SlideShare a Scribd company logo

Service-Threat-Hunting-of-viettel-1231511222.pdf

B
biherok177

Service-Threat-Hunting of Viettel

Technology
1 of 2
Download to read offline
Trong những năm gần đây, các cuộc tấn công an ninh mạng ngày càng gia tăng về cả số lượng và mức độ tinh vi. Những rủi ro bảo mật và mã độc có thể gây thiệt hại không nhỏ đến uy tín và tài chính của doanh nghiệp. Các doanh nghiệp và tổ chức đều nỗ lực xây dựng hệ thống an toàn thông tin có tính bảo mật chặt chẽ, phát hiện các cuộc tấn công sớm. Tuy nhiên, một khảo sát gần đây đã chỉ ra rằng phần lớn các mối nguy cơ an ninh mạng vẫn diễn ra bên trong mạng lưới nhưng không được phát hiện. Do đó, dịch vụ Săn tìm mối nguy An toàn thông tin (Threat Hunting) ra đời nhằm tìm kiếm phát hiện và loại bỏ mã độc cũng như những mối đe đọa an ninh mạng tiềm ẩn trong mạng lưới của doanh nghiệp. Sự cần thiết của việc dịch vụ săn tìm mối nguy An toàn thông tin Những điểm chính của dịch vụ Hệ thống Viettel Threat Intelligence thường xuyên thu thập thông tin về các mối nguy an ninh mạng trên toàn cầu, bao gồm mạng Internet, các cộng đồng underground, cũng như từ các hệ thống giám sát của Viettel. Các thông tin này được sử dụng để đánh giá mức độ rủi ro bảo mật của hệ thống. Các nguy cơ bao gồm: • Các nhóm, chiến dịch tấn công mạng • Các loại mã độc • Các lỗ hổng bảo mật • Các nguy cơ lộ lọt dữ liệu • Các nguy cơ bảo mật khác Dịch vụ săn tìm mối nguy An toàn thông tin Dịch vụ Săn tìm mối nguy An toàn thông tin (Threat Hunting) của Công ty An ninh mạng Viettel là dịch vụ được tiến hành bởi những chuyên gia an ninh mạng giàu kinh nghiệm, sử dụng những công cụ tiên tiến. Dịch vụ đem lại các lợi ích: • Chủ động phát hiện mã độc và những rủi ro an ninh mạng tiềm ẩn trong mạng, kể cả khi các mối nguy vượt qua được sự kiểm soát của các phần mềm, giải pháp bảo mật, hạn chế rủi ro xảy ra các sự cố • Tăng tốc độ phản ứng với các nguy cơ bảo mật, giảm chi phí, thời gian điều tra số. • Thường xuyên cập nhật, bổ sung, tăng cường an ninh các hệ thống bảo mật. • Tăng cường tri thức về hệ thống mạng của tổ chức cho đội ngũ nhân sự CNTT, ATTT. • Tăng cường tri thức, kỹ năng chuyên môn cho đội ngũ an ninh mạng in-house. Thu thập, phân tích nguy cơ toàn cầu Thu thập dữ kiện mạng Các chuyên gia Viettel thực hiện thu thập các dữ kiện mạng, trực tiếp trên các hệ thống hoặc thông qua các giải pháp SIEM sẵn có, phục vụ phân tích phát hiện mã độc và các nguy cơ bảo mật. Các dữ kiện bao gồm: • Log trên host (Event Log, audit log, file list…) • Log network (NSM, netflow…) • Log các giải pháp bảo mật (Firewall, IDS/IPS, Antivirus…) • Log ứng dụng (Web, Database, DNS, LDAP…) Rà soát phát hiện mã độc, mối nguy hại Dựa trên các dữ kiện mạng đã thu thập, các thông tin nguy cơ toàn cầu, kết hợp với hệ thống phân tích thông minh Viettel iML, các chuyên gia Viettel rà soát phát hiện mã độc, các mối nguy hại trong mạng: • Rà soát theo các kỹ thuật tấn công mạng, chuẩn hóa theo framework MITRE ATT&CK • Rà soát theo các dấu hiệu nhận biết xâm nhập do hệ thống Viettel Threat Intelligence xác định • Rà soát theo các dấu hiệu đặc trưng của tấn công APT • Rà soát theo kết quả học máy của giải pháp Viettel iML Phân tích chuyên sâu, điều tra số Khi phát hiện mã độc, mối nguy hại, chuyên gia Viettel thực hiện phân tích mã độc, mã khai thác chuyên sâu, điều tra số trên các máy tính nghi nhiễm, các