Từ việc tiếp nhận các Indicators of Compromise (IoC) và nguồn dữ liệu threat intelligence đến việc xây dựng các nhóm tích hợp hoàn chỉnh để thực hiện điều tra quy mô lớn và săn tìm mối đe dọa, Cyber Threat Intelligence – CTI đóng vai trò quan trọng trong một tổ chức.

Các chuyên viên phân tích tình báo mối đe dọa cung cấp thông tin chuyên sâu có thể hành động, giúp các nhóm CTI đưa ra quyết định chính xác và nâng cao khả năng bảo mật của tổ chức một cách hiệu quả.

Nếu không có các chuyên viên phân tích tình báo mối đe dọa, tổ chức thường rơi vào tình trạng bị động, chỉ xử lý sự cố sau khi chúng xảy ra thay vì ngăn chặn trước một cách chủ động hoặc tấn công phòng vệ. Ngược lại, khi có thông tin tình báo phù hợp, khả năng chống lại các cuộc tấn công mạng sẽ trở nên dễ dàng hơn rất nhiều.

Công việc của Threat Intelligence Analyst

Threat Intelligence Analyst chịu trách nhiệm xem xét và phân tích tất cả các mối đe dọa bên ngoài nhắm vào công ty của họ. Họ theo dõi bối cảnh mối đe dọa — bao gồm giám sát các diễn đàn tội phạm mạng, blog ransomware, chợ tự động, thị trường bot, các kho dữ liệu bị rò rỉ, và các kênh Telegram. Họ tìm kiếm intellectual data bị rò rỉ và rao bán trên dark web, phân tích dữ liệu mối đe dọa bằng cách tổng hợp thông tin từ các nguồn mở, deep web và dark web, sau đó chuyển đổi dữ liệu thô này thành các khuyến nghị dành cho đội ngũ bảo mật rộng hơn.

Ngoài ra, các chuyên viên còn chủ động săn tìm mối đe dọa, xác định rủi ro trước khi chúng leo thang thành các cuộc tấn công mạng. Họ cũng thường chịu trách nhiệm về các yếu tố nâng cao nhận thức an ninh, giúp nhân viên hiểu rõ các hành động cần thực hiện. Trong các doanh nghiệp lớn với đội ngũ chuyên gia tình báo mối đe dọa cấp cao, họ có thể thực hiện việc lập hồ sơ đối tượg tấn công, với hiểu biết sâu sắc về Tactics, Techniques and Procedures (TTPs) của nhiều nhóm tấn công khác nhau. Và đôi khi, tùy vào từng ngày làm việc, họ cũng có thể dành thời gian nghỉ trưa.

Kỹ năng mà một Threat Intelligence Analyst cần có

Để hiểu được tác động của thông tin tình báo mà họ nhận được, các Threat Intelligence Analyst cần có kiến thức cơ bản về an ninh mạng. Nhiều chuyên viên trong lĩnh vực này có nền tảng về khoa học máy tính, bảo mật thông tin hoặc kỹ thuật mạng, nhưng con đường vào nghề không phải lúc nào cũng giống nhau. Điều quan trọng là phải có nền tảng vững chắc trong công nghệ thông tin và an ninh mạng, vì bạn cần hiểu được tác động của thông tin mình nhận được.

Một người bình thường có thể nghĩ rằng việc kẻ tội phạm đánh cắp mật khẩu email của bạn chỉ có nghĩa là kẻ tấn công sẽ đọc những cập nhật hàng tháng từ người bạn cùng phòng ở trường đại học. Tuy nhiên, một chuyên viên phân tích tình báo mối đe dọa có kinh nghiệm nhận ra rằng những thông tin đăng nhập này có thể cho phép truy cập vào một mạng lưới để thực hiện một cuộc tấn công mạng phức tạp, bao gồm chuyển động ngang, Mối đe dọa liên tục và nâng cao (APT), ransomware và nhiều hơn nữa. Chỉ những người có nền tảng kỹ thuật và hiểu biết về tác động và giảm thiểu mối đe dọa mới có thể hiểu rằng dù một mật khẩu đã hết hạn, điều đó không loại bỏ nguy cơ. Với mật khẩu cũ, kẻ tấn công vẫn có thể tạo ra các trò lừa đảo xã hội hoặc phishing để truy cập vào tài khoản đang hoạt động.

