Professional Documents
Culture Documents
4. Ông Đinh Văn Kiệt, VCS - Chia sẻ kinh nghiệm phát hiện sớm các mối đe dọa bên trong nội bộ tổ chức
4. Ông Đinh Văn Kiệt, VCS - Chia sẻ kinh nghiệm phát hiện sớm các mối đe dọa bên trong nội bộ tổ chức
02
CHIA SẺ KINH NGHIỆM PHÁT HIỆN SỚM
INSIDER THREAT
03 Q&A
CÁC VẤN ĐỀ TỔ CHỨC ĐANG PHẢI ĐỐI MẶT
Các đối tượng vô ý hoặc cố ý sử Tạo policy blacklist/whitelist các • Phát hiện khi sự việc đã
dụng công cụ, phần mềm, hạ tầng phần mềm, kết nối, keyword xảy ra, và chỉ phát hiện
không được quy định (shadow IT) qua các kênh đã biết
Tạo policy chặn leak dữ liệu qua • Thiếu thông tin ngữ cảnh
các kênh như email, USB, web của user vi phạm policy
Các đối tượng vô ý hoặc cố ý xem upload, scp, network shares,… • Policy không hoạt động
trái phép, leak dữ liệu nội bộ, dữ như mong muốn
liệu khách hàng Tạo policy whitelist theo role, • Các mối đe dọa từ bên
function trong còn có phá hoại,
trục lợi, không chỉ mỗi
Vấn đề về các đối tượng vô ý hoặc leak dữ liệu
Audit, assessment định kỳ
cố ý truy cập, tác động hệ thống • Tải workaround, tạo
sai, trái phép exception khi vận hành
DLP
3
INSIDER THREAT LÀ GÌ?
PHÒNG NGỪA
Data Theft
PHÁT HIỆN
System
Fraud
Cố ý, có mục đích xấu Sabotage
NGĂN CHẶN
Tài khoản bị chiếm đoạt, đánh cắp Nguồn: Insider Threat Solutions – Gartner
4
OUTLINES
02
CHIA SẺ KINH NGHIỆM PHÁT HIỆN SỚM
INSIDER THREAT
03 Q&A
INSIDER THREAT KILL-CHAIN
Insider Threat Kill chain
People - centric
DLP
Data - centric
6
1. Xác định risky users, risky data
Risky users:
• Insource, Outsource
• Người có ý định nghỉ, trong danh sách theo dõi
• Người có truy cập đặc quyền (IT admin, system)
• Người thường xuyên tương tác với bên ngoài (HR,
Sale man,..dễ bị phishing)
Risky data:
Các vai trò, vị trí thường xuyên truy cập dữ liệu nhạy
cảm của tổ chức (AI Engineer, Data Engineer, BI,..)
7
2. Đa dạng các góc nhìn về dữ liệu, về hành vi
Insider Threat Kill chain
People - centric
8
3. Các dấu hiệu (indicator) bất thường dù là nhỏ nhất
Insider Threat Kill chain
People - centric
9
4. Công cụ phục vụ điều tra
Insider Threat Kill chain
People - centric
Screen Recording:
• Phụ thuộc vào policy của từng doanh
nghiệp, luật
• Trigger trước và sau khi xảy ra các hành
vi bất thường, vi phạm
• Mã hóa và yêu cầu quyền đặc thù để truy
cập
• Không nên lạm dụng, cân nhắc áp dụng
cho các hoạt động vận hành khai thác
hệ thống, theo quy trình, checklist, lặp
lại
10
5. Đặt target
02
CHIA SẺ KINH NGHIỆM PHÁT HIỆN SỚM
INSIDER THREAT
03 Q&A
THANK YOU!