Professional Documents
Culture Documents
4Security Assessments
4Security Assessments
Assessments)
Trong chương này, bạn sẽ
Tìm hiểu về săn lùng mối đe dọa
Kiểm tra chi tiết của các lần quét lỗ hổng bảo mật
Khám phá công nghệ syslog / SIEM / SOAR
Đánh giá là việc kiểm tra một cái gì đó so với một tiêu chuẩn, để xem nó xếp chồng lên nhau như thế
nào. Về bảo mật, tiêu chuẩn chính phải là tập hợp các chính sách bảo mật của bạn — và chúng phải
phù hợp với mọi yêu cầu bên ngoài. Vì vậy, làm thế nào để bạn kiểm tra hệ thống của mình để xem
liệu mọi thứ có thực sự hoạt động theo cách bạn mong muốn hay không? Chương này sẽ khám phá
một số khía cạnh của việc đánh giá. Một trong những phương pháp chính để thực hiện đánh giá bảo
mật là thông qua việc sử dụng các bài kiểm tra thâm nhập và các bài kiểm tra này được đề cập trong
Chương 8, “Kiểm tra thâm nhập”.
Mục tiêu chứng nhận Chương này bao gồm CompTIA Security + mục tiêu kỳ thi 1.7: Tóm tắt các kỹ
thuật được sử dụng trong đánh giá bảo mật.
Threat Hunting
Threat hunting là hoạt động chủ động tìm kiếm các mối đe dọa an ninh mạng bên trong mạng nhưng
vẫn chưa bị phát hiện. Săn lùng mối đe dọa mạng sử dụng các công cụ, kỹ thuật và quy trình (TTP) để
phát hiện ra các tác nhân trái phép trong mạng của bạn mà hệ thống phòng thủ của bạn chưa phát
hiện được. Hầu hết các yếu tố phòng thủ đều hướng ra bên ngoài và ở trên hoặc gần chu vi mạng, vì
đây là nơi bạn có nhiều khả năng bắt được người dùng trái phép nhất. Nhưng nếu kẻ tấn công có thể
vượt qua tuyến phòng thủ đó, chúng có thể ẩn náu trong một mạng lưới hàng tháng, nếu không
muốn nói là hàng năm. Trong thời gian này, họ có thể âm thầm thu thập dữ liệu, tìm kiếm tài liệu bí
mật hoặc lấy thông tin đăng nhập khi di chuyển ngang qua môi trường. Những kẻ tấn công có thể sử
dụng tài nguyên hệ thống để tiếp tục hiện diện của chúng, một kỹ thuật được gọi là “sống ngoài đất
liền”.
Threat hunting sử dụng các công cụ và kỹ thuật để phát hiện cụ thể kiểu người dùng này —
các công cụ như nguồn dữ liệu tình báo về mối đe dọa chiến thuật và nguồn cấp dữ liệu về mối đe
dọa mô tả các hoạt động của tin tặc, cũng như các công cụ như chỉ báo tấn công (IOA) và chỉ báo thỏa
hiệp (IOCs) ). Các chỉ số tấn công bao gồm một loạt các hành động mà kẻ tấn công phải thực hiện để
thực hiện một cuộc tấn công. Điều này bao gồm các hoạt động như tạo tài khoản, kết nối với máy
chủ điều khiển và chỉ huy cũng như di chuyển dữ liệu ra khỏi mạng trong một luồng được mã hóa.
Đây là những hành động được thực hiện bởi một tác nhân đe dọa như là một phần của quy trình làm
việc của họ nhằm xâm phạm hệ thống. Tìm kiếm những hoạt động này là một phần của việc săn lùng
mối đe dọa. Các dấu hiệu của sự thỏa hiệp là hiện vật do các hoạt động của kẻ tấn công để lại. Các
chuỗi cụ thể trong bộ nhớ khỏi phần mềm độc hại, tạo tác pháp y như tệp liên kết và tệp thực thi giả
mạo — đây là tất cả các chỉ báo về hoạt động độc hại, nhưng cũng là hoạt động trong quá khứ. Những
kẻ săn lùng mối đe dọa sử dụng những manh mối này để tập trung vào nơi kẻ tấn công đã ở, những
gì chúng đã làm và nơi chúng có khả năng sẽ đến tiếp theo khi kẻ tấn công theo dõi phiên bản Cyber
Kill Chain.