Ngoài nền tảng về an ninh mạng, các chuyên viên phân tích tình báo mối đe dọa cần có:

• Kỹ năng phân tích và giao tiếp: Khả năng xử lý và giải thích lượng dữ liệu kỹ thuật khổng lồ từ nhiều nguồn khác nhau, và chuyển các phát hiện thành ngôn ngữ dễ hiểu cho những người không chuyên.
• Kiến thức về các lĩnh vực bảo mật: Cụ thể là phòng ngừa mất mát dữ liệu, mạng, bảo mật thiết bị đầu cuối và EDR, cùng với hiểu biết tổng quát về quyền riêng tư và tuân thủ sẽ rất cần thiết.
• Nhận thức về bối cảnh mạng: Các chuyên viên phân tích tình báo mối đe dọa cần phải hiểu được các xu hướng địa phương, toàn cầu, ngành nghề và chính trị quốc tế khi chúng phát triển. Các nền tảng vững chắc sẽ cung cấp thông tin thời gian thực, cũng như dữ liệu lịch sử, ngay cả khi thông tin đã bị xóa.

Tác động thực tế của Threat Intelligence Analysts

Mỗi ngày, threat intelligence analysts làm việc để đảm bảo rằng các tổ chức, ngành công nghiệp và cộng đồng trở nên an toàn hơn và có khả năng chống lại các tác nhân đe dọa tốt hơn. Dưới đây là một số ví dụ thực tế minh họa phạm vi mà tình báo mối đe dọa có thể đạt được.

Ngăn chặn các cuộc tấn công ransomware

Một khu học chánh tại Hoa Kỳ, chịu trách nhiệm cho hơn 180.000 học sinh, đã sử dụng sự hỗ trợ từ các chuyên gia phân tích của KELA để xác định các tài khoản bị xâm phạm liên quan đến miền của họ, đang được rao bán trên các thị trường ngầm ngay từ giai đoạn đầu. Nhờ phát hiện sớm, khu học chánh đã có thể mua lại các tệp bot và tránh được một cuộc tấn công ransomware.

Dù không thể tránh khỏi việc trở thành mục tiêu, nhưng thông tin tình báo theo thời gian thực có thể tạo ra sự khác biệt lớn. Trong một trường hợp khác, một khách hàng đã tích hợp nền tảng threat intelligence với Active Directory, giúp họ nhanh chóng xác minh tính hợp lệ của mật khẩu bị rò rỉ từ một infostealer và buộc phải đặt lại mật khẩu để giảm thiểu rủi ro.

Đảm bảo tuân thủ quy định và giảm thiểu rủi ro từ bên thứ ba

Một trong những thách thức đối với threat intelligence analysts là quản lý rủi ro từ bên thứ ba (Third-Party Risk Management – TPRM) trong khi vẫn đảm bảo các yêu cầu về quyền riêng tư và tuân thủ. Chuỗi cung ứng phức tạp ngày nay tạo điều kiện cho kẻ tấn công xâm nhập từ một nhà cung cấp đến nhiều khách hàng. Để giải quyết vấn đề này, việc quét thụ động từ một nền tảng threat intelligence như KELA giúp các chuyên viên truy cập vào hệ thống chấm điểm rủi ro dự đoán bằng AI cho từng nhà cung cấp, giúp họ đánh giá mức độ đe dọa mà không tiết lộ bất kỳ thông tin được bảo vệ nào.

Ngăn chặn gian lận

Bằng cách theo dõi các diễn đàn tội phạm mạng, các kênh Telegram và nhiều nguồn trên deep web, dark web để phát hiện các tài sản của tổ chức, threat intelligence analysts có thể giúp ngăn chặn một cuộc tấn công trước khi nó leo thang. Trong một trường hợp, các chuyên viên phát hiện hình ảnh của một tấm séc có chữ ký của một sĩ quan cảnh sát khi giám sát cho một cơ quan thực thi pháp luật tại Hoa Kỳ.

Tấm séc này, bị đánh cắp từ một hòm thư địa phương, chứa thông tin tài khoản ngân hàng của sĩ quan, cho phép kẻ tấn công tiềm năng đánh cắp tiền. Chữ ký trên séc cũng có thể bị giả mạo và bán lại cho các đối tượng xấu khác.

Nhờ phát hiện kịp thời, mối đe dọa này đã được ngăn chặn, nhưng không chỉ vậy — nó còn giúp Dịch vụ Bưu điện Hoa Kỳ đưa ra cảnh báo cho công chúng về hành vi này. Chắc hẳn năm đó, nhiều bà ngoại đã cẩn thận hơn khi gửi tiền trong thiệp Giáng sinh!