log đã thu thập, xác định: • Thời điểm, nguồn gốc, nguyên nhân lây nhiễm • Chủng loại mã độc, hành vi độc hại • Máy chủ điều khiển, hạ tầng tấn công • Nhóm, chiến dịch tấn công liên quan Xử lý sự cố, phản ứng nhanh Sau khi phân tích sâu, chuyên gia Viettel đề xuất phương án xử lý sự cố, phản ứng nhanh với các mã độc, mối nguy phát hiện được: • Gỡ bỏ, làm sạch mã độc • Cập nhật, cài đặt các bản vá nghiêm trọng • Siết chặt cấu hình bảo mật các hệ thống Datasheet security Dịch vụ Săn tìm mối nguy An toàn thông tin (Threat Hunting) Viettel Cyber Security For more information, go to ‣ www.viettelcybersecurity.com security
Dịch vụ Săn tìm mối nguy An toàn thông tin Quy trình thực hiện (Threat Hunting) Quy trình Nội dung chi tiết Viettel đề xuất kế hoạch thực hiện Threat Hunting, Khách hàng phê duyệt kế hoạch, các nội dung bao gồm nhưng không giới hạn: - Log list (Host, FW/Proxy/DNS, AV…) - Cách thu thập từng loại log - Nơi lưu trữ, review: Tại máy tính KH/Qua hệ thống VCS iML - Phương thức thực hiện: On-site/Remote - Thời gian thực hiện - Nhân sự thực hiện, nhân sự phối hợp Khách hàng chuẩn bị các điều kiện cần thiết: - Máy tính thực hiện (nếu KH lựa chọn thực hiện trên máy tính KH) - Kết nối mạng sẵn sàng đến các máy tính, hệ thống cần thiết Viettel thực hiện, KH giám sát: - Host log (tool rà soát): Viettel thực hiện trực tiếp trên máy hoặc Khách hàng đẩy công cụ qua AD/SCCM/AV/SE/EDR… - FW/Proxy/DNS/AV/Network/Web/Database…: qua SIEM hoặc Khách hàng lấy qua console quản trị Viettel thực hiện, Khách hàng giám sát: - Host log: qua iML hoặc trực tiếp trên máy chủ - FW/Proxy/DNS/AV/Network/Web/Database…: trực tiếp trên laptop Analyst/ PC KH hoặc qua hệ thống SIEM/SOC của KH Phương pháp phát hiện các mối nguy: - Theo các kỹ thuật tấn công mạng (chuẩn ATT&CK Framework) - Theo các dấu hiếu nhận biết xâm nhập do hệ thống Viettel Threat Intelligent xác định - Theo các dấu hiệu đặc trưng của tấn công APT do Viettel nghiên cứu xây dựng - Theo kết quả học máy của hệ thống iML (nếu sử dụng phương án hunting trên hệ thống iML) Viettel thực hiện Forensics, Khách hàng giám sát: - Forensics trực tiếp trên các máy nghi nhiễm - Forensics qua tra cứu các loại log đã thu thập - Dịch ngược, phân tích sample trên laptop analyst Viettel đề xuất Threat Removal Plan, Khách hàng phê duyệt: - Phương án gỡ bỏ mã độc - Phương án hardening các giải pháp hiện có Phương án triển khai bổ sung các giải pháp ATTT Khách hàng /Viettel thực hiện gỡ bỏ mã độc, thực hiện các biện pháp ngắn hạn đơn giản, không ảnh hưởng hệ thống: - Gỡ bỏ mã độc - Hardening đơn giản (cài bản vá, cấu hình đơn giản…) Viettel báo cáo Threat Hunting: - Các nội dung đã thực hiện và kết quả - Đề xuất các nội dung tiếp theo cho KH Start Threat Hunting Plan Host Log Network Log Firewall/Proxy/DNS Log Antivirus/IDS/IPS Log Web/Databse Log Suspicious Hosts Suspicious Files Data Collection Final Report Threat Removal Threat Removal Plan Stop Analysis & Forsenic Start Threat Hunting Plan Threat Removal Plan Analysis & Forensic Report Suspicious Hosts Suspicious Files Threat Detection HostLog Network Log Firewall/Proxy/DNS Log Antivirus/IDS/IPS Log Web/Databse Log Data Collection Final Report Threat Removal Datasheet security Dịch vụ Săn tìm mối nguy An toàn thông tin (Threat Hunting) Viettel Cyber Security For more information, go to ‣ www.viettelcybersecurity.com security

