MISP là một nền tảng thu thập, chia sẻ, lưu trữ và liên kết các chỉ số thoả hiệp - IOC (Địa chỉ IP, tên miền, hàm băm), thông tin tình báo về mối đe dọa của các cuộc tấn công có chủ đích, kiểu tấn công (TTP, ATT&CK), thông tin về các lỗ hổng bảo mật trên không gian mạng. Dự án được phát triển bởi một nhóm các nhà phát triển từ CIRCL (Computer Incident Response Center Luxembourg), Bộ Quốc phòng Bỉ, NATO, NCIRC (NATO Computer Incident Response Capability) và được tài trợ bởi Liên minh châu Âu và Trung tâm ứng phó sự cố máy tính Luxembourg.
Mục đích của MISP là tạo ra một nền tảng tin cậy bằng cách lưu trữ thông tin về mối đe dọa và nâng cao khả năng phát hiện phần mềm độc hại để khuyến khích trao đổi thông tin giữa các tổ chức. Bên cạnh các tính năng phong phú nhằm theo dõi, phân tích mối đe dọa như trực quan hóa, gắn thẻ các trường thông tin, phân loại các mối đe doạ, hiển thị các cảnh báo, MISP cũng tích hợp các giao thức mở để truyền tải và chia sẻ dữ liệu, cho phép tích hợp với các hệ thống an ninh mạng và công cụ phân tích phổ biến hiện nay.
Các nền tảng chia sẻ thông tin tình báo về mối đe dọa luôn đòi hỏi sự cộng tác, chia sẻ thông tin nhanh chóng nhằm đưa ra các giải pháp giảm thiểu đối với từng loại tấn công trên “chiến trường” an ninh mạng, điều này được thực hiện rõ trong kiến trúc của nền tảng MISP với các thành phần chính như sau:
- Sự kiện: Là một mục mối đe dọa duy nhất được tạo bởi một tổ chức và chứa các thông tin như mối đe dọa, lần phát hiện cuối cùng, ngày phát hành, tổ chức chủ sở hữu, mức độ đe dọa và tất cả các IOC liên quan đến mối đe dọa đó.
- Nguồn cấp dữ liệu: Sau khi một sự kiện được tạo, người dùng phải gán sự kiện đó cho một nguồn cấp dữ liệu cụ thể. Nguồn cấp dữ liệu hoạt động như một danh sách tập trung các sự kiện riêng biệt có thể thuộc về một tổ chức cụ thể và chỉ chứa một loại sự kiện hoặc bất cứ số lượng các đặc điểm nhóm khác.
- Cộng đồng: Các tổ chức hỗ trợ MISP tạo thành một tập thể có tổ chức.
- API: Người dùng có thể lập trình các đoạn mã sử dụng các chức năng gửi và nhận (Pull/Push) thông tin về các mối đe dọa.
- Giao diện người dùng web: MISP đi kèm với nền tảng giao diện người dùng được lưu trữ trên web riêng biệt cho phép người dùng đăng nhập và tương tác với tất cả các tệp dữ liệu.
Hình 1. Kiến trúc nền tảng MISP
CHIA SẺ MỐI ĐE DỌA
Cộng đồng chuyên gia; nguồn cấp dữ liệu chất lượng; mức độ chia sẻ dữ liệu, sự kiện là yếu tố mấu chốt giúp cho nền tảng MISP hoạt động một cách hiệu quả. Hiện nay, nền tảng chia sẻ thông tin phần mềm độc hại đang được sử dụng bởi hơn 6000 tổ chức độc lập trong các ngành và lĩnh vực khác nhau, mỗi tổ chức đều có nguồn cung cấp dữ liệu về mối đe dọa độc quyền, công khai hoặc giới hạn trong một số nhóm. Khi hoàn tất việc thiết lập, các tổ chức có thể thêm sự kiện vào nguồn cấp dữ liệu và quy định về cấp độ chia sẻ các sự kiện thuộc về tổ chức.
Các cấp độ này bao gồm:
- Các sự kiện chỉ chia sẻ trong nội bộ tổ chức.
- Các sự kiện được chia sẻ trong cộng đồng nhất định.
- Các sự kiện được chia sẻ trong một cộng đồng kết nối cùng nhau.
- Các sự kiện được chia sẻ trong toàn bộ cộng đồng.
Số lượng dữ liệu, sự kiện ngày càng tăng nhanh dẫn đến các tranh chấp, sửa đổi trái phép sự kiện trên toàn bộ nền tảng. Các cơ chế xác thực cần thiết đã được bổ sung trên các phiên bản MISP gần đây nhằm ngăn chặn việc đánh cắp, sửa đổi các sự kiện được chia sẻ. Cụ thể, cơ chế này cho phép người tạo sự kiện đính kèm một bộ khóa ký sử dụng thuật toán mã hóa PGP (Pretty Good Privacy) vào một sự kiện, được sử dụng để ký các sự kiện trên mỗi bước nhảy của quá trình đồng bộ hóa. Điều này giúp người nhận sự kiện loại bỏ mọi cập nhật đến từ các nút không thể tạo chữ ký hợp lệ bằng một trong các khóa ký ban đầu.
Hình 2. Xác thực dữ liệu, sự kiện được chia sẻ trên MISP
Hình 2 thể hiện cơ chế đảm bảo tính xác thực của chủ sở hữu sự kiện. Alice có thể thêm khóa ký của riêng mình cũng như của Bob vào sự kiện, đảm bảo rằng các bên duy nhất có thể chuyển tiếp các sửa đổi đối với sự kiện sẽ là Alice và Bob. EBa sẽ bị từ chối khi thực hiện sửa đổi sự kiện A và cố gắng chia sẻ sự kiện đó ngược lại với Bob.
