Trong bối cảnh an ninh mạng ngày càng phức tạp, việc phát hiện và phản ứng với các mối đe dọa đòi hỏi khả năng thu thập và phân tích thông tin tình báo đe dọa (Threat Intelligence) một cách hiệu quả. Thông tin này thường bao gồm các chỉ số xâm nhập (Indicators of Compromise – IOCs) cụ thể, như địa chỉ IP độc hại, tên miền liên quan đến Command and Control (C2), băm tệp (file hash) của phần mềm độc hại, hoặc các mẫu khai thác (exploit shellcode). Tuy nhiên, đôi khi, quá trình phân tích chuyên sâu có thể không mang lại các IOCs rõ ràng có thể trích xuất trực tiếp cho các hệ thống phòng thủ tự động hoặc cơ sở dữ liệu tình báo đe dọa. Tình huống này đặt ra những thách thức đáng kể đối với các chuyên gia an ninh mạng, từ việc săn lùng mối đe dọa (Threat Hunting) đến phản ứng sự cố (Incident Response).
Sự vắng mặt của các IOCs dễ nhận biết không nhất thiết có nghĩa là không có mối đe dọa. Thay vào đó, nó nhấn mạnh sự tinh vi ngày càng tăng của các tác nhân đe dọa (Threat Actors) hiện đại, đặc biệt là các nhóm Advanced Persistent Threat (APT). Các nhóm này thường sử dụng kỹ thuật “living off the land“, tận dụng các công cụ và chức năng hợp pháp có sẵn trong hệ thống để thực hiện các hành vi độc hại. Điều này khiến cho việc phân biệt giữa hoạt động bình thường của hệ thống và hoạt động tấn công trở nên cực kỳ khó khăn. Hoặc chúng có thể áp dụng các kỹ thuật phá hủy dấu vết (anti-forensics) tinh vi để xóa bỏ mọi bằng chứng sau khi hoàn thành mục tiêu, khiến các nhà phân tích gần như không thể tìm thấy các IOCs truyền thống.
Khi các IOCs cụ thể không thể được trích xuất, chiến lược phòng thủ cần phải chuyển đổi trọng tâm. Thay vì chỉ dựa vào các biện pháp phòng ngừa dựa trên chữ ký (signature-based detection) vốn phụ thuộc vào các IOCs rõ ràng, các tổ chức cần tăng cường khả năng phát hiện hành vi (behavioral detection) và phân tích ngữ cảnh (contextual analysis). Điều này bao gồm việc giám sát chặt chẽ các hoạt động bất thường trên mạng và điểm cuối (endpoint), chẳng hạn như:
- Truy cập vào các tài nguyên hoặc dữ liệu không thường xuyên bởi một người dùng hoặc quy trình.
- Thay đổi quyền truy cập hoặc cấu hình hệ thống một cách đáng ngờ, đặc biệt là các thay đổi liên quan đến đặc quyền leo thang (privilege escalation).
- Mẫu lưu lượng mạng bất thường, ví dụ: lượng dữ liệu lớn được truyền tải đến các máy chủ bên ngoài không xác định, hoặc kết nối đến các quốc gia/khu vực không liên quan đến hoạt động kinh doanh.
- Sử dụng các tiến trình hệ thống hợp pháp (như
cmd.exe,powershell.exe) theo cách bất thường hoặc từ các vị trí không mong muốn. - Tạo hoặc sửa đổi các mục khởi động (startup entries) hoặc tác vụ đã lên lịch (scheduled tasks) không được ủy quyền.
Việc này đòi hỏi việc triển khai các công cụ Endpoint Detection and Response (EDR) mạnh mẽ và các giải pháp Security Information and Event Management (SIEM) tiên tiến, có khả năng tổng hợp và tương quan dữ liệu từ nhiều nguồn khác nhau để phát hiện các mẫu hành vi độc hại tinh vi, ngay cả khi không có IOCs trực tiếp.
Các chuyên gia SOC (Security Operations Center) và đội ngũ săn lùng mối đe dọa (Threat Hunters) đóng vai trò then chốt trong việc lấp đầy khoảng trống khi không có IOCs rõ ràng. Nhiệm vụ của họ không chỉ là theo dõi các cảnh báo do hệ thống tự động tạo ra mà còn là chủ động tìm kiếm các dấu hiệu bất thường, sử dụng kinh nghiệm, kiến thức về các chiến thuật, kỹ thuật và quy trình (TTPs) của đối thủ. Việc xây dựng các giả thuyết tấn công (attack hypotheses) dựa trên các báo cáo tình báo hoặc xu hướng ngành, sau đó kiểm tra chúng trên dữ liệu nhật ký (logs) và dữ liệu mạng (network telemetry) của tổ chức là một phần không thể thiếu của quá trình này. Ví dụ, một Threat Hunter có thể chủ động tìm kiếm các quy trình con (child processes) bất thường được tạo bởi các ứng dụng hợp pháp (ví dụ: Microsoft Office mở một shell), hoặc truy tìm các kết nối mạng được thiết lập từ các ứng dụng không mong muốn mà không có sự cho phép rõ ràng.
Trong một kịch bản không có IOCs được trích xuất, việc tăng cường khả năng phục hồi và quản lý rủi ro trở nên đặc biệt quan trọng. Tập trung vào việc giảm thiểu bề mặt tấn công (attack surface reduction) là một chiến lược hiệu quả. Điều này bao gồm các biện pháp như vá lỗi kịp thời (patch management) cho tất cả các hệ thống và ứng dụng, cấu hình bảo mật mạnh mẽ (secure configuration hardening) cho hệ điều hành và dịch vụ, triển khai mô hình truy cập đặc quyền tối thiểu (least privilege access) và phân đoạn mạng (network segmentation) để giới hạn phạm vi lây lan của một cuộc tấn công. Các tổ chức cũng nên đầu tư vào các chương trình đào tạo nhận thức về an ninh mạng cho nhân viên một cách liên tục và hiệu quả, vì yếu tố con người thường là điểm yếu đầu tiên trong nhiều cuộc tấn công, đặc biệt là các cuộc tấn công lừa đảo (phishing) và kỹ thuật xã hội (social engineering).
Cuối cùng, ngay cả khi không có IOCs rõ ràng được trích xuất trong một trường hợp phân tích cụ thể, việc ghi lại chi tiết quá trình điều tra, các phát hiện dù nhỏ nhất, và các giả thuyết đã được kiểm tra là vô cùng quý giá. Thông tin này có thể được sử dụng để tinh chỉnh các mô hình phát hiện hiện có, cải thiện quy trình Threat Hunting trong tương lai, và xây dựng một cơ sở kiến thức nội bộ về các phương thức tấn công mà không để lại dấu vết rõ ràng. Sự hợp tác và chia sẻ thông tin trong cộng đồng an ninh mạng, đặc biệt là về các TTPs mới và các mô hình tấn công không dựa trên chữ ký, cũng giúp bù đắp cho sự thiếu hụt IOCs, bằng cách tổng hợp các mảnh ghép nhỏ từ nhiều nguồn khác nhau để hình thành một bức tranh toàn cảnh hơn về các mối đe dọa đang phát triển. Việc liên tục cập nhật kiến thức về TTPs mới nhất và các xu hướng tấn công là chìa khóa để duy trì một tư thế an ninh mạng vững chắc trong một môi trường không ngừng biến đổi và phức tạp.
