Chiến thuật, kỹ thuật và quy trình (TTP) là kế hoạch chi tiết cho các cuộc tấn công của tác nhân đe dọa – hiểu rõ chúng cho phép những người bảo vệ mạng phản ứng tốt hơn trước các cuộc tấn công phức tạp. Do bối cảnh mối đe dọa tiếp tục trở nên phức tạp hơn với những tiến bộ về phần mềm độc hại , chiến dịch APT cấp quốc gia và dịch vụ tội phạm mạng dưới dạng dịch vụ, TTP vẫn là nguồn quan trọng giúp doanh nghiệp có thể đón đầu các cuộc tấn công.
TTP cho phép các chuyên gia bảo mật nhìn vào bên trong tâm trí của những kẻ đe dọa và hiểu được động cơ cũng như mục tiêu độc hại của chúng. Đây là bước đầu tiên trong việc xây dựng các biện pháp đối phó hiệu quả và thế trận phòng thủ mạng lâu dài. Bài đăng này đi sâu vào các TTP đang phát triển được những kẻ tấn công mạng hiện đại sử dụng, đồng thời dựa trên các chiến dịch và ví dụ gần đây để nhấn mạnh những thách thức mà những người thực hiện bảo mật phải đối mặt ngày nay .
Bắt đầu với Tại sao | Xem xét động cơ và mục tiêu của những kẻ tấn công mạng
Hiểu được động cơ đằng sau một cuộc tấn công mạng có thể nâng cao đáng kể khả năng bảo vệ tổ chức một cách hiệu quả. Việc chia nhỏ câu hỏi ‘ai’, ‘tại sao’ và ‘cái gì’ của cuộc tấn công có thể giúp những người phòng thủ xây dựng hồ sơ về những kẻ tấn công bao gồm những gì họ có thể đạt được trong trường hợp một cuộc tấn công thành công, cách họ kiếm tiền từ những lợi ích này và cách họ kiếm tiền từ những lợi ích này. có khả năng sẽ tấn công lần nữa.
Dựa trên động cơ và khả năng của họ, có sáu lý do chính đằng sau các cuộc tấn công mạng:
- Lợi ích tài chính – Tội phạm mạng thường tìm cách đánh cắp dữ liệu nhạy cảm, chẳng hạn như thông tin thẻ tín dụng hoặc tài sản trí tuệ (IP), để bán trên web đen hoặc sử dụng trong các hoạt động tội phạm khác. Tội phạm mạng được thúc đẩy bởi lợi nhuận thường thờ ơ với mục tiêu của chúng là ai và chúng đại diện cho điều gì. Ví dụ về các cuộc tấn công có động cơ tài chính bao gồm trojan ngân hàng như Emotet và ransomware , chẳng hạn như cuộc tấn công DarkSide vào Colonial Pipeline và hàng loạt các cuộc tấn công tống tiền kép của các nhóm Ransomware-as-a-Service như LockBit .
- Gián điệp – Các tác nhân quốc gia và các nhóm đe dọa dai dẳng (APT) nâng cao khác thường tiến hành các chiến dịch gián điệp mạng để thu thập thông tin tình báo hoặc đánh cắp IP cho các mục đích chiến lược. Chúng thường được quốc gia tài trợ hoặc tài trợ trực tiếp và nhắm mục tiêu vào các tổ chức do chính phủ điều hành, các thực thể chính trị đối lập và các doanh nghiệp lớn. Một ví dụ nổi tiếng về chiến dịch gián điệp mạng là sâu Stuxnet , nhắm mục tiêu vào các cơ sở hạt nhân của Iran và gần đây hơn là Metador , một tác nhân đe dọa chưa xác định nhắm vào các công ty viễn thông, ISP và trường đại học.
