Mục lục
THREAT – MỐI ĐE DOẠ
Khi có bất kì tình huống hoặc sự kiện nào tác động tới tài sản của tổ chức theo chiều hướng tiêu cực, thì chúng được coi là mối đe doạ. Ví dụ, cánh cửa sổ là tài sản trong ngôi nhà của bạn. Sẽ có rất nhiều mối đe doạ xuất hiện xung quanh cái cửa sổ. Và không phải mối đe doạ nào cũng có mưu đồ ác ý kiểu như:
- Cơn bão với gió lớn có thể giật tung cánh cửa, và làm nó biến mất trong không chung.
- Những đứa trẻ chơi đá bóng ngoài sân vườn có thể vô tình sút bóng nhưng lại làm vỡ tan những tấm kính trên cửa sổ
MALICIOUS THREAT – MỐI ĐE DOẠ ÁC Ý
Tuy nhiên, mối đe doạ ác ý (malicious threat) thì đều có một chủ thể đứng sau, chúng ta sẽ gọi nó là Threat Actor. Như kiểu kẻ trộm vào phá các bản lề và chốt cửa để nhấc bổng cánh cửa ra. Chúng sẽ làm gì tiếp với ngôi nhà hay những tài sản khác bên trong ngôi nhà của bạn? Chúng mình cần xét tiếp đến đặc điểm (Attribute) của những Threat Actor này.
ĐẶC ĐIỂM CỦA THREAT ACTOR
Bạn muốn phòng thủ tốt, bạn cần hiểu chiến lược thực thi, động cơ, hành vi của đối thủ. Các yếu tố trên thực sự sẽ rất hữu ích nếu chúng ta muốn xây dựng hồ sơ chi tiết “ứng viên xấu” (threat actor profile). Từ đó có thêm thông tin để tiến sâu hơn vào các hoạt động nghiệp vụ: Threat Intelligence, Threat Detection, Risk Profiling, Threat Hunting, Playbook.
- Target: Đối tượng nhắm tới của các Threat Actor này là gì? Chúng chỉ nhắm tới người dùng cá nhân, doanh nghiệp hay chính phủ
- Expertise (Skill): Trình độ kỹ thuật hay mức độ tinh vi trong các cuộc tấn công của tụi này như nào? Cực kỳ chuyên nghiệp như các nhóm tấn công có chủ đích (APT), nghiên cứu chuyên sâu các ứng dụng để tìm zero-day, hay chỉ là đám script kiddie nghịch ngợm
- Resources: Các chủ mưu này có nhiều tiền để đầu tư cho các cuộc tấn công không? Và chúng có dành thời gian dài để theo đuổi bạn tới cùng?
- Organisation: Ai là người đứng sau những tên trộm aka hacker kia? Chúng hoạt động đơn lẻ, tự phát hay là người thuộc băng đảng hay một quốc gia nào?
- Objective, Motivation: Động cơ thực sự nào khiến chúng phải ra tay với tổ chức của bạn? Vì tiền, lý tưởng, chính trị, tư thù cá nhân, hay chỉ thoả mãn sự tò mò của bản thân
- Intent: Mức độ cố ý gây hại (cố ý thực hiện hay chỉ vô tình gây ra vì thiếu nhận thức và hiểu biết)
- Access: Gây ra những rủi ro từ phía nội bộ (insider) hay từ bên ngoài hệ thống (external)
- Limit: Có điều gì cản bước, hay làm chúng nó chần chừ, do dự không? Ví dụ khi nhắc tới luật an ninh mạng thì script kiddie sẽ sợ, còn APT thì không
- Visibility: Mức độ che giấu hành vi
What do you think?
It is nice to know your opinion. Leave a comment.