Intelligence Fusion
Thông tin tình báo về mối đe dọa là kiến thức đằng sau khả năng, cơ sở hạ tầng, động cơ, mục tiêu
và nguồn lực của mối đe dọa. Sự kết hợp thông tin tình báo về mối đe dọa cho phép người bảo vệ
xác định và bối cảnh hóa các mối đe dọa mà họ phải đối mặt trong môi trường, sử dụng thông tin từ
tình báo về mối đe dọa trong Mô hình Kim cương về Phân tích Xâm nhập, như được minh họa trong
Chương 27, “Chính sách, Quy trình và Thủ tục Ứng phó Sự cố”. Khi bạn hiểu đối thủ của mình, bạn có
thể thực hiện hành động quyết định để bảo vệ tổ chức của mình tốt hơn.
Exam Tip Intelligence fusion (Kết hợp tình báo) là một quá trình liên quan đến việc thu
thập và phân tích các nguồn cấp dữ liệu về mối đe dọa từ cả các nguồn bên trong và
bên ngoài trên quy mô lớn.
Threat Feeds
Nguồn cấp dữ liệu về mối đe dọa là nguồn thông tin liên quan đến kẻ thù. Nguồn cấp dữ liệu đe dọa
có thể đến từ các nguồn bên trong và bên ngoài. Bằng cách tận dụng dữ liệu mối đe dọa từ mạng của
chính bạn dựa trên dữ liệu ứng phó sự cố (nghĩa là tệp nhật ký, cảnh báo và kết quả ứng phó sự cố),
bạn có thể tìm thấy các vị trí khác có cùng mối đe dọa trong môi trường của bạn. Các nguồn thông
tin về mối đe dọa bên ngoài đến từ nhiều thực thể bên ngoài khác nhau và kết quả là chúng có thể
phù hợp hoặc không phù hợp với môi trường cụ thể của bạn. Nguồn cấp dữ liệu bên ngoài mất nhiều
công sức hơn để điều chỉnh thông tin thành một dạng hữu ích trong doanh nghiệp của bạn, nhưng
các phương pháp trao đổi tự động, chẳng hạn như Biểu thức điện tử về thông tin đe dọa có cấu trúc
(STIX), hỗ trợ việc di chuyển thông tin quan trọng này giữa các công ty. Cuối cùng, tùy thuộc vào
nhóm bảo mật của bạn với kiến thức cụ thể của họ về môi trường của tổ chức bạn và bối cảnh mối
đe dọa để xác định mức độ liên quan của nguồn cấp dữ liệu bên ngoài.
Advisories and Bulletins
Các lời khuyên và bản tin là tập hợp thông tin được xuất bản từ các đối tác, chẳng hạn như các nhà
cung cấp bảo mật, các nhóm ngành, chính phủ, các nhóm chia sẻ thông tin và các nguồn thông tin
“đáng tin cậy” khác. Đây là những nguồn cung cấp mối đe dọa từ bên ngoài và cần được nhân viên
an ninh xử lý để xác định khả năng áp dụng và cách sử dụng chúng để cải thiện khả năng phòng vệ
cho doanh nghiệp.
Maneuver
Maneuver đề cập đến khả năng di chuyển trong một mạng lưới, một chiến thuật thường được sử
dụng bởi các đối thủ tiên tiến khi họ tiến tới mục tiêu của mình. Săn lùng mối đe dọa có thể chống lại
sự di chuyển của kẻ tấn công thông qua một số cơ chế. Đầu tiên, kẻ săn lùng mối đe dọa có thể theo
dõi lưu lượng truy cập tại các điểm nghẹt thở (nghĩa là các điểm mà thực thể trái phép phải đi qua).
Thứ hai, kẻ săn lùng mối đe dọa có thể phân tích cơ sở hạ tầng mạng của chính công ty, thông qua
con mắt của kẻ tấn công và cung cấp thông tin chi tiết về cách mạng có thể được kết nối để cung cấp
khả năng phòng thủ tốt hơn chống lại sự di chuyển ngang, cả về kết nối và ghi nhật ký. Những nỗ lực
này làm cho việc điều động không bị phát hiện trở thành thách thức lớn hơn nhiều đối với kẻ tấn
công và bởi vì phần lớn các biện pháp phòng thủ có thể được thực hiện một cách thụ động đối với
những gì kẻ tấn công nhìn thấy, nó thậm chí còn hiệu quả hơn.
