Unit 42, bộ phận nghiên cứu mối đe dọa của Palo Alto Networks, đã giới thiệu Khuôn Khổ Gán Ghép Mối Đe Dọa. Mục tiêu của khuôn khổ này là biến quy trình gán ghép tác nhân đe dọa, vốn mang tính chủ quan truyền thống, thành một phương pháp khoa học có cấu trúc và dựa trên bằng chứng.
Khung Gán Ghép Mối Đe Dọa Của Unit 42
Khung gán ghép mối đe dọa này được xây dựng trên nền tảng Mô Hình Kim Cương (Diamond Model) trong phân tích xâm nhập. Nó tích hợp Hệ Thống Admiralty để gán điểm độ tin cậy và mức độ đáng tin cậy cho dữ liệu bằng chứng. Điều này cho phép các nhà phân tích phân loại có hệ thống các hoạt động mạng được quan sát thành các cụm hoạt động, nhóm đe dọa tạm thời hoặc các tác nhân đe dọa đã được đặt tên.
Bằng cách nhấn mạnh phân tích nghiêm ngặt các chiến thuật, kỹ thuật và quy trình (TTPs), mã độc, các mẫu bảo mật hoạt động (OPSEC), hạ tầng mạng, hồ sơ nạn nhân và các mối tương quan thời gian, khuôn khổ này hướng đến giảm thiểu rủi ro gán ghép sai. Đồng thời, nó tăng cường độ chính xác trong việc theo dõi các mối đe dọa mạng.
Nền Tảng Phân Tích và Hệ Thống Đánh Giá
Đánh giá độ tin cậy được thực hiện trên thang điểm từ A (đáng tin cậy, có lịch sử chính xác) đến F (độ tin cậy không xác định). Đánh giá mức độ đáng tin cậy dao động từ 1 (được xác nhận bởi các nguồn độc lập) đến 6 (giá trị không thể đánh giá). Điều này cho phép các nhà nghiên cứu điều chỉnh dựa trên bằng chứng ngữ cảnh.
Sự kết hợp giữa Mô Hình Kim Cương và Hệ Thống Admiralty cung cấp một cấu trúc vững chắc cho việc phân tích mối đe dọa. Phương pháp này đảm bảo mọi bằng chứng đều được xem xét kỹ lưỡng, giảm thiểu sai sót trong quy trình gán ghép mối đe dọa phức tạp.
Các Mức Độ Gán Ghép Mối Đe Dọa Tiến Triển
Khung gán ghép này phân định ba cấp độ gán ghép mối đe dọa tiến triển. Mỗi cấp độ yêu cầu mức độ bằng chứng và thời gian quan sát khác nhau để thăng cấp.
Cụm Hoạt Động (Activity Clusters)
Đây là cấp độ đầu tiên, nhóm các đối tượng quan sát liên quan lại với nhau. Các đối tượng này bao gồm các chỉ số xâm nhập (IoCs) được chia sẻ, như địa chỉ IP, tên miền hoặc SHA256 hashes. Ngoài ra, chúng có thể là các TTPs tương tự được ánh xạ tới khung MITRE ATT&CK, hoặc các hồ sơ nạn nhân chồng chéo trong các ngành hoặc khu vực cụ thể.
Các cụm này yêu cầu ít nhất hai sự kiện kết nối để hình thành, được biện minh thông qua lý do minh bạch để tránh các liên kết ngẫu nhiên. Chúng được đặt tên với các tiền tố như CL-STA, nếu có động cơ liên quan đến nhà nước.
Nhóm Đe Dọa Tạm Thời (Temporary Threat Groups)
Khi thông tin tình báo tích lũy qua thời gian quan sát tối thiểu sáu tháng để xác nhận hành vi kiên định, các cụm có thể nâng cấp lên thành nhóm đe dọa tạm thời. Ví dụ, TGR-CRI cho các nhóm có động cơ tội phạm. Giai đoạn này kết hợp ánh xạ Mô Hình Kim Cương sâu hơn trên các đỉnh đối thủ, hạ tầng, khả năng và nạn nhân.
Giai đoạn này đòi hỏi sự xem xét chi tiết về cấu hình công cụ tùy chỉnh, sự tương đồng mã ngoài các hàm băm đơn thuần. Các yếu tố khác bao gồm các điểm xoay hạ tầng độc đáo thông qua hồ sơ WHOIS và DNS thụ động, cùng với sự liên kết thời gian với các sự kiện địa chính trị.
Tác Nhân Đe Dọa Được Đặt Tên (Named Threat Actors)
Cuối cùng, việc thăng cấp lên một tác nhân đe dọa được đặt tên, sử dụng sơ đồ đặt tên chòm sao của Unit 42, yêu cầu bằng chứng tin cậy cao từ nhiều nguồn đa dạng. Các nguồn này bao gồm dữ liệu nội bộ và thông tin tình báo nguồn mở (OSINT) đã được xác nhận. Hoạt động liên tục phải chứng minh sự phát triển TTP riêng biệt, rõ ràng về động cơ (ví dụ: gián điệp so với lợi ích tài chính) và không có các chỉ số mâu thuẫn như cờ giả hoặc sự không nhất quán trong OPSEC.
Tiêu Chuẩn Phân Tích và Độ Tin Cậy
Để duy trì tính toàn vẹn phân tích, khuôn khổ thực thi các tiêu chuẩn tối thiểu về phân tích TTP, kiểm tra hạ tầng, hồ sơ nạn nhân và các yếu tố thời gian. Nó ưu tiên các tạo phẩm độc đáo như cấu trúc mã độc độc quyền hoặc sự sơ hở OPSEC nhất quán (ví dụ: các định danh nhà phát triển trong siêu dữ liệu) hơn là các IoCs dễ biến động như IP động.
Mức độ tin cậy được ước tính bằng cách sử dụng các tiêu chuẩn của cộng đồng tình báo Hoa Kỳ. Các đánh giá lại thường xuyên được thực hiện để xác nhận nguồn, tính độc đáo của chỉ số và sự nhất quán TTP nội bộ nhằm giảm thiểu sai lệch. Quá trình này giúp nâng cao độ chính xác của gán ghép mối đe dọa.
Ứng Dụng Thực Tế và Giá Trị
Trong thực tế, phương pháp luận này đã liên kết ngược các chiến dịch lịch sử. Điển hình là các cuộc tấn công Trojan Bookworm năm 2015 nhắm vào các thực thể chính phủ Thái Lan, được gán ghép cho nhóm Stately Taurus. Việc này được thực hiện thông qua ánh xạ tạo phẩm trong các bảng điểm và được xem xét bởi Hội Đồng Đánh Giá Khung Gán Ghép Nội Bộ.
Theo báo cáo chính thức từ Unit 42, bạn có thể tìm hiểu thêm chi tiết về khuôn khổ này: Unit 42 Attribution Framework.
Bằng cách phân biệt các cụm hoạt động với các chiến dịch có tổ chức hơn — giống như các mảnh ghép rải rác so với một hình ảnh mạch lạc — khuôn khổ này thúc đẩy threat intelligence bền vững. Điều này giúp các bên liên quan ưu tiên các biện pháp phòng thủ mà không cần gán ghép mối đe dọa sớm hoặc sai lầm.
Việc ra mắt khuôn khổ này, được công bố vào ngày 31 tháng 7 năm 2025, nhấn mạnh cam kết của Unit 42 trong việc nâng cao khả năng phân tích mối đe dọa mạng trong bối cảnh các cuộc xâm nhập toàn cầu ngày càng leo thang.
