Threat Hunting – săn lùng những mối đe dọa không gian mạng

Threat Hunting

Threat Hunting hiện đang sử dụng những kỹ thuật tiên tiến Heuristic và quy tắc Yara luôn mang đến những giải pháp tối ưu giúp các doanh nghiệp cũng như tổ chức chống lại những mối đe dọa đang tồn tại trong không gian mạng. Vậy công cụ này là gì? Có tầm quan trọng như thế nào đối với doanh nghiệp? Tất cả sẽ được giải đáp trong bài viết dưới đây!

Threat Hunting

Công cụ Threat Hunting 

Threat Hunting là gì?

Threat Hunting có tên gọi tên gọi Tiếng Việt là săn lùng mối đe dọa. Đây là một công cụ chủ động tìm kiếm các mối đe dọa mạng luôn luôn rình rập nhưng chưa hề bị phát hiện trong không gian mạng. Với mục đích công kích vào hệ thống công nghệ thông tin của các doanh nghiệp.

Khác hẳn với tình báo an ninh mạng, săn lùng mối đe dạng chính là sự kết hợp tiên tiến giữa công nghệ AI, Machine Learning, phân tích lỗ hổng bảo mật. Để từ đó giúp các tổ chức doanh nghiệp chủ động bảo vệ các thiết bị đầu cuối. Đồng thời mang đến một giải pháp hoàn toàn mới để có thể ngăn chặn các mối đe dọa trên không gian mạng. 

McAfee đã phát hành mô hình Threat Defence Lifecycle với mục đích là tạo ra hệ thống tăng khả năng phòng vệ – Protect. Từ đó có thể nhanh chóng phát hiện ra các mối nguy, mã xấu xâm nhập vào hệ thống kể cả những mã xấu cấp cao – Detect để tìm ra giải pháp và ứng phó sửa chữa hệ thống một cách nhanh chóng, kịp thời. Tuy nhiên hệ thống cũng cần có khả năng tự học để có thể phù hợp với sự phát triển của những mối nguy và mã độc hại. 

Các tính năng nổi bật của Threat Hunting:

Phân tích hàng vi của người sử dụng – User Behaviour: vừa thu thập vừa phân tích log theo thời gian để nâng cao khả năng phát hiện cũng như tìm kiếm mối đe dọa nhanh chóng.

Phân tích hoạt động mạng: thu nhập, phân tích hàng loạt các hoạt động trên  hệ thống để dự đoán chính xác những hàng vi bất thường.

Threat Hunting

Săn lùng mối đe dọa không gian mạng 

Phát hiện mã độc: săn tìm những mối đe dọa liên quan đến mã độc để chủ động phòng thủ.

Threat Sonar EDR – Endpoint Detection & Response: phát hiện cũng như bảo vệ thiết bị đầu cuối, cập nhật cũng như tăng khả năng bảo mật. 

Các thành phần trong mô hình Threat Hunting

ePolicy Orchestrator – ePO: Hệ thống này sẽ cho phép quản lý, điều hành, giám sát và điều phối tất cả các hoạt động trên hệ thống. 

Dynamic Endpoint Security – ENS: Là giải pháp chống anti – malware cho điểm cuối, cùng phối hợp với nhiều tính năng bảo vệ mã độc hại trên nhiều kênh khác.

McAfee Active Response – MAR: Một giải pháp dò tìm và ứng cứu thường sẽ tập trung vào 3 yếu tố để có thể chống lại những mối đe dọa một cách hiệu quả nhất gồm: giám sát thường xuyên, tự động hóa, thích nghi được với sự phát triển của các mối đe dọa.

Advanced Threat Defense – ATD: hệ thống phân tích chuyên sâu, sandbox, để nghiên cứu và phát hiện ra những hiểm họa có độ tính vi cao.

Threat Intelligence Exchange – TIE: một nền tảng dự trữ, kết nối, trao đổi thông tin các mối hiểm họa với các thành phần khác trong hệ thống an ninh bảo mật căn cứ vào chuẩn mở Open DCL.

McAfee GTI là thành phần đánh giá danh tiếng truyền thông mạng căn  cứ vào danh tiếng của hàng tỷ địa chỉ IP, các tập tin , URL, các dữ liệu định vị trên toàn cầu…

Mức độ quan trọng của Threat Hunting – săn lùng mối đe dọa

Tấn công APT thông thường sẽ dùng các phương thức, công nghệ, mã chương trình chưa từng bị phát hiện bởi những công nghệ bảo mật truyền thống như: Firewall/NGFW, IPS, AntiVirus, AntiSpam… Sau khi đã xâm nhập thành công các mối nguy này sẽ ẩn mình trong hệ thống một khoảng thời gian dài. Từ đó phát triển một cách âm thâm bên trong hạ tầng và các hệ thống của doanh nghiệp, tổ chức. Với mục đích là khai thác,  đánh cắp thông tin  và thực hiện tấn công.

Threat Hunting

Giúp các doanh nghiệp ngăn chặn mã độc hại 

Tổ chức, doanh nghiệp thường sẽ rất khó để có thể phát hiện ra hệ thống đang bị APT tấn công. Bởi các công nghệ và giải pháp truyền thống vẫn có những giới hạn riêng. Với lại APT được thiết kế nhận biết và hạn chế các mối nguy hại căn cứ vào dấu hiệu nhận  biết và vi phạm, đánh giá uy tín. Và đây đều là những mối nguy đã biết và đã được công bố. Hoạt động một cách tinh vi tấn công APT cũng không hề có biểu hiện hay gây ra các vấn đề bất thường cho máy tính hoặc hệ thống đang dùng. 

Vấn đề hiện tại không phải hệ thống có bị xâm nhập hay không mà làm thế nào để không bị xâm hại. Với công nghệ tiên tiến, sự phát triển của các mã độc hệ thống hoàn toàn có thể bị xâm nhập bất cứ lúc nào. Theo thống kê, thời gian để tấn công hay xâm nhập vào một hệ thống chỉ tính bằng phút.

Vì thế, bài toán đặt ra cho đội ngũ bảo mật là làm sao để phát hiện các mã độc hại một cách nhanh chóng, kịp thời và hiệu quả nhất. Kể cả các mã độc hại cao cấp hay mới phát sinh, chưa nhận diện được và cũng chưa bị phát hiện. Ngăn chọn những hành vi, hoạt động xấu, bất thường trên từng máy chủ, máy trạm đồng thời săn tìm và phản ứng nhanh để hệ thống luôn sạch sẽ. 

Threat Hunting

Phát hiện các mối đe dọa nhanh chóng 

Kết luận

Trên đây là những thông tin chi tiết nhất về giải pháp Threat Hunting của McAfee. Một công cụ giúp các doanh nghiệp, tổ chức có thể phát hiện ra các mối đe dọa, mã độc một cách nhanh chóng đồng thời tăng thêm khả năng phòng vệ hệ thống.

Leave a Reply

Your email address will not be published. Required fields are marked *