Threat hunting (săn tìm mối đe dọa) là gì?

Threat hunting (săn tìm mối đe dọa) là một cách tuyệt vời để phát hiện các lỗ hổng trong hệ thống của bạn. Nó là gì và nó khác với Penetration testing (kiểm tra xâm nhập) như thế nào?

Threat hunting (săn lùng mối đe dọa) là một phần quan trọng của một chiến lược an ninh internet hiệu quả. 

Vậy thực chất, threat hunting có nghĩa là gì? Nó khác với penetration testing (kiểm tra xâm nhập) như thế nào? Và làm thế nào để threat hunting củng cố an ninh trực tuyến?

1. Threat hunting là gì?

Threat hunting có nghĩa là chủ động, tích cực tìm kiếm các dấu hiệu của những hoạt động nguy hiểm. Nó ngược lại với việc chờ đợi để nhận được cảnh báo của một nền tảng bảo mật về dấu hiệu đã có sự cố xảy ra.

Nhiều người nghĩ rằng threat hunting giống như penetration testing (kiểm tra xâm nhập). Tuy nhiên, penetration testing nhằm mục đích tìm ra tất cả các lỗ hổng và xác định mức rủi ro của việc không khắc phục những lỗ hổng này. Threat hunting giả sử một cuộc tấn công đã xảy ra và mục tiêu của nó là hạn chế cuộc tấn công này. 

Tuy nhiên, kết quả của threat hunting cũng thường bộc lộ những lỗ hổng an ninh. Đặc biệt là khi nhân viên an ninh mạng tìm hiểu thêm về các điểm vào (entry point) và các phương pháp tấn công.

Những người làm công việc này (threat hunter) có thể kiếm được bao nhiêu tiền? Mức lương cơ bản trung bình ở Hoa Kỳ là hơn 110.000 đô la mỗi năm, cho thấy những dịch vụ như vậy đang có nhu cầu cao.

2. Threat hunting diễn ra như thế nào? 

Threat hunter tìm kiếm Indicators of Compromise (IoC – dấu hiệu bị xâm nhập) và  Indicators of Attacks (IoA – dấu hiệu bị tấn công). IoC tập trung vào những gì tin tặc muốn đạt được khi đột nhập vào hệ thống. IoA là một hoạt động đáng ngờ có thể là dấu hiệu của một cuộc tấn công.

Threat hunter đánh giá hệ thống bằng một số phương pháp khác nhau. Ví dụ: cách tiếp cận theo hướng dữ liệu (data-driven approach) xem xét những thứ như proxy log và bằng chứng về khối lượng lớn dữ liệu đã được truyền đi.

Săn lùng các mối đe dọa dựa trên thông tin (Intel-based threat hunting) dựa trên các nguồn dữ liệu mở và thương mại cho thấy các rủi ro an ninh mạng và dấu hiệu của chúng. 

Threat hunter cũng có thể tập trung vào các chiến thuật, kỹ thuật của kẻ tấn công. Ví dụ, hacker sử dụng công cụ gì để đột nhập vào hệ thống mạng? Họ đã sử dụng chúng khi nào và như thế nào?

Threat hunting dựa trên hành vi là một kỹ thuật mới hơn nhưng cực kỳ hữu ích để phát hiện các nguy cơ đến từ bên trong. Threat hunter thiết lập một đường cơ sở (baseline) cho các hành động dự kiến từ người dùng hệ thống, sau đó tìm kiếm những hành động lệch khỏi đường cơ sở này. 

3. Tầm quan trọng của thông tin liên quan

Để sử dụng thành công những kỹ thuật này đòi hỏi threat hunter phải có kiến ​​thức sâu rộng về hoạt động dự kiến ​​trên một hệ thống. 

Khi lực lượng lao động ngày nay trở nên phân tán hơn, tường lửa của các công ty thường không đủ để bảo vệ hệ thống. Tuy nhiên, các chuyên gia tin rằng cần phải liên tục xác minh những người đang cố gắng truy cập hệ thống của công ty có phải là các bên được ủy quyền hay không. Đó là lý do tại sao các doanh nghiệp thường xác thực người lao động bằng nhiều thông tin khác nhau.

Threat hunter cần số lượng lớn dữ liệu nhật ký (log data) được thu thập theo thời gian. Lấy thông tin đó từ nhiều nguồn khác nhau giúp họ tiến hành một cách hiệu quả và phát hiện ra các dấu hiệu của sự cố. Dữ liệu điểm cuối (endpoint data) thường có giá trị nhất đối với threat hunter vì chúng gần với sự cố nhất. 

4. Threat hunting giúp tăng cường an ninh mạng 

Threat hunting không phải là việc làm một lần là xong. Việc lặp lại liên tục giúp nỗ lực phát hiện lỗ hổng trở nên hiệu quả hơn. Một khi threat hunter hiểu được những hoạt động nào là hoạt động bình thường, các hành động bất thường trở nên rõ ràng hơn.

Một tổ chức với càng nhiều kiến ​​thức về môi trường CNTT và hệ thống của mình thì sẽ càng mạnh mẽ hơn trong việc chống lại các cuộc tấn công mạng có chủ đích.

>>> Nếu bạn đang có nhu cầu học lập trình trực tuyến, tìm hiểu ngay tại đây:

>>> Xem thêm các chủ đề hữu ích:

• Tất cả những điều bạn cần biết về khóa học lập trình tại FUNiX FPT
• 5 Điểm đáng chú ý tại khóa học lập trình trực tuyến FPT – FUNiX
• Từ A-Z chương trình học FUNiX – Mô hình đào tạo lập trình trực tuyến số 1 Việt Nam
• Lý do phổ biến khiến học viên nước ngoài chọn FUNiX
• Lưu ý để học blockchain trực tuyến hiệu quả cao tại FUNiX
• Lý do nữ giới nên chọn FUNiX để học chuyển nghề IT
• FUNiX trở thành đối tác của Liên minh Blockchain Việt Nam
• 3 lý do bạn trẻ nên học blockchain trực tuyến ở FUNiX

Vân Nguyễn (theo Makeuseof)