🖼️ Threat Intelligence Là Gì

Market intelligence is the process of external data collection of the market and analysis of this information. It helps a company take business decisions so as to penetrate the market or capture it. Valuable market intelligence can be gathered using powerful online surveys and tools. By Barbara Starr. Looking to increase security in the Sinai Peninsula, U.S. Defense Secretary Leon Panetta is offering Egypt a package of classified intelligence-sharing capabilities designed to help it identify military threats in the area and reassure Israel that Egypt can deal with rising militancy along Israel's border, according to a senior Pentagon official. Continue reading "Hacker Mũ Trắng là gì? Tìm hiểu về Ethical Hacking" (+84) 247 109 9656 Products Threat Intelligence . Vulnerabilities and digital threats database Web Protection . Comprehensive website security service SaaS Security . Cisco Meraki APs feature a dedicated security radio, powering Air Marshal and enabling round-the-clock protection without interrupting client traffic. This third radio is dual-band, providing spectrum intelligence across 2.4 GHz and 5 GHz frequencies and full-time security protection from network vulnerabilities. Touch and go scan for compromises using threat intel/indicators: Helps answer key questions about breach: Identify new systems compromised: Key to successful remediation: Tuy nhiên chúng ta cần biết điều chúng ta cần tìm kiếm là gì. Việc tìm kiếm tập trung vào một process, file, registry key, hành động cụ What is DANE? DANE (DNS-based Authentication of Named Entities) is the option to use secured DNS infrastructure to store generic verifiable information for multi-factor verification. The most common use of DANE today is the TLSA record type (Transport Layer Security Authentication), which allows users to verify the PKIX certificate received KHY4EY. Giải Pháp Threat Intelligence – Kaspesky Hiện trạng Các tổ chức trên tất cả các lĩnh vực đang phải đối mặt với tình trạng thiếu dữ liệu cập nhật để giúp họ quản lý các rủi ro liên quan đến các mối đe dọa an toàn thông tin. Việc thu thập thông tin toàn cầu, theo dõi, phân tích, diễn giải các kết quả thu nhận được nhằm giảm thiểu các mối đe dọa bảo mật cần tiêu tốn rất nhiều nguồn lực. Chính vì vậy các tổ chức đang có xu hướng sử dụng các dịch vụ cung cấp tri thức về an toàn thông tin được cung cấp bởi các hãng bảo mật có uy tín để có thể tận dụng được kinh nghiệm cũng như kỹ năng từ những chuyên gia hàng đầu, trong khi vẫn có thể tùy chỉnh các thông tin cho phù hợp với nhu cầu. Threat Intelligence giúp nâng cao khả năng kiểm soát an toàn thông tin và khả năng điều tra với dữ liệu được cập nhật liên tục từ hãng. Báo cáo về các cuộc điều tra và phân tích mới nhất nhất của nhà cung cấp về các phương pháp, chiến thuật và công cụ được sử dụng bởi các cuộc tấn công. Bộ sản phẩm này bao gồm các gói sau Threat Data Feeds APT Intelligence Reporting Threat Lookup Threat Data Feeds Các cuộc tấn công mạng xảy ra mỗi ngày. Các mối đe dọa mạng không ngừng gia tăng về tần suất cũng như độ tinh vi. Các kẻ tấn công hiện đang sử dụng chuỗi, chiến dịch tấn công xâm nhập phức tạp và các chiến thuật, kỹ thuật và thủ tục tùy chỉnh TTP để vượt qua các lớp phòng thủ dày đặc nhằm gây thiệt hại cho mục tiêu. Để bảo vệ hệ thống, các chuyên gia cần có các thông tin đầy đủ và cập nhật nhất về các mối đe dọa. Threat Intelligence là giải pháp tổng hợp thông tin thám báo từ các nguồn có độ tin cậy cao như trình thu thập thông tin web, Dịch vụ giám sát Botnet Giám sát các mạng botnet 24/7/365, bẫy thư rác, nhóm nghiên cứu, web sâu, đối tác và dữ liệu lịch sử khác về các đối tượng độc hại. Tất cả dữ liệu tổng hợp được kiểm tra và tinh chỉnh cẩn thận trong thời gian thực sử dụng nhiều kỹ thuật tiền xử lý, chẳng hạn như tiêu chí thống kê, Hệ thống chuyên dụng hộp cát, công cụ heuristics, công cụ tương tự, hồ sơ hành vi, xác nhận bởi chuyên gia. Từ đó tạo ra dữ liệu chỉ báo mối đe dọa được kiểm tra kỹ lưỡng có nguồn gốc từ thế giới thực và trong thời gian thực. Bằng cách tích hợp nguồn cấp dữ liệu thông tin về mối đe dọa được cập nhật từng phút có chứa thông tin về các IPs, URL và mã băm đáng ngờ vào các biện pháp kiểm soát bảo mật hiện có như hệ thống SIEM, SOC, firewall…, các nhóm bảo mật có thể tự động hóa quy trình xử lý ban đầu và cung cấp cho các chuyên gia của họ đủ thông tin để xác định ngay các cảnh báo cần được điều tra hoặc chuyển ngay tới các nhóm Ứng phó Sự cố IR để điều tra và ứng phó thêm. Các tính năng chính của sản phẩm Củng cố các giải pháp bảo vệ mạng của bạn, bao gồm SIEM, Tường lửa, IPS / IDS, Proxy, giải pháp DNS, chống APT, với các chỉ dấu thỏa hiệp IOCs được cập nhật liên tục. Cung cấp cái nhìn sâu sắc về các cuộc tấn công mạng và hiểu rõ hơn về ý định, khả năng và mục tiêu của các kẻ tấn công. Các giải pháp SIEM được hỗ trợ HP ArcSight, IBM QRadar, Splunk, Phát