Exam Tip Maneuvering (Cơ động) cũng là một chiến thuật phòng thủ được các chuyên
gia bảo mật sử dụng để phá vỡ hoặc ngăn chặn kẻ tấn công di chuyển theo chiều ngang
như một phần của chuỗi tấn công..
Vulnerability Scans
Quét lỗ hổng bảo mật là quá trình kiểm tra các dịch vụ trên hệ thống máy tính để tìm các lỗ hổng đã
biết trong phần mềm. Về cơ bản, đây là một quá trình đơn giản để xác định phiên bản cụ thể của một
chương trình phần mềm và sau đó tra cứu các lỗ hổng đã biết. Cơ sở dữ liệu Các lỗ hổng phổ biến và
Phơi nhiễm có thể được sử dụng như một kho lưu trữ; nó đã ghi lại hơn 145.000 lỗ hổng cụ thể. Điều
này làm cho nhiệm vụ không chỉ là một thủ công; nhiều chương trình phần mềm có thể được sử dụng
để thực hiện chức năng này.
False Positives
Bất kỳ hệ thống nào sử dụng phép đo một số thuộc tính để phát hiện một số điều kiện khác đều có
thể có lỗi. Khi một phép đo được sử dụng như một phần của quá trình quyết định, các yếu tố bên
ngoài có thể gây ra sai số. Đổi lại, những sai số này có thể ảnh hưởng đến phép đo đến một điều kiện
tạo ra sai số trong số cuối cùng. Khi một phép đo được sử dụng trong quá trình quyết định, khả năng
xảy ra sai sót và ảnh hưởng của chúng phải là một phần của quá trình quyết định. Ví dụ, khi một nhà
hàng nấu bít tết ở nhiệt độ trung bình, cách dễ nhất để xác định bít tết đã chín chính xác hay chưa là
cắt miếng ra và nhìn. Nhưng điều này không thể được thực hiện trong nhà bếp, vì vậy các biện pháp
khác được sử dụng, chẳng hạn như thời gian, nhiệt độ, v.v. Khi khách hàng cắt miếng bít tết là thời
điểm của sự thật, bởi vì lúc đó tình trạng thực tế mới được tiết lộ.
Exam Tip Kết quả False positives và false negatives phụ thuộc vào kết quả xét nghiệm
và kết quả thật. Nếu bạn kiểm tra một cái gì đó, nhận được dấu hiệu dương tính, nhưng
dấu hiệu sai, đó là dương tính giả. Nếu bạn kiểm tra một cái gì đó, không nhận được
một dấu hiệu, nhưng kết quả đáng lẽ phải là sự thật, đây là một âm tính giả.
Hai loại lỗi có liên quan: dương tính giả và âm tính giả (False positives and false negatives). Việc lựa
chọn các thuật ngữ tích cực và tiêu cực liên quan đến kết quả của thử nghiệm. Nếu bạn đang sử dụng
Nmap như một công cụ để kiểm tra hệ điều hành, nó sẽ báo cáo hệ điều hành là một loại cụ thể (giả
sử như Windows 10). Nếu kết quả này không chính xác, thì đây là lỗi dương tính giả nếu bạn đang
tính kết quả là đúng.
Exam Tip Đây là một mặt hàng được thử nghiệm cao. False positives xảy ra khi hành
vi dự kiến hoặc bình thường bị xác định sai là độc hại. Việc phát hiện đăng nhập không
thành công, sau đó là đăng nhập thành công được gắn nhãn là độc hại, khi hoạt động
do người dùng mắc lỗi sau khi thay đổi mật khẩu của họ gần đây, là một ví dụ về False
positives.
False Negatives
Kết quả âm tính giả ngược lại với kết quả dương tính giả. Nếu bạn kiểm tra thứ gì đó và kết quả là âm
tính, nhưng thực tế là dương tính, thì kết quả là âm tính giả. Ví dụ: nếu bạn quét các cổng để tìm bất
kỳ cổng nào đang mở và bạn bỏ lỡ cổng đang mở vì máy quét không thể phát hiện nó đang mở và
bạn không chạy kiểm tra vì kết quả sai này, bạn đang bị âm tính giả. lỗi.
