Trong chương này, bạn sẽ

• Tìm hiểu về săn lùng mối đe dọa
• Kiểm tra chi tiết của các lần quét lỗ hổng bảo mật
• Khám phá công nghệ syslog / SIEM / SOAR

Đánh giá là việc kiểm tra một cái gì đó so với một tiêu chuẩn, để xem nó xếp chồng lên nhau như thế nào. Về bảo mật, tiêu chuẩn chính phải là tập hợp các chính sách bảo mật của bạn — và chúng phải phù hợp với mọi yêu cầu bên ngoài. Vì vậy, làm thế nào để bạn kiểm tra hệ thống của mình để xem liệu mọi thứ có thực sự hoạt động theo cách bạn mong muốn hay không? Chương này sẽ khám phá một số khía cạnh của việc đánh giá. Một trong những phương pháp chính để thực hiện đánh giá bảo mật là thông qua việc sử dụng các bài kiểm tra thâm nhập và các bài kiểm tra này được đề cập trong Chương 8, “Kiểm tra thâm nhập”.

Mục tiêu chứng nhận Chương này bao gồm CompTIA Security + mục tiêu kỳ thi 1.7: Tóm tắt các kỹ thuật được sử dụng trong đánh giá bảo mật.

Threat Hunting

Threat hunting là hoạt động chủ động tìm kiếm các mối đe dọa an ninh mạng bên trong mạng nhưng vẫn chưa bị phát hiện. Săn lùng mối đe dọa mạng sử dụng các công cụ, kỹ thuật và quy trình (TTP) để phát hiện ra các tác nhân trái phép trong mạng của bạn mà hệ thống phòng thủ của bạn chưa phát hiện được. Hầu hết các yếu tố phòng thủ đều hướng ra bên ngoài và ở trên hoặc gần chu vi mạng, vì đây là nơi bạn có nhiều khả năng bắt được người dùng trái phép nhất. Nhưng nếu kẻ tấn công có thể vượt qua tuyến phòng thủ đó, chúng có thể ẩn náu trong một mạng lưới hàng tháng, nếu không muốn nói là hàng năm. Trong thời gian này, họ có thể âm thầm thu thập dữ liệu, tìm kiếm tài liệu bí mật hoặc lấy thông tin đăng nhập khi di chuyển ngang qua môi trường. Những kẻ tấn công có thể sử dụng tài nguyên hệ thống để tiếp tục hiện diện của chúng, một kỹ thuật được gọi là “sống ngoài đất liền”.

Threat          hunting sử dụng các công cụ và kỹ thuật để phát hiện cụ thể kiểu người dùng này — các công cụ như nguồn dữ liệu tình báo về mối đe dọa chiến thuật và nguồn cấp dữ liệu về mối đe dọa mô tả các hoạt động của tin tặc, cũng như các công cụ như chỉ báo tấn công (IOA) và chỉ báo thỏa hiệp (IOCs) ). Các chỉ số tấn công bao gồm một loạt các hành động mà kẻ tấn công phải thực hiện để thực hiện một cuộc tấn công. Điều này bao gồm các hoạt động như tạo tài khoản, kết nối với máy chủ điều khiển và chỉ huy cũng như di chuyển dữ liệu ra khỏi mạng trong một luồng được mã hóa. Đây là những hành động được thực hiện bởi một tác nhân đe dọa như là một phần của quy trình làm việc của họ nhằm xâm phạm hệ thống. Tìm kiếm những hoạt động này là một phần của việc săn lùng mối đe dọa. Các dấu hiệu của sự thỏa hiệp là hiện vật do các hoạt động của kẻ tấn công để lại. Các chuỗi cụ thể trong bộ nhớ khỏi phần mềm độc hại, tạo tác pháp y như tệp liên kết và tệp thực thi giả mạo — đây là tất cả các chỉ báo về hoạt động độc hại, nhưng cũng là hoạt động trong quá khứ. Những kẻ săn lùng mối đe dọa sử dụng những manh mối này để tập trung vào nơi kẻ tấn công đã ở, những gì chúng đã làm và nơi chúng có khả năng sẽ đến tiếp theo khi kẻ tấn công theo dõi phiên bản Cyber Kill Chain.

