Khái niệm về Chỉ số xâm phạm (IOC) là trọng tâm vận hành của việc phát hiện mối đe dọa hiện đại. Chặn địa chỉ IP, gắn cờ tên miền, cách ly tệp tin có mã độc. Logic này có vẻ rõ ràng và hiệu quả. Tuy nhiên, mỗi IOC đều ẩn chứa một dấu thời gian mà hầu hết các quy trình phát hiện không bao giờ đọc được.
Tính dễ hỏng của Dữ liệu Tình báo về Mối đe dọa
Tình báo về mối đe dọa có tuổi thọ hữu hạn và nhanh chóng bị lỗi thời. Tốc độ suy giảm của dữ liệu này nhanh hơn đáng kể so với khả năng xử lý của hầu hết các tổ chức. Câu hỏi đặt ra không phải là liệu tình báo của bạn có trở nên lỗi thời hay không, mà là liệu nó có trở nên lỗi thời trước khi đội ngũ an ninh của bạn kịp hành động.
Nhiều tổ chức coi threat intelligence như một tập hợp các sự kiện đã được xác định. Sau khi một chỉ số được xác định là độc hại, nó sẽ được thêm vào danh sách chặn, danh sách theo dõi SIEM hoặc cơ sở dữ liệu nội bộ và có thể tồn tại ở đó trong nhiều tháng, thậm chí nhiều năm.
Vấn đề cốt lõi là tình báo về mối đe dọa không phải là một tài sản tĩnh. Nó là một dòng quan sát liên tục thay đổi về hành vi của kẻ tấn công. Tấn công mạng ngày càng tinh vi hơn.
Chiến lược xoay vòng hạ tầng của Kẻ tấn công
Kẻ tấn công nhận thức rõ rằng các hệ thống phòng thủ phụ thuộc vào IOC. Do đó, chúng ngày càng trở nên hiệu quả trong việc xoay vòng hạ tầng, tạo ra các tên miền mới và triển khai các tài sản hoạt động trong thời gian ngắn để vượt mặt khả năng phát hiện.
Điều này có nghĩa là một địa chỉ IP độc hại được quan sát hôm nay có thể mất giá trị nhanh hơn nhiều so với dự kiến của nhiều đội ngũ an ninh. Các biện pháp bảo mật cần phải cập nhật liên tục.
Tính biến động của các Chỉ số Xâm phạm (IOC)
Địa chỉ IP là những chỉ số biến động nhất trong sử dụng phổ biến. Nghiên cứu từ nhiều nhà cung cấp tình báo về mối đe dọa liên tục chỉ ra rằng hơn 50% địa chỉ IP độc hại ngừng hoạt động trong vòng một tuần kể từ lần quan sát đầu tiên. Sau 30 ngày, phần lớn chúng hoặc đã ngoại tuyến, hoặc được gán lại, hoặc đang lưu trữ các dịch vụ hoàn toàn vô hại.
Tên miền có tuổi thọ hữu dụng cao hơn một chút, nhưng không đáng kể. Các tên miền độc hại được sử dụng trong phân phối mã độc hoặc lừa đảo thường hoạt động trong vài ngày đến vài tuần trước khi bị gỡ bỏ hoặc bỏ rơi. Các tên miền điều khiển và chỉ huy (C2) thường xuyên được xoay vòng như một biện pháp bảo mật hoạt động – tạo ra các tên miền mới theo thuật toán (một kỹ thuật được gọi là Thuật toán tạo tên miền – DGA) nhằm mục đích chống lại các danh sách chặn tĩnh.
URL có tuổi thọ ngắn hơn cả tên miền. Một URL lừa đảo nhắm mục tiêu (spear-phishing) dẫn đến trang thu thập thông tin đăng nhập có thể chỉ hợp lệ trong 12 giờ – đủ thời gian để nhắm vào nạn nhân – trước khi trang đó bị gỡ bỏ, cấu trúc URL bị thay đổi, hoặc nhà cung cấp dịch vụ lưu trữ can thiệp.
Các chỉ số hành vi dựa trên các chiến thuật, kỹ thuật và quy trình (TTPs) thường có tuổi thọ dài nhất. Trong khi kẻ tấn công thường xuyên thay đổi hạ tầng, việc thay đổi hành vi hoạt động là khó khăn hơn nhiều. Đây là một lý do khiến các đội ngũ an ninh trưởng thành ngày càng kết hợp phát hiện dựa trên IOC với tình báo hành vi.
Thách thức của Dữ liệu Tình báo Lỗi thời
Nhiều tổ chức tập trung vào việc thu thập thêm tình báo về mối đe dọa nhưng lại dành ít thời gian để đánh giá độ tươi mới của nó. Điều này tạo ra nhiều vấn đề. Dữ liệu tình báo lỗi thời có thể trở thành gánh nặng vận hành thay vì lợi thế bảo mật.
Một tập hợp nhỏ các chỉ số có liên quan cao và được cập nhật liên tục có thể mang lại giá trị vận hành lớn hơn một kho dữ liệu khổng lồ đã cũ. Đối với các đội ngũ SOC, độ tươi mới ảnh hưởng trực tiếp đến chất lượng phát hiện, tốc độ điều tra và sự tin cậy vào quy trình phản ứng tự động.
