8 Lý do tổ chức cần thông tin tình báo về mối đe dọa không gian mạng (Threat Intelligence)

Khi cả số lượng lẫn độ tinh vi của các cuộc tấn công mạng tiếp tục gia tăng, Harvard Business Review đã đưa ra lập luận ủng hộ phòng thủ dựa trên thông tin tình báo về mối đe dọa (threat-informed defense), mô tả nhu cầu về “tính minh bạch, độ chính xác và độ chuẩn xác cao hơn xung quanh cách chúng ta đối phó với các mối đe dọa tiềm ẩn” như một cách để duy trì an toàn trước rủi ro ngày càng tăng.

Tại KELA, chúng tôi cung cấp 100% thông tin tình báo thực, có thể hành động, kịp thời và theo ngữ cảnh về các mối đe dọa và tác nhân đe dọa, giúp các tổ chức giảm thiểu rủi ro bảo mật kỹ thuật số — nhưng loại thông tin tình báo về mối đe dọa không gian mạng (CTI) này trên thực tế tương đương với lợi ích kinh doanh hoặc giảm thiểu rủi ro như thế nào? Bài viết này xem xét tám ví dụ chính và cách chúng mang lại giá trị cho tổ chức của bạn.

Thông tin tình báo vềbềmặt tấn công (Attack Surface Intelligence)

CTI cung cấp một cái nhìn toàn diện về dấu vết kỹ thuật số của bất kỳ tổ chức nào dưới con mắt của những kẻ tấn công tiềm năng. Nó xác định các điểm xâm nhập không an toàn và các lỗ hổng trong các hệ thống có thể truy cập công khai mà có thể không rõ ràng thông qua các đánh giá nội bộ.

Tại KELA, khả năng Visual Reconnaissance của chúng tôi cung cấp cho các đội ngũ bảo mật một bức tranh chính xác và đầy đủ về các vấn đề mạng, bao gồm các tài sản hướng ra bên ngoài đang bị phơi bày trước các tác nhân đe dọa. CISO (Giám đốc An ninh Thông tin) sẽ được cảnh báo ngay lập tức về các điểm phơi bày hoặc cấu hình sai trong các tài sản kết nối internet, những yếu tố đang mở ra rủi ro trực tiếp cho doanh nghiệp.

Thông tin tình báo vềlỗ hổng (Vulnerability Intelligence)

Bằng cách điều tra, chủ động giám sát và báo cáo về các lỗ hổng mới và đang nổi lên, CTI bổ sung ngữ cảnh và thông tin chi tiết vào quy trình khắc phục và giảm thiểu. Thông tin tình báo này giúp các tổ chức ưu tiên các bản vá và biện pháp phòng thủ chống lại các lỗ hổng đang bị khai thác tích cực trong thực tế.

Điểm số và đánh giá lỗ hổng chính thức thường không tương đương với rủi ro thực tế của chính các lỗ hổng đó, khiến các đội ngũ bảo mật phải đối mặt với khoảng trống trong việc hiểu nên ưu tiên nguồn lực và nỗ lực ở đâu. Tại KELA, thông tin tình báo về lỗ hổng được tận dụng để hiểu các rủi ro, khai thác và bằng chứng khái niệm cụ thể cùng với tư duy thực sự của kẻ tấn công, hỗ trợ các tổ chức thu hẹp khoảng trống và ưu tiên những lỗ hổng nào quan trọng liên quan đến bối cảnh kinh doanh.

Giám sát rủi ro bên thứ ba và chuỗi cung ứng phần mềm (Third-Party Risk Monitoring and Software Supply Chain)

Một báo cáo gần đây tiết lộ rằng 98% tổ chức được kết nối với một bên thứ ba đã từng bị xâm phạm. Các loại mối đe dọa gián tiếp này khó có khả năng bị các giải pháp bảo mật truyền thống phát hiện, nhưng theo cùng một báo cáo, 29% các cuộc tấn công bắt nguồn từ các lỗ hổng của bên thứ ba.