Intelligence Fusion

Thông tin tình báo về mối đe dọa là kiến thức đằng sau khả năng, cơ sở hạ tầng, động cơ, mục tiêu và nguồn lực của mối đe dọa. Sự kết hợp thông tin tình báo về mối đe dọa cho phép người bảo vệ xác định và bối cảnh hóa các mối đe dọa mà họ phải đối mặt trong môi trường, sử dụng thông tin từ tình báo về mối đe dọa trong Mô hình Kim cương về Phân tích Xâm nhập, như được minh họa trong Chương 27, “Chính sách, Quy trình và Thủ tục Ứng phó Sự cố”. Khi bạn hiểu đối thủ của mình, bạn có thể thực hiện hành động quyết định để bảo vệ tổ chức của mình tốt hơn.

Exam Tip Intelligence fusion (Kết hợp tình báo) là một quá trình liên quan đến việc thu thập và phân tích các nguồn cấp dữ liệu về mối đe dọa từ cả các nguồn bên trong và bên ngoài trên quy mô lớn.

Threat      Feeds

Nguồn cấp dữ liệu về mối đe dọa là nguồn thông tin liên quan đến kẻ thù. Nguồn cấp dữ liệu đe dọa có thể đến từ các nguồn bên trong và bên ngoài. Bằng cách tận dụng dữ liệu mối đe dọa từ mạng của chính bạn dựa trên dữ liệu ứng phó sự cố (nghĩa là tệp nhật ký, cảnh báo và kết quả ứng phó sự cố), bạn có thể tìm thấy các vị trí khác có cùng mối đe dọa trong môi trường của bạn. Các nguồn thông tin về mối đe dọa bên ngoài đến từ nhiều thực thể bên ngoài khác nhau và kết quả là chúng có thể phù hợp hoặc không phù hợp với môi trường cụ thể của bạn. Nguồn cấp dữ liệu bên ngoài mất nhiều công sức hơn để điều chỉnh thông tin thành một dạng hữu ích trong doanh nghiệp của bạn, nhưng các phương pháp trao đổi tự động, chẳng hạn như Biểu thức điện tử về thông tin đe dọa có cấu trúc (STIX), hỗ trợ việc di chuyển thông tin quan trọng này giữa các công ty. Cuối cùng, tùy thuộc vào nhóm bảo mật của bạn với kiến thức cụ thể của họ về môi trường của tổ chức bạn và bối cảnh mối đe dọa để xác định mức độ liên quan của nguồn cấp dữ liệu bên ngoài.

Advisories and Bulletins

Các lời khuyên và bản tin là tập hợp thông tin được xuất bản từ các đối tác, chẳng hạn như các nhà cung cấp bảo mật, các nhóm ngành, chính phủ, các nhóm chia sẻ thông tin và các nguồn thông tin “đáng tin cậy” khác. Đây là những nguồn cung cấp mối đe dọa từ bên ngoài và cần được nhân viên an ninh xử lý để xác định khả năng áp dụng và cách sử dụng chúng để cải thiện khả năng phòng vệ cho doanh nghiệp.

Maneuver

Maneuver đề cập đến khả năng di chuyển trong một mạng lưới, một chiến thuật thường được sử dụng bởi các đối thủ tiên tiến khi họ tiến tới mục tiêu của mình. Săn lùng mối đe dọa có thể chống lại sự di chuyển của kẻ tấn công thông qua một số cơ chế. Đầu tiên, kẻ săn lùng mối đe dọa có thể theo dõi lưu lượng truy cập tại các điểm nghẹt thở (nghĩa là các điểm mà thực thể trái phép phải đi qua). Thứ hai, kẻ săn lùng mối đe dọa có thể phân tích cơ sở hạ tầng mạng của chính công ty, thông qua con mắt của kẻ tấn công và cung cấp thông tin chi tiết về cách mạng có thể được kết nối để cung cấp khả năng phòng thủ tốt hơn chống lại sự di chuyển ngang, cả về kết nối và ghi nhật ký. Những nỗ lực này làm cho việc điều động không bị phát hiện trở thành thách thức lớn hơn nhiều đối với kẻ tấn công và bởi vì phần lớn các biện pháp phòng thủ có thể được thực hiện một cách thụ động đối với những gì kẻ tấn công nhìn thấy, nó thậm chí còn hiệu quả hơn.

Exam Tip Maneuvering (Cơ động) cũng là một chiến thuật phòng thủ được các chuyên gia bảo mật sử dụng để phá vỡ hoặc ngăn chặn kẻ tấn công di chuyển theo chiều ngang như một phần của chuỗi tấn công..

