Săn lùng mối đe dọa 2024 là gì? [Hướng dẫn đầy đủ]

Cập nhật lần cuối vào: Tháng Mười Một 5, 2023 by

Săn lùng mối đe dọa trên mạng là một phương pháp chủ động bảo mật internet trong đó các thợ săn mối đe dọa tìm kiếm nguy cơ an ninh đó có thể là ẩn trong mạng của công ty.

Săn lùng mạng tích cực tìm kiếm các mối đe dọa chưa được phát hiện, không xác định hoặc chưa được xử lý trước đó có thể đã vượt qua cơ chế phòng thủ tự động của mạng của bạn, trái ngược với các kỹ thuật săn lùng an ninh mạng thụ động hơn như hệ thống phát hiện mối đe dọa tự động.

săn lùng mối đe dọa là gì

Săn lùng mối đe dọa là gì?

Hành động tích cực tìm kiếm các mối đe dọa mạng đang lẩn trốn không bị phát hiện trên mạng được gọi là săn tìm mối đe dọa. Săn lùng mối đe dọa trên mạng rà soát môi trường của bạn để tìm những tác nhân độc hại đã vượt qua các biện pháp bảo mật điểm cuối ban đầu của bạn.

Một số mối nguy hiểm phức tạp và tiên tiến hơn, trong khi phần lớn không thể vượt qua hệ thống an ninh. Trong nhiều tuần, kẻ tấn công có thể vẫn không bị phát hiện trong hệ thống và tệp trong khi từ từ tiến qua mạng để thu thập thêm dữ liệu.

Hàng tuần hoặc thậm chí hàng tháng có thể trôi qua trong quá trình này. Nó có thể dễ dàng trốn tránh sự phát hiện của các công cụ bảo mật và nhân viên mà không cần tích cực săn lùng.

Săn đe dọa

Tại sao săn lùng mối đe dọa lại quan trọng?

Vì các mối đe dọa tinh vi có thể trốn tránh an ninh mạng tự động nên việc săn tìm mối đe dọa là rất quan trọng.

Bạn vẫn cần quan tâm đến 20% mối đe dọa còn lại ngay cả khi các công cụ bảo mật tự động và cấp 1 và 2 trung tâm điều hành an ninh (SOC) các nhà phân tích sẽ có thể xử lý khoảng 80% của họ.

Các mối đe dọa trong 20% ​​còn lại có nhiều khả năng phức tạp hơn và có khả năng gây hại lớn.

Kẻ tấn công có thể bí mật xâm nhập mạng và ở đó trong nhiều tháng khi chúng âm thầm thu thập thông tin, tìm kiếm tài liệu nhạy cảm hoặc lấy thông tin đăng nhập cho phép chúng di chuyển khắp môi trường.

Nhiều doanh nghiệp thiếu các kỹ năng phát hiện phức tạp cần thiết để ngăn chặn các mối đe dọa dai dẳng nâng cao tồn tại trong mạng sau khi kẻ thù đã thành công trong việc thoát khỏi sự phát hiện và một cuộc tấn công đã phá vỡ hệ thống phòng thủ của tổ chức.

Do đó, săn lùng mối đe dọa là một yếu tố quan trọng của bất kỳ chiến lược phòng thủ nào.

Các loại săn lùng mối đe dọa

Trang web chính thức của IBM đã giải thích ba loại săn lùng mối đe dọa chính khá phù hợp. Theo blog của họ, săn tìm mối đe dọa có các loại sau:

1. Săn bắn có cấu trúc

An dấu hiệu tấn công (IoA) và các chiến thuật, phương pháp và thủ tục của kẻ tấn công (TTP) đóng vai trò là nền tảng của một cuộc săn lùng có hệ thống.

Mọi cuộc săn lùng đều được lên kế hoạch và dựa trên TTP của các tác nhân đe dọa. Do đó, thợ săn thường nhận ra tác nhân đe dọa trước khi kẻ tấn công có cơ hội phá vỡ môi trường. 

2. Săn bắn không có cấu trúc

Một cuộc săn lùng đặc biệt được bắt đầu dựa trên một trình kích hoạt, một trong nhiều các chỉ số của sự thỏa hiệp (IO). Kích hoạt này thường được sử dụng để thúc giục một thợ săn tìm kiếm mẫu trước và sau phát hiện.

Trong phạm vi khả năng lưu giữ dữ liệu và các hành vi phạm tội có liên quan trước đó cho phép, thợ săn có thể tiến hành nghiên cứu để thiết lập kế hoạch của họ.

3. Định hướng theo tình huống hoặc thực thể

Một giả thuyết tình huống có thể được tạo ra bởi đánh giá rủi ro nội bộ của một tổ chức hoặc bởi một cuộc điều tra về các xu hướng và điểm yếu duy nhất đối với cơ sở hạ tầng CNTT của nó.

