TÌM HIỂU SỰ KHÁC NHAU GIỮA THREAT HUNTING vs THREAT DETECTION.

Càng ngày, các công ty càng nhận thức được tầm quan trọng của việc xây dựng khả năng phát hiện và săn lùng mối đe dọa để tránh khiến doanh nghiệp của họ gặp rủi ro. Hơn bao giờ hết, khi nói đến việc vừa bảo vệ an ninh mạng doanh nghiệp vừa cung cấp các giải pháp và dịch vụ bảo mật CNTT hiệu quả, các tổ chức và MSP không còn có thể hành động đơn giản khi các cuộc tấn công mạng xảy ra mà còn rất lâu trước khi chúng gây ra mối đe dọa.

Với sự chuyển đổi toàn cầu sang làm việc từ xa và học tập trực tuyến, những lo ngại về việc lựa chọn giải pháp an ninh mạng phù hợp và sự gia tăng tổng thể của các cuộc tấn công đã khiến an ninh mạng trở thành một vấn đề ngày càng nghiêm trọng và một với những yêu cầu mới. Cách tiếp cận mong muốn là chủ động, không chỉ giới hạn ở việc ngăn chặn các mối đe dọa đã biết mà còn nghiên cứu các chiến thuật mới của tội phạm mạng có ý định kiểm soát an ninh của bạn. Điều này có nghĩa là việc phát hiện mối đe dọa truyền thống được kết hợp với hoạt động chủ động săn lùng hoặc săn lùng mối đe dọa như một xu hướng ngày càng cần thiết trong an ninh mạng doanh nghiệp.

1.Threat Hunting là gì?

Săn lùng mối đe dọa (Threat Hunting) đề cập đến việc tìm kiếm các mối đe dọa trước khi chúng tấn công mạng, hệ thống và thiết bị của bạn. Một số mối đe dọa nâng cao, như phần mềm độc hại không cần tệp, có thể xâm nhập thành công các lớp bảo mật mà không bị phát hiện.

Săn lùng mối đe dọa là một cách tiếp cận chủ động để ngăn chặn mối đe dọa, trong đó những người săn mối đe dọa tìm kiếm những điểm bất thường có thể là mối đe dọa mạng ẩn nấp trong hệ thống của bạn mà không bị phát hiện. Kết hợp với thông tin về mối đe dọa, việc săn lùng cho phép các tổ chức:

+ Hiểu rõ hơn về bề mặt tấn công.

+ Phát hiện tội phạm mạng càng sớm càng tốt, trước khi chúng xâm phạm hệ thống.

Ngày nay có một số phương pháp săn lùng mối đe dọa: phương pháp tiếp cận dựa trên giả thuyết, học máy, dựa trên AI và dựa trên IoC và IoA. Việc săn lùng mối đe dọa thường bắt đầu bằng các hoạt động kích hoạt hoạt động độc hại và tiến hành các giai đoạn điều tra và giải quyết. Các bước này sử dụng một số công cụ và công nghệ, như:

+ Các công cụ phát hiện nâng cao cho thấy hoạt động độc hại

+ Công cụ phát hiện và phản hồi điểm cuối (EDR)

2. Threat Detection là gì?

Phát hiện mối đe dọa (Threat Detection) là quá trình xác định các mối đe dọa trong một tổ chức đang tích cực cố gắng tấn công các điểm cuối, mạng, thiết bị và hệ thống.

Không giống như săn lùng mối đe dọa, phát hiện mối đe dọa là một cách tiếp cận phản ứng: cơ chế giảm thiểu mối đe dọa chỉ kích hoạt khi hệ thống bảo mật của tổ chức nhận được cảnh báo về các vi phạm bảo mật tiềm ẩn. Nó sử dụng các công cụ giám sát hệ thống và mạng tự động có thể phát hiện hoạt động độc hại và các kiểu hành vi liên quan đến phần mềm độc hại.

Sau khi phát hiện mối đe dọa, các nhóm bảo mật có thể phân tích sâu hơn để tìm ra tác động của nó đối với tổ chức và thực hiện các biện pháp bảo mật cần thiết để loại bỏ chúng. Giống như săn lùng mối đe dọa, có một số kỹ thuật để phát hiện mối đe dọa, chẳng hạn như:

+ Thông tin về mối đe dọa

+ Phần mềm diệt virus

+ Hệ thống phát hiện và phản hồi điểm cuối (EDR)

+ Hệ thống phát hiện xâm nhập (IDS)

+ Hệ thống ngăn chặn xâm nhập (IPS)

3. Threat Hunting vs Threat Detection: Sự khác biệt chính

Mặc dù cả hai cách tiếp cận đều có vẻ giống nhau nhưng có những khác biệt lớn giúp phân biệt các cách tiếp cận này. Hãy cùng tìm hiểu những khác biệt này.