triển hoặc tăng cường bảo vệ tấn công cho các thiết bị mạng Như routers, gateways, UTM. Cải thiện và tăng tốc khả năng ứng phó sự cố và điều tra bằng cách cung cấp cho các nhóm bảo mật / SOC các thông tin có ý nghĩa về các mối đe dọa và hiểu biết toàn cầu về những gì nằm đằng sau các cuộc tấn công có mục tiêu. Chẩn đoán và phân tích các sự cố bảo mật trên máy chủ và mạng hiệu quả hơn, và phân loại các tín hiệu từ các hệ thống nội bộ có liên quan tới các mối đe dọa không xác định để giảm thiểu thời gian ứng phó sự cố và phá vỡ chuỗi tấn công trước khi các hệ thống và dữ liệu quan trọng bị xâm phạm; Cung cấp thông tin về mối đe dọa cho các chuyên gia. Tận dụng thông tin trực tiếp về phần mềm độc hại đang phổ biến và các mối đe dọa khác để tăng cường năng lực phòng thủ; Giúp giảm thiểu các cuộc tấn công có mục tiêu. Tăng cường tình hình bảo mật của bạn bàng các thông tin về chiến thuật và chiến lược của các cuộc tấn công bằng cách điều chỉnh các chiến lược phòng thủ để chống lại các mối đe dọa cụ thể mà tổ chức của bạn phải đối mặt; Sử dụng thông tin về mối đe dọa để phát hiện nội dung độc hại được lưu trữ trên mạng và trung tâm dữ liệu của bạn; Ngăn chặn việc tiêu tẩy tài sản nhạy cảm và sở hữu trí tuệ từ máy bị nhiễm mã độc ra bên ngoài tổ chức, phát hiện tài sản bị nhiễm mã độc nhanh chóng, bảo vệ lợi thế cạnh tranh và mất cơ hội kinh doanh và bảo vệ uy tín thương hiệu của bạn; Tiến hành tìm kiếm sâu vào các chỉ báo mối đe dọa như giao thức lệnh và kiểm soát, địa chỉ IP, URL độc hại hoặc mã băm; các mối đe dọa được xác nhận bởi các chuyên gia cho phép phân loại các cuộc tấn công, cải thiện các quyết định phân bổ tài nguyên và chi tiêu công nghệ thông tin và hỗ trợ bạn tập trung vào việc giảm thiểu những mối đe dọa gây rủi ro nhất cho tổ chức; APT Intelligence Reporting APT Intelligence Reporting cung cấp cho bạn quyền truy cập liên tục vào thông tin từ các cuộc điều tra và khám phá của hãng. Các thông tin này là các dữ liệu kỹ thuật đầy đủ, được cung cấp trong một loạt các định dạng, trên mỗi cuộc tấn công APT, bao gồm cả những thông tin chưa được công khai. Các báo cáo APT là một lượng lớn dữ liệu, được tổng hợp và phân tích bởi các chuyên gia có chuyên môn và trình độ cao. Mỗi báo cáo chứa một bản tóm tắt điều hành cung cấp thông tin mô tả ngắn gọn cho các lãnh đạo cấp cao C-level report. Kèm theo đó là một bảng mô tả kỹ thuật chi tiết về APT với các IOCs và quy tắc Yara liên quan, cung cấp cho các nhà nghiên cứu bảo mật, nhà phân tích phần mềm độc hại, kỹ sư bảo mật, nhà phân tích bảo mật mạng và các nhà nghiên cứu APT dữ liệu có thể hành động để cho phép phản ứng nhanh chóng, chính xác với mối đe dọa liên quan. Threat Lookup Threat Lookup là một dịch vụ trong Threat Intelligence cung cấp quyền truy cập đầy đủ vào dữ liệu về các chỉ số thỏa hiệp indicatior of compromise, mối quan hệ của chúng với các chỉ số khác và tất cả các loại thống kê. Threat Lookup cung cấp tất cả kiến thức mà nhà cung cấp có được về các mối đe dọa mạng và các mối quan hệ của chúng, được tập hợp thành một dịch vụ web. Mục tiêu là cung cấp cho các nhóm bảo mật càng nhiều dữ liệu càng tốt, ngăn chặn các cuộc tấn công mạng trước khi chúng ảnh hưởng đến tổ chức. Nền tảng truy xuất thông tin về mối đe dọa chi tiết mới nhất về URL, tên miền, địa chỉ IP, băm tệp, tên mối đe dọa, dữ liệu thống kê / hành vi, dữ liệu WHOIS / DNS, thuộc tính tệp, dữ liệu vị trí địa lý, chuỗi tải xuống, dấu thời gian, Kết quả là khả năng hiển thị toàn cầu về các mối đe dọa mới và mới nổi, giúp tăng cường khả năng bảo vệ và ứng phó sự cố. Threat Lookup sẽ phát huy tác dụng tối đa với các tổ chức có bộ phận bảo mật thông tin chuyên biệt, vì dịch vụ này dành cho phân tích thủ công. Threat Lookup giảm thời gian xác định sự cố. Thông tin đầy đủ có sẵn ở một nơi duy nhất và các chuyên gia phân tích sẽ không phải chuyển sang các dịch vụ khác để kiểm tra hoặc bổ sung dữ liệu Tra cứu Mối đe dọa. Thông tin về đối tượng và các chỉ số liên quan giúp xác định mức độ nghiêm trọng của mối đe dọa Có rất nhiều người dùng gặp phải sự cố tương tự? Ở các quốc gia nào? Các mẫu mã độc tương tự hoạt động như thế nào? Trong quá trình ngăn chặn mối nguy Threat Lookup giúp các chuyên gia ứng phó tìm kiếm các các đối tượng liên quan đến chỉ báo được phát hiện đang hoạt động trên mạng, ngăn chặn URL và IPs là nguồn tải xuống đối tượng cũng như là đích để trích xuất dữ liệu ra ngoài Ở giai đoạn loại trừ nguy cơ, Threat Lookup là một nguồn thông tin về tên và vị trí của các tệp độc hại trên hệ thống. Các chuyên gia không cần phải dành thời gian tìm kiếm tất cả các tệp liên quan đến mối đe dọa. Tích hợp với SOC Giải pháp Threat Data Feed được tích hợp với giải pháp SIEM để phát hiện hoạt động độc hại trên mạng. Cán bộ quản trị nhận được các thông tin cần thiết để nhận biết các rủi ro, cũng như giảm thiểu hiệu quả các mối đe dọa mạng và bảo vệ chống lại các cuộc tấn công đang