Tìm kiếm mối đe dọa trên mạng là gì?
Tìm kiếm mối đe dọa trên mạng là quá trình chủ động tìm kiếm các mối đe dọa không xác định hoặc không bị phát hiện trong mạng, điểm cuối và dữ liệu của tổ chức.
Cách thức hoạt động của tính năng tìm kiếm mối đe dọa
Tính năng tìm kiếm mối đe dọa trên mạng sử dụng các chuyên gia tìm kiếm mối đe dọa trước để tìm các mối đe dọa và cuộc tấn công tiềm ẩn trong hệ thống hoặc mạng. Làm như vậy cho phép ứng phó nhanh chóng và hiệu quả đối với các cuộc tấn công trên mạng ngày càng phức tạp, do con người điều hành. Mặc dù các phương pháp an ninh mạng truyền thống xác định các vi phạm bảo mật sau dữ kiện, tính năng tìm kiếm mối đe dọa trên mạng hoạt động dựa trên giả định rằng vi phạm đã xảy ra và có thể xác định, điều chỉnh cũng như ứng phó với các mối đe dọa tiềm ẩn ngay khi phát hiện.
Những kẻ tấn công tinh vi có thể xâm phạm tổ chức và không bị phát hiện trong thời gian dài của ngày, tuần hoặc thậm chí lâu hơn. Thêm tính năng tìm kiếm mối đe dọa trên mạng vào hồ sơ hiện có của các công cụ bảo mật, như phát hiện và phản hồi điểm cuối (EDR) cũng như quản lý sự kiện và thông tin bảo mật (SIEM), có thể giúp bạn ngăn chặn và khắc phục các cuộc tấn công có thể không bị các công cụ bảo mật tự động phát hiện.
Tìm kiếm mối đe dọa tự động
Chuyên gia tìm kiếm mối đe dọa trên mạng có thể tự động hóa một số khía cạnh của quy trình bằng cách sử dụng công nghệ máy học, tự động hóa và AI. Việc tận dụng các giải pháp như SIEM và EDR có thể giúp chuyên gia tìm kiếm mối đe dọa hợp lý hóa quy trình tìm kiếm bằng cách giám sát, phát hiện và ứng phó với các mối đe dọa tiềm ẩn. Chuyên gia tìm kiếm mối đe dọa có thể tạo và tự động hóa các cẩm nang để ứng phó với các mối đe dọa khác nhau, do đó, làm giảm gánh nặng cho các nhóm CNTT bất cứ khi nào có các cuộc tấn công tương tự phát sinh.
Công cụ và kỹ thuật để tìm kiếm mối đe dọa trên mạng
Chuyên gia tìm kiếm mối đe dọa có rất nhiều công cụ tùy ý sử dụng, bao gồm các giải pháp như SIEM và XDR, được thiết kế để hoạt động cùng nhau.
- SIEM: Một giải pháp thu thập dữ liệu từ nhiều nguồn với phân tích theo thời gian thực, SIEM có thể cung cấp cho chuyên gia tìm kiếm mối đe dọa có manh mối về các mối đe dọa tiềm ẩn.
- Phát hiện và phản hồi mở rộng (XDR): Chuyên gia tìm kiếm mối đe dọa có thể sử dụng XDR, cung cấp thông tin về mối đe dọa và sự gián đoạn tấn công tự động để có được khả năng quan sát tốt hơn các mối đe dọa.
- EDR: EDR, công cụ giám sát thiết bị người dùng cuối cũng cung cấp cho chuyên gia tìm kiếm mối đe dọa bằng một công cụ mạnh mẽ, cung cấp cho họ thông tin chuyên sâu về các mối đe dọa tiềm ẩn trong tất cả các điểm cuối của tổ chức.