Dữ liệu tấn công được thu thập từ công chúng nói chung, khi được xem xét, hiển thị các TTP gần đây nhất về các mối đe dọa mạng đang diễn ra, là nơi tạo ra các khách hàng tiềm năng hướng thực thể. Sau đó, thợ săn mối đe dọa có thể quét môi trường xung quanh để tìm những hành vi cụ thể này.

Săn bắt mối đe dọa hoạt động như thế nào?

Khía cạnh con người và khả năng xử lý dữ liệu khổng lồ của một giải pháp phần mềm được kết hợp để săn lùng các mối đe dọa trên mạng một cách hiệu quả.

Những kẻ săn lùng mối đe dọa dựa trên dữ liệu từ các công cụ phân tích và giám sát bảo mật tinh vi để hỗ trợ họ chủ động phát hiện và loại bỏ các mối đe dọa.

Mục tiêu của họ là sử dụng các giải pháp và thông tin tình báo/dữ liệu để tìm ra những kẻ thù có thể thoát khỏi sự phòng thủ thông thường bằng cách sử dụng các chiến lược như sống ngoài đất liền.

Trực giác, tư duy đạo đức và chiến lược cũng như cách giải quyết vấn đề sáng tạo đều là những thành phần thiết yếu của quá trình săn tìm trên mạng.

Các tổ chức có thể giải quyết các mối đe dọa nhanh hơn và chính xác hơn bằng cách sử dụng những đặc điểm của con người mà “Thợ săn mối đe dọa mạng” mang đến bàn thay vì chỉ dựa vào các hệ thống phát hiện mối đe dọa tự động.

Thợ săn mối đe dọa mạng

Thợ săn mối đe dọa mạng là ai?

Thợ săn mối đe dọa mạng bổ sung sự can thiệp của con người vào bảo mật doanh nghiệp, tăng cường các biện pháp tự động. Họ là những chuyên gia bảo mật CNTT lành nghề có thể xác định, ghi lại, theo dõi và loại bỏ các mối đe dọa trước khi chúng có cơ hội trở thành vấn đề nghiêm trọng.

Mặc dù đôi khi họ là nhà phân tích bên ngoài, nhưng lý tưởng nhất là họ là nhà phân tích bảo mật am hiểu về hoạt động của bộ phận CNTT của công ty.

Threat Hunters lùng sục thông tin bảo mật. Chúng tìm kiếm các mẫu hành vi đáng ngờ mà máy tính có thể đã bỏ sót hoặc cho rằng đã được xử lý nhưng không, cũng như phần mềm độc hại hoặc kẻ tấn công ẩn.

Chúng cũng hỗ trợ trong việc vá hệ thống bảo mật của doanh nghiệp để ngăn chặn các lần xâm nhập tương tự xảy ra trong tương lai.

săn lùng mối đe dọa là gì

Điều kiện tiên quyết để săn lùng mối đe dọa

Trước tiên, những người săn lùng mối đe dọa phải xây dựng cơ sở dữ liệu về các sự kiện đã được dự đoán trước hoặc đã được phê duyệt để phát hiện tốt hơn các điểm bất thường để việc săn lùng mối đe dọa trên mạng có hiệu quả.

Sau đó, những kẻ săn tìm mối đe dọa có thể xem qua dữ liệu bảo mật và thông tin được thu thập bởi các công nghệ phát hiện mối đe dọa bằng cách sử dụng đường cơ sở này và thông tin tình báo về mối đe dọa gần đây nhất.

Những công nghệ này có thể bao gồm phát hiện và phản hồi được quản lý (MDR), công cụ phân tích bảo mật, hoặc là giải pháp quản lý sự kiện và thông tin bảo mật (SIEM).

Những kẻ săn lùng mối đe dọa có thể tìm kiếm các mối nguy hiểm tiềm ẩn, hoạt động mờ ám hoặc trình kích hoạt hệ thống của bạn khác với tiêu chuẩn sau khi chúng được trang bị dữ liệu từ nhiều nguồn khác nhau, bao gồm dữ liệu điểm cuối, mạng và đám mây.

Những người săn mối đe dọa có thể tạo ra các giả thuyết và tiến hành điều tra mạng trên diện rộng nếu tìm thấy mối đe dọa hoặc nếu thông tin tình báo về mối đe dọa đã biết chỉ ra các mối đe dọa mới có thể xảy ra.

Những kẻ săn tìm mối đe dọa tìm kiếm thông tin trong quá trình điều tra này để xác định liệu một mối đe dọa có hại hay lành tính hay liệu mạng có được bảo vệ phù hợp khỏi các mối đe dọa mạng mới nổi hay không.

Các phương pháp săn tìm mối đe dọa

Những kẻ săn lùng mối đe dọa bắt đầu cuộc điều tra của họ với giả định rằng các đối thủ đã có mặt trong hệ thống và tìm kiếm hành vi kỳ quặc có thể chỉ ra sự hiện diện của các hoạt động thù địch.

Việc bắt đầu điều tra này thường rơi vào một trong ba loại trong việc chủ động săn tìm mối đe dọa.

Với mục đích chủ động bảo vệ hệ thống và thông tin của một tổ chức, cả ba chiến lược đều liên quan đến nỗ lực do con người cung cấp, kết hợp các nguồn thông tin tình báo về mối đe dọa với công nghệ bảo mật tiên tiến.

1. Điều tra dựa trên giả thuyết

Một mối nguy hiểm mới đã được phát hiện thông qua một cơ sở dữ liệu khổng lồ về dữ liệu tấn công do cộng đồng cung cấp thường xuyên gây ra các cuộc điều tra dựa trên giả thuyết, cung cấp thông tin về các chiến lược, kỹ thuật và quy trình gần đây nhất được sử dụng bởi những kẻ tấn công (TTP).

Sau đó, những kẻ săn tìm mối đe dọa sẽ kiểm tra xem liệu các hành động độc nhất của kẻ tấn công có xuất hiện trong môi trường của chúng hay không sau khi phát hiện một TTP mới.

2. Một cuộc điều tra dựa trên các Dấu hiệu Tấn công hoặc Dấu hiệu Thỏa hiệp đã được xác định

Sử dụng thông tin tình báo về mối đe dọa chiến thuật, phương pháp tìm kiếm mối đe dọa này liệt kê các IOC và IOA đã biết có liên quan đến các mối đe dọa mới. Sau đó, những kẻ săn lùng mối đe dọa có thể sử dụng chúng làm công cụ kích hoạt để tìm các cuộc tấn công bí mật tiềm năng hoặc các hoạt động gây hại đang diễn ra.

3. Phân tích nâng cao và điều tra máy học

Phương pháp thứ ba khai thác một lượng lớn dữ liệu bằng cách sử dụng máy học và phân tích dữ liệu nâng cao để tìm kiếm những điểm bất thường có thể chỉ ra các hoạt động thù địch có thể xảy ra.

Những điểm bất thường này trở thành đầu mối săn lùng được các nhà phân tích am hiểu kiểm tra để tìm ra những mối nguy hiểm bí mật.

Săn lùng mối đe dọa với proxy

Những kẻ săn lùng mối đe dọa có thể tìm thấy vô số thông tin trong các bản ghi proxy web. Các proxy này hoạt động như các đường dẫn giữa máy chủ hoặc thiết bị nhận yêu cầu và thiết bị gửi yêu cầu.

Một bộ dữ liệu chung do proxy web tạo ra có thể được sử dụng để phát hiện hành vi bất thường hoặc đáng ngờ.

Chẳng hạn, một thợ săn mối đe dọa tại một tổ chức có thể phân tích thông tin nguy hiểm có trong nhật ký proxy web và khám phá hoạt động đáng ngờ với các tác nhân người dùng như các trang web cURL và SharePoint.

Họ thu hút sự chú ý đến vấn đề và phát hiện ra rằng các yêu cầu là hợp pháp và bắt nguồn từ các nhóm DevOps.

Để kiểm tra các nhật ký này và tìm bất kỳ cá nhân độc hại nào trong số hỗn hợp, những kẻ săn mối đe dọa sử dụng nhiều giao thức và phương pháp luận. Web proxy nhật ký thường cung cấp các chi tiết sau:

  • URL đích (Tên máy chủ)
  • IP đích
  • Trạng thái HTTP
  • Danh mục tên miền
  • Nghị định thư
  • Cảng đích
  • User Agent
  • Phương thức yêu cầu
  • Hành động thiết bị
  • Tên tệp được yêu cầu
  • Độ dài khóa học

**Và hơn thế nữa!

Săn tìm mối đe dọa bằng nhật ký proxy hoạt động như thế nào?

Bây giờ, hãy nghiên cứu xem nhật ký proxy web hỗ trợ những thợ săn này như thế nào khi bạn đã hiểu về săn lùng mối đe dọa. Các nhà phân tích phải sử dụng nhiều cách khác nhau để tìm lỗ hổng và các bên độc hại tham gia vào mạng vì nhật ký proxy web chứa một số phần dữ liệu.

1. Rà soát lưu lượng bị chặn:

Điều quan trọng là phải tìm hiểu điều gì đã khiến người dùng truy cập vào một trang web cụ thể mặc dù trang web đó có thể đã bị cấm đối với người dùng của tổ chức. Nó có thể có nghĩa là máy tính của họ đã bị nhiễm virus.

2. URL có yêu cầu IP:

Quá trình lọc này có thể phát hiện các nhật ký hoạt động xung quanh các hạn chế bảo mật DNS bằng cách sử dụng các địa chỉ IP được mã hóa cứng.

3. URL có phần mở rộng tệp:

Bộ lọc này hiển thị các URL tiềm ẩn nguy hiểm có phần mở rộng tệp như.doc,.pdf và .exe. Những kẻ tấn công thường sử dụng các tệp doc hoặc pdf có chức năng macro để cấy phần mềm độc hại vào máy hoặc mạng.

4. URL liên kết giới thiệu đã biết với URL không phổ biến:

Việc xác định các liên kết lừa đảo có thể được thực hiện dễ dàng hơn bằng cách lọc ra các nhật ký chứa các miền giới thiệu phổ biến và các URL đặc biệt.

Sự khác biệt giữa săn lùng mối đe dọa và trí thông minh đe dọa

Trí thông minh về mối đe dọa là tập hợp dữ liệu liên quan đến các hành vi xâm nhập đã cố gắng hoặc thành công thường được thu thập và kiểm tra bởi các hệ thống bảo mật tự động sử dụng máy học và trí tuệ nhân tạo.

Thông tin này được sử dụng trong quá trình tìm kiếm mối đe dọa để tiến hành tìm kiếm người dùng độc hại trên toàn hệ thống.

Nói cách khác, săn lùng mối đe dọa bắt đầu khi thông tin tình báo về mối đe dọa kết thúc. Một cuộc săn lùng mối đe dọa hiệu quả cũng có thể tìm thấy những mối nguy hiểm chưa từng thấy trong tự nhiên.

Các chỉ báo về mối đe dọa đôi khi được sử dụng làm đầu mối hoặc giả thuyết trong việc tìm kiếm mối đe dọa. Dấu vân tay ảo do phần mềm độc hại hoặc kẻ tấn công để lại, địa chỉ IP kỳ lạ, email lừa đảo hoặc lưu lượng truy cập mạng bất thường khác đều là những ví dụ về chỉ báo mối đe dọa.

Liên kết nhanh:

Kết luận: Săn lùng mối đe dọa 2024 là gì? 

Quy trình phát hiện, phản ứng và khắc phục sự cố thông thường được bổ sung mạnh mẽ bằng cách săn tìm mối đe dọa. Một chiến lược thực tế và thiết thực cho các doanh nghiệp là củng cố bản thân trước những mối đe dọa không lường trước được.

Tuy nhiên, việc theo dõi nhật ký proxy cũng giúp xác định những người dùng có thể đang thu thập các trang web. Những người chỉ đơn thuần cố gắng hoàn thành các nhiệm vụ hợp pháp gặp phải vấn đề trong tình huống như vậy.

Bằng cách sử dụng một số proxy, đặc biệt là những proxy hỗ trợ che giấu địa chỉ IP thực của họ, người dùng có thể tránh bị những kẻ săn lùng mối đe dọa phát hiện ra các hoạt động của họ.

Ngoài ra, nhật ký của họ không báo động đỏ cho những thợ săn này vì không có một địa chỉ IP duy nhất cho tất cả các hoạt động của họ.

Đối với điều này, bạn sẽ cần các proxy chất lượng cao có vẻ hợp pháp đối với phần mềm săn lùng mối đe dọa. Để trả lời câu hỏi của bạn, phần mềm săn lùng mối đe dọa về cơ bản là một chương trình thực hiện các giao thức và phân tích săn lùng mối đe dọa.

Liên kết nhanh 

Babber Kashish
Tác giả này được xác minh trên BloggersIdeas.com

Kashish là sinh viên tốt nghiệp B.Com, hiện đang theo đuổi niềm đam mê tìm hiểu và viết về SEO và viết blog. Với mỗi lần cập nhật thuật toán mới của Google, cô ấy sẽ đi sâu vào chi tiết. Cô ấy luôn ham học hỏi và thích khám phá mọi thay đổi trong các bản cập nhật thuật toán của Google, tìm hiểu sâu hơn về cách chúng hoạt động. Sự nhiệt tình của cô đối với những chủ đề này có thể được thể hiện qua bài viết của cô, khiến cho những hiểu biết sâu sắc của cô vừa mang tính thông tin vừa hấp dẫn đối với bất kỳ ai quan tâm đến bối cảnh không ngừng phát triển của việc tối ưu hóa công cụ tìm kiếm và nghệ thuật viết blog.

Tiết lộ chi nhánh: Hoàn toàn minh bạch - một số liên kết trên trang web của chúng tôi là liên kết liên kết, nếu bạn sử dụng chúng để mua hàng, chúng tôi sẽ kiếm được hoa hồng miễn phí cho bạn (không tính thêm phí gì!).

bài viết liên quan

Để lại một bình luận