diễn ra. Luồng kết nối giữa nguồn thông tin mối đe dọa và hệ thống SIEM như sau Các sự kiện đến được gửi từ các biện pháp kiểm soát bảo mật khác nhau và được SIEM thu thập. SIEM chuyển tiếp các sự kiện đã nhận tới thành phần CyberTrace thông qua kết nối TCP. Thành phần CyberTrace nhận các sự kiện có chứa URL, băm hoặc địa chỉ IP từ SIEM. CyberTrace tự động nhận được nguồn cấp dữ liệu mối đe dọa cập nhật từ internet. CyberTrace khớp với các khả năng quan sát IP, URL, tên miền và băm trong các sự kiện đã nhận với nguồn cấp dữ liệu mối đe dọa. Nếu có kết quả khớp với Nguồn cấp dữ liệu mối đe dọa, CyberTrace sẽ gửi sự kiện phù hợp trở lại giải pháp SIEM, và thông báo cho quản trị viên SIEM về sự cố bảo mật. Ngoài ra, số liệu thống kê phát hiện được lưu trữ trong CyberTrace để cho phép theo dõi xu hướng và xác định sự bất thường trong mạng của mình bằng cách sử dụng giao diện web CyberTrace. Nếu chế độ retroscan được bật, CyberTrace sẽ lưu trữ các vật liệu quan sát từ các sự kiện được kiểm tra để phù hợp trong tương lai với nguồn cấp dữ liệu mới nhất. Các tính năng chính của hệ thống tích hợp giữa nguồn thông tin mối đe dọa và SIEM Cấu hình bảng thông tin trong SIEM để hiển thị và ưu tiên thông tin về URL, địa chỉ IP và băm tệp có trong các sự kiện khớp với nguồn cấp dữ liệu mối đe dọa Bộ lọc để gửi sự kiện phát hiện đến các giải pháp SIEM giúp giảm tải cho hệ thống cũng như các nhà phân tích. Nó cho phép gửi đến các giải pháp SIEM chỉ những phát hiện nguy hiểm và chắc chắn nhất. Tất cả các phát hiện khác sẽ được lưu vào cơ sở dữ liệu nội bộ và có thể được sử dụng trong quá trình phân tích nguyên nhân gốc rễ hoặc trong săn tìm mối đe dọa. Cung cấp bảng thông tin để xem tổng quan nhanh, cũng như thông tin chi tiết hơn về các sự kiện phù hợp. Vận hành thông tin về mối đe dọa cho các nhóm bảo mật / SOC và hỗ trợ các nhà phân tích mối đe dọa trong quá trình điều tra. Cải thiện và tăng tốc khả năng ứng phó sự cố và pháp y số. Tự động cập nhật nguồn dữ liệu Mối đe dọa. Loại bỏ dương tính giả và hình thành phòng thủ chủ động, dựa trên trí thông minh. Hỗ trợ nguồn sự kiện từ tất cả các biện pháp kiểm soát bảo mật hiện có Firewalls, IPS/IDS, Security Proxies, Anti-Virus, DNS, UTMs … Yêu cầu phần cứng cài đặt CyberTrace CPU ≥ 32 core RAM ≥ 32 GB SSD ≥ 1TB 2. HIỆU QUẢ ĐẦU TƯ Nhanh chóng cập nhật các thông tin và tri thức bảo mật cho đội ngũ chuyên gia Tích hợp và nâng cấp cho các quy trình và giải pháp bảo mật sẵn có Cải thiện và tăng tốc khả năng ứng phó sự cố và điều tra bằng cách cung cấp cho các nhóm bảo mật / SOC thông tin có ý nghĩa về các mối đe dọa và thông tin chi tiết về các cuộc tấn công có mục tiêu. Thực hiện phân tích mã độc mà không cần đầu tư hạ tầng phức tạp Hỗ trợ phát hiện và giảm thiểu các cuộc tấn công có mục tiêu. Tăng cường mức độ bảo mật của bạn bằng cách điều chỉnh các chiến lược phòng thủ để chống lại với các chiến thuật và kỹ thuật mới của kẻ tấn công. 3. ĐÁNH GIÁ NHẬN ĐỊNH TỪ CÁC NHÀ PHÂN TÍCH VÀ CHUYÊN GIA Giải pháp Threat Intelligence của Kaspersky được đánh giá nằm trong nhóm leader của Forrester wave quý 1 năm 2021 Liên hệ tư vấn và báo giá CÔNG TY CỔ PHẦN GIẢI PHÁP CÔNG NGHỆ SONIC Tầng 16, Tòa nhà Licogi 13, 164 Khuất Duy Tiến, P. Nhân Chính, Q. Thanh Xuân, TP. Hà Nội Tel Email Sales Tấn công mạng diễn ra hàng ngày, thường xuyên, phức tạp và ẩn giấu nhằm phá vỡ lớp bảo vệ bên ngoài của các doanh nghiệp. Các kỹ thuật mới của tin tặc buộc các công ty an ninh mạng cũng phải cải tiến việc bảo vệ, một trong số đó là sự ra đời của Cyber Threat Intelligence, nghĩa là thông tin tình báo về mối đe dọa an ninh mạng. Thay vì bị động bảo vệ hệ thống trước các vụ tấn công, Threat Intelligence chủ động đi tìm các nguồn tấn công thông qua một loạt các biện pháp theo giấu, tìm kiếm phân tích dữ liệu trên không gian mạng, từ nguồn mở đến nguồn đóng như dark/deep web. Sau khi có kết quả, dữ liệu về mối đe dọa sẽ được gửi cho các khách hàng là doanh nghiệp sử dụng dịch vụ Threat Intelligence. Từ đây, các doanh nghiệp sẽ có những biện pháp tăng cường bảo mật, vá lỗ hổng nguy hiểm, cảnh báo đến nhân sự những mối đe dọa tiềm tàng có thể xuất hiện trong các email lạ. Chẳng hạn, tình báo thông minh của Kaspersky có thể phát hiện hơn mã độc mới mỗi ngày bằng cách quét hơn 20PB 20 triệu GB dữ liệu nguy hiểm. Nhờ điều tra và phát hiện sớm, các doanh nghiệp có thể chủ động đối phó với những mã độc nguy hiểm nhất ngay trước khi nó kịp lây lan. Báo cáo của IBM năm 2019 cho thấy có 8,5 tỷ vụ xâm nhập an ninh mạng vào năm 2019, trong đó có hơn 150,000 lỗ hổng bảo mật khiến các tổ chức phải đau đầu tìm cách vá. Kết quả là các vụ tấn công công nghệ vận hành OT đã tăng so với năm trước đó. OT được sử dụng chủ yếu trong công nghiệp sản xuất khép kín nhưng nay đã trở thành miếng mồi béo bở với các tin tặc ở thời đại Internet vạn vật kết nối này IoT. Điều này cho thấy sự cần thiết của việc trang bị Threat Intelligence với mọi loại hình doanh nghiệp khác nhau. Các doanh nghiệp sau khi đăng ký sử dụng với các nhà cung cấp Viettel, CMC, FireEye, Bitdefender... sẽ nhận được thông tin về các mối đe dọa mất an toàn an ninh mạng và cách phòng ngừa nó liên tục 24/7. Tuy nhiên, bởi vì Threat Intelligence đưa ra cảnh báo sớm và ngăn chặn các mối đe dọa, nên khách hàng có thể sẽ không nhìn thấy được lợi ích của việc sử dụng dịch vụ này. Chỉ đến khi bị tấn công và chịu thiệt hại nhất định, doanh nghiệp mới tỉnh đòn’. Hồi cuối tháng 7/2020, Công ty Chứng khoán VPS Hà Nội đã phải chịu các đợt tấn công DDoS liên tiếp gây ảnh hưởng không nhỏ tới hoạt động giao dịch của các nhà đầu tư. Theo báo cáo của công ty an ninh mạng Recorded Future, các giải pháp Threat Intelligence đã giúp khách hàng của họ đạt tỷ suất hoàn vốn tăng 284%, giảm 34% thời gian cho các nhân viên làm báo cáo an ninh mạng, tăng 32% hiệu quả hoạt động của đội IT, giúp phát hiện sớm gấp 10 lần mối đe dọa, và các giải pháp an ninh mạng hiệu quả nhanh hơn 63%. Tuy vậy, mức giá từ vài nghìn đến hàng chục nghìn USD mỗi năm cho sử dụng dịch vụ Threat Intelligence có thể làm các doanh nghiệp vừa và nhỏ chùn bước. Ngoài ra, mỗi công ty an ninh mạng sẽ có một cơ sở dữ liệu khác nhau, đáp ứng các nhu cầu bảo vệ ở những mức độ khác nhau cho từng doanh nghiệp. Theo Kaspersky, các giải pháp giá rẻ khác mà các doanh nghiệp vừa và nhỏ có thể triển khai nếu không muốn sử dụng các công cụ thông minh là phân quyền truy cập của nhân viên theo cấp bậc, cung cấp VPN để kết nối, tuyên truyền nâng cao nhận thức của nhân viên về việc sử dụng email trong công ty, không sử dụng các phần mềm lậu. Tất nhiên, đây chỉ là các giải pháp giúp hạn chế phần nào rủi ro phát sinh từ nội bộ và không thể ngăn chặn được các cuộc tấn công có chủ đích từ bên ngoài. Đó là lý do các doanh nghiệp không chuyên, có quy mô từ 50 người trở lên cần trang bị các biện pháp bảo vệ mạnh hơn như dùng dịch vụ Threat Intelligence, nền tảng Trung tâm SOC, theo khuyến cáo của các chuyên gia. Hãng bảo mật Bitdefender đưa ra dự báo đến năm 2020, 20% các doanh nghiệp lớn sẽ trang bị dịch vụ Threat Intelligence so với chỉ hơn 10% như hiện nay. Hôm này mình xin tản mạn về một cơ hội ngành nghề sẽ trở thành 1 hướng đi mới trong ngành An ninh mạng, hấp dẫn không kém những mảng khác trong Cyber Security. Đó là ngành về Threat Intelligence. Threat Intelligence là gì ? Threat Intelligence được biết đến là giải pháp về tình báo thông tin, nơi thu thập các mối đe dọa đã, đang và sắp nhắm mục tiêu đến tổ chức trên không gian mạng. Các thông tin này được sử dụng để chuẩn bị, ngăn chặn và xác định các mối đe dọa trên không gian mạng nhằm tận dụng các nguồn lực có giá trị. Những thông tin ngầm hay tin mật quan trọng hết sức thú vị trong nhiều tình huống, nhưng trong một thế giới mà bất kỳ số lượng các mối đe dọa mạng tăng hàng giờ có thể khiến một tổ chức có thể bị sụp đổ một cách bất ngờ. Thông tin về mối đe dọa có thể giúp các tổ chức có được kiến thức quý giá về các mối đe dọa này, nhằm xây dựng các cơ chế phòng thủ hiệu quả và giảm thiểu rủi ro có thể làm tổn hại đến lợi nhuận và hơn hết là danh tiếng của doanh nghiệp. Ngày nay các mối đe dọa có mục tiêu, tổ chức nên đòi hỏi bên phòng thủ phải có thông tin tình báo về mối đe dọa mạng cung cấp khả năng phòng thủ chủ động một cách chủ động. Threat Intelligence là từ khóa có thê giúp cho Doanh nghiệp của bạn có được chuẩn bị trước các cuộc tấn công mạng ngày càng tinh vi và thay đổi từng ngày trên không gian mạng. Quy trình vận hành hệ thống Threat Intelligence trong tổ chứcTại sao Threat Intelligence lại quan trọng với doanh nghiệp?Threat Intelligence thu thập dữ liệu thô về các tác nhân và mối đe dọa hiện tại hoặc các mối đe dọa từ một số nguồn. Dữ liệu này sau đó được phân tích và lọc để tạo ra các báo cáo quản lý. Mục đích chính của loại bảo mật này là thông báo cho các tổ chức về những rủi ro của các mối đe dọa, về việc khai thác lỗ hổng 0day và giải pháp khắc phục. Khi được thực hiện tốt, Threat Intelligence có thể giúp đạt được các mục tiêu sau Đảm bảo bạn luôn cập nhật với khối lượng các mối đe dọa thường xuyên, bao gồm các phương pháp, lỗ hổng, mục tiêu và tác nhân xấu. Giúp bạn trở nên chủ động hơn về các mối đe dọa an ninh mạng trong tương lai. Có các phương án đưa phòng thủ chủ động khi các Lãnh đạo cấp cao biết được các thông tin quan trọng để bảo vệ doanh nghiệp Các tiêu chí để phát hiện khi bị Compromise thỏa hiệp?Các tổ chức đang chịu áp lực ngày càng tăng để quản lý các lỗ hổng bảo mật và bối cảnh đe dọa không ngừng phát triển. Các nguồn cấp dữ liệu tình báo đe dọa có thể hỗ trợ trong quá trình này bằng cách xác định các chỉ số chung về thỏa hiệp IOC và đề xuất các bước cần thiết để ngăn ngừa tấn công hoặc lây lan trong hệ thống. Một số chỉ số phổ biến nhất của thỏa hiệp bao gồm Địa chỉ IP, URL và domain ví dụ phần mềm độc hại nhắm vào một máy chủ nội bộ đang giao tiếp