SECUITY365

CERT MASTER

,
No comments on (Comptia Security+) Chapter 5: Threat     Actors,      Vectors, and Intelligence Sources (Phần 3)

(Comptia Security+) Chapter 5: Threat     Actors,      Vectors, and Intelligence Sources (Phần 3)


(Comptia Security+) Chapter 5: Threat     Actors,      Vectors, and Intelligence Sources (Phần 1)

(Comptia Security+) Chapter 5: Threat     Actors,      Vectors, and Intelligence Sources (Phần 2)

(Để xem đầy đủ hình ảnh các bạn hãy tải file pdf ở phần cuối)

Tài liệu biên soạn bởi Viện Đào Tạo An Ninh Mạng Security365 / CertMaster Đông Dương)

Đặt Sách Comptia Bản In (kèm video quốc tế với phụ đề và video giới thiệu tổng quan bằng tiếng Việt về nội dung, chứng chỉ, cách đăng kí thi, cách học …)

E-mail

E-mail là một trong những vectơ ưa thích cho các cuộc tấn công kỹ thuật xã hội. Gửi e-mail bao gồm các liên kết hoặc tệp đính kèm là một cách tương tác với người dùng. Nếu một thông điệp thuyết phục được bao gồm, người dùng có thể nhấp vào các liên kết hoặc mở tệp đính kèm và vectơ đã hoàn thành công việc của mình — phân phối tải trọng.

Supply        Chain

Vectơ chuỗi cung ứng liên quan đến việc sử dụng chuỗi cung ứng của công ty như một tác nhân không chủ ý trong cuộc tấn công. Có rất nhiều hình thức tấn công có thể được thực hiện theo cách này, và một số hình thức được đề cập trong Chương 1 và 33. Khái niệm này tương đối đơn giản: kẻ tấn công tìm ra phương tiện để họ có thể đưa mã tấn công của họ vào chuỗi cung ứng cho một sản phẩm hoặc một bản cập nhật — ví dụ: tấn công một nhà cung cấp và để lại mã trên một chương trình được sử dụng để kiểm tra phần cứng lưu trữ, do đó để lại mã xấu trên thiết bị lưu trữ mới hoặc tấn công cơ chế cập nhật bằng cách đầu độc một trong các tệp cập nhật được phân phối qua web. Các công ty có xu hướng tin tưởng các nhà cung cấp của họ và có thể bỏ qua các bước kiểm tra bảo mật như xác thực các bản tải xuống bằng hàm băm. Đây là một lĩnh vực mà Microsoft đã làm rất xuất sắc: quy trình cập nhật của họ có rất nhiều lần kiểm tra bảo mật, khiến cho một trong những bản cập nhật của công ty hầu như không thể bị nhiễm độc.

Vào tháng 12 năm 2020, một gói phần mềm quản lý tập trung phổ biến, Solar Winds Orion, đã bị phát hiện là đã bị xâm phạm bởi một tổ chức quốc gia-nhà nước. Sự vi phạm này vào chuỗi sản phẩm đã không được chú ý trong chín tháng, lan rộng ra khắp các tập đoàn hàng đầu và các cơ quan chính phủ. Danh sách các công ty vi phạm sẽ không được biết đến vào khoảng năm 2021, nhưng những tên tuổi lớn nhất trong ngành công nghệ, Microsoft, Cisco, FireEye và các cơ quan chính phủ lớn của Hoa Kỳ, đã bắt đầu xử lý thiệt hại. Cuộc tấn công, sử dụng chuỗi cung ứng của một bộ công cụ thường được sử dụng, rất tinh vi và tiên tiến đáng kể, vẫn nằm trong bóng tối trong nhiều tháng. Các cuộc tấn công vào chuỗi cung ứng là một mối đe dọa thực sự và không thể bị ngăn chặn chỉ bằng chính sách và hợp đồng.

