THREAT – MỐI ĐE DOẠ

Khi có bất kì tình huống hoặc sự kiện nào tác động tới tài sản của tổ chức theo chiều hướng tiêu cực, thì chúng được coi là mối đe doạ. Ví dụ, cánh cửa sổ là tài sản trong ngôi nhà của bạn. Sẽ có rất nhiều mối đe doạ xuất hiện xung quanh cái cửa sổ. Và không phải mối đe doạ nào cũng có mưu đồ ác ý kiểu như:

• Cơn bão với gió lớn có thể giật tung cánh cửa, và làm nó biến mất trong không chung.
• Những đứa trẻ chơi đá bóng ngoài sân vườn có thể vô tình sút bóng nhưng lại làm vỡ tan những tấm kính trên cửa sổ

MALICIOUS THREAT – MỐI ĐE DOẠ ÁC Ý

Tuy nhiên, mối đe doạ ác ý (malicious threat) thì đều có một chủ thể đứng sau, chúng ta sẽ gọi nó là Threat Actor. Như kiểu kẻ trộm vào phá các bản lề và chốt cửa để nhấc bổng cánh cửa ra. Chúng sẽ làm gì tiếp với ngôi nhà hay những tài sản khác bên trong ngôi nhà của bạn? Chúng mình cần xét tiếp đến đặc điểm (Attribute) của những Threat Actor này.

ĐẶC ĐIỂM CỦA THREAT ACTOR

Bạn muốn phòng thủ tốt, bạn cần hiểu chiến lược thực thi, động cơ, hành vi của đối thủ. Các yếu tố trên thực sự sẽ rất hữu ích nếu chúng ta muốn xây dựng hồ sơ chi tiết “ứng viên xấu” (threat actor profile). Từ đó có thêm thông tin để tiến sâu hơn vào các hoạt động nghiệp vụ: Threat Intelligence, Threat Detection, Risk Profiling, Threat Hunting, Playbook.

• Target: Đối tượng nhắm tới của các Threat Actor này là gì? Chúng chỉ nhắm tới người dùng cá nhân, doanh nghiệp hay chính phủ
• Expertise (Skill): Trình độ kỹ thuật hay mức độ tinh vi trong các cuộc tấn công của tụi này như nào? Cực kỳ chuyên nghiệp như các nhóm tấn công có chủ đích (APT), nghiên cứu chuyên sâu các ứng dụng để tìm zero-day, hay chỉ là đám script kiddie nghịch ngợm
• Resources: Các chủ mưu này có nhiều tiền để đầu tư cho các cuộc tấn công không? Và chúng có dành thời gian dài để theo đuổi bạn tới cùng?
• Organisation: Ai là người đứng sau những tên trộm aka hacker kia? Chúng hoạt động đơn lẻ, tự phát hay là người thuộc băng đảng hay một quốc gia nào?
• Objective, Motivation: Động cơ thực sự nào khiến chúng phải ra tay với tổ chức của bạn? Vì tiền, lý tưởng, chính trị, tư thù cá nhân, hay chỉ thoả mãn sự tò mò của bản thân
• Intent: Mức độ cố ý gây hại (cố ý thực hiện hay chỉ vô tình gây ra vì thiếu nhận thức và hiểu biết)
• Access: Gây ra những rủi ro từ phía nội bộ (insider) hay từ bên ngoài hệ thống (external)
• Limit: Có điều gì cản bước, hay làm chúng nó chần chừ, do dự không? Ví dụ khi nhắc tới luật an ninh mạng thì script kiddie sẽ sợ, còn APT thì không
• Visibility: Mức độ che giấu hành vi

NHỮNG THREAT ACTOR PHỔ BIẾN

Tiếp tới chúng ta sẽ chơi trò quan sát, gom nhóm và đánh giá chúng nó dựa trên những đặc điểm như động cơ, trình độ, nguồn lực hay hành vi. Vì sao phải chia cụm tụi nó à à?

Vì không phải tổ chức nào cũng bị nhắm bởi một cuộc tấn công có chủ đích. Một doanh nghiệp nhỏ có thể chỉ là nạn nhân của Criminal group vì dễ kiếm tiền (ransomware) hoặc Script kiddie vì những lỗ hổng cơ bản.

Nếu không nhận diện đúng các Threat Actor, doanh nghiệp nhỏ có thể sẽ tốn tiền vì những quyết định đầu tư lan man.

• Script Kiddie: Thiếu kỹ năng, dùng tool có sẵn. Mục tiêu: vui vẻ, thể hiện, phá phách.
• Hacktivist: Hành động vì lý tưởng hoặc chính trị. Có kỹ năng trung bình – cao. Làm việc theo nhóm.
• Criminal: Mục tiêu là tiền. Có thể là nhóm nghiệp dư hoặc tổ chức tội phạm chuyên nghiệp.
• State-Sponsored: Hỗ trợ bởi chính phủ. Mục tiêu chính trị, gián điệp, phá hoại.
• APT (Advanced Persistent Threat): Nhóm có kỹ năng rất cao, kiên nhẫn, tấn công có chủ đích, không giới hạn mục tiêu là gì.
• Insider: Người bên trong tổ chức, có thể là nhân viên cũ, hoặc vẫn đang làm việc, vì bất mãn hoặc vì cái gì đó trước mắt mà lợi dụng quyền hạn để làm việc xấu.