MISP là một nền tảng thu thập, chia sẻ, lưu trữ và liên kết các chỉ số thoả hiệp - IOC (Địa chỉ IP, tên miền, hàm băm), thông tin tình báo về mối đe dọa của các cuộc tấn công có chủ đích, kiểu tấn công (TTP, ATT&CK), thông tin về các lỗ hổng bảo mật trên không gian mạng. Dự án được phát triển bởi một nhóm các nhà phát triển từ CIRCL (Computer Incident Response Center Luxembourg), Bộ Quốc phòng Bỉ, NATO, NCIRC (NATO Computer Incident Response Capability) và được tài trợ bởi Liên minh châu Âu và Trung tâm ứng phó sự cố máy tính Luxembourg.
Mục đích của MISP là tạo ra một nền tảng tin cậy bằng cách lưu trữ thông tin về mối đe dọa và nâng cao khả năng phát hiện phần mềm độc hại để khuyến khích trao đổi thông tin giữa các tổ chức. Bên cạnh các tính năng phong phú nhằm theo dõi, phân tích mối đe dọa như trực quan hóa, gắn thẻ các trường thông tin, phân loại các mối đe doạ, hiển thị các cảnh báo, MISP cũng tích hợp các giao thức mở để truyền tải và chia sẻ dữ liệu, cho phép tích hợp với các hệ thống an ninh mạng và công cụ phân tích phổ biến hiện nay.
Các nền tảng chia sẻ thông tin tình báo về mối đe dọa luôn đòi hỏi sự cộng tác, chia sẻ thông tin nhanh chóng nhằm đưa ra các giải pháp giảm thiểu đối với từng loại tấn công trên “chiến trường” an ninh mạng, điều này được thực hiện rõ trong kiến trúc của nền tảng MISP với các thành phần chính như sau:
- Sự kiện: Là một mục mối đe dọa duy nhất được tạo bởi một tổ chức và chứa các thông tin như mối đe dọa, lần phát hiện cuối cùng, ngày phát hành, tổ chức chủ sở hữu, mức độ đe dọa và tất cả các IOC liên quan đến mối đe dọa đó.
- Nguồn cấp dữ liệu: Sau khi một sự kiện được tạo, người dùng phải gán sự kiện đó cho một nguồn cấp dữ liệu cụ thể. Nguồn cấp dữ liệu hoạt động như một danh sách tập trung các sự kiện riêng biệt có thể thuộc về một tổ chức cụ thể và chỉ chứa một loại sự kiện hoặc bất cứ số lượng các đặc điểm nhóm khác.
- Cộng đồng: Các tổ chức hỗ trợ MISP tạo thành một tập thể có tổ chức.
- API: Người dùng có thể lập trình các đoạn mã sử dụng các chức năng gửi và nhận (Pull/Push) thông tin về các mối đe dọa.
- Giao diện người dùng web: MISP đi kèm với nền tảng giao diện người dùng được lưu trữ trên web riêng biệt cho phép người dùng đăng nhập và tương tác với tất cả các tệp dữ liệu.
Hình 1. Kiến trúc nền tảng MISP
CHIA SẺ MỐI ĐE DỌA
Cộng đồng chuyên gia; nguồn cấp dữ liệu chất lượng; mức độ chia sẻ dữ liệu, sự kiện là yếu tố mấu chốt giúp cho nền tảng MISP hoạt động một cách hiệu quả. Hiện nay, nền tảng chia sẻ thông tin phần mềm độc hại đang được sử dụng bởi hơn 6000 tổ chức độc lập trong các ngành và lĩnh vực khác nhau, mỗi tổ chức đều có nguồn cung cấp dữ liệu về mối đe dọa độc quyền, công khai hoặc giới hạn trong một số nhóm. Khi hoàn tất việc thiết lập, các tổ chức có thể thêm sự kiện vào nguồn cấp dữ liệu và quy định về cấp độ chia sẻ các sự kiện thuộc về tổ chức.
Các cấp độ này bao gồm:
- Các sự kiện chỉ chia sẻ trong nội bộ tổ chức.
- Các sự kiện được chia sẻ trong cộng đồng nhất định.