Social         Media

Phương tiện truyền thông xã hội có thể là vật trung gian cho các cuộc tấn công kỹ thuật xã hội vì nó kết nối kẻ tấn công trực tiếp với người dùng và nhiều kiểm tra bảo mật được thấy với e-mail của công ty và các kênh liên lạc khác không có. Bằng cách gửi một URL rút gọn, kẻ tấn công thường có thể khiến mọi người nhấp vào nó và sau đó với sự chuyển hướng xảo quyệt, những điều tồi tệ có thể xảy ra trước khi GIF mong muốn hiển thị và người dùng không bao giờ là người khôn ngoan hơn trong số tải trọng đã được phân phối. Các cuộc tấn công kỹ thuật xã hội dựa trên phương tiện truyền thông xã hội được đề cập trong Chương 1.

Removable         Media

Phương tiện có thể tháo rời, thường ở dạng thẻ nhớ USB, đại diện cho một vectơ mối đe dọa rõ ràng. Loại lưu trữ này nhỏ, phổ biến và không cần kỹ năng để gắn vào PC. Làm thế nào điều này trở thành một mối đe dọa được thúc đẩy bởi kỹ thuật xã hội. Kẻ tấn công lấy thiết bị lưu trữ USB và đặt mô-đun tấn công lên đó để nó có thể được thực thi. Sau đó, mẹo là nhờ ai đó tương tác với tệp. Đặt thiết bị USB ở vị trí dễ bị phát hiện sẽ dẫn đến một cuộc tấn công được gọi là “tấn công thả USB” (xem Chương 2). Như với tất cả các cuộc tấn công hành vi, cần giáo dục người dùng (trong trường hợp này, người dùng nên được dạy không chạm vào các ổ USB “bị bỏ rơi”). Họ nên coi các thiết bị lưu trữ USB là “chó phân” và tránh nhặt và sử dụng chúng. Bạn cũng có thể sử dụng trình chặn USB và tắt Tự động phát (có thể được bật theo mặc định) cho USB và phương tiện di động. Các biện pháp bảo vệ cấp hệ thống này có thể có ý nghĩa đối với các máy cụ thể như ki-ốt hoặc những máy tiếp xúc với công chúng.

Cloud

Đám mây là một vector tấn công khác. Nếu bạn được kết nối với đám mây, nó sẽ dành cho mục đích kinh doanh và do đó bạn sẽ có một số hình thức tin tưởng vào nó. Nhưng nếu bạn xem đám mây và đặc biệt là bộ nhớ đám mây, chỉ như máy tính của người khác, bạn có thể thấy vectơ. Nếu thỏa thuận đám mây của bạn không bao gồm các biện pháp bảo vệ chống vi-rút trên các tệp, thì nó thực sự không khác với bất kỳ nguồn kết nối Internet nào khác.

Threat Intelligence Sources

An ninh mạng là một trò chơi quản lý tài nguyên. Không công ty nào có đủ nguồn lực để bảo vệ mọi thứ chống lại tất cả các mối đe dọa, và thậm chí cố gắng làm như vậy sẽ làm tăng thêm sự phức tạp dẫn đến mở ra các con đường đe dọa khác. Một trong những quyết định quan trọng cần được thực hiện là nơi áp dụng các nguồn lực của một người trong bối cảnh phức tạp về bảo vệ an ninh mạng. Thông tin tình báo về mối đe dọa là việc thu thập thông tin từ nhiều nguồn khác nhau, bao gồm cả các nguồn không công khai, để cho phép một thực thể tập trung đúng mức các biện pháp phòng thủ của mình trước các tác nhân có khả năng xảy ra mối đe dọa cao nhất. Các nguồn thông tin tình báo về mối đe dọa là nơi mà người ta có thể nhận được thông tin này, và có rất nhiều nguồn trong số đó — từ nguồn mở, đến độc quyền, đến các nguồn chuyên biệt. Những điều này sẽ được đề cập trong các phiên sau.

Exam Tip Hãy chuẩn bị cho những câu hỏi yêu cầu bạn xác định sự khác biệt giữa các loại nguồn thông tin tình báo về mối đe dọa.

