sự khác biệt giữa một người mũ trắng và một người vi phạm pháp luật là tin tặc mũ trắng đang sử dụng các công cụ và kỹ thuật tương tự như các tác nhân đe dọa, nhưng làm như vậy với sự cho phép để một công ty có thể tìm hiểu điểm yếu của mình và sửa chữa chúng.

Unauthorized

Hacker mũ đen đối lập với mũ trắng. Thay vì sử dụng kỹ năng của mình cho mục đích tốt, họ sử dụng kỹ năng của mình cho các hoạt động bất hợp pháp và tội phạm. Các cá nhân và nhóm hành động trái phép là vi phạm pháp luật và gây ra rủi ro cho hệ thống. Có nhiều động cơ khác nhau đằng sau các hacker mũ đen, nhưng cuối cùng, họ đang thực hiện các hoạt động vi phạm pháp luật.

Semi-authorized

Hacker mũ xám sống bằng một chân trong mỗi thế giới. Họ có thể sử dụng các kỹ năng của mình để làm tốt công việc của mình với tư cách là một hacker mũ trắng, nhưng sau đó vào những lúc khác họ lại sử dụng những kỹ năng tương tự để làm hacker mũ đen một cách bất hợp pháp. Nhóm tin tặc được bán ủy quyền này hoạt động trong cả lĩnh vực an ninh được pháp luật công nhận và lĩnh vực hoạt động tội phạm bất hợp pháp

Exam Tip Biết rằng tin tặc mũ trắng / tin tặc được ủy quyền là những chuyên gia bảo vệ hệ thống, tin tặc mũ đen / tin tặc trái phép là tội phạm hack thiết bị và ứng dụng để lấy cắp dữ liệu và tin tặc mũ xám / tin tặc bán ủy quyền thường vi phạm đạo đức và luật pháp, nhưng không phải lúc nào cũng có ý đồ xấu như nhau như tin tặc mũ đen.

NOTE  Tại sao các thuật ngữ mũ đen và mũ trắng? Đây là một tham chiếu ngược về những bộ phim cao bồi cũ, trong đó người tốt đội mũ trắng và kẻ phản diện đội mũ đen.

Shadow IT

Shadow IT là tên được đặt cho các bộ phận của tổ chức thực hiện các chức năng CNTT của riêng họ. Các nhóm này nổi lên vì mong muốn “hoàn thành công việc” khi CNTT trung tâm không phản hồi trong những gì mà đơn vị cho là khung thời gian hợp lý. Mặc dù nỗ lực CNTT thận trọng này có vẻ hữu ích, bởi vì nó nằm ngoài sự kiểm soát của chức năng CNTT trung tâm, các hệ thống CNTT được tạo ra không nằm trong cùng một lĩnh vực bảo vệ. Nếu bạn thiết lập một điểm truy cập không dây để có thể di chuyển trong văn phòng của mình mà không bị buộc bởi cáp mạng, câu hỏi sẽ trở thành, ai giữ kết nối mạng này an toàn trước các mối đe dọa từ bên ngoài? Nếu một ổ cứng bị lỗi trên một phần CNTT ẩn của cơ sở hạ tầng, nó đã được sao lưu đúng cách chưa? Dữ liệu sẽ được phục hồi như thế nào? Nói chung, CNTT bóng tối là một triệu chứng của quá trình CNTT trung tâm hoạt động kém hoàn hảo và có thể dẫn đến tăng rủi ro. Shadow IT có thể trở thành một rủi ro đáng kể khi cơ sở hạ tầng của nó cung cấp cho người dùng bên trong khả năng truy cập và kết nối tăng lên.

Competitors

Các đối thủ cạnh tranh có thể là mối đe dọa đối với một doanh nghiệp trên chiến trường: bán hàng, giảm giá, sản phẩm của đối thủ — đó là cuộc chiến giành khách hàng mỗi ngày. Nhưng đây chỉ là kinh doanh – hợp pháp và bình thường. Nhưng các đối thủ cạnh tranh đã được biết là tấn công các quy trình CNTT của các công ty khác. Các phương pháp khác nhau, từ đánh giá sản phẩm sai đơn giản đến các yếu tố nghiêm trọng hơn, chẳng hạn như hack hệ thống thực tế. Đã có một số trường hợp được ghi nhận về hoạt động tội phạm của một công ty chống lại công ty khác. Điều này bao gồm ăn cắp tài sản trí tuệ hoặc danh sách khách hàng cũng như các hoạt động khác như tấn công từ chối dịch vụ.