với một tác nhân đe dọa đã biết. Địa chỉ email, chủ đề email, liên kết và tệp đính kèm ví dụ lừa đào qua email, thuyết phục người dùng nhấp vào liên kết hoặc tệp đính kèm và bắt đầu một lệnh độc hại. Các Registry, cách đặt tên, hàm băm và DLLS Ví dụ một cuộc tấn công từ một máy chủ bên ngoài đã được gắn cờ cảnh báo tội phạm có hành vi bất chính hoặc đã bị nhiễm mã độc. Ngành nghề, học ở đâu?Hiện ngành này cũng đã có các khóa học và cấp chứng chỉ như SANS, Eccouncil, Udemy, Crowdstrike, CourseraHiện có các giải pháp về Threat Intelligence nào trên Thị trường ?Các giải pháp về Open source như Yeti, MISP, OPENCTI... Bên cạnh đó cũng có rất nhiều các hãng thương mại khác như Anomali, Crowdstrike, IBM... Tấn công mạng diễn ra hàng ngày, thường xuyên, phức tạp và ẩn giấu nhằm phá vỡ lớp bảo vệ bên ngoài của các doanh nghiệp. Các kỹ thuật mới của tin tặc buộc các công ty an ninh mạng cũng phải cải tiến sự bảo vệ, mà một trong số đó là sự ra đời của Cyber Threat Intelligence gọi ngắn gọn là Threat Intelligence, nghĩa là thông tin tình báo về mối đe dọa an ninh mạng. Thay vì bị động bảo vệ hệ thống trước các vụ tấn công, Threat Intelligence chủ động đi tìm các nguồn tấn công thông qua một loạt các biện pháp theo dấu, tìm kiếm phân tích dữ liệu trên không gian mạng, từ nguồn mở đến nguồn đóng như dark/deep web. Sau khi có kết quả, dữ liệu về mối đe dọa sẽ được gửi cho các khách hàng là doanh nghiệp sử dụng dịch vụ Threat Intelligence. Từ đây, các doanh nghiệp sẽ có những biện pháp tăng cường bảo mật, vá lỗ hổng nguy hiểm, cảnh báo đến nhân sự những mối đe dọa tiềm tàng có thể xuất hiện trong các email lạ. Mô tả hoạt động cơ bản của Threat Intelligence Chẳng hạn, tình báo thông minh của Kaspersky có thể phát hiện hơn mã độc mới mỗi ngày bằng cách quét hơn 20PB 20 triệu GB dữ liệu nguy hiểm. Nhờ điều tra và phát hiện sớm, các doanh nghiệp có thể chủ động đối phó với những mã độc nguy hiểm nhất ngay trước khi nó kịp lây lan. Báo cáo của IBM năm 2019 cho thấy có 8,5 tỷ vụ xâm nhập an ninh mạng vào năm 2019 trong đó có hơn 150,000 lỗ hổng bảo mật khiến các tổ chức phải đau đầu tìm cách vá. Kết quả là các vụ tấn công công nghệ vận hành OT đã tăng so với năm trước đó. OT được sử dụng chủ yếu trong công nghiệp sản xuất khép kín nhưng nay đã trở thành miếng mồi béo bở với các tin tặc ở thời đại Internet vạn vật kết nối này IoT. Điều này cho thấy sự cần thiết của việc trang bị Threat Intelligence với mọi loại hình doanh nghiệp khác nhau. Các doanh nghiệp sau khi đăng ký sử dụng với các nhà cung cấp Viettel, CMC, FireEye, Bitdefender... sẽ nhận được thông tin về các mối đe dọa mất an toàn an ninh mạng và cách phòng ngừa nó liên tục 24/7. Ngày càng nhiều các vụ tấn công, mã độc, lỗ hổng bảo mật đe dọa đến các doanh nghiệp Tuy nhiên, bởi vì Threat Intelligence đưa ra cảnh báo sớm và ngăn chặn các mối đe dọa, nên khách hàng có thể sẽ không nhìn thấy được lợi ích của việc sử dụng dịch vụ này. Chỉ đến khi bị tấn công và chịu thiệt hại nhất định, doanh nghiệp mới tỉnh đòn’. Hồi cuối tháng 7, Công ty Chứng khoán VPS Hà Nội đã phải chịu các đợt tấn công DDoS liên tiếp gây ảnh hưởng không nhỏ tới hoạt động giao dịch của các nhà đầu tư. Theo báo cáo của công ty an ninh mạng Recorded Future, các giải pháp Threat Intelligence đã giúp khách hàng của họ đạt tỷ suất hoàn vốn tăng 284%, giảm 34% thời gian cho các nhân viên làm báo cáo an ninh mạng, tăng 32% hiệu quả hoạt động của đội IT, giúp phát hiện sớm gấp 10 lần mối đe dọa, và các giải pháp an ninh mạng hiệu quả nhanh hơn 63%. Tuy vậy, mức giá từ vài nghìn đến hàng chục nghìn đô mỗi năm cho sử dụng dịch vụ Threat Intelligence có thể làm các doanh nghiệp vừa và nhỏ chùn bước. Ngoài ra, mỗi công ty an ninh mạng sẽ có một cơ sở dữ liệu khác nhau, đáp ứng các nhu cầu bảo vệ ở những mức độ khác nhau cho từng doanh nghiệp. Threat Intelligence giúp đưa ra cảnh báo sớm khi có tin tặc tấn công Theo Kaspersky, các giải pháp giá rẻ khác mà các doanh nghiệp vừa và nhỏ có thể triển khai nếu không muốn sử dụng các công cụ thông minh là phân quyền truy cập của nhân viên theo cấp bậc, cung cấp VPN để kết nối, tuyên truyền nâng cao nhận thức của nhân viên về việc sử dụng email trong công ty, không sử dụng các phần mềm lậu. Tất nhiên, đây chỉ là các giải pháp giúp hạn chế phần nào rủi ro phát sinh từ nội bộ và không thể ngăn chặn được các cuộc tấn công có chủ đích từ bên ngoài. Đó là lý do các doanh nghiệp không chuyên, có quy mô từ 50 người trở lên cần trang bị các biện pháp bảo vệ mạnh hơn như dùng dịch vụ Threat Intelligence, nền tảng Trung tâm SOC, theo khuyến cáo của các chuyên gia. Bitdefender đưa ra dự báo đến năm 2020, 20% các doanh nghiệp lớn sẽ trang bị dịch vụ Threat Intelligence so với chỉ hơn 10% như hiện nay. Phương Nguyễn Bộ GTVT tuyên truyền về chiến dịch bóc gỡ mã độc cho hơn cán bộ, nhân viên Toàn bộ hơn cán bộ, nhân viên ngành Giao thông Vận tải GTVT sẽ được tuyên truyền về chiến dịch “Rà soát và bóc gỡ mã độc toàn quốc năm 2020”, từ đó góp phần tăng cường đảm bảo an toàn cho các hệ thống của ngành. Thấy được mọi mối đe dọa an ninh chung cho tổ chức của bạn theo thời gian thực nhờ Avast Threat Intelligence. trò chuyện với chuyên gia Ngày nay, việc đối phó với các mối đe dọa bảo mật đang không ngừng gia tăng là một thách thức thực sự đối với các doanh nghiệp. Với giải pháp Threat Intelligence của Avast, doanh nghiệp của bạn có thể được bảo vệ theo thời gian thực và thấy được các sơ suất về bảo mật cần thiết để ngăn chặn và quản lý các mối đe dọa quy mô lớn trên mạng, tất cả ở cùng một nơi. Đây là giải pháp được xây dựng trên mạng lưới phát hiện mối đe dọa lớn nhất và tiên tiến nhất thế giới. Tại sao bạn cần có Avast Threat Intelligence Đây là mạng lưới phát hiện mối đe dọa lớn nhất thế giới Với số lượng người dùng máy tính nhiều hơn sáu lần so với đối thủ cạnh tranh gần nhất, việc Avast có quyền truy cập vào lượng dữ liệu bảo mật khổng lồ đồng nghĩa với việc chúng tôi có mạng lưới phát hiện mối đe dọa lớn và tiên tiến nhất trên toàn cầu. Cơ sở hạ tầng phát hiện mối đe dọa hiện đại nhất Chúng tôi kết hợp dữ liệu mở rộng với cơ cấu ngăn chặn và phát hiện mối đe dọa nhiều lớp tiên tiến nhằm phát hiện mối đe dọa cũng như thông báo cho toàn bộ mạng lưới sau vài giây. Đội ngũ chuyên nghiên cứu về Trí tuệ nhân tạo/Máy học đoạt giải thưởng Avast Threat Intelligence sử dụng công nghệ được cấp bằng sáng chế do nhóm nghiên cứu đoạt giải thưởng của chúng tôi xây dựng, dùng công nghệ thế hệ tiếp theo để cung cấp thông tin chi tiết và mang đến độ tin cậy vượt trội. Truy cập vào nguồn cấp dữ liệu về mối đe dọa và bộ sưu tập API cực lớn của Avast Nguồn cấp dữ liệu Nguồn cấp dữ liệu về hành vi lừa đảoNhận danh sách các URL lừa đảo mà bạn có thể chặn hoặc sử dụng để cảnh báo người dùng hoặc thiết bị được chuyển hướng đến các trang web đó. Nguồn cấp dữ liệu về danh sách chặnXem các IP hoặc URL cần bị chặn hoặc cảnh báo. Các IP hoặc URL này chính là C&C, cổng exfil dữ liệu, mưu đồ theo hình thức hỗ trợ kỹ thuật, lướt web, mưu đồ lừa đảo, bộ công cụ khai thác và IoC quảng cáo độc hại. Nguồn cấp dữ liệu về mức độ phổ biến của Những lỗ hổng và rủi ro thường thấy CVENhận bản tóm tắt về các lần khai thác CVE được quan sát từ phần mềm độc hại do Avast thu thập. API theo yêu cầu API danh tiếng của tệp tinXem danh tiếng tập tin của hàm băm đã gửi API thông tin về URLTìm danh mục URL, bao gồm cả thông tin về việc liệu URL đó có phải là URL độc hại, lừa đảo hay không. Xây dựng tính năng bảo mật mạnh mẽ nhờ thông tin về mối đe dọa nâng cao của Avast Giảm thiểu các cuộc tấn công có chủ đích Phát triển hình thức bảo mật chủ động và ngăn chặn các cuộc tấn công trước khi chúng xảy ra. Dữ liệu thông báo về mối đe dọa của Avast được xác minh để giảm thiểu tình trạng cảnh báo sai, đồng thời đảm bảo dữ liệu có độ chính xác cao và đáng tin cậy. Tăng tốc độ ứng phó với sự cố Phát hiện và ứng phó với các mối đe dọa nhanh hơn nhờ dữ liệu khả thi, theo ngữ cảnh về mối đe dọa của Avast. Dữ liệu này giúp xác định phần mềm độc hại, âm mưu lừa đảo, gian lận, trên các tập tin, IP, miền và URL cụ thể, tất cả đều theo thời gian thực. Đưa ra quyết định sáng suốt Sử dụng các tùy chọn tích hợp linh hoạt của Avast để đạt được giá trị tối đa từ thông tin về mối đe dọa. Tăng cường chiến lược bảo mật của tổ chức bạn nhờ khả năng hiển thị đầy đủ các rủi ro về mối đe dọa trên mạng. Tùy chỉnh giải pháp thông tin về mối đe dọa dựa trên nhu cầu của bạn Nhà cung cấp dịch vụ bảo mật được quản lý Cải thiện khả năng tìm mối đe dọa và xác định mức độ ưu tiên xử lý lỗ hổng để tăng tốc độ xử lý bằng cách cung cấp cho các nhóm trực thuộc Trung tâm phụ trách hoạt động bảo mật SOC dữ liệu khả thi, theo thời gian thực về mối đe dọa. Nền tảng thông tin về mối đe dọa Đa dạng hóa nguồn dữ liệu của bạn để mang đến cho khách hàng dữ liệu chi tiết, chính xác và chất lượng cao nhất có thể — nhờ đó, họ luôn có thể đưa ra quyết định sáng suốt về các mối đe dọa. Các tổ chức chính phủ Dự đoán, ngăn chặn và ứng phó nhanh với các mối đe dọa trên mạng, kể cả hoạt động tấn công và gián điệp ở cấp tiểu bang - quốc gia, nhằm bảo vệ thông tin rất nhạy cảm và cơ sở hạ tầng quan trọng. Phần mềm bảo mật Tăng cường khả năng bảo vệ cho người dùng khi vào mạng thông qua việc tích hợp thông tin toàn diện về mối đe dọa của Avast nhằm cải thiện cơ sở hạ tầng bảo mật hiện có của bạn. Hãy tiếp tục cuộc trò chuyện Hãy liên hệ để tìm hiểu thêm về cách thức tăng cường bảo mật cho tổ chức của bạn bằng hệ thống Thông tin về mối đe dọa nâng cao của Avast. Câu hỏi thường gặp liên quan đến thông tin về mối đe dọa Thông tin về mối đe dọa là kiến thức dựa trên bằng chứng về mối đe dọa hoặc mối nguy hiểm đang tồn tại hoặc mới nổi lên đối với tài sản. Thông tin này được sử dụng để giúp tổ chức chuẩn bị ứng phó với mối đe dọa. Các tổ chức phải đối mặt với thách thức khó khăn trong việc