Professional Documents
Culture Documents
1. Ông Lê Công Phú - Trung tâm VNCERT - Săn lùng mối nguy hại-Threat hunting
1. Ông Lê Công Phú - Trung tâm VNCERT - Săn lùng mối nguy hại-Threat hunting
1. Ông Lê Công Phú - Trung tâm VNCERT - Săn lùng mối nguy hại-Threat hunting
Solarwinds
(2020)
Sự leo thang của các mối đe dọa an ninh mạng
WannaCry
(2017)
Stuxnet
(2010)
Morris
(1988)
Sự hậu thuẫn của các nhà nước, chính phủ
Các giải pháp phát hiện và ngăn chặn tấn công bộc lộ nhiều hạn chế
Hạn chế của Phần lớn các hoạt động bảo mật chủ yếu mang tính phản ứng, vô tình tạo điều kiện để cho
"phòng thủ truyền những kẻ thù tinh vi “trú ngụ” không bị phát hiện bên trong hệ thống mạng trong thời gian dài
thống"
Phát triển khả năng ứng phó sự cố dựa trên nguyên tắc “Hệ thống CNTT sẽ bị xuyên thủng”
Chuyển trạng thái ƯCSC từ thế bị động sang chủ động, chuyển hoạt động ƯCSC từ mang tính
Ứng phó chủ
động sự vụ sang nhiệm vụ thường xuyên, theo các giả định hệ thống đã bị xâm nhập.
Săn lùng Định kỳ thực hiện hoạt động săn lùng mối nguy hại (Threat hunting) để nhận diện kịp thời sự hiện
mối nguy hại diện của kẻ tấn công bên trong hệ thống hoặc thực hiện khi xuất hiện các mẫu mã độc mới, các
lỗ hổng nghiêm trọng ảnh hưởng đến hệ thống thông tin mà tổ chức mình đang vận hành.
Lập kế hoạch phục hồi khi sự cố xảy ra nhằm hạn chế tác động và đảm bảo tính liên tục của hệ
Kế hoạch phục
hồi thống. Các quy trình ứng phó sự cố phải được xem xét, duy trì và kiểm tra thường xuyên với tất
cả các bộ phận.
“
Săn lùng mối nguy hại là quá trình chủ động truy tìm các dấu hiệu liên quan đến hoạt động
độc hại trong hệ thống thông tin mà không cần biết trước về các dấu hiệu đó, thay vì quan sát
các cuộc tấn công thông qua các hệ thống cảnh báo, phó mặc việc đánh chặn tấn công cho
hệ thống ngăn chặn xâm nhập.
Chủ động thực hiện săn lùng mối nguy hại và rà quét lỗ hổng trên các hệ thống thông tin
trong phạm vi quản lý tối thiểu 01 lần/6 tháng. Trường hợp phát hiện điểm yếu, lỗ hổng bảo
mật cho phép xâm nhập và kiểm soát hệ thống thì thực hiện đồng thời khắc phục điểm yếu, lỗ
hổng và săn lùng mối nguy hại.
Thu thập Giảm thời gian trú ngụ ngay cả khi hệ thống đã bị
thông tin xâm nhập
Duy trì sự hiện Leo thang đặc
diện quyền
Mở rộng phạm vi Giúp các tổ chức giảm thiểu thiệt hại do tấn công mạng
Trinh sát nội bộ
tấn công
Hành trình săn lùng các mối nguy hại
Truy tìm các dấu hiệu tấn công liên quan đến khai thác lỗ hổng
Truy tìm các dấu hiệu tấn công nhắm vào các mục tiêu có giá trị
Truy tìm các hoạt động liên quan đến chiến dịch tấn công sử dụng độc hại
2 4
Xác định mục tiêu, Kích hoạt quá trình Truy tìm và điều tra Kích hoạt quá trình Cải thiện hệ thống
mô hình hóa các truy tìm ban đầu chuyên sâu ứng phó sự cố phòng thủ
mối đe dọa
1 3 5
Tìm kiếm hoạt động đáng ngờ trên các endpoint và vùng mạng
Săn lùng trên phạm vi rộng lớn
CỤC AN TOÀN THÔNG TIN
Chính sách tốt. Thực thi tốt