Attributes of Actors

Các tác nhân đe dọa có thể được chia thành các nhóm dựa trên khả năng. Có những cách khác để phân biệt các tác nhân đe dọa: theo vị trí (bên trong hoặc bên ngoài), mức độ tinh vi, mức độ nguồn lực và ý định. Các thuộc tính này được mô tả tiếp theo.

Internal/External

Các tác nhân đe dọa bên trong có một lợi thế đáng kể so với các tác nhân bên ngoài: họ có quyền truy cập vào hệ thống. Mặc dù quyền truy cập có thể bị giới hạn ở cấp độ người dùng, nó vẫn cung cấp cho tác nhân đe dọa khả năng theo đuổi cuộc tấn công của họ. Các tác nhân bên ngoài có một bước bổ sung cần thực hiện: thiết lập quyền truy cập vào hệ thống mục tiêu.

Level of Sophistication/Capability Như đã trình bày trước đó trong Hình 5-1, kỹ năng hoặc sự tinh vi của kẻ tấn công có thể được chia thành một vài loại. Tuy nhiên, trong một nhóm các tác nhân đe dọa, trình độ kỹ năng của các thành viên riêng lẻ trong nhóm cũng có thể bị trộn lẫn, với một số cá nhân có kỹ năng cao hành động để di chuyển số lượng lớn hơn Như đã trình bày trước đó trong Hình 5-1, kỹ năng hoặc sự tinh vi của kẻ tấn công có thể được chia thành một vài loại. Tuy nhiên, trong một nhóm các tác nhân đe dọa, trình độ kỹ năng của các thành viên riêng lẻ trong nhóm cũng có thể bị trộn lẫn, với một số cá nhân có kỹ năng cao hành động để di chuyển số lượng lớn hơn những người tham gia kém kỹ năng hơn. Cấp độ kỹ năng càng lớn, càng có nhiều kỳ vọng một cá nhân sẽ lãnh đạo và thiết kế các cuộc tấn công. Khi nói đến mức độ tinh vi của đòn tấn công, một xu hướng đáng chú ý là khi cấp độ kỹ năng tăng lên, việc sử dụng các phương pháp tối thiểu cũng vậy. Mặc dù các cuộc tấn công zero-day được đưa tin rộng rãi, các lỗ hổng zero-day thực sự hiếm khi được sử dụng; chúng được dành riêng cho một số trường hợp không có lựa chọn nào khác, bởi vì một khi các lỗ hổng này bị khai thác, chúng sẽ được vá. Ngay cả với các đội quốc gia có nguồn lực và tinh vi cao sử dụng các phương pháp APT, một số lượng lớn các cuộc tấn công đáng ngạc nhiên là các cuộc tấn công cũ, khai thác các lỗ hổng cũ và sử dụng các phương pháp đơn giản tận dụng “hiệu quả thấp”. Điều này không có nghĩa là các phương pháp mới hơn, tiên tiến hơn không được sử dụng, mà là có một cơ chế kinh tế trong chính các cuộc tấn công, chỉ sử dụng những gì cần thiết ở mỗi bước. Cũng có rất nhiều dữ liệu bị thiếu trong kịch bản này, vì chúng tôi không biết các phương pháp đã được sử dụng thành công nếu tác nhân đe dọa vẫn không bị phát hiện.

Resources/Funding

Như đã đề cập trước đó, các tổ chức tội phạm và các quốc gia có ngân sách lớn hơn, đội ngũ lớn hơn và khả năng theo đuổi các chiến dịch trong thời gian dài hơn. An ninh mạng là một thách thức đối với những kẻ tấn công cũng như những người bảo vệ, và có những chi phí liên quan đến việc duy trì các nhóm và công cụ được các tác nhân đe dọa sử dụng chống lại một hệ thống. APT, với xu hướng tấn công lâu dài, một số kéo dài trong nhiều năm, đòi hỏi nguồn lực đáng kể để tham gia vào loại hoạt động này, do đó, cần có nguồn lực dài hạn mà chỉ các tổ chức hoặc chính phủ lớn mới có thể quản lý theo thời gian..