Khi tham gia cộng đồng, các tổ chức có thể đăng ký các nguồn cấp dữ liệu liên quan trực tiếp đến các mối đe dọa với các chỉ số IOC theo danh mục cụ thể. Thông qua các API, dữ liệu này có thể được trích xuất thành các tệp có định dạng đồng bộ với hệ thống quản lý và phân tích sự kiện bảo mật, hệ thống phát hiện xâm nhập, hệ thống tường lửa,... Mặt khác, các tổ chức cũng có thể đóng góp bằng cách chia sẻ nguồn cấp dữ liệu, sự kiện của tổ chức đến cộng đồng sử dụng nền tảng MISP.
MISP khuyến khích một môi trường cộng tác, nơi các tổ chức có thể cùng nhau bảo vệ chống lại các mối đe dọa trên không gian mạng, tập hợp chuyên môn và nguồn lực để cùng nhau thúc đẩy phòng thủ an ninh mạng chủ động. Việc tận dụng các nguồn dữ liệu bên ngoài và việc sử dụng các nguyên tắc phân loại trong MISP cho phép cụ thể hóa thông tin tình báo về các mối đe dọa, cung cấp hiểu biết sâu hơn về các chiến thuật, kỹ thuật và quy trình của đối thủ.
Trong bối cảnh các tin tặc đang ngày càng phát triển nhiều kỹ thuật và phương thức tấn công mới, cùng với các mối đe dọa mạng tiếp tục gia tăng về mức độ phức tạp và tần suất, việc chia sẻ thông tin tình báo về mối đe dọa hiệu quả là rất quan trọng để duy trì hệ thống phòng thủ an ninh mạng được hiệu quả. Bằng cách tận dụng sức mạnh của sự cộng tác, chia sẻ thông tin nhanh chóng và phòng thủ chung, các tổ chức có thể phát hiện sớm các mối đe dọa và phản ứng nhanh chóng hơn. Việc sử dụng MISP như một phần của chiến lược tình báo về mối đe dọa toàn diện sẽ trao quyền cho các tổ chức bảo vệ tài sản kỹ thuật số và thúc đẩy một cộng đồng an ninh mạng mạnh mẽ và linh hoạt hơn.
Trần Nhật Long (Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ), Nguyễn Đình Chiến (Công ty Misoft)
13:00 | 04/08/2023
13:00 | 06/12/2022
09:00 | 14/09/2023
16:00 | 14/11/2023
Dựa trên công bố của công ty quản lý định danh và truy cập Okta (Mỹ) vào ngày 20/10/2023 liên quan đến một vi phạm bảo mật gần đây, các nhà nghiên cứu đã xác định rằng các tác nhân đe dọa đã giành được quyền truy cập thành công vào hệ thống hỗ trợ khách hàng của Okta, kẻ tấn công có thể xem các tệp tải lên (upload) liên quan đến các trường hợp hỗ trợ mới bằng mã thông báo phiên hợp lệ, các tác nhân đe dọa sau đó đã có được quyền truy cập vào hệ thống của khách hàng. Trong bài viết này sẽ mô tả tác động của các hành vi vi phạm của nhà cung cấp danh tính (IdP) và cách các tổ chức có thể tự chủ động bảo vệ mình trước các cuộc tấn công này.
13:00 | 09/10/2023
Field-programmable gate array (FPGA) là công nghệ vi mạch tích hợp khả trình có tính ưu việt và mức độ ứng dụng phổ biến nhất trong vòng vài chục năm trở lại đây. Ngoài khả năng tái cấu trúc vi mạch toàn cục, một số FPGA hiện đại còn hỗ trợ tái cấu trúc từng bộ phận riêng lẻ (partial configuration) trong khi vẫn đảm bảo hoạt động bình thường cho các bộ phận khác. Đây là chức năng cho phép ứng dụng có thể tái cấu trúc một phần thiết kế theo yêu cầu mà không cần phải ngừng hệ thống để lập trình lại toàn bộ. Bài viết sẽ giới thiệu một hệ thống tái cấu trúc từng phần được xây dựng trên board phát triển Z-turn Xynq-7020 của Xilinx, từ đó đề xuất một phương pháp tái cấu trúc từng phần trong bài toán an toàn thiết kế phần cứng trên nền công nghệ FPGA.
13:00 | 18/09/2023
Một trong những tham luận thu hút sự quan tâm lớn của giới bảo mật tại Hội nghị bảo mật hàng đầu thế giới Black Hat USA 2023 là tấn công TSSHOCK của nhóm nghiên cứu mật mã đến từ công ty Verichains (Việt Nam). Đáng lưu ý, tấn công này cho phép một node ác ý có thể đánh cắp on-chain tài sản mã hoá giá trị hàng triệu đến hàng tỉ USD trên các dịch vụ này.
10:00 | 21/12/2022
Hôm 9/12, chính phủ Vương quốc Anh vừa công bố quy tắc thực hành tự nguyện thúc giục các nhà điều hành cửa hàng ứng dụng và nhà phát triển ứng dụng nâng cấp các biện pháp bảo mật và quyền riêng tư của họ. Hướng dẫn này là kết quả của một cuộc tham vấn cộng đồng được đưa ra hồi tháng 5, với 59 phản hồi, phần lớn trong số đó là tích cực. Hướng dẫn mới sẽ được theo dõi để đảm bảo tuân thủ.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
19:00 | 30/04/2024