Đối với CISO, nó ảnh hưởng đến khả năng phục hồi mạng tổng thể. Tình báo càng phản ánh nhanh chóng những thay đổi trong bối cảnh mối đe dọa, tổ chức càng có thể nhanh chóng thích ứng với các biện pháp phòng thủ của mình. Việc cập nhật bản vá và dữ liệu tình báo là cực kỳ quan trọng.
Chất lượng Tình báo về Mối đe dọa
Nếu tình báo về mối đe dọa có tính chất dễ hỏng, thì chất lượng của một nguồn cấp dữ liệu phụ thuộc không chỉ vào số lượng chỉ số mà nó chứa, mà còn vào tốc độ mà các chỉ số đó được phát hiện, xác thực và cung cấp cho các chuyên gia phòng thủ.
Các nguồn cấp dữ liệu tình báo về mối đe dọa từ ANY.RUN được thiết kế để giải quyết thách thức này. Thay vì chỉ dựa vào các nguồn của bên thứ ba, các nguồn cấp dữ liệu này liên tục được làm phong phú bằng các chỉ số được trích xuất từ các hoạt động mã độc và lừa đảo thực tế được phân tích trong Sandbox Tương tác ANY.RUN.
Cộng đồng chuyên nghiệp tạo ra dữ liệu này rất đáng kể: hơn 600.000 chuyên gia và nhà phân tích bảo mật từ hơn 15.000 tổ chức liên tục gửi mẫu. Kết quả là một nguồn cấp dữ liệu dựa trên những gì mã độc đang làm ngay bây giờ, thay vì những gì nó đã làm vào tuần trước khi ai đó nộp báo cáo.
Ưu thế của Tình báo Tươi mới
Tình báo tươi mới mang lại lợi thế quan trọng. Khi kẻ tấn công ngày càng xoay vòng hạ tầng và triển khai các chiến dịch hoạt động trong thời gian ngắn, sự chậm trễ dù chỉ vài giờ cũng có thể làm giảm giá trị vận hành của một IOC. Bằng cách liên tục thu thập và xử lý dữ liệu mối đe dọa mới, ANY.RUN giúp các tổ chức nhận được các chỉ số có thể hành động khi chúng vẫn còn liên quan đến các cuộc tấn công đang diễn ra.
Tình báo tươi mới thúc đẩy phát hiện nhanh hơn. Sử dụng nguồn cấp dữ liệu tình báo về mối đe dọa của ANY.RUN để giúp đội ngũ của bạn làm phong phú các cảnh báo, tự động hóa quy trình làm việc và phản ứng với các mối đe dọa mới nổi một cách tự tin.
Các nguồn cấp dữ liệu này có thể được tích hợp trực tiếp vào quy trình hoạt động an ninh hiện có, bao gồm SIEM, EDR, SOAR, XDR, TIP, tường lửa và các nền tảng bảo mật khác. Điều này cho phép làm phong phú tự động, phát hiện mối đe dọa, ưu tiên cảnh báo và hành động chặn mà không yêu cầu các nhà phân tích phải tìm kiếm thủ công các chỉ số trên nhiều nguồn.
Đối với các đội ngũ SOC, điều này có nghĩa là ít thời gian hơn dành cho việc xác thực các tạo tác đáng ngờ và nhiều thời gian hơn tập trung vào các cuộc điều tra ưu tiên cao. Đối với CISO, nó có nghĩa là sự tự tin lớn hơn rằng các biện pháp kiểm soát an ninh đang hoạt động với tình báo phản ánh bối cảnh mối đe dọa ngày nay thay vì ngày hôm qua.
Trong một thế giới mà vòng đời hữu ích của nhiều chỉ số được đo bằng ngày, giờ hoặc thậm chí phút, việc truy cập vào tình báo được làm mới liên tục có thể tạo ra sự khác biệt giữa việc phát hiện một cuộc tấn công sớm và phát hiện nó sau khi thiệt hại đã xảy ra. Đây là một phần quan trọng của an ninh mạng.
Tình báo về mối đe dọa mất giá trị theo thời gian. Thách thức đối với các đội ngũ an ninh hiện đại không chỉ đơn giản là thu thập thêm các chỉ số, mà là đảm bảo các chỉ số đó vẫn còn liên quan khi cần đưa ra quyết định. Khi các tác nhân đe dọa tăng tốc độ xoay vòng hạ tầng và triển khai các chiến dịch ngày càng ngắn hạn, tình báo lỗi thời có thể gây nhiễu, tạo ra các điểm mù và làm chậm nỗ lực phản ứng. Các tổ chức ưu tiên độ tươi mới của tình báo sẽ giành được lợi thế đáng kể: họ có thể xác định mối đe dọa sớm hơn, cải thiện độ chính xác của phát hiện và đưa ra các quyết định bảo mật sáng suốt hơn.
Biến dữ liệu mối đe dọa được cập nhật liên tục thành khả năng phòng thủ có thể hành động với Nguồn cấp dữ liệu Tình báo về Mối đe dọa của ANY.RUN. Bắt đầu ngay hôm nay: ANY.RUN Threat Intelligence Feeds.