Ba loại tìm kiếm mối đe dọa trên mạng
Tính năng tìm kiếm mối đe dọa trên mạng thường có một trong ba hình thức sau:
Có cấu trúc: Trong cuộc tìm kiếm có cấu trúc, chuyên gia tìm kiếm mối đe dọa sẽ tìm kiếm chiến thuật, kỹ thuật và thủ tục đáng ngờ (TTP) đề xuất các mối đe dọa tiềm ẩn. Thay vì tiếp cận dữ liệu hoặc hệ thống và tìm kiếm kẻ xâm phạm, chuyên gia tìm kiếm mối đe dọa sẽ tạo ra giả thuyết về phương pháp của kẻ tấn công tiềm ẩn và theo phương pháp có thể xác định được dấu hiệu của cuộc tấn công đó. Vì tìm kiếm có cấu trúc là một phương pháp chủ động hơn, các chuyên gia CNTT sử dụng chiến thuật này thường có thể ngăn chặn hoặc ngăn những kẻ tấn công một cách nhanh chóng.
Không có cấu trúc: Trong cuộc tìm kiếm không có cấu trúc, chuyên gia tìm kiếm mối đe dọa trên mạng sẽ tìm dấu vết tấn công hệ thống (IoC) và thực hiện tìm kiếm từ thời điểm bắt đầu này. Vì chuyên gia tìm kiếm mối đe dọa có thể quay lại và tìm kiếm dữ liệu lịch sử để tìm các mẫu hình và manh mối, các cuộc tìm kiếm không có cấu trúc đôi khi có thể xác định các mối đe dọa chưa được phát hiện trước đó mà vẫn có thể khiến tổ chức gặp rủi ro.
Theo tình huống: Việc tìm kiếm mối đe dọa theo tình huống ưu tiên các tài nguyên hoặc dữ liệu cụ thể trong hệ sinh thái kỹ thuật số. Nếu một tổ chức đánh giá nhân viên hoặc tài sản cụ thể là những yếu tố gây rủi ro cao nhất, tổ chức đó có thể hướng các chuyên gia tìm kiếm mối đe dọa trên mạng tập trung nỗ lực/ngăn chặn hoặc khắc phục các cuộc tấn công nhằm vào những người, tập dữ liệu hoặc điểm cuối dễ bị tấn công này.
Các bước và hoạt động triển khai tìm kiếm mối đe dọa
Chuyên gia tìm kiếm mối đe dọa trên mạng thường làm theo các bước cơ bản sau khi điều tra và khắc phục các mối đe dọa và cuộc tấn công:
- Tạo giả định hoặc giả thuyết về mối đe dọa tiềm ẩn. Chuyên gia tìm kiếm mối đe dọa có thể bắt đầu bằng cách xác định TTP phổ biến của kẻ tấn công.
- Tiến hành nghiên cứu. Chuyên gia tìm kiếm mối đe dọa điều tra dữ liệu, hệ thống và hoạt động của tổ chức (một giải pháp SIEM có thể là một công cụ hữu ích) cũng như thu thập và xử lý thông tin liên quan.
- Xác định trình kích hoạt. Kết quả nghiên cứu và các công cụ bảo mật khác có thể giúp chuyên gia tìm kiếm mối đe dọa phân biệt điểm bắt đầu cho cuộc điều tra của họ.
- Điều tra mối đe dọa. Chuyên gia tìm kiếm mối đe dọa sử dụng các công cụ nghiên cứu và bảo mật của họ để xác định xem mối đe dọa có gây hại hay không.
- Phản hồi và khắc phục. Chuyên gia tìm kiếm mối đe dọa thực hiện hành động để giải quyết mối đe dọa.
Các loại mối đe dọa mà chuyên gia tìm kiếm mối đe dọa có thể phát hiện
Tính năng tìm kiếm mối đe dọa trên mạng có khả năng xác định một loạt các mối đe dọa khác nhau, bao gồm:
- Phần mềm gây hại và vi-rút: Phần mềm gây hại ngăn chặn việc sử dụng các thiết bị thông thường bằng cách có được quyền truy nhập trái phép vào các thiết bị điểm cuối. Tất cả các ví dụ về phần mềm xấu bao gồm các cuộc tấn công lừa đảo qua mạng, phần mềm gián điệp, phần mềm quảng cáo, trojan, sâu và mã độc tống tiền. Vi-rút, một số dạng phổ biến hơn của phần mềm gây hại được thiết kế nhằm gây ảnh hưởng đến hoạt động bình thường của thiết bị bằng cách ghi, làm hỏng hoặc xóa dữ liệu trước khi phát tán sang các thiết bị khác trên mạng.
- Mối đe dọa từ nội bộ: Các mối đe dọa từ nội bộ bắt nguồn từ các cá nhân có quyền truy nhập được ủy quyền vào mạng của tổ chức. Dù thông qua các hành động gây hại hay hành vi vô ý hoặc sơ suất, những người dùng nội bộ này đều lạm dụng hoặc gây hại cho mạng, dữ liệu, hệ thống hoặc cơ sở của tổ chức.
- Mối đe dọa liên tục nâng cao: Kẻ tấn công tinh vi xâm phạm mạng của tổ chức và không bị phát hiện trong một khoảng thời gian đại diện cho các mối đe dọa liên tục nâng cao. Những kẻ tấn công này có kỹ năng và thường có nhiều tài nguyên.
Cuộc tấn công lừa đảo phi kỹ thuật: Kẻ tấn công trên mạng có thể sử dụng thao tác và hành vi lừa đảo để lừa gạt nhân viên của tổ chức để cấp quyền truy nhập hoặc thông tin nhạy cảm cho họ. Các cuộc tấn công phi kỹ thuật thường gặp bao gồm lừa đảo qua mạng, hành vi dùng mồi như và phần mềm đe dọa.
Các biện pháp tốt nhất để tìm kiếm mối đe dọa trên mạng
Khi triển khai giao thức tìm kiếm mối đe dọa trên mạng tại tổ chức của bạn, hãy nhớ các biện pháp tốt nhất sau:
- Cho các chuyên gia tìm kiếm mối đe dọa toàn quyền quan sát tổ chức của bạn. Chuyên gia tìm kiếm mối đe dọa thành công nhất khi họ hiểu được bức tranh toàn cảnh.
- Duy trì các công cụ bảo mật bổ sung như SIEM, XDR và EDR. Chuyên gia tìm kiếm mối đe dọa trên mạng dựa vào công nghệ tự động hóa và dữ liệu do các công cụ này cung cấp để xác định các mối đe dọa nhanh hơn và với ngữ cảnh lớn hơn để giải quyết nhanh hơn.
- Luôn cập nhật về các mối đe dọa và chiến thuật mới nhất. Những kẻ tấn công và chiến thuật của họ không ngừng phát triển để đảm bảo các chuyên gia tìm kiếm mối đe dọa của bạn có tài nguyên mới nhất về xu hướng hiện tại.
- Đào tạo nhân viên để xác định và báo cáo hành vi đáng ngờ. Giảm khả năng có các mối đe dọa từ người dùng nội bộ bằng cách luôn cập nhật thông tin cho mọi người.
- Triển khai quản lý lỗ hổng để giảm nguy cơ gặp rủi ro tổng thể cho tổ chức của bạn.
Tại sao việc tìm kiếm mối đe dọa lại quan trọng đối với các tổ chức
Khi những kẻ tấn công gây hại ngày càng trở nên tinh vi trong phương pháp tấn công của họ, các tổ chức cần đầu tư vào việc chủ động tìm kiếm mối đe dọa trên mạng. Bổ sung cho các hình thức bảo vệ chống mối đe dọa thụ động hơn, việc tìm kiếm mối đe dọa trên mạng đóng các lỗ hổng bảo mật, cho phép các tổ chức khắc phục các mối đe dọa sẽ không bị phát hiện. Tăng cường mối đe dọa từ những kẻ tấn công phức tạp có nghĩa là các tổ chức phải tăng cường khả năng phòng thủ của mình để duy trì sự tin tưởng vào khả năng xử lý dữ liệu nhạy cảm và giảm chi phí liên quan đến các vi phạm bảo mật.
Các sản phẩm như Microsoft Sentinel có thể giúp bạn đón đầu các mối đe dọa bằng cách thu thập, lưu trữ và truy nhập dữ liệu lịch sử ở quy mô đám mây, hợp lý hóa các cuộc điều tra và tự động hóa các tác vụ phổ biến. Các giải pháp này có thể cung cấp cho các chuyên gia tìm kiếm mối đe dọa trên mạng các công cụ mạnh mẽ để giúp tổ chức của bạn được bảo vệ.
Tìm hiểu thêm về Microsoft Security
Microsoft Sentinel
Xem và ngăn chặn các mối đe dọa trong toàn doanh nghiệp của bạn với chức năng phân tích bảo mật thông minh.
Microsoft Defender Experts for Hunting
Mở rộng tính năng chủ động tìm kiếm mối đe dọa vượt ngoài phạm vi điểm cuối.
Thông tin về mối đe dọa của Microsoft Defender
Giúp bảo vệ tổ chức bạn khỏi kẻ địch và các mối đe dọa hiện đại như mã độc tống tiền.
SIEM và XDR
Phát hiện, điều tra và ứng phó với các mối đe dọa trên toàn bộ tài sản kỹ thuật số của bạn.
Câu hỏi thường gặp
-
Ví dụ về việc tìm kiếm mối đe dọa trên mạng là hoạt động tìm kiếm dựa trên giả thuyết, trong đó chuyên gia tìm kiếm mối đe dọa xác định chiến thuật, kỹ thuật và quy trình đáng ngờ mà kẻ tấn công có thể sử dụng, sau đó tìm kiếm bằng chứng về chúng trong mạng của tổ chức.
-
Phát hiện mối đe dọa là phương pháp chủ động, thường tự động đối với an ninh mạng, trong khi tìm kiếm mối đe dọa là một phương pháp chủ động, không tự động.
-
Trung tâm hoạt động bảo mật (SOC) là một bộ phận chức năng/đội ngũ tập trung (tại chỗ hoặc thuê ngoài) chịu trách nhiệm cải thiện tình hình an ninh mạng của tổ chức, đồng thời ngăn chặn, phát hiện và ứng phó với các mối đe dọa. Tìm kiếm mối đe dọa trên mạng là một trong những SOC chiến thuật dùng để xác định và khắc phục các mối đe dọa.
-
Công cụ tìm kiếm mối đe dọa trên mạng là các tài nguyên phần mềm có sẵn cho nhóm CNTT và chuyên gia tìm kiếm mối đe dọa để giúp phát hiện và khắc phục các mối đe dọa. Ví dụ về công cụ tìm kiếm mối đe dọa bao gồm các tính năng như bảo vệ chống vi rút và tường lửa, phần mềm EDR, công cụ SIEM và phân tích dữ liệu.
-
Mục đích chính của việc tìm kiếm mối đe dọa trên mạng là chủ động phát hiện và khắc phục các mối đe dọa cũng như các cuộc tấn công tinh vi trước khi chúng gây hại cho tổ chức.
-
Thông tin về mối đe dọa trên mạng là phần mềm thông tin và an ninh mạng thu thập dữ liệu (thường tự động) như một phần của các giao thức bảo mật để bảo vệ hiệu quả hơn trước các cuộc tấn công mạng. Việc tìm kiếm mối đe dọa bao gồm lấy thông tin thu thập được từ thông tin về mối đe dọa và sử dụng thông tin đó để thông báo các giả thuyết cũng như hành động để tìm kiếm và khắc phục các mối đe dọa.
Theo dõi Microsoft Security