Open Source Intelligence (OSINT)

Thông tin tình báo nguồn mở, đôi khi được gọi là thông tin tình báo về mối đe dọa nguồn mở, đề cập đến dữ liệu tình báo được thu thập từ các nguồn công khai. Có rất nhiều nguồn thông tin công khai liên quan đến hoạt động an ninh mạng hiện nay. Từ các bài báo, đến các blog, đến các báo cáo của chính phủ, dường như có một luồng tin tức liên tục liên quan đến những gì đang xảy ra, với ai và như thế nào. Thách thức là trong việc đối chiếu thông tin thành một định dạng có thể sử dụng được, đó là nhu cầu mà nguồn cấp dữ liệu thông minh nguồn mở đáp ứng.

Có nhiều loại nguồn cấp dữ liệu mở và mỗi nguồn đều có thể tăng thêm giá trị, nhưng câu hỏi quan trọng đối với mỗi nguồn cấp dữ liệu là thông tin của nó đến từ đâu, thông tin được kiểm duyệt như thế nào và cập nhật thông tin như thế nào. Dưới đây là danh sách một số nguồn và câu trả lời cơ bản cho những câu hỏi này:

  • Department            of Homeland Security (DHS)       Chia sẻ Chỉ báo Tự động là tập hợp thông tin như địa chỉ e-mail độc hại, địa chỉ IP và các tài liệu xấu khác được các công ty tư nhân báo cáo cho DHS thông qua cổng Chia sẻ Chỉ báo Tự động (AIS). Danh sách này được sắp xếp và phụ thuộc vào các công ty đóng góp vào nó để giữ cho nó được cập nhật và toàn diện.
  • Federal Bureau of Investigation     (FBI) Cổng thông tin InfraGard là một tập hợp truy cập đã được kiểm duyệt thông tin bảo mật được báo cáo cho FBI. Nó có xu hướng tập trung vào cơ sở hạ tầng quan trọng và có thể có thời gian trễ đáng kể, vì FBI nắm giữ thông tin liên quan đến các cuộc điều tra.
  • SANS Internet Storm Center (ISC) là một mạng cảm biến phân tán xử lý hơn 20 triệu mục nhập nhật ký phát hiện xâm nhập mỗi ngày và tạo ra các cảnh báo liên quan đến các mối đe dọa bảo mật.
  • VirusTotal Hiện do Google vận hành, VirusTotal sử dụng nguồn cấp dữ liệu từ vô số trình quét chống vi-rút để duy trì cơ sở dữ liệu đặc trưng về phần mềm độc hại và thông tin liên quan.
  • Cisco Nhóm Talos Intelligence tạo nguồn cấp thông tin cho khách hàng của Cisco (phiên bản miễn phí cũng có sẵn). Bề rộng bộ sưu tập của Cisco và đội ngũ nghiên cứu chuyên sâu của Cisco khiến đây trở thành nguồn cấp dữ liệu quan trọng cho những mối nguy hiểm mới và đang nổi lên.

Closed/Proprietary

Thị trường tình báo về mối đe dọa chứa đầy các công ty bảo mật cung cấp các sản phẩm tình báo về mối đe dọa. Một trong những dịch vụ chính của họ là quyền truy cập vào cơ sở dữ liệu thông tin tình báo về mối đe dọa đã đóng hoặc độc quyền của họ. Khi đánh giá các dịch vụ này, một trong những yếu tố chính là số lượng và sự đa dạng của nguồn cấp dữ liệu. Nguồn dữ liệu của họ là gì và họ có những đặc điểm gì đối với dữ liệu trong cơ sở dữ liệu của họ? Hầu hết các công ty sẽ cung cấp nguồn cấp dữ liệu định dạng tệp có thể tự động hóa từ cấu trúc dữ liệu của họ để cung cấp thông tin cho các công cụ bảo mật từ dữ liệu của họ. Các định dạng phổ biến bao gồm CSV, XML, JSON và STIX. STIX (định dạng Biểu thức Thông tin Đe dọa Có cấu trúc) được đề cập cụ thể ở phần sau của chương này. Các yếu tố quan trọng khác bao gồm những thứ như tần suất dữ liệu được cập nhật và những ngành nào là trọng tâm của dữ liệu. Câu hỏi về ngành là quan trọng bởi vì, mặc dù ở một cấp độ, tất cả các hệ thống CNTT đều phải đối mặt với cùng một biển lỗ hổng, các tác nhân đe dọa có các mô hình và chúng có xu hướng hoạt động theo ngành, làm cho mức độ phơi bày trong ngành khác nhau.