- Sự gián đoạn – Một số kẻ tấn công mạng nhằm mục đích gây ra sự gián đoạn hoặc phá hủy, vì lý do ý thức hệ hoặc như một hình thức ‘chủ nghĩa hacktivism’ . Mục tiêu chính của những kẻ tấn công là nâng cao nhận thức về mục đích của họ thông qua việc tiết lộ bí mật và thông tin nhạy cảm hoặc bằng cách gỡ bỏ các dịch vụ hoặc tổ chức được coi là một phần của phe đối lập. Ví dụ bao gồm các cuộc tấn công DDoS được thực hiện bởi Anonymous hoặc cuộc tấn công ransomware NotPetya , gây thiệt hại đáng kể cho các doanh nghiệp trên toàn thế giới. Một ví dụ gần đây hơn về điều này ở quy mô lớn là phần mềm độc hại AcidRain được sử dụng để khiến modem Viasat KA-SAT không thể hoạt động trong vài tháng đầu tiên khi cuộc xung đột Nga-Ukraina đang diễn ra.
- Khủng bố mạng – Khủng bố mạng kết hợp hai mối lo ngại đáng kể – các cuộc tấn công sử dụng công nghệ tinh vi và khủng bố truyền thống. Những kẻ khủng bố mạng tập trung vào việc tấn công các dịch vụ quan trọng nhằm cố ý gây tổn hại cho các chương trình nghị sự chính trị, kinh tế, kỹ thuật hoặc quân sự của chúng. Họ thường nhắm mục tiêu vào các dịch vụ nhà nước và các ngành công nghiệp thiết yếu để tối đa hóa sự tàn phá và gián đoạn, chẳng hạn như vụ tấn công MeteorExpress vào hệ thống xe lửa của Iran . Khủng bố mạng dường như cũng nhằm mục đích thân mật, ép buộc hoặc tác động đến những đối tượng dễ bị tổn thương để gieo rắc nỗi sợ hãi hoặc ép buộc thay đổi chính trị.
- Nguyên nhân cá nhân – Không giống như các tác nhân đe dọa bên ngoài cần đột nhập vào không gian làm việc được nhắm mục tiêu, những kẻ độc hại trong nội bộ đã có quyền truy cập vào môi trường và có thể hoạt động từ bên trong để xâm nhập khuôn khổ an ninh mạng. Những lý do cá nhân như trả thù hoặc trả đũa thường là động cơ đằng sau những lời đe dọa từ nội bộ . Thông thường trong những trường hợp này, những kẻ nội gián độc hại tìm cách đánh cắp và rò rỉ thông tin mật hoặc IP dưới danh nghĩa cá nhân của họ.
- Sự chú ý & Tai tiếng – Những đứa trẻ viết kịch bản là những kẻ tấn công cấp thấp, không có kỹ năng, tận dụng các công cụ và bộ công cụ có sẵn do người khác thiết kế để xâm nhập vào hệ thống mục tiêu. Các yếu tố thúc đẩy những đứa trẻ viết kịch bản thường khá đơn giản – chúng tìm kiếm sự chú ý, sự phấn khích và sự hỗn loạn. Ngoài ra, những kẻ tấn công mạng được thúc đẩy bởi danh tiếng và sự chú ý thường tích cực tìm kiếm các mục tiêu được biết đến rộng rãi và được yêu cầu tiết lộ cuộc tấn công thay vì các mục tiêu nhỏ hơn, chưa được biết đến.
Đọc bản thiết kế | Chiến thuật, kỹ thuật và quy trình (TTP) trợ giúp những người bảo vệ mạng như thế nào
TTP đóng một vai trò thiết yếu trong việc trao quyền cho những người bảo vệ an ninh để chống lại các mối đe dọa mạng một cách hiệu quả. Bằng cách phân tích và hiểu rõ TTP, những người bảo vệ có được những hiểu biết có giá trị về hành vi và phương pháp mà đối thủ sử dụng. Điều này đẩy nhanh quá trình xác định các cuộc tấn công tiềm ẩn, phát triển các chiến lược phòng thủ chủ động và thực hiện các biện pháp bảo mật cụ thể đối với các rủi ro kinh doanh và ngành.