Exam Tip Khi một hệ thống phát hiện xâm nhập (IDS) không tạo ra cảnh báo về một
cuộc tấn công bằng phần mềm độc hại, thì đây là một âm báo giả.
Log Reviews
Một hệ thống nhật ký được định cấu hình thích hợp có thể cung cấp cái nhìn sâu sắc về những gì đã
xảy ra trên một hệ thống máy tính. Điều quan trọng là ở cấu hình phù hợp để bạn nắm bắt các sự
kiện bạn muốn mà không cần thêm dữ liệu không liên quan. Điều đó đang được nói, một hệ thống
nhật ký là một kho tàng tiềm năng của thông tin hữu ích cho một ai đó đang tấn công một hệ thống.
Nó sẽ có thông tin về hệ thống, tên tài khoản, những gì đã hoạt động để truy cập và những gì chưa.
Việc xem xét nhật ký có thể cung cấp thông tin về các sự cố bảo mật, vi phạm chính sách (hoặc cố
gắng vi phạm chính sách) và các tình trạng bất thường khác cần phân tích thêm.
Credentialed vs. Non-Credentialed
Quét lỗ hổng bảo mật có thể được thực hiện có và không có thông tin xác thực. Thực hiện quét mà
không có thông tin xác thực có thể cung cấp một số thông tin về trạng thái của dịch vụ và liệu nó có
dễ bị tấn công hay không. Đây là góc nhìn của một người ngoài cuộc thực sự trên mạng. Nó có thể
được thực hiện nhanh chóng, theo cách tự động, trên các phân đoạn lớn của mạng. Tuy nhiên, nếu
không có thông tin đăng nhập, không thể xem chi tiết thông tin đăng nhập cung cấp. Các bản quét lỗ
hổng bảo mật có thể xem xét sâu hơn một máy chủ lưu trữ và trả về thông tin rủi ro quan trọng và
chính xác hơn. Thường xuyên sử dụng các bản quét này cùng nhau. Đầu tiên, quá trình quét không
xác thực được thực hiện trên các phân đoạn mạng lớn bằng các công cụ tự động. Sau đó, dựa trên
các kết quả sơ bộ này, các bản quét thông tin xác thực chi tiết hơn được chạy trên các máy có nhiều
hứa hẹn nhất về các lỗ hổng.
Exam Tip Quét chứng chỉ có liên quan nhiều hơn, yêu cầu thông tin xác thực và các
bước bổ sung để đăng nhập vào hệ thống, trong khi quét không xác thực có thể được
thực hiện nhanh hơn trên nhiều máy bằng cách sử dụng tự động hóa. Quét chứng chỉ
có thể tiết lộ thông tin bổ sung so với quét không chứng thực.
Exam Tip Biết rằng Common Vulnerabilities and Exposures (CVE) là danh sách các
lỗ hổng bảo mật đã biết, mỗi lỗ hổng có một số nhận dạng, mô tả và tài liệu tham khảo.
Common Vulnerability Scoring System (CVSS) xác định mức độ rủi ro của một lỗ hổng
đối với hệ thống. Điểm CVSS nằm trong khoảng từ 0 đến 10. Khi nó tăng lên, mức độ
nghiêm trọng của rủi ro từ lỗ hổng cũng tăng theo..
Configuration Review
Cấu hình hệ thống đóng một vai trò quan trọng trong bảo mật hệ thống. Cấu hình sai khiến hệ thống
ở trạng thái dễ bị tấn công hơn, đôi khi thậm chí khiến các biện pháp kiểm soát bảo mật bị bỏ qua
hoàn toàn. Xác minh cấu hình hệ thống là một mục kiểm tra lỗ hổng bảo mật quan trọng; nếu bạn
tìm thấy một cấu hình sai, khả năng cao là nó để lộ lỗ hổng. Đánh giá cấu hình đủ quan trọng để
chúng phải được tự động hóa và thực hiện thường xuyên. Có các giao thức và tiêu chuẩn để đo lường
và xác nhận cấu hình. Hướng dẫn Liệt kê Cấu hình Chung (CCE – Common Configuration
Enumeration) và Liệt kê Nền tảng Chung (CPE – Common Platform Enumeration), là một phần của
Cơ sở Dữ liệu Lỗ hổng Quốc gia (NVD) do NIST duy trì, là những nơi bắt đầu để biết chi tiết.