Vulnerability       Databases

Lỗ hổng bảo mật là điểm yếu trong phần mềm cho phép kẻ tấn công xâm nhập. Bạn cần biết những gì dễ bị tấn công và vá lỗ hổng bảo mật hoặc cung cấp giải pháp phòng thủ để ngăn lỗ hổng bảo mật bị lộ ra trước kẻ tấn công. Biết được những lỗ hổng nào tồn tại trong phần mềm là một thách thức. Bởi vì có rất nhiều phần mềm và rất nhiều lỗ hổng, đây là một vấn đề dữ liệu cần một cơ sở dữ liệu để lập danh mục và duy trì. Và có những cơ sở dữ liệu về lỗ hổng bảo mật — không phải một mà là một số. Ví dụ: Cơ sở dữ liệu lỗ hổng bảo mật quốc gia (NVD) được lưu trữ tại nvd.nist.gov là một kho lưu trữ các lỗ hổng và thông tin liên quan như tham chiếu danh sách kiểm tra bảo mật, lỗi phần mềm liên quan đến bảo mật, cấu hình sai, tên sản phẩm và số liệu tác động.

Đã có những nỗ lực khác trong việc tạo cơ sở dữ liệu về lỗ hổng bảo mật, bao gồm Cơ sở dữ liệu về lỗ hổng bảo mật nguồn mở (OSVDB) lâu đời, chạy từ năm 2004 đến năm 2016, khi nó trở thành một mô hình đăng ký. Hầu hết các cơ sở dữ liệu về lỗ hổng bảo mật do các công ty bảo mật tiếp thị đều được sửa đổi từ NVD. Một ngoại lệ chính là cơ sở dữ liệu lỗ hổng Metasploit, đây là một kho lưu trữ được quản lý của các khai thác đã được kiểm duyệt đối với các lỗ hổng được sử dụng trong khuôn khổ Metasploit.

Public/Private Information Sharing Centers

Trong lĩnh vực của các trung tâm chia sẻ thông tin công cộng / riêng tư là Trung tâm Phân tích và Chia sẻ Thông tin (ISAC) và Tổ chức Phân tích và Chia sẻ Thông tin (ISAO). ISAO rất khác nhau về khả năng nhưng về cơ bản bao gồm bất kỳ tổ chức nào, cho dù là một lĩnh vực công nghiệp hay khu vực địa lý, đang chia sẻ thông tin liên quan đến mạng nhằm mục đích nâng cao vị thế an ninh mạng của các thành viên của họ. ISAC là một danh mục đặc biệt của ISAO bao gồm an ninh mạng dựa trên ngành do tư nhân điều hành nhưng được chính phủ phê duyệt. ISAC có thể được coi là trung tâm tổng hợp, nơi thông tin thời gian thực có thể được chia sẻ giữa các thành viên. ISAO và ISAC hoạt động trên một tiền đề rất đơn giản: chia sẻ những gì đang xảy ra với bạn và cùng nhau tìm hiểu những gì đang xảy ra trong ngành của bạn. Chia sẻ được ẩn danh, phân tích được thực hiện bởi các nhân viên có tay nghề cao trong trung tâm hoạt động bảo mật và thông tin kết quả được cung cấp lại cho các thành viên gần với thời gian thực nhất có thể. Các nhà phân tích có kỹ năng cao rất tốn kém và cơ chế này chia sẻ chi phí cho tất cả các tổ chức thành viên.

Một chương trình của chính phủ Hoa Kỳ, InfraGard, do FBI điều hành và cũng hoạt động như một phương tiện chia sẻ, mặc dù tính kịp thời và mức độ phân tích không bằng ISAC, nhưng giá cả phù hợp (miễn phí).

