Security365

MITRE ATT&CK Framework áp dụng vào diễn tập như thế nào?

by

IT-PRO
in

Nếu bạn từng tham gia hoặc tổ chức một buổi diễn tập an ninh mạng, có lẽ bạn đã gặp câu hỏi: “Kịch bản diễn tập nên bao gồm những kỹ thuật tấn công nào? Làm sao biết hệ thống phòng thủ đang phát hiện được bao nhiêu phần trăm? Sau diễn tập, ưu tiên cải thiện gì trước?”

MITRE ATT&CK Framework chính là câu trả lời cho tất cả những câu hỏi đó. Đây không chỉ là một bộ từ điển về kỹ thuật tấn công — mà là ngôn ngữ chung giúp Red Team, Blue Team và Purple Team làm việc cùng nhau hiệu quả hơn, và là thước đo để đánh giá năng lực phòng thủ trước, trong và sau mỗi cuộc diễn tập.

MITRE ATT&CK là gì?

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) là một cơ sở tri thức mở, được phát triển bởi tổ chức MITRE, hệ thống hóa các hành vi tấn công mạng đã được quan sát trong thực tế. Tính đến phiên bản v17 (tháng 4/2025), framework bao gồm 14 chiến thuật (Tactics), 211 kỹ thuật (Techniques) và 468 kỹ thuật phụ (Sub-Techniques) chỉ riêng cho môi trường Enterprise — cùng với thông tin về 170 nhóm tấn công, 877 phần mềm độc hại và 50 chiến dịch tấn công đã được ghi nhận.

Cấu trúc ATT&CK được tổ chức theo chuỗi hành vi của kẻ tấn công — từ giai đoạn truy cập ban đầu (Initial Access) đến đánh cắp dữ liệu (Exfiltration) và gây tác động (Impact). Mỗi kỹ thuật đều có mã định danh riêng (ví dụ T1566 cho Phishing, T1059 cho Command and Scripting Interpreter), giúp toàn bộ đội ngũ — từ Red Team, Blue Team đến ban lãnh đạo — nói cùng một ngôn ngữ khi thảo luận về mối đe dọa.

14 Tactics trong MITRE ATT&CK

Để hiểu cách áp dụng ATT&CK vào diễn tập, trước tiên cần nắm 14 giai đoạn (Tactics) trong chuỗi tấn công — mỗi giai đoạn đại diện cho một mục tiêu mà kẻ tấn công cần đạt được:

  1. Reconnaissance — Thu thập thông tin về mục tiêu
  2. Resource Development — Chuẩn bị hạ tầng và công cụ tấn công
  3. Initial Access — Xâm nhập vào hệ thống lần đầu
  4. Execution — Thực thi mã độc hoặc lệnh
  5. Persistence — Duy trì sự hiện diện trong hệ thống
  6. Privilege Escalation — Leo thang đặc quyền
  7. Defense Evasion — Lẩn tránh hệ thống phòng thủ
  8. Credential Access — Đánh cắp thông tin xác thực
  9. Discovery — Khám phá môi trường mạng nội bộ
  10. Lateral Movement — Di chuyển ngang trong mạng
  11. Collection — Thu thập dữ liệu mục tiêu
  12. Command and Control — Thiết lập kênh điều khiển từ xa
  13. Exfiltration — Đưa dữ liệu ra ngoài
  14. Impact — Gây tác động (mã hóa dữ liệu, phá hủy hệ thống)

Trong diễn tập, Red Team sẽ triển khai các kỹ thuật thuộc từng giai đoạn này, còn Blue Team sẽ được đánh giá khả năng phát hiện tại mỗi giai đoạn.

Áp dụng ATT&CK vào diễn tập: 5 cách cụ thể

1. Xây dựng kịch bản diễn tập dựa trên mối đe dọa thực tế

Thay vì thiết kế kịch bản tùy hứng, ATT&CK cho phép xây dựng kịch bản dựa trên nhóm tấn công thực tế có khả năng nhắm vào tổ chức.

Ví dụ: nếu tổ chức hoạt động trong lĩnh vực tài chính tại Đông Nam Á, có thể tham chiếu các nhóm APT đã từng nhắm vào khu vực này (như APT32/OceanLotus, Lazarus Group), xem danh sách kỹ thuật mà các nhóm này sử dụng trong ATT&CK, và xây dựng kịch bản diễn tập mô phỏng đúng chuỗi hành vi đó.

Cách làm: truy cập MITRE ATT&CK Groups → chọn nhóm tấn công phù hợp → xuất danh sách Techniques → sử dụng danh sách này làm checklist cho kịch bản diễn tập.