Các tổ chức như NIST và MITER phân loại và lập danh mục hành vi của các tác nhân đe dọa thành chiến thuật, kỹ thuật và quy trình; được gọi chung là TTP. Chiến thuật đề cập đến mô tả cấp cao nhất của hành vi, kỹ thuật là mô tả đưa ra bối cảnh chiến thuật và các quy trình mô tả các hoạt động để đưa ra bối cảnh của kỹ thuật. Để phá vỡ điều này hơn nữa:
- Chiến thuật – Đây là những chiến lược và mục tiêu bao quát đằng sau một cuộc tấn công. Chúng có thể được coi là ‘lý do’ cho các mục tiêu chiến thuật và giải thích lý do thúc đẩy kẻ tấn công mạng. Chiến thuật rất quan trọng đối với những người bảo vệ mạng vì chúng có thể được sử dụng để xây dựng hồ sơ mối đe dọa của tác nhân đang bị điều tra. Nhiều tác nhân và nhóm đe dọa có thể được nhận biết bằng cách sử dụng các chiến thuật cụ thể.
- Kỹ thuật – Đây là những phương pháp mà tác nhân đe dọa sử dụng để khởi động và tham gia vào cuộc tấn công nhằm đạt được mục tiêu của chúng. Những kẻ tấn công thường sử dụng nhiều kỹ thuật trong chiến dịch của mình để tạo điều kiện cho sự xâm phạm ban đầu, di chuyển sang bên trong môi trường bị xâm phạm, lọc dữ liệu, v.v. Các kỹ thuật có thể được phân tích ở mọi giai đoạn của cuộc tấn công mạng, để lại dấu vết kỹ thuật số có thể phân biệt được của tác nhân đe dọa.
- Quy trình – Đây là chuỗi hành động từng bước tạo nên cuộc tấn công, bao gồm các công cụ và bộ dụng cụ được kẻ đe dọa sử dụng. Ví dụ: trong quá trình điều tra pháp y, các nhà phân tích bảo mật có thể thực hiện phân tích hệ thống tệp để xây dựng lại quy trình nhằm xây dựng dòng thời gian của cuộc tấn công. Các nhà phân tích cũng sẽ tìm kiếm các sửa đổi đối với các tệp hệ thống, tìm manh mối trong nhật ký sự kiện và cố gắng xây dựng bức tranh về những gì đã xảy ra trong từng giai đoạn của cuộc tấn công.
Khả năng phát hiện các mô hình và dấu hiệu xâm phạm thông qua TTP là công cụ giúp các chuyên gia bảo mật ứng phó kịp thời với các mối đe dọa. Nó cũng là yếu tố kích hoạt những cải tiến quan trọng trong chính sách và quy trình làm việc để có thể ngăn chặn các mối đe dọa tương tự trong tương lai. TTP đóng vai trò là nền tảng cho thông tin về mối đe dọa giúp giảm thiểu rủi ro tốt hơn và tạo điều kiện cho cách tiếp cận mang tính tập thể hơn đối với an ninh mạng .
Hiểu cách TTP hoạt động trong các cuộc tấn công trong thế giới thực
Cả tần suất tội phạm mạng và sự phát triển không ngừng của chúng đều tiếp tục gia tăng với tốc độ đáng kinh ngạc. Các nhà nghiên cứu ước tính rằng thế giới sẽ phải đối mặt với 33 tỷ vụ vi phạm tài khoản chỉ riêng vào năm 2023 và các cuộc tấn công hiện đang xảy ra cứ sau 39 giây. Phần này khám phá một số TTP phổ biến nhất được sử dụng trong các chiến dịch đe dọa hiện đại và cách chúng được tận dụng trong các loại tấn công khác nhau trong thế giới thực.
Kỹ thuật xã hội
Kỹ thuật lừa đảo xã hội là thao tác tâm lý của các cá nhân để tiết lộ thông tin nhạy cảm hoặc thực hiện các hành động xâm phạm an ninh. Chiến thuật này thường được sử dụng trong các chiến dịch lừa đảo , chẳng hạn như các cuộc tấn công lừa đảo nhắm mục tiêu cao có liên quan đến các nhóm APT như APT29 , còn được gọi là Cosy Bear và APT28 , còn được gọi là Sofacy hoặc Fancy Bear. Các chiến dịch này thường sử dụng các email có sức thuyết phục cao , dường như đến từ các nguồn hợp pháp, dụ nạn nhân nhấp vào các liên kết độc hại hoặc tải xuống các tệp đính kèm chứa phần mềm độc hại.