Dark Web

Dark web là một tập hợp con của nội dung trên toàn thế giới trên Internet bị hạn chế quyền truy cập thông qua các phương pháp giải mã cụ thể. Các trang web tối là các trang yêu cầu Tor — một phần mềm mã nguồn mở, miễn phí cho phép giao tiếp ẩn danh. Bởi vì dark web chỉ tồn tại trong lĩnh vực định tuyến củ hành, các trang web dark web kết thúc bằng .onion, trái ngược với .com, .net, v.v. Khi một trình duyệt ở trên dark web, do giao thức định tuyến của củ hành, quyền truy cập là ẩn danh. Điều này đã làm cho dark web trở thành thiên đường cho hoạt động tội phạm và người ta có thể tìm thấy rất nhiều mặt hàng bất hợp pháp ở đó — từ thông tin bị đánh cắp đến các chất bất hợp pháp.

NOTE  Có một khu vực của Internet được gọi là deep web, là một phần của Internet không được lập chỉ mục bởi các công cụ tìm kiếm. Một ví dụ về deep web là tài liệu yêu cầu bạn đăng nhập vào tài khoản trước khi nó được hiển thị. Có, web sâu có thể truy cập dễ dàng vào trình duyệt, nhưng chỉ với thông tin cụ thể, chẳng hạn như đăng nhập để đến đó. Điều này khác với dark web. Vì vậy, trong khi một số có thể sử dụng các thuật ngữ thay thế cho nhau, có sự khác biệt giữa deep web và dark web.

Indicators of Compromise

Indicators            of compromise (IoCs) đúng như tên gọi: dấu hiệu cho thấy hệ thống đã bị xâm phạm bởi hoạt động trái phép. Khi một tác nhân đe dọa thực hiện các thay đổi đối với hệ thống, bằng hành động trực tiếp, phần mềm độc hại hoặc khai thác khác, các hiện vật pháp y sẽ bị bỏ lại trong hệ thống. IoC đóng vai trò như đường dẫn cho các nhà điều tra, cung cấp các manh mối nhỏ có thể giúp xác định sự hiện diện của một cuộc tấn công vào hệ thống. Thách thức là tìm kiếm, thu thập và phân tích các bit thông tin này và sau đó xác định ý nghĩa của chúng đối với một hệ thống nhất định. Đây là một trong những nhiệm vụ chính của người ứng phó sự cố: thu thập và xử lý các phần dữ liệu khác nhau này và tạo ra một bức tranh có ý nghĩa về trạng thái hiện tại của hệ thống.

May mắn thay, có những bộ công cụ hỗ trợ điều tra viên trong nhiệm vụ này. Các công cụ như YARA có thể lấy một tập hợp các chữ ký (còn được gọi là IoC) và sau đó quét một hệ thống để tìm chúng, xác định xem có đáp ứng một ngưỡng cụ thể hay không chỉ ra một nhiễm trùng cụ thể. Mặc dù danh sách cụ thể sẽ thay đổi dựa trên hệ thống và mối đe dọa cụ thể mà người ta đang tìm kiếm, một bộ IoC chung mà các công ty nên theo dõi bao gồm những điều sau đây:

  • Lưu lượng mạng đi bất thường
  • Sự bất thường trong hoạt động tài khoản người dùng đặc quyền
  • Bất thường về địa lý trong lưu lượng mạng
  • Cờ đỏ đăng nhập tài khoản
  • Tăng khối lượng đọc cơ sở dữ liệu
  • Kích thước phản hồi HTML
  • Số lượng lớn các yêu cầu cho cùng một tệp
  • Lưu lượng ứng dụng cổng không khớp, bao gồm cả lưu lượng được mã hóa trên các cổng thuần túy
  • Thay đổi tệp hệ thống hoặc sổ đăng ký đáng ngờ
  • Yêu cầu DNS bất thường
  • Bản vá lỗi bất ngờ của hệ thống
  • Thay đổi cấu hình thiết bị di động
  • Nhóm dữ liệu không đúng chỗ
  • Lưu lượng truy cập web với hành vi phi con người
  • Dấu hiệu của hoạt động DDoS, ngay cả khi tạm thời

Không có thỏa hiệp nào sẽ thể hiện tất cả mọi thứ trong danh sách này, nhưng theo dõi các mục này sẽ có xu hướng nắm bắt được hầu hết các thỏa hiệp, bởi vì tại một số thời điểm trong vòng đời của thỏa hiệp, mọi thỏa hiệp sẽ thể hiện một hoặc nhiều hành vi trước đó. Sau đó, một khi phát hiện ra sự xâm phạm, người phản hồi có thể khai thác thông tin và ghi lại đầy đủ bản chất và phạm vi của vấn đề.

