1. 1
Thay đổi cuộc chơi
Bằng công nghệ đánh lừa kẻ tấn
công
Trần Minh Trí
Deception – Change the Game
2. 2
Giới thiệu bản thân
TRẦN MINH TRÍ
Thành viên cộng đồng Security Bootcamp từ năm 2017
Với mong muốn góp chút sức nhỏ giúp cộng đồng Security Bootcamp phát triển và lan tỏa.
+84.938.631.778 tridalat@gmail.com.
3. •Tại sao phải tìm hiểu công
nghệ đánh lừa kẻ tấn công?
•Công nghệ đánh lừa hoạt động
như thế nào?
•Mô hình đánh lừa kẻ tấn công
trong thực tế ra sao?
“Very few people or
companies can clearly
articulate WHY they
do WHAT they do
- Simon Sinek -
“Đội an ninh phải đối
mặt với thách thức lớn
luôn phải thành công
100% thời gian”
NỘI DUNG:
4. 4
Nguyên nhân
Deceive. Detect. Defend.
• Thiếu khả năng hiển
thị những đe dọa
trong mạng.
• Nhiều nguồn dữ liệu
nhưng không tương
quan nhau.
• Cảnh báo nhưng
chúng ta chú ý
• Thiếu nguồn lực.
* Source: Mandiant M-Trends Report 2019
• Dwell time: chỉ số tính
bằng số ngày kẻ tấn
công có mặt trên mạng
nạn nhân từ bằng
chứng đầu tiên đến lúc
phát hiện.
5. 5
Mục đích giảm thời gian dwell time
Khắc phục các nguyên nhân
Tăng khả năng hiển thị
Đầu tư thêm nguồn lực
6. 6
Thử tiếp cận hướng khác…
Thay đổi tâm thế Tiếp cận theo hướng chủ động
Đánh lừa để kẻ tấn công lộ diện sớm
7. •Tại sao phải tìm hiểu công
nghệ đánh lừa kẻ tấn công?
•Công nghệ đánh lừa hoạt động
như thế nào?
•Mô hình đánh lừa kẻ tấn công
trong thực tế ra sao?
“Very few people or
companies can clearly
articulate WHY they
do WHAT they do
- Simon Sinek -
“Đội an ninh phải đối
mặt với thách thức lớn
luôn phải thành công
100% thời gian”
NỘI DUNG:
9. 9
Thiết lập nhiều mồi nhử cả server, máy trạm, tập tin
Nguyên lý hoạt động công nghệ đánh lừa
Trước khi áp dụng công nghệ
đánh lừa
Máy chủ
Áp dụng công nghệ đánh lừa
Máy chủ
Attacker khi nhìn vào hệ thống
Máy chủ
Nhiều máy chủ ảo làm mồi nhử
Máy chủ
10. •Tại sao phải tìm hiểu công
nghệ đánh lừa kẻ tấn công?
•Công nghệ đánh lừa hoạt động
như thế nào?
•Mô hình đánh lừa kẻ tấn công
trong thực tế ra sao?
“Very few people or
companies can clearly
articulate WHY they
do WHAT they do
- Simon Sinek -
“Đội an ninh phải đối
mặt với thách thức lớn
luôn phải thành công
100% thời gian”
NỘI DUNG:
11. 11
Lỗ hổng bảo mật dù nhỏ cũng sẽ tạo cơ hội cho các mối đe dọa
Cách tiếp cận trong môi trường mạng thực tế
Exploit
Target
Target
12. 12
User VLAN
Server VLAN
Server Decoys
Windows, Linux,
Admin
Endpoint &
IOT Decoys,
…
Deception
Tạo ra môi trường hấp
dẫn giống môi trường
thật
Mòi nhử hấp dẫn đầy
đủ thông tin
Công nghệ tạo mồi điển hình
VM, Cloud,
Appliance
Mồi nhử
Mồi nhử
VM, Cloud, Appliance
13. 13
Thiết lập nhiều mồi server, máy trạm, tập tin
Các mối đe dọa trong mạng đang hoạt động
Target
Exploit
Target
Target