Recommended

Basic Security Training day 2
Basic Security Training day 2Basic Security Training day 2
Basic Security Training day 2Tu Khiem
 
[ITAS.VN]Security_Services
[ITAS.VN]Security_Services[ITAS.VN]Security_Services
[ITAS.VN]Security_ServicesITAS VIETNAM
 
Gioi thieu an toan thong tin
Gioi thieu an toan thong tinGioi thieu an toan thong tin
Gioi thieu an toan thong tinneoictu
 
Threat hunting.pptx
Threat hunting.pptxThreat hunting.pptx
Threat hunting.pptxSugarCane18
 
Tình hình ANTT ở Việt Nam - Lê Công Phú - CMC Infosec
Tình hình ANTT ở Việt Nam - Lê Công Phú - CMC InfosecTình hình ANTT ở Việt Nam - Lê Công Phú - CMC Infosec
Tình hình ANTT ở Việt Nam - Lê Công Phú - CMC InfosecSecurity Bootcamp
 
Mạng máy tính nâng cao
Mạng máy tính nâng caoMạng máy tính nâng cao
Mạng máy tính nâng caossuserd16c49
 
SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2Con Ranh
 
SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1Con Ranh
 

Recommended

Basic Security Training day 2
Basic Security Training day 2Basic Security Training day 2
Basic Security Training day 2Tu Khiem
 
[ITAS.VN]Security_Services
[ITAS.VN]Security_Services[ITAS.VN]Security_Services
[ITAS.VN]Security_ServicesITAS VIETNAM
 
Gioi thieu an toan thong tin
Gioi thieu an toan thong tinGioi thieu an toan thong tin
Gioi thieu an toan thong tinneoictu
 
Threat hunting.pptx
Threat hunting.pptxThreat hunting.pptx
Threat hunting.pptxSugarCane18
 
Tình hình ANTT ở Việt Nam - Lê Công Phú - CMC Infosec
Tình hình ANTT ở Việt Nam - Lê Công Phú - CMC InfosecTình hình ANTT ở Việt Nam - Lê Công Phú - CMC Infosec
Tình hình ANTT ở Việt Nam - Lê Công Phú - CMC InfosecSecurity Bootcamp
 
Mạng máy tính nâng cao
Mạng máy tính nâng caoMạng máy tính nâng cao
Mạng máy tính nâng caossuserd16c49
 
SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2Con Ranh
 
SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1Con Ranh
 
Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013
Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013
Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013SUN MEDIA Corp
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananhVũ Anh
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananhVũ Anh
 
Báo cáo lần 1
Báo cáo lần 1Báo cáo lần 1
Báo cáo lần 1Anhh Hữu
 
[ITAS.VN]Brochure_Services
[ITAS.VN]Brochure_Services[ITAS.VN]Brochure_Services
[ITAS.VN]Brochure_ServicesITAS VIETNAM
 
Basic Security Training day 1
Basic Security Training day 1Basic Security Training day 1
Basic Security Training day 1Tu Khiem
 
đồ áN thực tập tại athena
đồ áN thực tập tại athenađồ áN thực tập tại athena
đồ áN thực tập tại athenaHuy Bach
 
Damballa automated breach defense for sales
Damballa automated breach defense for salesDamballa automated breach defense for sales
Damballa automated breach defense for saleslabmentor
 
Bao caothuctap
Bao caothuctapBao caothuctap
Bao caothuctapLong Prồ
 
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh QuýTổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh QuýQuý Đồng Nast
 
Báo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh QuýBáo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh QuýQuý Đồng Nast
 
Bao mat may chu cua mot to chuc
Bao mat may chu cua mot to chucBao mat may chu cua mot to chuc
Bao mat may chu cua mot to chucTư vấn môi trường
 
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPTBài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPTMasterCode.vn
 
firewall
firewallfirewall
firewallKim Chan
 
Bao mat cho cac may tinh cua to chuc
Bao mat cho cac may tinh cua to chucBao mat cho cac may tinh cua to chuc
Bao mat cho cac may tinh cua to chucTư vấn môi trường
 
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdf
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdfAn Ninh Mạng Và Kỹ Thuật Session Hijacking.pdf
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdfNuioKila
 
1 BitDefender Home User
1 BitDefender Home User1 BitDefender Home User
1 BitDefender Home Usertechworldvn
 
Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...
Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...
Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...Security Bootcamp
 
Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...
Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...
Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...Security Bootcamp
 
Chương 9. Phát hiện và xử lý sự cố mã độc.pdf
Chương 9. Phát hiện và xử lý sự cố mã độc.pdfChương 9. Phát hiện và xử lý sự cố mã độc.pdf
Chương 9. Phát hiện và xử lý sự cố mã độc.pdfdong55
 

More Related Content

Similar to Service-Threat-Hunting-of-viettel-1231511222.pdf

Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013
Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013
Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013SUN MEDIA Corp
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananhVũ Anh
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananhVũ Anh
 
Báo cáo lần 1
Báo cáo lần 1Báo cáo lần 1
Báo cáo lần 1Anhh Hữu
 
[ITAS.VN]Brochure_Services
[ITAS.VN]Brochure_Services[ITAS.VN]Brochure_Services
[ITAS.VN]Brochure_ServicesITAS VIETNAM
 
Basic Security Training day 1
Basic Security Training day 1Basic Security Training day 1
Basic Security Training day 1Tu Khiem
 
đồ áN thực tập tại athena
đồ áN thực tập tại athenađồ áN thực tập tại athena
đồ áN thực tập tại athenaHuy Bach
 
Damballa automated breach defense for sales
Damballa automated breach defense for salesDamballa automated breach defense for sales
Damballa automated breach defense for saleslabmentor
 
Bao caothuctap
Bao caothuctapBao caothuctap
Bao caothuctapLong Prồ
 
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh QuýTổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh QuýQuý Đồng Nast
 
Báo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh QuýBáo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh QuýQuý Đồng Nast
 
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPTBài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPTMasterCode.vn
 
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdf
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdfAn Ninh Mạng Và Kỹ Thuật Session Hijacking.pdf
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdfNuioKila
 
1 BitDefender Home User
1 BitDefender Home User1 BitDefender Home User
1 BitDefender Home Usertechworldvn
 
Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...
Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...
Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...Security Bootcamp
 
Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...
Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...
Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...Security Bootcamp
 
Chương 9. Phát hiện và xử lý sự cố mã độc.pdf
Chương 9. Phát hiện và xử lý sự cố mã độc.pdfChương 9. Phát hiện và xử lý sự cố mã độc.pdf
Chương 9. Phát hiện và xử lý sự cố mã độc.pdfdong55
 

Similar to Service-Threat-Hunting-of-viettel-1231511222.pdf (20)

Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013
Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013
Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananh
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananh
 
Báo cáo lần 1
Báo cáo lần 1Báo cáo lần 1
Báo cáo lần 1
 
[ITAS.VN]Brochure_Services
[ITAS.VN]Brochure_Services[ITAS.VN]Brochure_Services
[ITAS.VN]Brochure_Services
 
Basic Security Training day 1
Basic Security Training day 1Basic Security Training day 1
Basic Security Training day 1
 
đồ áN thực tập tại athena
đồ áN thực tập tại athenađồ áN thực tập tại athena
đồ áN thực tập tại athena
 
Damballa automated breach defense for sales
Damballa automated breach defense for salesDamballa automated breach defense for sales
Damballa automated breach defense for sales
 
Bao caothuctap
Bao caothuctapBao caothuctap
Bao caothuctap
 
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh QuýTổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
 
Báo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh QuýBáo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh Quý
 
Bao mat may chu cua mot to chuc
Bao mat may chu cua mot to chucBao mat may chu cua mot to chuc
Bao mat may chu cua mot to chuc
 
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPTBài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
 
firewall
firewallfirewall
firewall
 
Bao mat cho cac may tinh cua to chuc
Bao mat cho cac may tinh cua to chucBao mat cho cac may tinh cua to chuc
Bao mat cho cac may tinh cua to chuc
 
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdf
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdfAn Ninh Mạng Và Kỹ Thuật Session Hijacking.pdf
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdf
 
1 BitDefender Home User
1 BitDefender Home User1 BitDefender Home User
1 BitDefender Home User
 
Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...
Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...
Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...
 
Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...
Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...
Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...
 
Chương 9. Phát hiện và xử lý sự cố mã độc.pdf
Chương 9. Phát hiện và xử lý sự cố mã độc.pdfChương 9. Phát hiện và xử lý sự cố mã độc.pdf
Chương 9. Phát hiện và xử lý sự cố mã độc.pdf
 

Service-Threat-Hunting-of-viettel-1231511222.pdf

  • 1. Trong những năm gần đây, các cuộc tấn công an ninh mạng ngày càng gia tăng về cả số lượng và mức độ tinh vi. Những rủi ro bảo mật và mã độc có thể gây thiệt hại không nhỏ đến uy tín và tài chính của doanh nghiệp. Các doanh nghiệp và tổ chức đều nỗ lực xây dựng hệ thống an toàn thông tin có tính bảo mật chặt chẽ, phát hiện các cuộc tấn công sớm. Tuy nhiên, một khảo sát gần đây đã chỉ ra rằng phần lớn các mối nguy cơ an ninh mạng vẫn diễn ra bên trong mạng lưới nhưng không được phát hiện. Do đó, dịch vụ Săn tìm mối nguy An toàn thông tin (Threat Hunting) ra đời nhằm tìm kiếm phát hiện và loại bỏ mã độc cũng như những mối đe đọa an ninh mạng tiềm ẩn trong mạng lưới của doanh nghiệp. Sự cần thiết của việc dịch vụ săn tìm mối nguy An toàn thông tin Những điểm chính của dịch vụ Hệ thống Viettel Threat Intelligence thường xuyên thu thập thông tin về các mối nguy an ninh mạng trên toàn cầu, bao gồm mạng Internet, các cộng đồng underground, cũng như từ các hệ thống giám sát của Viettel. Các thông tin này được sử dụng để đánh giá mức độ rủi ro bảo mật của hệ thống. Các nguy cơ bao gồm: • Các nhóm, chiến dịch tấn công mạng • Các loại mã độc • Các lỗ hổng bảo mật • Các nguy cơ lộ lọt dữ liệu • Các nguy cơ bảo mật khác Dịch vụ săn tìm mối nguy An toàn thông tin Dịch vụ Săn tìm mối nguy An toàn thông tin (Threat Hunting) của Công ty An ninh mạng Viettel là dịch vụ được tiến hành bởi những chuyên gia an ninh mạng giàu kinh nghiệm, sử dụng những công cụ tiên tiến. Dịch vụ đem lại các lợi ích: • Chủ động phát hiện mã độc và những rủi ro an ninh mạng tiềm ẩn trong mạng, kể cả khi các mối nguy vượt qua được sự kiểm soát của các phần mềm, giải pháp bảo mật, hạn chế rủi ro xảy ra các sự cố • Tăng tốc độ phản ứng với các nguy cơ bảo mật, giảm chi phí, thời gian điều tra số. • Thường xuyên cập nhật, bổ sung, tăng cường an ninh các hệ thống bảo mật. • Tăng cường tri thức về hệ thống mạng của tổ chức cho đội ngũ nhân sự CNTT, ATTT. • Tăng cường tri thức, kỹ năng chuyên môn cho đội ngũ an ninh mạng in-house. Thu thập, phân tích nguy cơ toàn cầu Thu thập dữ kiện mạng Các chuyên gia Viettel thực hiện thu thập các dữ kiện mạng, trực tiếp trên các hệ thống hoặc thông qua các giải pháp SIEM sẵn có, phục vụ phân tích phát hiện mã độc và các nguy cơ bảo mật. Các dữ kiện bao gồm: • Log trên host (Event Log, audit log, file list…) • Log network (NSM, netflow…) • Log các giải pháp bảo mật (Firewall, IDS/IPS, Antivirus…) • Log ứng dụng (Web, Database, DNS, LDAP…) Rà soát phát hiện mã độc, mối nguy hại Dựa trên các dữ kiện mạng đã thu thập, các thông tin nguy cơ toàn cầu, kết hợp với hệ thống phân tích thông minh Viettel iML, các chuyên gia Viettel rà soát phát hiện mã độc, các mối nguy hại trong mạng: • Rà soát theo các kỹ thuật tấn công mạng, chuẩn hóa theo framework MITRE ATT&CK • Rà soát theo các dấu hiệu nhận biết xâm nhập do hệ thống Viettel Threat Intelligence xác định • Rà soát theo các dấu hiệu đặc trưng của tấn công APT • Rà soát theo kết quả học máy của giải pháp Viettel iML Phân tích chuyên sâu, điều tra số Khi phát hiện mã độc, mối nguy hại, chuyên gia Viettel thực hiện phân tích mã độc, mã khai thác chuyên sâu, điều tra số trên các máy tính nghi nhiễm, các log đã thu thập, xác định: • Thời điểm, nguồn gốc, nguyên nhân lây nhiễm • Chủng loại mã độc, hành vi độc hại • Máy chủ điều khiển, hạ tầng tấn công • Nhóm, chiến dịch tấn công liên quan Xử lý sự cố, phản ứng nhanh Sau khi phân tích sâu, chuyên gia Viettel đề xuất phương án xử lý sự cố, phản ứng nhanh với các mã độc, mối nguy phát hiện được: • Gỡ bỏ, làm sạch mã độc • Cập nhật, cài đặt các bản vá nghiêm trọng • Siết chặt cấu hình bảo mật các hệ thống Datasheet security Dịch vụ Săn tìm mối nguy An toàn thông tin (Threat Hunting) Viettel Cyber Security For more information, go to ‣ www.viettelcybersecurity.com security
  • 2. Dịch vụ Săn tìm mối nguy An toàn thông tin Quy trình thực hiện (Threat Hunting) Quy trình Nội dung chi tiết Viettel đề xuất kế hoạch thực hiện Threat Hunting, Khách hàng phê duyệt kế hoạch, các nội dung bao gồm nhưng không giới hạn: - Log list (Host, FW/Proxy/DNS, AV…) - Cách thu thập từng loại log - Nơi lưu trữ, review: Tại máy tính KH/Qua hệ thống VCS iML - Phương thức thực hiện: On-site/Remote - Thời gian thực hiện - Nhân sự thực hiện, nhân sự phối hợp Khách hàng chuẩn bị các điều kiện cần thiết: - Máy tính thực hiện (nếu KH lựa chọn thực hiện trên máy tính KH) - Kết nối mạng sẵn sàng đến các máy tính, hệ thống cần thiết Viettel thực hiện, KH giám sát: - Host log (tool rà soát): Viettel thực hiện trực tiếp trên máy hoặc Khách hàng đẩy công cụ qua AD/SCCM/AV/SE/EDR… - FW/Proxy/DNS/AV/Network/Web/Database…: qua SIEM hoặc Khách hàng lấy qua console quản trị Viettel thực hiện, Khách hàng giám sát: - Host log: qua iML hoặc trực tiếp trên máy chủ - FW/Proxy/DNS/AV/Network/Web/Database…: trực tiếp trên laptop Analyst/ PC KH hoặc qua hệ thống SIEM/SOC của KH Phương pháp phát hiện các mối nguy: - Theo các kỹ thuật tấn công mạng (chuẩn ATT&CK Framework) - Theo các dấu hiếu nhận biết xâm nhập do hệ thống Viettel Threat Intelligent xác định - Theo các dấu hiệu đặc trưng của tấn công APT do Viettel nghiên cứu xây dựng - Theo kết quả học máy của hệ thống iML (nếu sử dụng phương án hunting trên hệ thống iML) Viettel thực hiện Forensics, Khách hàng giám sát: - Forensics trực tiếp trên các máy nghi nhiễm - Forensics qua tra cứu các loại log đã thu thập - Dịch ngược, phân tích sample trên laptop analyst Viettel đề xuất Threat Removal Plan, Khách hàng phê duyệt: - Phương án gỡ bỏ mã độc - Phương án hardening các giải pháp hiện có Phương án triển khai bổ sung các giải pháp ATTT Khách hàng /Viettel thực hiện gỡ bỏ mã độc, thực hiện các biện pháp ngắn hạn đơn giản, không ảnh hưởng hệ thống: - Gỡ bỏ mã độc - Hardening đơn giản (cài bản vá, cấu hình đơn giản…) Viettel báo cáo Threat Hunting: - Các nội dung đã thực hiện và kết quả - Đề xuất các nội dung tiếp theo cho KH Start Threat Hunting Plan Host Log Network Log Firewall/Proxy/DNS Log Antivirus/IDS/IPS Log Web/Databse Log Suspicious Hosts Suspicious Files Data Collection Final Report Threat Removal Threat Removal Plan Stop Analysis & Forsenic Start Threat Hunting Plan Threat Removal Plan Analysis & Forensic Report Suspicious Hosts Suspicious Files Threat Detection HostLog Network Log Firewall/Proxy/DNS Log Antivirus/IDS/IPS Log Web/Databse Log Data Collection Final Report Threat Removal Datasheet security Dịch vụ Săn tìm mối nguy An toàn thông tin (Threat Hunting) Viettel Cyber Security For more information, go to ‣ www.viettelcybersecurity.com security