CTI là yếu tố cần thiết cho việc quản lý rủi ro bên thứ ba, đánh giá các rủi ro liên quan đến các nhà cung cấp bên thứ ba và chuỗi cung ứng, đồng thời liên tục giám sát các lỗ hổng và các vụ xâm phạm của bên thứ ba. Bằng cách duy trì khả năng hiển thị hoàn toàn đối với tất cả các nhà cung cấp, bao gồm quyền truy cập ban đầu, các cuộc tấn công ransomware hoặc hoạt động của bot dẫn đến thông tin đăng nhập bị rò rỉ hoặc tài khoản bị xâm phạm, KELA cung cấp thông tin chi tiết về các mối đe dọa gián tiếp tiềm ẩn có thể ảnh hưởng đến tổ chức của bạn. Các tổ chức cũng có thể hưởng lợi từ điểm số dự đoán ước tính xác suất của một cuộc tấn công mạng, cùng với các mẹo để khắc phục.

Bảo vệ cấp điều hành (Executive Protection)

Nhiều cuộc tấn công ngày nay nhắm vào đỉnh cao của chuỗi thức ăn, nhận ra rằng thông tin đăng nhập của cấp C là chìa khóa vạn năng cho toàn bộ tổ chức. Khi một cuộc tấn công như Tấn công Lừa đảo Email Doanh nghiệp (Business Email Compromise – BEC) thành công, các tác nhân đe dọa có thể sử dụng những thông tin đăng nhập này để thiết lập chỗ đứng sâu hơn, giành quyền truy cập vào các tài sản quan trọng hoặc phát động các cuộc tấn công doxxing chống lại các cá nhân và doanh nghiệp.

CTI có thể xác định và hiểu một chiến dịch tấn công có chủ đích, ví dụ như các mối đe dọa dai dẳng nâng cao (Advanced Persistent Threats – APTs) nhắm vào một ngành hoặc tổ chức cụ thể, hoặc một cuộc tấn công spear-phishing nhắm vào một giám đốc điều hành cụ thể.

KELA theo dõi mọi đề cập đến VIP hoặc những người ra quyết định cấp điều hành trên toàn bộ hồ dữ liệu của mình và liên tục giám sát để phát hiện các đề cập đến tên, thông tin đăng nhập hoặc PII (Thông tin Nhận dạng Cá nhân) của các giám đốc điều hành trong một loạt dữ liệu thô rộng lớn. Cùng với các chiến thuật, kỹ thuật và quy trình (TTP) của các tác nhân đe dọa một cách chi tiết, các tổ chức có thể triển khai các biện pháp phòng thủ hiệu quả và phù hợp hơn chống lại rủi ro này.

Thông tin tình báo về thương hiệu (Brand Intelligence)

Khi các tác nhân đe dọa tận dụng thương hiệu và danh tiếng tốt của bạn để phát động một cuộc tấn công chống lại khách hàng của bạn, thường thì chính tổ chức của bạn phải trả giá. Các cuộc tấn công như typosquatting (chiếm đoạt tên miền tương tự) hoặc mạo danh thương hiệu xảy ra bên ngoài phạm vi bảo mật của riêng bạn, nhưng công chúng hiếm khi quan tâm đến việc nó nằm ngoài tầm kiểm soát của bạn khi email hoặc trang web lừa đảo họ có tên của bạn gắn liền.

CTI là một công cụ mạnh mẽ cho thông tin tình báo về thương hiệu, phát hiện tất cả các trường hợp sử dụng trái phép hoặc độc hại thương hiệu của bạn, bao gồm các tên miền giả mạo, URL lừa đảo và các tên miền typosquatting có thể làm tổn hại đến danh tiếng của bạn. KELA CTI xác định hành vi lạm dụng nội dung ở giai đoạn sớm nhất, bao gồm giám sát mọi đề cập đến tổ chức của bạn trong các cuộc tấn công của bên thứ ba, rò rỉ tài chính hoặc các vụ xâm phạm cơ sở dữ liệu.