- Các sự kiện được chia sẻ trong một cộng đồng kết nối cùng nhau.
- Các sự kiện được chia sẻ trong toàn bộ cộng đồng.
Số lượng dữ liệu, sự kiện ngày càng tăng nhanh dẫn đến các tranh chấp, sửa đổi trái phép sự kiện trên toàn bộ nền tảng. Các cơ chế xác thực cần thiết đã được bổ sung trên các phiên bản MISP gần đây nhằm ngăn chặn việc đánh cắp, sửa đổi các sự kiện được chia sẻ. Cụ thể, cơ chế này cho phép người tạo sự kiện đính kèm một bộ khóa ký sử dụng thuật toán mã hóa PGP (Pretty Good Privacy) vào một sự kiện, được sử dụng để ký các sự kiện trên mỗi bước nhảy của quá trình đồng bộ hóa. Điều này giúp người nhận sự kiện loại bỏ mọi cập nhật đến từ các nút không thể tạo chữ ký hợp lệ bằng một trong các khóa ký ban đầu.
Hình 2. Xác thực dữ liệu, sự kiện được chia sẻ trên MISP
Hình 2 thể hiện cơ chế đảm bảo tính xác thực của chủ sở hữu sự kiện. Alice có thể thêm khóa ký của riêng mình cũng như của Bob vào sự kiện, đảm bảo rằng các bên duy nhất có thể chuyển tiếp các sửa đổi đối với sự kiện sẽ là Alice và Bob. EBa sẽ bị từ chối khi thực hiện sửa đổi sự kiện A và cố gắng chia sẻ sự kiện đó ngược lại với Bob.
Khi tham gia cộng đồng, các tổ chức có thể đăng ký các nguồn cấp dữ liệu liên quan trực tiếp đến các mối đe dọa với các chỉ số IOC theo danh mục cụ thể. Thông qua các API, dữ liệu này có thể được trích xuất thành các tệp có định dạng đồng bộ với hệ thống quản lý và phân tích sự kiện bảo mật, hệ thống phát hiện xâm nhập, hệ thống tường lửa,... Mặt khác, các tổ chức cũng có thể đóng góp bằng cách chia sẻ nguồn cấp dữ liệu, sự kiện của tổ chức đến cộng đồng sử dụng nền tảng MISP.
MISP khuyến khích một môi trường cộng tác, nơi các tổ chức có thể cùng nhau bảo vệ chống lại các mối đe dọa trên không gian mạng, tập hợp chuyên môn và nguồn lực để cùng nhau thúc đẩy phòng thủ an ninh mạng chủ động. Việc tận dụng các nguồn dữ liệu bên ngoài và việc sử dụng các nguyên tắc phân loại trong MISP cho phép cụ thể hóa thông tin tình báo về các mối đe dọa, cung cấp hiểu biết sâu hơn về các chiến thuật, kỹ thuật và quy trình của đối thủ.
Trong bối cảnh các tin tặc đang ngày càng phát triển nhiều kỹ thuật và phương thức tấn công mới, cùng với các mối đe dọa mạng tiếp tục gia tăng về mức độ phức tạp và tần suất, việc chia sẻ thông tin tình báo về mối đe dọa hiệu quả là rất quan trọng để duy trì hệ thống phòng thủ an ninh mạng được hiệu quả. Bằng cách tận dụng sức mạnh của sự cộng tác, chia sẻ thông tin nhanh chóng và phòng thủ chung, các tổ chức có thể phát hiện sớm các mối đe dọa và phản ứng nhanh chóng hơn. Việc sử dụng MISP như một phần của chiến lược tình báo về mối đe dọa toàn diện sẽ trao quyền cho các tổ chức bảo vệ tài sản kỹ thuật số và thúc đẩy một cộng đồng an ninh mạng mạnh mẽ và linh hoạt hơn.