Các chiến dịch lừa đảo qua mạng sử dụng nhiều TTP khác nhau để thao túng hành vi của con người và khai thác các lỗ hổng. Ngoài lừa đảo, các TTP phổ biến liên quan đến kỹ nghệ xã hội bao gồm:
- Giả vờ – Kẻ tấn công tạo ra một kịch bản hợp lý hoặc danh tính giả để đánh lừa mục tiêu, lấy lòng tin của họ và trích xuất thông tin nhạy cảm.
- Mạo danh – Giả vờ là người khác, chẳng hạn như đồng nghiệp đáng tin cậy, nhân vật có thẩm quyền hoặc nhà cung cấp dịch vụ, để thao túng mục tiêu cung cấp dữ liệu nhạy cảm hoặc thực hiện một số hành động nhất định.
- Water-holing – Xâm nhập các trang web hợp pháp được đối tượng mục tiêu thường xuyên truy cập và tiêm mã độc hoặc liên kết để lây nhiễm vào thiết bị của khách truy cập.
Khai thác lỗ hổng
Những kẻ tấn công thường khai thác các lỗ hổng đã biết trong phần mềm và phần cứng để có quyền truy cập trái phép vào hệ thống hoặc leo thang đặc quyền. Một ví dụ gần đây là việc khai thác lỗ hổng Microsoft Exchange Server, được đặt tên là ProxyLogon và được cho là của nhóm HAFNIUM APT. Nhóm đã sử dụng các lỗ hổng này để có quyền truy cập vào tài khoản email và triển khai phần mềm độc hại bổ sung để khai thác thêm. Một số TTP có liên quan đến việc khai thác lỗ hổng bao gồm:
- Quét – Tiến hành quét mạng hoặc hệ thống để xác định các lỗ hổng tiềm ẩn, chẳng hạn như cổng mở, phần mềm chưa được vá hoặc cấu hình sai.
- Khai thác Zero Day – Khai thác các lỗ hổng chưa được xác định hoặc chưa được nhà cung cấp phần mềm vá, mang lại lợi thế cho kẻ tấn công so với những người bảo vệ.
- Nâng cao đặc quyền – Khai thác các lỗ hổng hoặc cấu hình sai để nâng cao đặc quyền và giành quyền truy cập cấp cao hơn trong hệ thống hoặc mạng.
- Thực thi mã từ xa (RCE) – Khai thác các lỗ hổng cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống được nhắm mục tiêu, cung cấp toàn quyền kiểm soát thiết bị bị xâm nhập.
- Tấn công từ chối dịch vụ ( DoS ) – Làm quá tải hệ thống hoặc mạng với quá nhiều yêu cầu hoặc lưu lượng độc hại nhằm phá vỡ tính khả dụng của nó và có khả năng làm lộ ra các lỗ hổng.
Sống ngoài đất liền
“Sống ngoài đất liền” ( LotL ) là một chiến thuật trong đó kẻ tấn công sử dụng các công cụ và quy trình hợp pháp đã có trên hệ thống của nạn nhân để thực hiện các cuộc tấn công, khiến các giải pháp bảo mật khó phát hiện hoạt động của chúng hơn. Một ví dụ về điều này là việc sử dụng PowerShell , một ngôn ngữ kịch bản mạnh mẽ được tích hợp trong Windows, ngôn ngữ này đã được sử dụng trong nhiều cuộc tấn công khác nhau, bao gồm cả trojan ngân hàng Emotet khét tiếng và ransomware Ryuk . Các tác nhân đe dọa được biết là sử dụng các TTP này để đạt được LotL thành công:
- Lạm dụng Công cụ quản lý Windows (WMI) – Tận dụng cơ sở hạ tầng WMI để thực thi lệnh, truy xuất thông tin hoặc tương tác với hệ thống, bỏ qua các biện pháp kiểm soát bảo mật.
- Lạm dụng ngôn ngữ tập lệnh – Sử dụng các ngôn ngữ tập lệnh như JavaScript, VBScript, AppleScript hoặc Python để thực thi mã độc hại hoặc tự động hóa các hoạt động độc hại.
- Phần mềm độc hại không dùng tệp – Triển khai phần mềm độc hại chỉ tồn tại trong bộ nhớ, tận dụng các quy trình hoặc chức năng hệ thống hợp pháp để thực hiện các hoạt động độc hại mà không để lại dấu vết dựa trên tệp truyền thống.
