CHIA SẺ KINH NGHIỆM PHÁT HIỆN SỚM CÁC MỐI ĐE DỌA

BÊN TRONG NỘI BỘ TỔ CHỨC (INSIDER THREAT)

Kietdv - VIETTEL CYBER SECURITY

 OUTLINES

01 CÁC MỐI ĐE DỌA BÊN TRONG TỔ CHỨC

02
CHIA SẺ KINH NGHIỆM PHÁT HIỆN SỚM
INSIDER THREAT

03 Q&A
CÁC VẤN ĐỀ TỔ CHỨC ĐANG PHẢI ĐỐI MẶT
Vấn đề
Các đối tượng vô ý hoặc cố ý sử
dụng công cụ, phần mềm, hạ tầng
không được quy định (shadow IT)
Các đối tượng vô ý hoặc cố ý xem
trái phép, leak dữ liệu nội bộ, dữ
liệu khách hàng
Vấn đề về các đối tượng vô ý hoặc
cố ý truy cập, tác động hệ thống
sai, trái phép
Vấn đề về tải vận hành,
workaround hệ thống DLP, sử
dụng DLP không hiệu quả
Các giải pháp hiện tại
Tạo policy blacklist/whitelist các
phần mềm, kết nối, keyword
Tạo policy chặn leak dữ liệu qua
các kênh như email, USB, web
upload, scp, network shares,…
Tạo policy whitelist theo role,
function
Audit, assessment định kỳ
Cần cải thiện
• Phát hiện khi sự việc đã
xảy ra, và chỉ phát hiện
qua các kênh đã biết
• Thiếu thông tin ngữ cảnh
của user vi phạm policy
• Policy không hoạt động
như mong muốn
• Các mối đe dọa từ bên
trong còn có phá hoại,
trục lợi, không chỉ mỗi
leak dữ liệu
• Tải workaround, tạo
exception khi vận hành
DLP
3
INSIDER THREAT LÀ GÌ?

Vô ý, tai nạn, thiếu nhận thức

PHÒNG NGỪA

Data Theft

PHÁT HIỆN
System
Fraud
Cố ý, có mục đích xấu Sabotage

NGĂN CHẶN

Tài khoản bị chiếm đoạt, đánh cắp Nguồn: Insider Threat Solutions – Gartner

4
 OUTLINES

01 CÁC MỐI ĐE DỌA BÊN TRONG TỔ CHỨC

02
CHIA SẺ KINH NGHIỆM PHÁT HIỆN SỚM
INSIDER THREAT

03 Q&A
INSIDER THREAT KILL-CHAIN
Insider Threat Kill chain
People - centric

RECONNAISSANCE CIRCUMVENTION AGGREGATION OBFUSCATION EXFILTRATION

DLP
Data - centric

Đối tượng đang cố gắng vượt

Khi chuẩn bị cho việc đánh cắp Thời điểm mà dữ liệu thực sự bị
qua các biện pháp bảo mật Đối tượng sẽ che đậy dấu vết
dữ liệu, đối tượng thường bắt đánh cắp khỏi tổ chức:
hiện có, VD: công cụ DLP, web Đối tượng tập hợp tất cả dữ của họ để tránh bị phát hiện:
đầu bằng việc nghiên cứu, • Cắm USB và copy file vào ổ
gateway v.v…: liệu mà họ định đánh cắp, như • Sử dụng các chế độ duyệt
mày mò: USB
• Việc sử dụng các trình move file đó vào một thư mục web riêng tư
• Tìm kiếm công cụ bypass • In tài liệu nhạy cảm
duyệt web ẩn danh (ví dụ: hoặc nén file: • Đổi tên file extension, đổi
các biện pháp bảo mật • Gửi mail có chứa file nhạy
ToR), • Tải xuống các tệp nhạy cảm tên file (từ tên nhạy cảm
• Sử dụng công cụ scan cảm, link nhạy cảm, cho đối
• Sử dụng các công cụ khai từ cổng thông tin điện tử thành tên vô nghĩa)
network tượng không nằm trong tổ
thác lỗ hổng của công ty (ERP, CRM,…) • Xóa file với số lượng bất
• Cài đặt và sử dụng các App chức hoặc cho chính mình
• Sử dụng hoặc tạo tài khoản • Tạo 1 lượng lớn file có đuôi thường
Portable • Upload file lên web, các ứng
bất thường .zip, .7z, .rar… • Hidden file và thay đổi
• Thói quen login bất dụng Message
• Sửa đổi quyền đối với tệp • Di chuyển nhiều file, folder attribute file
thường (ngoài giờ làm • Gửi dữ liệu nhạy cảm qua
và thư mục • Xóa lịch sử trình duyệt
việc, tài khoản lạ) FTP/sFTP
• Sửa đổi file configuration

6
1. Xác định risky users, risky data

Risky users:
• Insource, Outsource
• Người có ý định nghỉ, trong danh sách theo dõi
• Người có truy cập đặc quyền (IT admin, system)
• Người thường xuyên tương tác với bên ngoài (HR,
Sale man,..dễ bị phishing)

Risky data:
Các vai trò, vị trí thường xuyên truy cập dữ liệu nhạy
cảm của tổ chức (AI Engineer, Data Engineer, BI,..)

7
2. Đa dạng các góc nhìn về dữ liệu, về hành vi
Insider Threat Kill chain
People - centric

RECONNAISSANCE CIRCUMVENTION AGGREGATION OBFUSCATION EXFILTRATION

Nguồn: Insider Threat Solutions – Gartner

8
3. Các dấu hiệu (indicator) bất thường dù là nhỏ nhất
Insider Threat Kill chain
People - centric

RECONNAISSANCE CIRCUMVENTION AGGREGATION OBFUSCATION EXFILTRATION

Ví dụ một số góc nhìn:

• Các hành vi bất thường theo tần xuất,
số lượng, ngữ cảnh
• Các hành vi bất thường so với lịch sử
• Các hành vi bất thường so với các đối
tượng cùng role, function
• Các thuộc tính mới xuất hiện lần đầu,
xuất hiện sau khoảng thời gian dài
…
Nguồn: DTEX
YOU CAN’T PREVENT WHAT YOU CAN’T SEE

9
4. Công cụ phục vụ điều tra
Insider Threat Kill chain
People - centric

RECONNAISSANCE CIRCUMVENTION AGGREGATION OBFUSCATION EXFILTRATION

Screen Recording:
• Phụ thuộc vào policy của từng doanh
nghiệp, luật
• Trigger trước và sau khi xảy ra các hành
vi bất thường, vi phạm
• Mã hóa và yêu cầu quyền đặc thù để truy
cập
• Không nên lạm dụng, cân nhắc áp dụng
cho các hoạt động vận hành khai thác
hệ thống, theo quy trình, checklist, lặp
lại

10
5. Đặt target

Insider Threat Management

Sử dụng sản phẩm, công Nhận thức con người

cụ để “enable process” là trọng tâm

Risky users, Risky data, Tôn trọng quyền riêng tư

Business Context

Not every insider risk becomes an insider threat; however, every

insider threat started as an insider risk.”
11
 OUTLINES

01 CÁC MỐI ĐE DỌA BÊN TRONG TỔ CHỨC

02
CHIA SẺ KINH NGHIỆM PHÁT HIỆN SỚM
INSIDER THREAT

03 Q&A
THANK YOU!