Trong thế giới bảo mật mạng, các kết quả dương tính giả (cảnh báo giả) là một trong những công thức lớn nhất đối với vương miện SOC. Các chuyên gia an ninh thường phải xử lý hàng cảnh cảnh báo mỗi ngày, trong đó phần lớn chỉ là “tiếng ồn”, không phải mối đe dọa thật. Nhưng liệu có thể đạt được tỷ lệ dưới 1% kết quả dương tính giả mà vẫn chưa phát hiện được những ổ thực sự nguy hiểm? Với ULTRA RED, đó không chỉ là ý tưởng — mà là tiêu chuẩn thực tế.
Chúng tôi cùng khám phá cách nhóm Red Team tại ULTRA RED do Eddie Zaltsman dẫn dắt đã làm điều đó.
Bước Tiến Quyết Định: Cơ Chế Runtime Validation
Eddie chia sẻ: máy quét truyền thống dựa nhiều vào kiểm tra tĩnh — dựa trên phiên bản, ký hiệu hoặc mẫu để phỏng đoán lỗi; Nhưng nó không xác thực liệu nó có khả thi hay không. Chính điều này tạo ra dương tính giả tràn lan.
Bước phát triển của ULTRA RED đến từ việc phát triển khai cơ chế “xác thực thời gian chạy” : thay vì chỉ đánh dấu các vấn đề tiềm năng, hệ thống thực thi kiểm tra trực tiếp trong quá trình quét để xác nhận xem ổ có thể khai thác thật hay không. Đây tương tự như việc bác sĩ không chỉ kết luận thảo luận “có bạn luyện kim” dựa trên triệu chứng, mà tiến hành chụp X-ray để xác nhận .
Làm Thế Ăn Trên Thực Tế?
Mẫu truyền thống của máy quét thường khớp với nhau rồi cảnh báo nếu có nghi ngờ rằng ổ có thật. Còn ULTRA RED thì khác:
- Với SQL SQL , không chỉ đưa ra tải trọng ngẫu nhiên và hy vọng có phản hồi, mà hệ thống tạo đầu vào có hành vi xác định; sau đó được xác nhận bằng cách đo thời gian, logic hay phản hồi bất ngờ.
- Tương tự với XSS, RCE hay nhiều vectơ khác, mỗi trường hợp đều có logic xác thực riêng . Nếu không thể xác định được, cảnh báo sẽ bị loại bỏ ngay từ đầu.
Kết quả là các phát hiện không chính xác , mà vẫn có độ tin cậy cao và hoạt động dễ dàng .
Động Cơ Đằng Sau Engine Phát triển của ULTRA RED
ULTRA RED không có cơ chế xác thực duy nhất — toàn bộ công cụ của họ được xây dựng dựa trên một số nguyên tắc cơ bản:
- Thu thập thông tin theo ngữ cảnh : Không quét chậm các liên kết – hệ thống mô phỏng tương tác như người dùng, hiểu động thái trong các ứng dụng một trang, phương thức, giao diện DOM và API/WebSocket để xây dựng tải trọng linh hoạt và sâu hơn.
- Adaptive Payload Mutation : Khi payload bị chặn (ví dụ bởi WAF), hệ thống không dừng – mà tự điều chỉnh, biến đổi payload dựa trên phản hồi để đạt được chế độ bảo vệ.
- Xác thực bằng chứng khai thác : Mỗi cảnh báo được xác nhận kèm theo bằng chứng “bằng chứng” — an toàn, có thể tái tạo, để hỗ trợ giải quyết ưu tiên.
Tổng Kết
Thay vì chấp nhận sự mệt mỏi từ hàng dệt sai tích cực, ULTRA RED đã:
- Xây dựng cơ chế xác thực trực tiếp (xác thực thời gian chạy) để duy trì cảnh báo thực sự.
- Triển khai công cụ thông minh với khả năng tương tác, thích hợp với tải trọng và khả năng khai thác.
- Thiết lập tiêu chuẩn mới: dưới 1% sai sót , giúp nhóm SOC định hướng hiệu quả xử lý, giảm tải công việc và nâng cao độ chính xác.
Giải pháp cung cấp thông tin của hãng :
Unitas là nhà phân phối ủy quyền tại Việt Nam của các công ty công nghệ nghệ thuật: Commvault, ExaGrid, VergeIO, Nexsan, DDN, Tintri, MinIO, LogicMonitor, Netgain, Kela, UltraRed, Sling, Quokka, An toàn, Hackuity, Cyabra, Cymetrics, ThreatDown, F-Secure, OutSystems, Micas Networks ….
Liên hệ Unitas ngay hôm nay để được tư vấn chi tiết!