Intent/Motivation

Mục đích hoặc động cơ đằng sau một cuộc tấn công có thể đơn giản hoặc đa dạng về bản chất. Một đứa trẻ viết kịch bản chỉ đang cố gắng làm cho một kỹ xảo hoạt động. Một kẻ đe dọa có kỹ năng cao hơn thường theo đuổi một mục tiêu cụ thể, chẳng hạn như cố gắng tạo ra quan điểm như một kẻ hacktivist. Ở trên cùng của kim tự tháp ý định là tác nhân đe dọa APT, có ý định hoặc động cơ ít nhất gấp ba lần: Đầu tiên là động lực duy trì quyền truy cập liên tục. Thứ hai là ổ đĩa vẫn không bị phát hiện. Trong hầu hết các APT được phát hiện, thời gian xâm nhập lớn hơn một năm và trong nhiều trường hợp, việc xác định ngày lây nhiễm ban đầu là không thể, vì nó bị giới hạn bởi độ dài của các bản ghi. Thứ ba là mục tiêu đánh cắp thứ gì đó có giá trị trên mạng. APT không gây ra tất cả các rắc rối khi duy trì quyền truy cập và vô hình chỉ để làm hỏng hệ thống hoặc buộc xây dựng lại.

Exam Tip Bài kiểm tra Security + sẽ mô tả các tác nhân đe dọa về các thuộc tính: tài nguyên, mức độ phức tạp, vị trí và động cơ. Hãy chắc chắn hiểu những khác biệt này quan trọng như thế nào đối với các loại tấn công.

Vectors

Các mối đe dọa được duy trì bởi các tác nhân đe dọa và chúng sử dụng các vectơ khác nhau để khai thác các lỗ hổng trong hệ thống, cấp cho chúng quyền truy cập trái phép. Vectors là thuật ngữ chỉ các phương thức khác nhau mà kẻ tấn công có thể sử dụng để xâm nhập — cho dù đó là truy cập trực tiếp qua các kênh không dây hoặc e-mail, phương tiện truyền thông xã hội, chuỗi cung ứng, nguồn dữ liệu bên ngoài như phương tiện di động hoặc đám mây. Điểm mấu chốt là, nếu có một cách nào đó để di chuyển dữ liệu vào hệ thống của bạn, thì đây có thể là một vectơ tiềm năng cho những kẻ tấn công sử dụng, vì vậy bạn phải có

biện pháp bảo vệ.

Exam Tip Hãy chuẩn bị cho các câu hỏi yêu cầu bạn xác định sự khác biệt giữa các loại vectơ mối đe dọa.

Direct         Access

Direct access chỉ là: kẻ tấn công có quyền truy cập trực tiếp vào hệ thống. Đây có thể là một cuộc tấn công bên trong, hoặc có thể bên ngoài được cung cấp khả năng tương tác trực tiếp với hệ thống, chẳng hạn như máy chủ web. Quyền truy cập trực tiếp là lý do tại sao chúng ta cần sử dụng nguyên tắc ít đặc quyền nhất, chỉ cấp những quyền cần thiết và chặn tất cả những người khác. Trong trường hợp người bên ngoài được cấp quyền sử dụng hệ thống (ví dụ: để tạo các trang trên trang web), thì tất cả đầu vào bên ngoài phải được coi là nguy hiểm cho đến khi được chứng minh ngược lại.

Wireless

Mạng không dây mang lại nhiều sự đơn giản trong cách kết nối mạng. Nhưng với sự dễ dàng kết nối các máy móc này đi kèm với một loạt các vấn đề bảo mật. Để biết chi tiết về các vấn đề của bảo mật không dây tổng thể, xem Chương 20. Đối với các vectơ tấn công, truy cập không dây mang lại một loạt các cơ hội mới. Kẻ tấn công không còn phải có quyền truy cập vật lý trực tiếp vào mạng — một tín hiệu không dây có thể đưa nó đến kẻ tấn công, kẻ có thể chỉ phải ngồi trong bãi đậu xe để thực hiện cuộc tấn công của chúng.