Vulnerability Scans

Quét lỗ hổng bảo mật là quá trình kiểm tra các dịch vụ trên hệ thống máy tính để tìm các lỗ hổng đã biết trong phần mềm. Về cơ bản, đây là một quá trình đơn giản để xác định phiên bản cụ thể của một chương trình phần mềm và sau đó tra cứu các lỗ hổng đã biết. Cơ sở dữ liệu Các lỗ hổng phổ biến và Phơi nhiễm có thể được sử dụng như một kho lưu trữ; nó đã ghi lại hơn 145.000 lỗ hổng cụ thể. Điều này làm cho nhiệm vụ không chỉ là một thủ công; nhiều chương trình phần mềm có thể được sử dụng để thực hiện chức năng này.

False Positives

Bất kỳ hệ thống nào sử dụng phép đo một số thuộc tính để phát hiện một số điều kiện khác đều có thể có lỗi. Khi một phép đo được sử dụng như một phần của quá trình quyết định, các yếu tố bên ngoài có thể gây ra sai số. Đổi lại, những sai số này có thể ảnh hưởng đến phép đo đến một điều kiện tạo ra sai số trong số cuối cùng. Khi một phép đo được sử dụng trong quá trình quyết định, khả năng xảy ra sai sót và ảnh hưởng của chúng phải là một phần của quá trình quyết định. Ví dụ, khi một nhà hàng nấu bít tết ở nhiệt độ trung bình, cách dễ nhất để xác định bít tết đã chín chính xác hay chưa là cắt miếng ra và nhìn. Nhưng điều này không thể được thực hiện trong nhà bếp, vì vậy các biện pháp khác được sử dụng, chẳng hạn như thời gian, nhiệt độ, v.v. Khi khách hàng cắt miếng bít tết là thời điểm của sự thật, bởi vì lúc đó tình trạng thực tế mới được tiết lộ.

Exam Tip Kết quả False positives và false negatives phụ thuộc vào kết quả xét nghiệm và kết quả thật. Nếu bạn kiểm tra một cái gì đó, nhận được dấu hiệu dương tính, nhưng dấu hiệu sai, đó là dương tính giả. Nếu bạn kiểm tra một cái gì đó, không nhận được một dấu hiệu, nhưng kết quả đáng lẽ phải là sự thật, đây là một âm tính giả.

Hai loại lỗi có liên quan: dương tính giả và âm tính giả (False positives and false negatives). Việc lựa chọn các thuật ngữ tích cực và tiêu cực liên quan đến kết quả của thử nghiệm. Nếu bạn đang sử dụng Nmap như một công cụ để kiểm tra hệ điều hành, nó sẽ báo cáo hệ điều hành là một loại cụ thể (giả sử như Windows 10). Nếu kết quả này không chính xác, thì đây là lỗi dương tính giả nếu bạn đang tính kết quả là đúng.

Exam Tip Đây là một mặt hàng được thử nghiệm cao. False positives xảy ra khi hành vi dự kiến hoặc bình thường bị xác định sai là độc hại. Việc phát hiện đăng nhập không thành công, sau đó là đăng nhập thành công được gắn nhãn là độc hại, khi hoạt động do người dùng mắc lỗi sau khi thay đổi mật khẩu của họ gần đây, là một ví dụ về False positives.

False Negatives

Kết quả âm tính giả ngược lại với kết quả dương tính giả. Nếu bạn kiểm tra thứ gì đó và kết quả là âm tính, nhưng thực tế là dương tính, thì kết quả là âm tính giả. Ví dụ: nếu bạn quét các cổng để tìm bất kỳ cổng nào đang mở và bạn bỏ lỡ cổng đang mở vì máy quét không thể phát hiện nó đang mở và bạn không chạy kiểm tra vì kết quả sai này, bạn đang bị âm tính giả. lỗi.

Exam Tip Khi một hệ thống phát hiện xâm nhập (IDS) không tạo ra cảnh báo về một cuộc tấn công bằng phần mềm độc hại, thì đây là một âm báo giả.

(Để xem đầy đủ hình ảnh các bạn hãy tải file pdf ở chuyên mục Download)

Tài liệu biên soạn bởi Viện Đào Tạo An Ninh Mạng Security365 / CertMaster Đông Dương)

Đặt Sách Comptia Bản In (kèm video quốc tế với phụ đề và video giới thiệu tổng quan bằng tiếng Việt về nội dung, chứng chỉ, cách đăng kí thi, cách học …)