2. Đánh giá năng lực phát hiện (Detection Coverage Assessment)

Đây là ứng dụng mạnh nhất của ATT&CK trong diễn tập — đặc biệt với Purple Team Exercise.

Quy trình: Red Team lần lượt thực hiện từng kỹ thuật tấn công theo ATT&CK, Blue Team đánh giá khả năng phát hiện tại mỗi kỹ thuật, sau đó cả hai cùng phân loại kết quả:

  • Xanh (Green): Có đầy đủ log và detection rule — phát hiện được.
  • Cam (Orange): Có log nhưng chưa có detection rule — lỗ hổng phát hiện (detection gap).
  • Đỏ (Red): Không có log — lỗ hổng dữ liệu (logging gap).
  • Trắng (White): Chưa kiểm tra — lỗ hổng đánh giá (assessment gap).

Kết quả được trực quan hóa bằng ATT&CK Navigator — công cụ miễn phí của MITRE — tạo thành bản đồ nhiệt (heatmap) cho thấy rõ ràng tổ chức đang phòng thủ tốt ở đâu và yếu ở đâu.

3. Đo lường hiệu quả trước và sau diễn tập

ATT&CK biến diễn tập từ hoạt động định tính thành định lượng, đo lường được.

Trước diễn tập, tổ chức chạy baseline assessment để đánh giá detection coverage hiện tại trên ma trận ATT&CK. Sau diễn tập và cải thiện, chạy lại đánh giá tương tự. So sánh hai heatmap sẽ cho thấy rõ ràng: detection coverage tăng bao nhiêu phần trăm, bao nhiêu kỹ thuật từ “đỏ” chuyển sang “xanh”, lỗ hổng nào vẫn còn tồn tại.

Đây là cách truyền thông kết quả diễn tập hiệu quả nhất cho ban lãnh đạo — thay vì báo cáo kỹ thuật dài dòng, một bản đồ nhiệt ATT&CK với màu sắc rõ ràng nói lên tất cả.

4. Ưu tiên hóa đầu tư bảo mật

Không tổ chức nào có thể đạt 100% coverage trên toàn bộ ma trận ATT&CK — và cũng không cần thiết. ATT&CK giúp ưu tiên hóa bằng cách kết hợp hai thông tin: kỹ thuật nào đang là detection gap (từ kết quả diễn tập) và kỹ thuật nào đang được sử dụng phổ biến bởi các nhóm tấn công nhắm vào ngành nghề của tổ chức (từ threat intelligence).

Giao điểm giữa hai tập hợp này chính là nơi cần đầu tư trước — không phải đầu tư dàn trải theo kiểu “mua thêm tool” mà đầu tư có trọng điểm theo rủi ro thực tế.

5. Tạo playbook ứng phó theo từng kỹ thuật

Mỗi kỹ thuật trong ATT&CK có thể được gắn với một playbook ứng phó cụ thể: khi phát hiện kỹ thuật T1059.001 (PowerShell), SOC thực hiện bước A-B-C; khi phát hiện T1021.001 (Remote Desktop Protocol), quy trình ứng phó là X-Y-Z.

Diễn tập là cơ hội để kiểm tra các playbook này: playbook có đầy đủ không, có thực thi được dưới áp lực không, có cần cập nhật gì không. Sau mỗi lần diễn tập, playbook được tinh chỉnh — tạo thành vòng lặp cải thiện liên tục.

Ví dụ thực tế: Purple Team Exercise theo ATT&CK

Dưới đây là ví dụ minh họa cách một buổi Purple Team Exercise được cấu trúc theo ATT&CK:

Kịch bản: Mô phỏng nhóm ransomware tấn công doanh nghiệp tài chính

Phiên 1 — Initial Access (T1566.001: Spearphishing Attachment) Red Team gửi email phishing có đính kèm file Word chứa macro độc hại đến một nhóm nhân viên. Blue Team quan sát: hệ thống email gateway có chặn được không? SIEM có ghi nhận sự kiện macro execution không? EDR có cảnh báo không? Kết quả: email bị chặn bởi gateway → Xanh.

Phiên 2 — Execution (T1059.001: PowerShell) Red Team thực thi PowerShell script encoded trên máy trạm đã xâm nhập. Blue Team kiểm tra: log PowerShell có được bật không? SIEM có rule phát hiện encoded command không? Kết quả: log có nhưng chưa có detection rule → Cam. Hành động ngay: Blue Team viết detection rule mới.

Phiên 3 — Credential Access (T1003.001: LSASS Memory) Red Team dump credential từ LSASS process. Blue Team kiểm tra: EDR có phát hiện Mimikatz hoặc hành vi truy cập LSASS không? Kết quả: EDR phát hiện và cảnh báo → Xanh.

Phiên 4 — Lateral Movement (T1021.002: SMB/Windows Admin Shares) Red Team di chuyển ngang qua admin shares. Blue Team kiểm tra: có log network share access không? SIEM có detection rule cho lateral movement qua SMB không? Kết quả: không có log → Đỏ. Hành động: bật audit policy cho Object Access và Network Share.

Cứ tiếp tục như vậy qua từng giai đoạn, mỗi phiên tạo ra một kết quả cụ thể và một hành động cải thiện ngay lập tức.

Công cụ hỗ trợ

Một số công cụ phổ biến giúp áp dụng ATT&CK vào diễn tập:

ATT&CK Navigator (miễn phí, của MITRE) — công cụ web trực quan hóa ma trận ATT&CK, tạo heatmap coverage, so sánh các layer trước và sau diễn tập.

Atomic Red Team (miễn phí, của Red Canary) — thư viện các bài test nhỏ (atomic tests) được mapping sẵn vào ATT&CK, cho phép kiểm tra từng kỹ thuật một cách nhanh chóng.

VECTR (miễn phí, của SCYTHE) — nền tảng theo dõi kết quả Purple Team Exercise, ghi nhận kỹ thuật nào đã test, kết quả ra sao, hành động cải thiện là gì.

DeTT&CT — framework mapping chất lượng telemetry và detection vào ATT&CK, giúp phân biệt rõ giữa “chưa phát hiện vì thiếu log” và “chưa phát hiện vì thiếu rule”.

Caldera (miễn phí, của MITRE) — nền tảng adversary emulation tự động, mô phỏng các chiến dịch tấn công theo ATT&CK mà không cần Red Team thực hiện thủ công.

Sai lầm thường gặp khi áp dụng ATT&CK vào diễn tập

Chạy theo coverage 100%. Không tổ chức nào cần hoặc có thể phủ hết toàn bộ ma trận ATT&CK. Thay vì đuổi theo con số, hãy ưu tiên các kỹ thuật phù hợp với bối cảnh mối đe dọa thực tế của ngành và tổ chức.

Nhầm lẫn giữa “có rule” và “phát hiện được.” Một detection rule tồn tại trên SIEM không có nghĩa nó hoạt động hiệu quả. Diễn tập chính là cách kiểm chứng: rule có trigger đúng không, alert có bị chìm trong noise không, analyst có nhận được và xử lý kịp không.

Chỉ đánh giá một lần. ATT&CK được cập nhật liên tục (phiên bản mới nhất v17 tháng 4/2025), các nhóm tấn công thay đổi kỹ thuật liên tục. Đánh giá detection coverage cần được thực hiện định kỳ, không phải làm một lần rồi “xong”.

Bỏ qua lớp telemetry. Nếu hệ thống không thu thập log cần thiết (ví dụ chưa bật Sysmon, chưa cấu hình Windows Advanced Audit Policy), kết quả “không phát hiện” có thể do thiếu dữ liệu đầu vào chứ không phải thiếu rule. Diễn tập cần đánh giá cả hai lớp: telemetry và detection.

Kết luận

MITRE ATT&CK biến diễn tập an ninh mạng từ hoạt động mang tính hình thức thành quy trình có hệ thống, đo lường được và cải thiện liên tục. Nó cung cấp ngôn ngữ chung để Red Team, Blue Team và ban lãnh đạo hiểu nhau; cung cấp thước đo để đánh giá năng lực phòng thủ; và cung cấp lộ trình ưu tiên để đầu tư bảo mật hiệu quả nhất.

Nếu tổ chức đang tổ chức diễn tập mà chưa áp dụng ATT&CK, đó là cơ hội lớn để nâng cấp chất lượng diễn tập lên một tầm mới — từ “diễn tập để đánh dấu hoàn thành” sang “diễn tập để thực sự mạnh hơn sau mỗi lần”.

Security365 thiết kế và tổ chức diễn tập an toàn thông tin theo khung MITRE ATT&CK — từ xây dựng kịch bản dựa trên threat intelligence, triển khai Purple Team Exercise theo từng kỹ thuật, đến đánh giá detection coverage và đề xuất lộ trình cải thiện. Liên hệ với chúng tôi để bắt đầu.