Thông tin tình báo địa chính trị (Geopolitical Intelligence)

Khi sự bất ổn toàn cầu gia tăng, nhiều người đã gọi năm 2024 là năm của Hacktivist. Chủ nghĩa hacktivism đã tăng 27% vào năm 2023 và được kích hoạt bởi cả các nguyên nhân chính trị và xã hội. CTI có khả năng xem xét bối cảnh địa chính trị phức tạp và năng động để hỗ trợ các tổ chức dự đoán rủi ro của chủ nghĩa hacktivism, gián điệp và các hoạt động có động cơ chính trị khác, đồng thời giảm thiểu tác động của chúng, đặc biệt hữu ích cho những người làm việc trên các thị trường quốc tế.

KELA cung cấp cho những người ra quyết định một cách để luôn được thông báo dễ dàng, cung cấp cái nhìn tổng quan cấp cao ngay lập tức bằng cách sử dụng mô-đun Threat Landscape của mình, bao gồm các xu hướng bao trùm, các điểm nổi bật hàng ngày có mục tiêu và một nguồn cấp thông tin tình báo chi tiết, cho phép các tổ chức tiêu thụ các nguồn cấp thông tin tình báo kỹ thuật theo khu vực địa lý hoặc nguyên nhân. Trên hết, mô-đun Threat Actor của chúng tôi hợp nhất các persona trực tuyến thành một chế độ xem tập trung và thống nhất, vượt ra ngoài dữ liệu và bài đăng đã xuất bản để cung cấp sự hiểu biết rộng rãi về các đặc điểm của kẻ tấn công.

Thông tin tình báo về danh tính (Identity Intelligence)

Trong khi nhiều công cụ bảo mật bảo vệ chống lại các cuộc tấn công brute force hoặc các lỗ hổng mạng có thể cung cấp quyền truy cập, các cuộc tấn công mạng sử dụng thông tin đăng nhập người dùng hợp lệ đã tăng đột biến 71% vào năm 2023. CTI hoạt động chống lại rủi ro này theo nhiều cách, chủ động giám sát và phát hiện rò rỉ thông tin đăng nhập trên nhiều nền tảng khác nhau bao gồm cả dark web, và theo dõi việc mua bán và phân phối nhật ký infostealer — được thiết kế để thu thập thông tin đăng nhập và địa chỉ IP từ các hệ thống bị nhiễm.

Với khả năng tự động hóa thông minh các quy trình chính, KELA cung cấp chất lượng thông tin vượt trội, cùng với ngữ cảnh mà các tổ chức cần để ưu tiên nỗ lực của mình một cách thông minh. Nền tảng này hỗ trợ các đội ngũ bảo mật trong việc xác định các tài sản và thông tin đăng nhập tài khoản bị xâm phạm trước khi chúng có thể được sử dụng. Playbook và tích hợp có thể được sử dụng để tự động hóa các hành động khắc phục như đặt lại mật khẩu, cách ly và hơn thế nữa.

Phòng chống gian lận (Fraud Prevention)

Gian lận ảnh hưởng đến tính toàn vẹn tài chính và hoạt động của các tổ chức, và bao gồm một loạt các rủi ro bao gồm lừa đảo (phishing), gian lận ứng trước phí (advance-fee fraud), lừa đảo qua web và email (web and email scams), v.v. Thông tin Tình báo về Mối đe dọa Không gian mạng đóng vai trò quan trọng trong việc xác định các mẫu và chiến thuật liên quan đến các hoạt động gian lận.

Tại KELA, chúng tôi theo dõi và nghiên cứu gian lận bằng cách tận dụng dữ liệu thô và các cuộc thảo luận theo thời gian thực về TTP gian lận, khám phá các hình ảnh liên quan như séc hoặc ảnh chụp màn hình tài khoản, và thông tin từ danh sách thị trường thẻ tín dụng, trò chuyện trên Telegram và các bot tấn công tài sản của người tiêu dùng. Ngoài ra, Thông tin Tình báo về Danh tính cũng có thể được tận dụng để giám sát các tài khoản khách hàng bị xâm phạm, giảm rủi ro các tài khoản này bị sử dụng cho mục đích gian lận.