Trần Nhật Long (Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ), Nguyễn Đình Chiến (Công ty Misoft)
13:00 | 04/08/2023
13:00 | 06/12/2022
09:00 | 14/09/2023
14:00 | 02/08/2023
Ngày nay, nhiều tổ chức/doanh nghiệp (TC/DN) đã nhận thức được việc chuyển khối lượng công việc lên đám mây sẽ an toàn hơn là tại cơ sở. Phần lớn cho rằng nhà cung cấp dịch vụ đám mây (CSP) sẽ chịu trách nhiệm về bảo mật. Tuy nhiên, để có được điều này thì cần phải có các bước quan trọng để đảm bảo tính bảo mật của nó.
16:00 | 27/07/2023
Trong phần I của bài báo, nhóm tác giả đã trình bày về các phương pháp mã hóa dữ liệu lưu trữ, trong đó tập trung về giải pháp mã hóa phân vùng bằng dm-crypt và LUKS trên máy tính nhúng, cụ thể là Raspberry Pi. Với những ưu điểm của việc thiết kế module dưới dạng tách rời, trong phần II này, nhóm tác giả sẽ trình bày cách xây dựng module Kuznyechik trong chuẩn mật mã GOST R34.12-2015 trên Raspberry Pi, từ đó xây dựng một phần mềm mã hóa phân vùng lưu trữ video từ camera sử dụng thuật toán mật mã mới tích hợp.
13:00 | 06/12/2022
Cùng với sự gia tăng không ngừng của các mối đe dọa an ninh mạng, các tin tặc thay đổi, phát triển các chiến thuật và phương thức tấn công mới tinh vi hơn dường như xuất hiện liên tục. Trong khi đó, các chiến dịch tấn công nhắm vào cơ sở hạ tầng công nghệ thông tin của các tổ chức/doanh nghiệp (TC/DN) được các nhóm tin tặc thực hiện với tần suất nhiều hơn. Chính vì thế, việc xây dựng một chiến lược phòng thủ dựa trên bằng chứng được thực thi tốt là điều mà các TC/DN nên thực hiện để chủ động hơn trước các mối đe dọa trong bối cảnh các cuộc tấn công mạng đang trở nên khó lường và phức tạp.
17:00 | 20/06/2022
Trong Phần I của bài báo, nhóm tác giả đã tập trung phân tích các giải pháp đảm bảo an toàn, bảo mật cho các thiết bị lưu trữ USB, đặc biệt là xu hướng phát triển của các thiết bị USB mã hóa, đánh giá ưu nhược điểm của các giải pháp và xu hướng phát triển các thiết bị lưu trữ chuẩn USB an toàn, bảo mật. Phần II của bài viết đề xuất giải pháp nâng cao tính an toàn, bảo mật và một số yêu cầu nền tảng cho các thiết bị lưu trữ chuẩn giao tiếp USB.
Mặc dù, tiền mã hóa đem lại tính an toàn, bảo mật, nhanh chóng, tiện lợi, không chịu sự quản lý của Ngân hàng Trung ương cũng như các cơ quan công quyền, nhưng đây lại là cơ hội để tội phạm rửa tiền lợi dụng thực hiện các hành vi trái pháp luật trên không gian mạng. Bài viết sẽ thông tin tới độc giả các khái niệm, phương thức, thủ đoạn của hoạt động rửa tiền bằng tiền mã hóa. Đồng thời, bài báo đề xuất các giải pháp phòng chống hoạt động phạm tội này tại Việt Nam.
15:00 | 18/12/2023
Theo số liệu của DataReportal, hiện Việt Nam đang có khoảng 49,9 triệu người sử dụng mạng xã hội TikTok, xếp thứ 6 trên 10 quốc gia có số người sử dụng TikTok nhiều nhất thế giới. Đáng chú ý là mạng xã hội này đang dần chiếm lĩnh thị trường nhờ vào những đoạn video có nội dung đa dạng mang tính "gây nghiện", thu hút mọi lứa tuổi trong đó có trẻ em. Tuy nhiên không như những mạng xã hội khác, TikTok thường xuyên bị cáo buộc việc gây ra những rủi ro nghiêm trọng về bảo mật và quyền riêng tư của người dùng. Thời gian qua đã có ít nhất 10 quốc gia cấm sử dụng ứng dụng này, trong đó có những nguyên nhân là do Tiktok gây ảnh hưởng nghiêm trọng tới suy nghĩ và hành động của trẻ em.
08:00 | 21/12/2023