Exam Tip Lưu ý rằng các dấu hiệu xâm nhập điển hình có thể bao gồm chữ ký vi rút, tên miền hoặc URL của máy chủ botnet và mã băm MD5 của phần mềm độc hại..

Automated Indicator  Sharing (AIS)

Được tạo bởi Bộ An ninh Nội địa Hoa Kỳ, Chia sẻ Chỉ báo Tự động (AIS) là một phương pháp chỉ báo mối đe dọa mạng tự động, hai chiều được sử dụng để báo cáo. Yếu tố chính của AIS là nó hoạt động ở tốc độ máy, cho phép phản hồi và báo cáo gần thời gian thực. Các công ty phải đăng ký tham gia nỗ lực này và khi họ đồng ý chia sẻ thông tin ẩn danh, kết nối của họ sẽ được thiết lập. Mục tiêu của chương trình AIS là hàng hóa hóa việc thu thập thông tin tình báo về mối đe dọa để cho phép mọi người truy cập vào nguồn cấp dữ liệu về các mối đe dọa mạng. Hệ thống AIS sử dụng các thông số kỹ thuật về Biểu hiện Thông tin Đe dọa Có cấu trúc (STIX) và Trao đổi Thông tin Trí tuệ Tự động Tin cậy (TAXII) để cho phép giao tiếp giữa máy với máy ở tốc độ máy. Những người tham gia AIS phải có khả năng sản xuất và sử dụng các giao thức này.

Structured Threat Information Expression    (STIX)        / Trusted Automated Exchange of        Intelligence Information (TAXII)

Để truyền đạt thông tin về mối đe dọa mạng ở tốc độ máy, Bộ An ninh Nội địa Hoa Kỳ đã khởi xướng chương trình STIX / TAXII (Structured Threat Information Expression / Trusted Automated Information Exchange of Intelligence) vào năm 2012. Hiện được điều hành bởi cơ quan đồng thuận quốc tế OASIS, cả STIX và TAXII cung cấp một bộ tiêu chuẩn dựa vào cộng đồng cho phép tự động trao đổi thông tin liên quan đến các mối đe dọa mạng, phòng thủ mạng và phân tích mối đe dọa. STIX là một ngôn ngữ có cấu trúc được chuẩn hóa, có thể đọc được bằng máy (nhưng cũng có thể đọc được của con người) để thể hiện thông tin về mối đe dọa mạng. TAXII xác định một tập hợp các dịch vụ và trao đổi tin nhắn cho phép chia sẻ tự động thông tin về mối đe dọa mạng có thể hành động trên các ranh giới tổ chức, dòng sản phẩm và dịch vụ. TAXII đại diện cho phương thức vận chuyển và STIX đại diện cho thông báo.

Exam Tip Hãy nhớ rằng STIX đại diện cho thông tin về mối đe dọa mạng (thông tin về mối đe dọa) trong khi TAXII xác định cách thông tin được trao đổi. Bạn có thể coi TAXII là “cách bạn đến đó”..

Predictive Analysis

Phân tích dự đoán là việc sử dụng thông tin tình báo về mối đe dọa để dự đoán động thái tiếp theo của mối đe dọa. Thông thường, điều này được thực hiện bằng cách sắp xếp một lượng lớn dữ liệu từ nhiều nguồn và chọn lọc qua biển dữ liệu này để tìm ra các phần thông tin chính cần thiết để cùng nhau đưa ra giả thuyết về những mối đe dọa tiềm ẩn và xác định cách tìm thấy chúng trong xí nghiệp. Vì mỗi ngành có các tác nhân đe dọa khác nhau và mỗi nhóm tác nhân đe dọa có xu hướng sử dụng các phương pháp cụ thể, nỗ lực này hoạt động tốt nhất khi được điều chỉnh cho phù hợp với các chi tiết cụ thể của một ngành. Nó cũng có thể hữu ích trong việc kiểm tra các mối đe dọa mới xuất hiện do một số yếu tố cụ thể, chẳng hạn như báo chí tiêu cực xung quanh công ty của bạn, khiến công ty trở thành mục tiêu cho nhiều loại hacker.