Ứng phó sự cố trong một cuộc tấn công

Một công ty dịch vụ tài chính tại Nhật Bản đã hưởng lợi từ dịch vụ threat intelligence của KELA khi 30.000 số thẻ tín dụng bị rao bán trong một nhóm Telegram, trong đó 188 thẻ vẫn còn hoạt động. Bằng cách xác định chính xác số thẻ bị rò rỉ, công ty đã ngăn chặn thiệt hại hơn 750.000 USD do gian lận thẻ tín dụng.

Tuy nhiên, đôi khi thông tin đã bị đánh cắp trước khi tổ chức có thể phản ứng. Một khách hàng trong ngành viễn thông đã cố gắng mua lại các tệp bot liên quan đến tài khoản bị xâm nhập, nhưng phát hiện chúng đã bị xóa. Điều này có thể là dấu hiệu cho thấy các tệp đã được mua bởi tội phạm mạng.

KELA đã hợp tác với threat intelligence analysts của công ty để truy vết một cựu nhân viên thông qua các URL nhiễm malware, một tài khoản WordPress liên quan và cuối cùng là một hồ sơ LinkedIn. Bằng cách vô hiệu hóa thông tin đăng nhập của cựu nhân viên, công ty đã giảm thiểu được mối đe dọa, đồng thời tiếp tục giám sát để ngăn chặn rủi ro trong tương lai.

Những thách thức mà Threat Intelligence Analysts phải đối mặt

Làm việc với vai trò threat intelligence analyst đòi hỏi nhiều công sức. Các nhóm phân tích thường gặp khó khăn với lượng thông tin khổng lồ và cách lọc bỏ nhiễu để chỉ tập trung vào những dữ liệu tình báo có thể hành động.

Các mối đe dọa liên tục thay đổi, và những kẻ tấn công không ngừng điều chỉnh Tactics, Techniques, and Procedures (TTPs) của chúng để tránh bị phát hiện, đặc biệt là khi các chính phủ ngày càng siết chặt các biện pháp trừng phạt, bao gồm cả án phạt nặng và tù giam. Phạm vi công việc của threat intelligence analyst cũng ngày càng mở rộng khi các mô hình kinh doanh mới trong lĩnh vực tội phạm mạng trở nên phổ biến, chẳng hạn như Ransomware-as-a-Service (RaaS), mua bán các kho dữ liệu đăng nhập, hoặc cho thuê quyền truy cập vào nền tảng theo mô hình đăng ký. Các chuyên viên không chỉ cần hiểu những mô hình này mà còn phải thích nghi với bối cảnh tổ chức đang thay đổi — trả lời các câu hỏi như: Thế nào là tài sản trí tuệ? Các cuộc tấn công lừa đảo có thể được thực hiện ở đâu? AI sẽ thay đổi cục diện ra sao?

Dù các cuộc tấn công ngày càng tinh vi, hầu hết tổ chức vẫn phải cân bằng nhiều ưu tiên khác nhau và làm việc với nguồn lực có hạn. Điều này có nghĩa là threat intelligence analysts liên tục phải đưa ra quyết định về việc phân bổ nguồn lực sao cho đạt hiệu quả cao nhất. Hợp tác là yếu tố then chốt để đạt kết quả tốt, nhưng việc đảm bảo sự đồng thuận giữa các nhóm kỹ thuật và ban lãnh đạo cấp cao (C-suite) không phải lúc nào cũng dễ dàng.

Tinh gọn công việc của Threat Intelligence Analysts với KELA’s Intelligence Operations

KELA’s Intelligence Operations bao gồm một đội ngũ chuyên gia tình báo mạng tận tâm, cam kết tối ưu hóa thành công của khách hàng trong lĩnh vực an ninh mạng bằng cách cung cấp hỗ trợ toàn diện, được điều chỉnh phù hợp với từng nhu cầu và thách thức cụ thể.

Với nền tảng công nghệ tiên tiến và kinh nghiệm dày dặn, đội ngũ của chúng tôi đóng vai trò như một phần mở rộng của nhóm khách hàng, cung cấp các công cụ, thông tin chuyên sâu và chiến lược cần thiết để đón đầu các mối đe dọa mới và điều hướng môi trường không gian mạng một cách tự tin.

Thông tin hãng cung cấp giải pháp

Unitas là nhà phân phối ủy quyền tại Việt Nam của các hãng công nghệ lớn của thế giới: Commvault, ExaGrid, VergeIO, Nexsan, DDN, Tintri, MinIO, LogicMonitor, Netgain, Kela, UltraRed, Quokka, Safous, Hackuity, Cyabra, Cymetrics, ThreatDown, F-Secure, OutSystems, Micas Networks …