Exam Tip Hãy nhớ rằng nhật ký hệ thống có thể được sử dụng để tổng hợp nhật ký
trên các thiết bị mạng và hệ điều hành Linux. Máy chủ nhật ký hệ thống lắng nghe và
ghi nhật ký các thông báo từ các máy khách nhật ký hệ thống. Hệ thống SIEM thu thập,
tổng hợp và áp dụng đối sánh mẫu với khối lượng dữ liệu để tạo ra thông tin mà con
người có thể đọc được.
Review Reports
Phương tiện chính để cung cấp đầu ra từ SIEM là một cảnh báo hoặc một báo cáo. Đây là những điều
kiện được xác định trước để kích hoạt một đầu ra thông tin cụ thể dựa trên các quy tắc trong hệ
thống. Các báo cáo này sau đó có thể được xem xét để xác định xem sự cố có tồn tại hay là báo động
giả.
Packet Capture
Việc nắm bắt gói tin đã là một công việc quan trọng của các kỹ sư mạng miễn là các mạng còn tồn
tại. Việc chẩn đoán và hiểu các vấn đề truyền thông mạng dễ dàng hơn khi người ta có thể quan sát
cách các gói truyền qua mạng. Gần đây hơn, khái niệm chụp gói liên tục để giám sát một đoạn mạng
đã trở thành một công cụ trong hộp công cụ của chuyên gia bảo mật. Hầu hết các cảnh báo bảo mật
xảy ra sau thực tế. Điều gì đó xảy ra, một quy tắc kích hoạt và dữ liệu được tạo ra, dẫn đến một cuộc
điều tra về quy tắc. Mặc dù điều này có thể được thực hiện nhanh chóng với tự động hóa, nhưng các
gói liên quan đã biến mất từ lâu. Nhập các lần chụp gói liên tục. Trong các khu vực quan trọng của
mạng, nơi khả năng phát lại lưu lượng truy cập từ một khoảng thời gian trước đó là quan trọng, việc
thu thập liên tục các gói có thể cung cấp cơ hội đó. Điều này thường sẽ tiêu tốn một lượng lưu trữ
đáng kể, do đó, vị trí và thời gian thu gom có thể rất quan trọng.
Sử dụng SIEM, cùng với các thiết bị thông minh như tường lửa thế hệ tiếp theo, khi một quy tắc
được kích hoạt, thiết bị thu thập mạng có thể tự động thu thập và gửi một lượng lưu lượng xác định
trước để phân tích sau này. Với chi phí lưu trữ tương đối thấp và vị trí thích hợp, phương pháp thu
thập dữ liệu quan trọng này có thể được thực hiện bằng phần cứng hàng hóa.
Data Inputs
Các đầu vào dữ liệu cho SIEM cũng đa dạng như các hệ thống mà chúng được sử dụng để bảo vệ.
Mặc dù một mạng hiện đại có thể tạo ra số lượng cực lớn dữ liệu nhật ký, nhưng điều quan trọng
trong SIEM là xác định thông tin nào cần thiết để hỗ trợ các quyết định. Người ta có thể thu thập mọi
thứ, nhưng điều đó phải chịu rất nhiều chi phí và tạo ra rất nhiều báo cáo mà không ai cần. Điều quan
trọng là xác định các đầu ra mong muốn từ SIEM và sau đó theo dõi các đầu vào cần thiết từ tường
lửa, thiết bị mạng, máy chủ chính, v.v. để hỗ trợ các quyết định đó. Khi SIEM trưởng thành, nhiều
nguồn dữ liệu hơn được xác định và đưa vào, và những nguồn không được sử dụng sẽ bị loại bỏ. Một
SIEM được điều chỉnh bởi nhân viên an ninh để trả lời các câu hỏi liên quan đến môi trường và rủi ro
của họ.