Threat        Maps

Bản đồ mối đe dọa là các biểu diễn địa lý của các cuộc tấn công cho thấy các gói tin đang đến và đi, như trong Hình 5-2. Những thứ này thu hút được nhiều sự chú ý của giới truyền thông và rất dễ nhìn, nhưng người ta phải tiếp cận chúng một cách thận trọng. Ghi nhận tác giả rất khó và chỉ vì một cuộc tấn công đến từ một IP ở một thành phố nhất định không có nghĩa là cuộc tấn công thực sự bắt nguồn từ đó. Cỗ máy đang tấn công bạn cũng có thể là nạn nhân, với việc kẻ tấn công làm việc từ một nơi khác để khiến việc điều tra xuyên biên giới trở nên khó khăn và tốn kém hơn.

File/Code Repositories

Một trong những lĩnh vực tăng trưởng chính trong phát triển phần mềm trong thập kỷ qua là kho lưu trữ tệp / mã. Các kho lưu trữ như GitHub đóng vai trò là nơi mọi người có thể làm việc cùng nhau trong các dự án và phát triển phần mềm. Những kho lưu trữ này có thể đóng hai vai trò khác nhau trong tình báo về mối đe dọa. Đầu tiên, họ có thể cung cấp một nguồn thông tin cho đối thủ về cách phần mềm được xây dựng, giúp họ có cơ hội kiểm tra mã nguồn để tìm các lỗ hổng. Nếu tổ chức của bạn sử dụng mã từ một kho lưu trữ và bạn làm cho nó được biết đến với thế giới (thường là do một trong những nhân viên của bạn là người đóng góp), thì bạn đang cung cấp cho đối thủ thông tin về cơ sở hạ tầng có thể được sử dụng để chống lại bạn. Thứ hai, bạn có thể sử dụng các nguồn tương tự để kiểm tra khả năng của một số công cụ mà đối thủ của bạn sẽ sử dụng để chống lại bạn. Do đó, kho mã không tốt cũng không xấu đối với thông tin về mối đe dọa; đúng hơn, chúng là một nguồn cho cả hai vế của phương trình.

NOTE  Khi bạn phát triển phần mềm trong nhà, việc duy trì một kho lưu trữ về nguồn gốc của tất cả các mô-đun, bao gồm cả các phiên bản, là điều quan trọng để truy tìm các vấn đề. Đây được gọi là hóa đơn vật liệu phần mềm (BOM phần mềm) và rất quan trọng khi bạn biết về các lỗ hổng trong mã mà bạn đang sử dụng lại.

Research Sources

Khi ai đó muốn nghiên cứu một chủ đề, một trong những thách thức là tìm kiếm các nguồn thông tin được kiểm tra xác thực. Tình báo đe dọa cũng không khác gì. Có rất nhiều nguồn, từ các nhà cung cấp đến các nhóm ngành công nghiệp địa phương, từ nguồn cấp dữ liệu về lỗ hổng bảo mật đến nguồn cấp dữ liệu về mối đe dọa, từ các hội nghị đến tạp chí học thuật cho đến các mục yêu cầu bình luận (RFC). Những điều này và hơn thế nữa sẽ được xem xét trong phần này, nhưng lưu ý rằng mỗi thứ đều có điểm mạnh và điểm yếu, có thể rất quan trọng, vì vậy việc sử dụng kết hợp tốt các nguồn là rất quan trọng.

Exam Tip Hãy chuẩn bị cho những câu hỏi yêu cầu bạn xác định sự khác biệt giữa các loại nguồn nghiên cứu mối đe dọa.

Download full PDF trên menu Download

Posted by:

CERT MASTER

CERT MASTER

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

%d bloggers like this: