Việc theo dõi APT trong tin tức bảo mật không còn có thể dựa hoàn toàn vào TTPs cố định. Khi các nhóm thay đổi người vận hành, hoán đổi công cụ, dựng lại hạ tầng và điều chỉnh mục tiêu ngay trong một chu kỳ chiến dịch, mô hình quy kết truyền thống trở nên kém hiệu quả.
Hạn chế của mô hình quy kết dựa trên TTPs trong phân tích APT
Cách tiếp cận cũ tập trung vào hành vi, công cụ và hạ tầng lặp lại để gán hoạt động cho một tác nhân đe dọa cụ thể. Phương pháp này chỉ phù hợp khi các đặc điểm đó ổn định qua thời gian.
Thực tế hiện nay cho thấy các chuỗi dấu hiệu thường bị phân mảnh. Nhà phân tích chỉ còn các tín hiệu rời rạc, không đủ để tạo thành một đường liên kết đáng tin cậy giữa các chiến dịch.
Khoảng cách giữa cách phòng thủ theo dõi mối đe dọa và cách các chiến dịch thực sự vận hành đã thúc đẩy một mô hình quy kết khác, dựa trên liên kết chiến dịch thay vì danh tính nhóm cố định.
Khung quy kết chiến dịch: thay đổi cách nhìn về APT
Khung phân tích mới do DarkAtlas giới thiệu xem mỗi campaign là một cụm hoạt động riêng, có giới hạn thời gian, thay vì mặc định gắn chặt vào một nhóm APT bất biến. Mỗi cụm được mô tả bằng mục tiêu, mẫu hạ tầng và hành vi vận hành.
Điểm chính của cảnh báo CVE hay phân tích mối đe dọa kiểu này là: tính liên tục giữa các chiến dịch không đòi hỏi TTPs giống hệt nhau. Thay vào đó, sự liên kết được suy ra từ các phần giao nhau ở nhiều lớp bằng chứng độc lập.
Khung này giải quyết được nghịch lý “Ship of Theseus” trong quy kết: nếu toàn bộ thành phần của một chiến dịch bị thay thế, liệu còn là cùng một thực thể hay không. Câu trả lời không dựa vào danh tính cố định, mà dựa vào quan hệ giữa các chiến dịch.
Confidence-based attribution và mô hình Overlap
Khung này không loại bỏ sự bất định. Thay vào đó, nó biểu diễn kết quả bằng mức high, medium hoặc low confidence tùy theo số lớp bằng chứng độc lập cùng hội tụ.
Attribution mức cao yêu cầu sự chồng lấp mạnh trên nhiều chiều: chiến lược, vận hành, kỹ thuật, hạ tầng và yếu tố con người. Mức trung bình phản ánh sự tương đồng một phần, còn mức thấp dùng khi chỉ có một lớp trùng khớp hoặc dữ liệu còn hạn chế.
Ở lõi của mô hình là Overlap Model, một phương pháp tương quan đa chiều thay cho quy kết bằng một chỉ báo đơn lẻ. Một IP tái sử dụng, một công cụ chung hay một kỹ thuật giống nhau đều không đủ để kết luận về tính liên tục nếu đứng riêng lẻ.
6 lớp phân tích trong khung quy kết
- Strategic layer: Xem xét sự phù hợp về địa chính trị và ý đồ nhắm mục tiêu.
- Operational layer: Theo dõi mẫu mục tiêu, thời điểm chiến dịch và trình tự nạn nhân.
- Tactical layer: Ánh xạ cách thực thi theo các khung như MITRE ATT&CK.
- Technical layer: Phân tích đặc điểm custom malware, cơ chế mã hóa và build artifacts.
- Infrastructure layer: Kiểm tra quy ước đặt tên domain, tái sử dụng chứng chỉ TLS và hành vi DNS.
- Human layer: Quan sát style lập trình, dấu vết ngôn ngữ và thói quen OPSEC.
Các lớp này cùng tạo thành Campaign Linkage Graph, một đồ thị có cấu trúc trong đó mỗi node là một chiến dịch và mỗi edge là một quan hệ có trọng số giữa các chiến dịch.
Liên kết mạnh thể hiện sự chồng lấp đáng kể trên nhiều lớp. Liên kết trung bình phản ánh mức tương đồng một phần. Liên kết yếu chỉ ra quan hệ sơ bộ cần xác minh thêm.
Cách tiếp cận dạng đồ thị giúp hấp thụ sự tiến hóa của đối thủ tự nhiên hơn. Việc đổi công cụ được xử lý như các node mới, xoay vòng hạ tầng được ghi nhận thành các liên kết yếu hơn nhưng vẫn truy vết được, và phân mảnh nhóm được biểu diễn thành các nhánh trong mạng.
Ý nghĩa đối với threat intelligence và phân tích mối đe dọa
Với tin tức an ninh mạng và hoạt động threat intelligence, khung này ưu tiên mối liên hệ giữa các chiến dịch hơn là danh tính nhóm. Điều đó phù hợp hơn với môi trường mà APT có thể thay đổi công cụ, hạ tầng và quy trình trong thời gian ngắn.
Thay vì tìm một chỉ dấu đơn lẻ, phân tích cần tổng hợp nhiều lớp dữ liệu để tăng độ tin cậy. Cách làm này cũng giảm phụ thuộc vào một tín hiệu kỹ thuật duy nhất vốn dễ bị đối thủ cố ý làm nhiễu.
Trong thực hành phát hiện tấn công, mô hình này khuyến khích gắn nhãn theo mức tin cậy thay vì kết luận tuyệt đối. Điều đó giúp diễn giải rõ hơn ranh giới giữa bằng chứng mạnh, bằng chứng bổ trợ và dữ liệu chưa đủ chắc chắn.
Tham khảo nguồn gốc bài nghiên cứu tại: DarkAtlas: Beyond TTPs – A Better Way to Attribute APT Activity Through Campaign Linkage
Điểm cần lưu ý khi áp dụng mô hình quy kết chiến dịch
Để có phát hiện xâm nhập hiệu quả hơn, các nhóm phân tích cần theo dõi đồng thời chiến lược, vận hành, kỹ thuật, hạ tầng và tín hiệu con người. Một lớp đơn lẻ không đủ để xác nhận quan hệ giữa hai chiến dịch.
Trong môi trường dữ liệu không đầy đủ, mức độ tin cậy phải được phản ánh rõ trong kết quả phân tích. Điều này đặc biệt quan trọng khi một chiến dịch chỉ để lại dấu vết hạ tầng hoặc mẫu mã độc không hoàn chỉnh.
Khung quy kết mới không thay thế hoàn toàn các phương pháp cũ, nhưng nó cung cấp một cách đọc phù hợp hơn với các mối đe dọa mạng có khả năng tái cấu trúc nhanh và làm mờ dấu vết điều tra.