- Giả mạo – Ngụy trang các tệp, quy trình hoặc lệnh độc hại bằng tên hợp pháp, khiến chúng có vẻ lành tính để tránh bị phát hiện.
Chuyển động bên
Khi những kẻ tấn công đã có được chỗ đứng trong mạng, chúng thường sử dụng các kỹ thuật di chuyển ngang để di chuyển giữa các hệ thống và leo thang đặc quyền của chúng. Trong các kỹ thuật như pass-the-hash hoặc pass-the-ticket , kẻ tấn công sử dụng thông tin xác thực hoặc mã thông báo xác thực bị đánh cắp để di chuyển giữa các hệ thống.
Một ví dụ gần đây là cuộc tấn công chuỗi cung ứng SolarWinds , trong đó các tác nhân đe dọa đã sử dụng kết hợp phần mềm độc hại tùy chỉnh, thông tin xác thực bị đánh cắp và các công cụ hợp pháp để di chuyển ngang trong các mạng được nhắm mục tiêu, cuối cùng giành được quyền truy cập vào dữ liệu và hệ thống nhạy cảm. Các TTP sau đây góp phần vào chuyển động ngang:
- Chiếm quyền điều khiển Giao thức máy tính từ xa (RDP) – Kiểm soát hoặc thao túng trái phép các phiên máy tính từ xa để di chuyển ngang giữa các hệ thống.
- Trộm cắp thông tin xác thực và tấn công vũ phu – Đánh cắp hoặc bẻ khóa thông tin xác thực để mạo danh người dùng hợp pháp và di chuyển ngang trong mạng.
- Tấn công trung gian ( MiTM ) – Chặn lưu lượng truy cập mạng và giả mạo thông tin liên lạc để có được quyền truy cập trái phép hoặc leo thang đặc quyền.
- Khai thác Active Directory – Khai thác điểm yếu hoặc cấu hình sai trong cơ sở hạ tầng Active Directory để nâng cao đặc quyền hoặc giành quyền truy cập trái phép vào các hệ thống hoặc miền khác.
Theo dõi và che giấu dữ liệu
Sau khi đạt được mục tiêu, những kẻ tấn công mạng thường lọc dữ liệu bị đánh cắp, sử dụng các kênh bí mật hoặc liên lạc được mã hóa để tránh bị phát hiện. Trong một số trường hợp, những kẻ tấn công cũng thực hiện các bước để che giấu dấu vết và duy trì sự tồn tại lâu dài, chẳng hạn như xóa nhật ký hoặc sử dụng rootkit để che giấu sự hiện diện của chúng trên các hệ thống bị xâm nhập. Một ví dụ đáng chú ý về điều này là nhóm DarkHotel APT, được biết đến với các cuộc tấn công nhắm mục tiêu cao vào các khách sạn sang trọng, sử dụng kết hợp phần mềm độc hại tùy chỉnh và các kỹ thuật tinh vi để lọc dữ liệu nhạy cảm và duy trì cấu hình thấp trong các mạng bị xâm nhập. Để xóa sạch dấu vết hành động của mình, kẻ tấn công thường sẽ sử dụng kết hợp các TTP sau:
- Nén và mã hóa – Nén hoặc mã hóa dữ liệu bị đánh cắp để làm xáo trộn nội dung của nó và khiến việc phát hiện hoặc phân tích trở nên khó khăn hơn.
- Đường hầm giao thức – Đóng gói dữ liệu đã lọc trong các giao thức mạng khác, chẳng hạn như DNS hoặc HTTP, để vượt qua các biện pháp kiểm soát bảo mật và tránh bị nghi ngờ.
- Làm xáo trộn dữ liệu – Sửa đổi hoặc làm xáo trộn các định dạng dữ liệu hoặc phần mở rộng tệp để làm cho thông tin được lọc xuất hiện dưới dạng tệp lành tính hoặc không liên quan.
- Lọc thông qua các giao thức đáng tin cậy – Sử dụng các giao thức thường được sử dụng như FTP, SSH hoặc HTTP để truyền dữ liệu bị đánh cắp, trộn dữ liệu đó với lưu lượng mạng hợp pháp để tránh bị phát hiện.
