Indicators of Compromise là gì? 

Chia sẻ kiến thức 30/12/2021

Indicators of Compromise (dấu hiệu về lỗ hổng trong hệ thống) cung cấp manh mối và bằng chứng về việc rò rỉ dữ liệu. Hãy cùng FUNiX tìm hiểu về tầm quan trọng của việc giám sát chúng và bốn công cụ có thể trợ giúp.

Indicators of Compromise (IoC) là những manh mối, bằng chứng có thể giúp tìm ra những sự cớ rò rỉ dữ liệu phức tạp ngày nay.

IoC có giá trị nhất với các chuyên gia an ninh mạng khi họ cố gắng giải quyết các cuộc tấn công mạng, hoạt động phá hoại hoặc phần mềm độc hại (malware) xâm nhập. Bằng cách theo dõi các IoC, việc rò rỉ dữ liệu có thể sớm được phát hiện và mức độ thiệt hại của các cuộc tấn công được hạn chế.

Tại sao cần theo dõi các Indicators of Compromise?

IoC đóng một vai trò không thể thiếu trong phân tích an ninh mạng. Chúng không chỉ giúp xác nhận rằng một cuộc tấn công bảo mật đã xảy ra mà còn tiết lộ các công cụ đã được sử dụng để thực hiện cuộc tấn công.

Chúng cũng hữu ích trong việc xác định mức độ thiệt hại mà cuộc tấn công gây ra và hỗ trợ thiết lập các tiêu chuẩn để ngăn chặn các tình huống tương tự trong tương lai.

Các IoC thường được thu thập thông qua các giải pháp bảo mật thông thường như phần mềm chống vi-rút và phần mềm độc hại nhưng một số công cụ dựa trên AI cũng có thể được sử dụng để thu thập các chỉ số này.

Ví dụ về các Indicators of Compromise

Bằng cách phát hiện các hoạt động bất thường, IoC có thể giúp đánh giá xem liệu một cuộc tấn công có sắp xảy ra không, hay nó đã xảy ra và các yếu tố đằng sau đó. 

Dưới đây là một số ví dụ về IOC mà mọi cá nhân và tổ chức nên theo dõi: 

Bất thường về lưu lượng truy cập vào ra 

Mục tiêu cuối cùng của hầu hết các cuộc tấn công mạng là nắm giữ dữ liệu nhạy cảm và chuyển dữ liệu đó đến một vị trí khác. Do đó, bắt buộc phải theo dõi các lưu lượng truy cập (traffic) bất thường, đặc biệt truy cập ra (outgoing traffic).

Đồng thời, những thay đổi trong lưu lượng truy cập vào (incoming traffic) cũng cần được quan sát vì chúng là những dấu hiệu tốt cho thấy một cuộc tấn công đang diễn ra. Cách tiếp cận hiệu quả nhất là theo dõi nhất quán cả lưu lượng truy cập vào và ra để tìm các điểm bất thường.

Bất thường về địa lý

Nếu bạn điều hành một doanh nghiệp hoặc làm việc cho một công ty giới hạn ở một địa điểm nhất định nhưng đột nhiên thấy các hoạt động đăng nhập từ các vị trí không xác định, đó là một dấu hiệu báo động.

Địa chỉ IP là ví dụ tuyệt vời của IoC vì chúng cung cấp các bằng chứng hữu ích để truy tìm nguồn gốc địa lý của một cuộc tấn công.

Hoạt động của người dùng có đặc quyền cao

Các tài khoản đặc quyền có mức độ truy cập cao nhất. Tin tặc luôn muốn theo dõi các tài khoản này để có được quyền truy cập ổn định vào bên trong hệ thống. Do đó, bất kỳ thay đổi bất thường nào trong hoạt động của tài khoản người dùng có đặc quyền cao cần được theo dõi cẩn thận.

Nếu một người dùng có đặc quyền đang sử dụng tài khoản của họ từ một vị trí và thời gian bất thường, thì đó chắc chắn là một dấu hiệu hệ thống bị xâm nhập. Tốt nhất là khi thiết lập tài khoản luôn tuân theo Nguyên tắc Ít Đặc quyền nhất (Principle of Least Privilege) – chỉ phân bổ các đặc quyền tối thiểu cho bất kỳ thực thể nào, bao gồm người dùng, chương trình hoặc quy trình.

Số lần đọc cơ sở dữ liệu (database read) gia tăng

Cơ sở dữ liệu luôn là mục tiêu hàng đầu của các tác nhân đe dọa vì hầu hết dữ liệu cá nhân và tổ chức được lưu trữ ở định dạng cơ sở dữ liệu.

Nếu bạn thấy khối lượng đọc cơ sở dữ liệu tăng lên thì hãy để ý vì đó có thể là kẻ tấn công đang cố gắng xâm nhập vào hệ thống của bạn.

Tỷ lệ cố gắng xác thực cao

Nếu bạn thấy một số lượng lớn các lần đăng nhập từ một tài khoản hiện có hoặc các lần thử không thành công từ một tài khoản không tồn tại, thì rất có thể đó là một cuộc tấn công đang xảy ra. 

Thay đổi cấu hình bất thường

Nếu bạn nghi ngờ cấu hình (Configuration) trên tệp, máy chủ hoặc thiết bị của mình bị thay đổi, rất có thể ai đó đang cố gắng xâm nhập vào mạng của bạn.

Các thay đổi về cấu hình không chỉ tạo cửa sau thứ hai cho các tác nhân đe dọa mà còn khiến hệ thống của bạn dễ bị tấn công bởi phần mềm độc hại.

Dấu hiệu của các cuộc tấn công DDoS

Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service) hoặc tấn công DDoS chủ yếu được thực hiện để làm gián đoạn luồng lưu lượng truy cập bình thường của mạng bằng cách “làm lụt” mạng đó với một lượng truy cập internet lớn.

Do đó, không có gì lạ khi các cuộc tấn công DDoS thường xuyên được thực hiện bởi các botnet* để đánh lạc hướng khỏi các cuộc tấn công thứ cấp và nên được coi như một IoC.

* botnet: một tập hợp các robot phần mềm hoặc các con bot hoạt động một cách tự chủ.

Các công cụ giúp giám sát Indicators of Compromise

Có thể phát hiện và giám sát IoC bằng cách săn tìm mối đe dọa (threat hunting). Log aggregator* có thể được sử dụng để theo dõi nhật ký của bạn để tìm sự khác biệt và một khi chúng cảnh báo về sự bất thường, thì bạn nên coi chúng như một IoC.

*Log aggregator: tổng hợp toàn bộ log hệ thống, log ứng dụng, log dịch vụ lại theo cùng một định dạng dễ đọc

Sau khi một IoC được phân tích, bạn phải luôn thêm nó vào danh sách chặn để ngăn chặn sự lây nhiễm trong tương lai từ các yếu tố như địa chỉ IP, băm bảo mật (security hashes) hoặc tên miền.

Ba công cụ sau đây có thể hỗ trợ xác định và giám sát các IoC. Xin lưu ý rằng hầu hết các công cụ này đều có phiên bản cộng đồng cũng như đăng ký trả phí.

  1. CrowdStrike

CrowdStrike là một công ty ngăn chặn rò rỉ bảo mật bằng cách cung cấp các tùy chọn bảo mật điểm cuối (endpoint security options) dựa trên đám mây hàng đầu.

Nó cung cấp nền tảng API truy vấn Falcon (Falcon Query API) với tính năng cho phép bạn truy xuất, tải lên, cập nhật, tìm kiếm và xóa các (IOC) mà bạn muốn CrowdStrike theo dõi.

  1. Sumo Logic

Sumo Logic là một tổ chức phân tích dữ liệu dựa trên đám mây, tập trung vào các hoạt động bảo mật. Công ty cung cấp dịch vụ quản lý log sử dụng dữ liệu lớn do máy tạo ra (machine-generated big data) để phân tích theo thời gian thực.

Bằng cách sử dụng nền tảng Sumo Logic, các doanh nghiệp và cá nhân có thể thực thi các cấu hình bảo mật cho môi trường đa đám mây và hỗn hợp, đồng thời nhanh chóng phản ứng với các mối đe dọa bằng cách phát hiện IoC.

  1. Akamai Bot Manager

Bots rất hiệu quả để tự động hóa một số tác vụ nhưng chúng cũng có thể được sử dụng trong việc chiếm đoạt tài khoản, các mối đe dọa bảo mật và các cuộc tấn công DDoS.

Akamai Technologies, Inc. là một mạng phân phối nội dung toàn cầu, cũng cung cấp một công cụ được gọi là Trình quản lý Bot (Bot Manager), cung cấp khả năng phát hiện bot nâng cao để tìm và ngăn chặn các cuộc tấn công bot tinh vi nhất.

Bằng cách cung cấp khả năng hiển thị chi tiết về lưu lượng bot đi vào mạng của bạn, Trình quản lý bot giúp bạn hiểu rõ hơn và theo dõi những ai đang vào hoặc rời khỏi mạng của bạn.

Kết luận

Hầu hết các vụ rò rỉ bảo mật và trộm cắp dữ liệu đều để lại dấu vết và nhiệm vụ của chúng ta là đóng vai thám tử an ninh để tìm ra manh mối.

May mắn thay, bằng cách phân tích cảnh quan mối đe dọa (threat landscape) một cách chặt chẽ, chúng ta có thể theo dõi và lập danh sách các Indicators of Compromise để ngăn chặn tất cả các loại mối đe dọa mạng hiện tại và trong tương lai.

Vân Nguyễn (theo Makeuseof)

Bình luận (
0
)

Bài liên quan

Group hỗ trợ Facebook miễn phí của Hiếu PC đột ngột "bay màu", chính chủ lên tiếng giải thích

6 tháng kể từ ngày group hỗ trợ các vấn đề về Facebook miễn phí của Hiếu PC bị bay màu, chính chủ đã chính thức có những lời giải thích trên trang cá nhân.

xDebate 24: Nên đánh thuế rác cho người bán hàng trên sàn thương mại điện tử?

"Nên đánh thuế rác cho người bán hàng trên sàn thương mại điện tử?" là chủ đề được lựa chọn để tranh biện trong xDebate số 24.

Lập trình viên nên sử dụng low code trong trường hợp nào?

Trong bài này, chúng ta sẽ tìm hiểu về các trường hợp sử dụng low code phổ biến, từ phức tạp (chẳng hạn như phát triển ứng dụng toàn phần) đến tương đối đơn giản (chẳng hạn như thiết kế...

Low code là gì? Hướng dẫn toàn diện về low code

Low code chắc chắn đang biến đổi nền công nghiệp phần mềm Vậy low code là gì? Các cách sử dụng, lợi ích, nhược điểm của nó? Chuỗi bài viết này sẽ đưa ra thông tin toàn diện để bạn hiểu...

Địa chỉ IP là gì? Nó có tiết lộ vị trí của bạn không?

Bạn băn khoăn không biết địa chỉ IP là gì và liệu nó có thể cho người lạ trên internet biết nơi bạn sống không? Hãy cùng FUNiX tìm hiểu về địa chỉ IP.

Bài liên quan

  • Tầng 0, tòa nhà FPT, 17 Duy Tân, Q. Cầu Giấy, Hà Nội
  • info@funix.edu.vn
  • 0782313602 (Zalo, Viber)        

yêu cầu gọi lại