ứng phó với các cuộc tấn công mạng ngày càng gia tăng nhằm đảm bảo an toàn cho tài sản của mình. Thông tin về mối đe dọa cung cấp cho các nhà phân tích bảo mật thông tin theo ngữ cảnh cần thiết để cải thiện khả năng tìm kiếm và xác định mức ưu tiên xử lý mối đe dọa, nhờ đó giảm thiểu thời gian ứng phó. Thông tin về mối đe dọa cũng cung cấp cho doanh nghiệp thông tin chi tiết cần thiết để đưa ra các quyết định chiến lược sáng suốt hơn, giành thế chủ động về vấn đề an ninh để ngăn chặn các cuộc tấn công. Có hai cách chính để sử dụng thông tin về mối đe dọa; đó là qua nguồn cấp dữ liệu hoặc API. Nguồn cấp dữ liệu về mối đe dọa cung cấp thông tin về mối đe dọa cần thiết cho cơ sở dữ liệu thông báo về mối đe dọa một cách thường xuyên, trên cơ sở xác định. Giao diện lập trình ứng dụng API dùng thông tin về mối đe dọa được lưu trữ trong môi trường đám mây an toàn bằng cách thực hiện các truy vấn theo yêu cầu. Thông tin về mối đe dọa được các doanh nghiệp trên tất cả các lĩnh vực sử dụng; gồm có dịch vụ tài chính, thương mại điện tử, công nghiệp, viễn thông, chính phủ, Nhà cung cấp dịch vụ bảo mật được quản lý MSSP, nhà cung cấp phần mềm bảo mật và nhà sản xuất phần cứng bảo mật thường tận dụng thông tin về mối đe dọa để nâng cao các dịch vụ cốt lõi của mình. Trường hợp sử dụng thông tin về mối đe dọa đang phát triển ngày càng đa dạng, với các ứng dụng vượt ra ngoài các hoạt động bảo mật truyền thống cho đến hoạt động quản lý gian lận và rủi ro, tiếp thị và nguồn nhân lực. Các trường hợp sử dụng bao gồm phát hiện hành vi lừa đảo, ưu tiên phát hiện lỗ hổng, tăng cường phân tích thông tin về mối đe dọa và nhiều trường hợp sử dụng khác. Nos últimos anos, temos presenciado, perplexos, um cenário assustador cibercriminosos trabalhando e “inovando” a uma velocidade muito maior do que os provedores de defesas conseguem acompanhar. Temos visto a comercialização do cibercrime, com kits de malware e instruções detalhadas para realizar ataques sendo vendidos em comunidades clandestinas e vastas redes de botnets para ataques DDoS disponíveis para serem alugadas. Muitos cibercriminosos cooperam entre si, compartilhando códigos e informações para manterem seus artefatos maliciosos um passo à frente da indústria de cibersegurança. É fundamental que a cibersegurança siga este mesmo caminho compartilhamento de informação. À medida em que mais e mais ataques ocorrem, aumenta a probabilidade de alguma organização ou grupo ter visto tal ataque antes. O conhecimento, portanto, existe de alguma forma, em algum lugar. Entretanto, precisa ser garimpado, validado e transformado em informação acionável. O objetivo da Threat Intelligence é fornecer a capacidade de reconhecer e atuar em tempo hábil sobre indicadores de comprometimento Indicators of Compromise – IOC. Alguns exemplos Fonte The Hacker News A promessa é sedutora ajudar as organizações a compreender e gerenciar o risco do negócio – dominar ameaças desconhecidas e mitigá-las, melhorando a eficácia da defesa o “joio do trigo” Existe uma consciência geral nas organizações da necessidade de se “ter” Threat Intelligence, porém ainda há muita confusão sobre o que é e como deve ser entregue e consumida. O fato é que muitas vezes encontramos o termo sendo empregado em contextos inadequados, talvez numa tentativa de valorizar algum tipo de informação que se pretenda divulgar ou por simples falta de conhecimento especializado. Por isso é importante salientar que Threat Intelligence não é informação óbvia, trivial ou evidente sobre uma ameaça, que um indivíduo não treinado seria capaz de discernir por si mesmo informação puramente sobre vulnerabilidades mera análise de tráfego de redes ou logs de segurança Conhecimento especializado Nas organizações, as equipes de cibersegurança têm à disposição múltiplas fontes de inteligência para identificar ameaças cibernéticas. Porém, os analistas de segurança acabam soterrados pela quantidade de informações e pela complexidade de operacionalizar e transformar a inteligência em algo preciso um verdadeiro serviço gerenciado de segurança, interno ou externo, verificando e cruzando as fontes de inteligência, para transformar compreensão em ação. O ambiente de segurança da informação é realmente desafiador ameaças cada vez mais potentes, velozes e sofisticadas, padrão de ataques migrando da tentativa de causar indisponibilidade para as tentativas de roubo ou uso de informação sensível com o objetivo de ganhar dinheiro, abertura das redes corporativas ao acesso remoto, uso intensivo de dispositivos de computação móvel, descentralização dos acessos à Internet, pressão interna para liberação do uso de redes sociais na rede corporativa, virtualização, adoção de sistemas "on the cloud" e, finalmente, o aumento inexorável da pressão regulatória sobre a gestão da lidar com os desafios impostos o profissional de segurança da informação precisa utilizar