- Phá hủy dữ liệu – Xóa hoặc xóa dấu vết dữ liệu sau khi lọc để loại bỏ bằng chứng và cản trở việc điều tra pháp y.
Các biện pháp chủ động dành cho người thực hành an ninh
Mặc dù hiểu biết về TTP là không thể thiếu đối với sự phát triển của các cơ chế phòng thủ và tình báo mối đe dọa, nhưng chỉ điều này mới có thể thắng được một nửa trận chiến. Các doanh nghiệp cũng phải thực thi các giao thức vệ sinh mạng tuyệt vời và tăng cường chiến lược bảo mật của mình một cách toàn diện.
Triển khai Khung bảo mật mạnh mẽ
Việc áp dụng khung bảo mật mạnh mẽ, chẳng hạn như Khung bảo mật không gian mạng NIST hoặc Kiểm soát bảo mật quan trọng CIS , có thể giúp các tổ chức xác định và giải quyết một cách có hệ thống các điểm yếu tiềm ẩn trong tình hình bảo mật của họ. Việc thường xuyên xem xét và cập nhật các khuôn khổ này là rất quan trọng để đón đầu các mối đe dọa đang gia tăng.
Đào tạo và nâng cao nhận thức về an ninh liên tục
Các chương trình nâng cao nhận thức và đào tạo về bảo mật thường xuyên cho nhân viên có thể giúp giảm nguy cơ xảy ra các cuộc tấn công lừa đảo qua mạng thành công. Chương trình đào tạo nên bao gồm các chủ đề như lừa đảo, bảo mật mật khẩu và tầm quan trọng của việc báo cáo các hoạt động đáng ngờ.
Quản lý bản vá và quét lỗ hổng
Triển khai quy trình quản lý bản vá mạnh mẽ và tiến hành quét lỗ hổng thường xuyên có thể giúp các tổ chức xác định và giải quyết các lỗ hổng đã biết trong hệ thống của họ, giảm bề mặt tấn công của những kẻ tấn công mạng.
Phân đoạn mạng và không tin cậy
Phân đoạn mạng và triển khai mô hình bảo mật không tin cậy có thể giúp hạn chế chuyển động bên trong mạng, khiến kẻ tấn công khó leo thang đặc quyền và truy cập dữ liệu nhạy cảm hơn.
Giám sát và ứng phó sự cố
Thiết lập quy trình ứng phó sự cố được xác định rõ ràng và đầu tư vào các công cụ giám sát, chẳng hạn như hệ thống Quản lý sự kiện và thông tin bảo mật ( SIEM ) hoặc các giải pháp Phát hiện và phản hồi mở rộng (XDR) như SentinelOne Singularity , có thể giúp các tổ chức nhanh chóng phát hiện, ứng phó và ngăn chặn mạng các mối đe dọa.
Phần kết luận
Xác định các vectơ tấn công và các phương pháp mới là chìa khóa để luôn đi trước những kẻ tấn công mạng. Các ví dụ thực tế và các chiến dịch APT gần đây đã cho thấy cách phân tích TTP làm phong phú thêm kiến thức của những người thực hành bảo mật, cho phép họ có được những hiểu biết sâu sắc có giá trị về các chiến thuật và kỹ thuật mà họ đang chống lại .
Mặc dù các tác nhân đe dọa sẽ tiếp tục nâng cấp phương pháp và đổi mới quy trình của mình, nhưng có nhiều cách mà doanh nghiệp có thể giảm thiểu rủi ro và tăng cường phòng thủ. Việc thiết lập chiến lược ứng phó hiệu quả và giám sát sâu, liên tục có thể giúp tăng cường khả năng phòng thủ của nhóm nội bộ của doanh nghiệp bằng khả năng phát hiện và ứng phó mạnh mẽ.
Các doanh nghiệp trên toàn thế giới đã chuyển sang Nền tảng Singularity™ của SentinelOne để chủ động giải quyết các mối đe dọa hiện đại ở tốc độ máy. Tìm hiểu cách SentinelOne hoạt động để quản lý rủi ro hiệu quả hơn trên danh tính người dùng, điểm cuối, khối lượng công việc trên đám mây, IoT, v.v. Hãy liên hệ với chúng tôi hoặc đặt bản demo ngay hôm nay.