User Behavior Analysis
SIEMS là các hệ thống được xây dựng để áp dụng các quy tắc cho các tập dữ liệu liên quan đến các
mẫu cụ thể. Theo truyền thống, điều này có nghĩa là các sự kiện mạng và kiểu máy chủ, lỗi và các
điều kiện khác cảnh báo người vận hành rằng hệ thống không phản hồi theo cách bình thường. Các
sự kiện tương quan giữa các hệ thống có thể cho thấy các mô hình hoạt động bình thường và được
mong đợi hoặc bất thường và cần được điều tra. Những tiến bộ trong phân tích hành vi của người
dùng đã cung cấp một công dụng thú vị khác của SIEM: theo dõi những gì mọi người làm với hệ thống
của họ và cách họ thực hiện. Nếu mỗi ngày, khi bắt đầu công việc, kế toán khởi động các chương
trình giống nhau, thì khi tài khoản kế toán đăng nhập và làm một việc hoàn toàn khác, chẳng hạn như
truy cập vào hệ thống mà họ chưa từng truy cập trước đây, điều này cho thấy một sự thay đổi hành
vi đáng xem xét. Nhiều SIEM hiện đại có các mô-đun phân tích hành vi của người dùng cuối, tìm kiếm
các mẫu hành vi bất thường cho thấy nhu cầu phân tích.
Sentiment Analysis
Các hệ thống tương tự được sử dụng để đối sánh các vấn đề bảo mật có thể được điều chỉnh để phù
hợp với các mẫu dữ liệu biểu thị tình cảm cụ thể. Các mức độ gần gũi của tình cảm có thể được xác
định bằng cách sử dụng các đầu vào như e-mail, cuộc trò chuyện, cơ chế thu thập phản hồi và truyền
thông mạng xã hội, cùng với các hệ thống AI có thể giải thích giao tiếp bằng văn bản. Người giao tiếp
có vui, buồn, tức giận hay thất vọng không? Những tình cảm này và hơn thế nữa có thể được xác
định bởi cách mọi người giao tiếp.
Exam Tip Phân tích cảm xúc được sử dụng để xác định và theo dõi các mẫu cảm xúc, ý
kiến hoặc thái độ của con người có thể có trong dữ liệu.
Exam Tip Hệ thống SOAR kết hợp dữ liệu và cảnh báo từ các nền tảng tích hợp trong
toàn doanh nghiệp và đặt chúng ở một vị trí duy nhất nơi phản hồi tự động sau đó có
thể giải quyết các mối đe dọa và lỗ hổng bảo mật.
Tóm lược
Trong chương này, bạn đã làm quen với các công cụ và kỹ thuật được sử dụng trong đánh giá bảo
mật. Chương mở đầu với một phần về săn lùng mối đe dọa. Trong phần này, các chủ đề về tổng hợp
thông tin tình báo, nguồn cấp dữ liệu về mối đe dọa, lời khuyên và bản tin cũng như cách điều động
đã được đề cập. Phần tiếp theo bao gồm quét lỗ hổng bảo mật. Phần này bắt đầu với việc kiểm tra
dương tính giả và âm tính giả. Sau đó, đánh giá nhật ký được bao gồm, tiếp theo là quét được xác
thực so với không được xác thực và quét xâm nhập so với không xâm nhập. Việc kiểm tra các ứng
dụng, ứng dụng web và quét mạng cũng được cung cấp. Phần kết thúc bằng việc kiểm tra các hệ
thống Lỗ hổng và Phơi nhiễm Phổ biến (CVE – Common Vulnerabilities and Exposures) và Hệ thống
Chấm điểm Lỗ hổng Phổ biến (CVSS - Common Vulnerability Scoring System), cũng như đánh giá cấu
hình.
Phần tiếp theo đề cập đến nhật ký hệ thống và thông tin bảo mật và hệ thống quản lý sự kiện
(SIEM). Trong phần này, các chủ đề bao gồm báo cáo đánh giá, thu thập gói dữ liệu, đầu vào dữ liệu,
phân tích hành vi của người dùng và phân tích tình cảm. Các chủ đề về giám sát an ninh, tổng hợp
nhật ký và thu thập nhật ký đã hoàn thành phần này. Chương này khép lại với phân tích về các hệ
thống điều phối bảo mật, tự động hóa và phản hồi (SOAR – security orchestration, automation, and
response).