um arsenal de ferramentas leia-se sistemas de segurança complexas e difíceis de operar. Porém, ao comprar e implantar uma ferramenta dessas, a única coisa garantida é a despesa com a sua aquisição e implantação, invariavelmente alta. Isto porque a relação entre a qualidade da tecnologia escolhida e o resultado obtido é fortemente influenciada pela qualidade da implementação e da operação diária. Adquirir uma boa ferramenta realmente não garante o resultado esperado. Assim sendo, é razoável avaliar a possibilidade de contratar serviços especializados para selecionar, implantar e operar as ferramentas necessárias como forma de maximizar o resultado da aplicação do orçamento para proteção da informação. Ninguém está a salvo Não é nenhum exagero afirmar que não estamos a salvo e que a vigilância deve ser constante. Tendo isso em mente, estão aqui listadas 8 questões de cibersegurança às quais os CIOs e executivos de TI precisam estar atentos 1 A cibersegurança não é um problema exclusivo de TI as mais avançadas tecnologias, processos e recursos tecnológicos não têm valor nenhum se alguém da equipe baixar um vírus, sendo vítima de um ataque de phishing, por exemplo. A conscientização das pessoas é fundamental para que a empresa aumente seu nível de proteção. Por isso, comunique, capacite, supervisione, melhore e continue comunicando. 2 Tenha em sua empresa os melhores talentos possíveis essa regra vale para equipes internas ou parceiros. 3 Engenharia social os executivos se tornaram um dos alvos mais interessantes para ataques cibernéticos. Por isso, toda prevenção é válida. Comunique, capacite, supervisione, melhore e continue comunicando. 4 Sua empresa será atacada certamente sua empresa será alvo de um ataque algum dia. A questão é “quando” e não “se”. Por isso, não existe algo como exagerar na comunicação, nos preparativos ou nas estratégias de combate. 5 Esteja atento às regulamentações, políticas e procedimentos de gestão de riscos assegure que sua equipe domine as políticas, regras e procedimentos, além do benefício óbvio de se proteger; as multas e sanções advindas do não cumprimento dos protocolos de mercado costumam ser significativas. 6 Não existe proteção perfeita contra ataques é impossível evitar todos os tipos de invasões e ataques cibernéticos. Por isso, a melhor defesa é a detecção rápida dos invasores e a mitigação dos efeitos negativos do ataque. 7 Os investimentos em segurança devem ser administrados por tipo de negócio os ativos da empresa são diferentes e alguns precisam ser mais protegidos. Assim, identifique, localize e classifique-os com base no impacto que terão sobre os negócios, caso sejam danificados, perdidos ou roubados. 8 Tráfego encriptado assegure-se de que qualquer ferramenta de inspeção de rede existente na empresa seja capaz de verificar também o tráfego que está encriptado, uma vez que a codificação das informações é cada vez mais presente no ambiente corporativo. Sequestro virtual Um usuário do escritório verifica seus emails, vê uma mensagem que parece importante e clica no link. Em seguida, uma mensagem começa a piscar na tela de seu computador dizendo que seu sistema – e todos os arquivos dentro dele – foi bloqueado. Ele tem 72 horas para pagar um resgate para desbloqueá-lo ou vai perder todos os arquivos para sempre. Embora a mensagem e os métodos variem, o cenário típico de um ataque de ransomware tem os mesmos elementos em comum um malware que impede que o usuário acesse o sistema infectado e um pedido de pagamento em moeda virtual. Como consequência, as mais comuns por esse tipo de ataque são Perda temporária ou permanente de informações Interrupção de serviços regulares lucro cessante Perdas financeiras associadas à restauração do sistema, custos legais e de TI Danos à reputação da empresa e perda de confiança dos clientes O ransomware já é o tipo de malware mais rentável da história do cibercrime e tem tirado o sono de muitos CIOs, Gestores de SI e analistas de segurança que estão diariamente tendo que lidar com a possibilidade e/ou realidade de um sequestro. A ameaça vem pelo email Outra ameaça que tem chamado a atenção é o Business Email Compromise ou simplesmente BEC. Funciona assim criminosos se passam por funcionários do alto escalão da empresa e utilizam suas contas de e-mail, ou sutilmente parecidas, para enganar funcionários responsáveis por movimentações financeiras. Estas transferências têm como destino contas em poder dos criminosos. Tal negócio já se tornou tão lucrativo que o FBI reportou um crescimento aproximado de 270% no número de vítimas, desde Janeiro de 2015. Os prejuízos calculados já passam de US$2,3 bilhões e isto contabilizando apenas quem reportou os casos às autoridades. O órgão também estima que entre 2013 e 2016 esse tipo de ataque tenha atingido empresas em todos os estados dos EUA e de mais 79 países.

threat intelligence là gì