3.1 Các phương pháp xác định mối đe dọa

Săn lùng mối đe dọa là một cách tiếp cận chủ động, trong khi phát hiện mối đe dọa là một cách tiếp cận tích cực. Điều đó có nghĩa là những kẻ săn mối đe dọa không dựa vào các kiểu tấn công đã biết hoặc đợi cho đến khi xảy ra cảnh báo bảo mật về khả năng vi phạm dữ liệu. Thay vào đó, họ tìm kiếm các mẫu mối đe dọa thường không được các công cụ bảo mật thông thường phát hiện được. Cách tiếp cận chủ động này để xác định mối đe dọa cho phép người săn mối đe dọa phát hiện các mối đe dọa trước khi chúng tấn công hệ thống của bạn.

Mặt khác, việc phát hiện mối đe dọa dựa vào các kiểu tấn công đã biết trước đó và hành vi của người dùng. Ví dụ:

+ Phần mềm chống vi-rút có thể sử dụng chữ ký và chẩn đoán phần mềm độc hại để phát hiện các mối đe dọa tiềm ẩn trong khi chủ động giám sát hệ thống.

+ Phát hiện mối đe dọa bằng Phân tích hành vi người dùng (User Behavior Analytics-UBA) có thể phân tích nhật ký và tìm các mẫu lưu lượng truy cập bất thường khác với các mẫu lưu lượng truy cập đã biết.

3.2 Bộ công cụ khác nhau

So với việc săn lùng mối đe dọa, tính năng phát hiện mối đe dọa sử dụng các công cụ bảo mật tự động như IDS, IPS, EDR, quét bảo mật tự động của phần mềm chống vi-rút, v.v. Phần mềm này so sánh các loại phần mềm độc hại đã biết với hành vi độc hại tiềm ẩn hoặc lưu lượng truy cập mạng đến. Các công cụ phát hiện mối đe dọa phức tạp hơn cũng có thể sử dụng mô hình AI và ML để xác định các mối đe dọa mới.

Mặt khác, thợ săn cũng sử dụng một số công cụ tương tự nhưng họ thường trang bị nhiều công cụ hơn trong kho vũ khí của mình. Những kẻ săn mối đe dọa có thể sử dụng dữ liệu từ các công cụ chuyên dụng, như:

+ Phần mềm quản lý sự kiện và thông tin bảo mật (SIEM)

+ Công cụ Phát hiện và Phản hồi được Quản lý (MDR)

+ Phân tích gói tin, v.v.

Thợ săn cũng có thể thử các kỹ thuật AI và ML cũng như kỹ thuật điều tra thủ công. Trong khi sử dụng các công cụ tự động, những kẻ săn mối đe dọa sử dụng các kỹ thuật thủ công và tùy chỉnh như phân tích lưu lượng truy cập mạng và nhật ký cũng như quét lỗ hổng thủ công để tìm ra hoạt động đáng ngờ.

3.3 Yêu cầu kinh nghiệm, kỹ năng, kiến ​​thức.

Trình phát hiện mối đe dọa thường yêu cầu ít kinh nghiệm hơn vì chúng thường giám sát các cảnh báo bảo mật do phần mềm hệ thống giám sát khác nhau tạo ra. Họ được yêu cầu phải được đào tạo để xác định các kiểu tấn công phổ biến nhất. Khi nói đến việc săn lùng mối đe dọa, kiến ​​thức và kỹ năng chuyên môn sẽ được yêu cầu để xác định các mẫu mối đe dọa đã vượt qua các cơ chế bảo mật. Họ không thể chỉ thực hiện phân tích về các mẫu mối đe dọa đã biết, họ sẽ không tìm thấy bất kỳ điều gì mới theo cách này.

Những người săn mối đe dọa cần biết cách phân tích các nhật ký khác nhau, chẳng hạn như nhật ký truy cập, máy chủ lỗi, thiết bị bảo mật và nhật ký mạng. Họ có thể cần phải suy nghĩ giống như tin tặc để xác định các cuộc tấn công mới nổi có thể xâm chiếm ngay cả các hệ thống bảo mật hiện đại cũng như các chiến thuật, kỹ thuật và quy trình (TTP) của kẻ tấn công. Kiến thức và kỹ năng chuyên môn như vậy khiến những thợ săn mối đe dọa không thể thay thế được đối với bất kỳ công ty nào và do đó, có nhu cầu cao hơn.

3.4 Cách tiếp cận sáng tạo

Mặc dù cơ sở phát hiện mối đe dọa là những sai lệch so với các hành vi tấn công đã biết, nhưng nguồn cảm hứng cho việc săn lùng mối đe dọa bắt nguồn từ các hoạt động đáng ngờ và tạo ra các giả thuyết xung quanh chúng. Nhìn chung, chúng ta có thể nói rằng việc săn lùng mối đe dọa mang tính sáng tạo và có tư duy tiến bộ hơn, gợi ra các tình huống tiềm ẩn khác nhau và đảo ngược kỹ thuật chúng để xác định các mối đe dọa tiềm ẩn có thể gây hại cho tổ chức.