MISP là một nền tảng thu thập, chia sẻ, lưu trữ và liên kết các chỉ số thoả hiệp - IOC (Địa chỉ IP, tên miền, hàm băm), thông tin tình báo về mối đe dọa của các cuộc tấn công có chủ đích, kiểu tấn công (TTP, ATT&CK), thông tin về các lỗ hổng bảo mật trên không gian mạng. Dự án được phát triển bởi một nhóm các nhà phát triển từ CIRCL (Computer Incident Response Center Luxembourg), Bộ Quốc phòng Bỉ, NATO, NCIRC (NATO Computer Incident Response Capability) và được tài trợ bởi Liên minh châu Âu và Trung tâm ứng phó sự cố máy tính Luxembourg.
Mục đích của MISP là tạo ra một nền tảng tin cậy bằng cách lưu trữ thông tin về mối đe dọa và nâng cao khả năng phát hiện phần mềm độc hại để khuyến khích trao đổi thông tin giữa các tổ chức. Bên cạnh các tính năng phong phú nhằm theo dõi, phân tích mối đe dọa như trực quan hóa, gắn thẻ các trường thông tin, phân loại các mối đe doạ, hiển thị các cảnh báo, MISP cũng tích hợp các giao thức mở để truyền tải và chia sẻ dữ liệu, cho phép tích hợp với các hệ thống an ninh mạng và công cụ phân tích phổ biến hiện nay.
Các nền tảng chia sẻ thông tin tình báo về mối đe dọa luôn đòi hỏi sự cộng tác, chia sẻ thông tin nhanh chóng nhằm đưa ra các giải pháp giảm thiểu đối với từng loại tấn công trên “chiến trường” an ninh mạng, điều này được thực hiện rõ trong kiến trúc của nền tảng MISP với các thành phần chính như sau:
- Sự kiện: Là một mục mối đe dọa duy nhất được tạo bởi một tổ chức và chứa các thông tin như mối đe dọa, lần phát hiện cuối cùng, ngày phát hành, tổ chức chủ sở hữu, mức độ đe dọa và tất cả các IOC liên quan đến mối đe dọa đó.
- Nguồn cấp dữ liệu: Sau khi một sự kiện được tạo, người dùng phải gán sự kiện đó cho một nguồn cấp dữ liệu cụ thể. Nguồn cấp dữ liệu hoạt động như một danh sách tập trung các sự kiện riêng biệt có thể thuộc về một tổ chức cụ thể và chỉ chứa một loại sự kiện hoặc bất cứ số lượng các đặc điểm nhóm khác.
- Cộng đồng: Các tổ chức hỗ trợ MISP tạo thành một tập thể có tổ chức.
- API: Người dùng có thể lập trình các đoạn mã sử dụng các chức năng gửi và nhận (Pull/Push) thông tin về các mối đe dọa.
- Giao diện người dùng web: MISP đi kèm với nền tảng giao diện người dùng được lưu trữ trên web riêng biệt cho phép người dùng đăng nhập và tương tác với tất cả các tệp dữ liệu.
Hình 1. Kiến trúc nền tảng MISP
CHIA SẺ MỐI ĐE DỌA
Cộng đồng chuyên gia; nguồn cấp dữ liệu chất lượng; mức độ chia sẻ dữ liệu, sự kiện là yếu tố mấu chốt giúp cho nền tảng MISP hoạt động một cách hiệu quả. Hiện nay, nền tảng chia sẻ thông tin phần mềm độc hại đang được sử dụng bởi hơn 6000 tổ chức độc lập trong các ngành và lĩnh vực khác nhau, mỗi tổ chức đều có nguồn cung cấp dữ liệu về mối đe dọa độc quyền, công khai hoặc giới hạn trong một số nhóm. Khi hoàn tất việc thiết lập, các tổ chức có thể thêm sự kiện vào nguồn cấp dữ liệu và quy định về cấp độ chia sẻ các sự kiện thuộc về tổ chức.
Các cấp độ này bao gồm:
- Các sự kiện chỉ chia sẻ trong nội bộ tổ chức.
- Các sự kiện được chia sẻ trong cộng đồng nhất định.
- Các sự kiện được chia sẻ trong một cộng đồng kết nối cùng nhau.
- Các sự kiện được chia sẻ trong toàn bộ cộng đồng.
Số lượng dữ liệu, sự kiện ngày càng tăng nhanh dẫn đến các tranh chấp, sửa đổi trái phép sự kiện trên toàn bộ nền tảng. Các cơ chế xác thực cần thiết đã được bổ sung trên các phiên bản MISP gần đây nhằm ngăn chặn việc đánh cắp, sửa đổi các sự kiện được chia sẻ. Cụ thể, cơ chế này cho phép người tạo sự kiện đính kèm một bộ khóa ký sử dụng thuật toán mã hóa PGP (Pretty Good Privacy) vào một sự kiện, được sử dụng để ký các sự kiện trên mỗi bước nhảy của quá trình đồng bộ hóa. Điều này giúp người nhận sự kiện loại bỏ mọi cập nhật đến từ các nút không thể tạo chữ ký hợp lệ bằng một trong các khóa ký ban đầu.
Hình 2. Xác thực dữ liệu, sự kiện được chia sẻ trên MISP
Hình 2 thể hiện cơ chế đảm bảo tính xác thực của chủ sở hữu sự kiện. Alice có thể thêm khóa ký của riêng mình cũng như của Bob vào sự kiện, đảm bảo rằng các bên duy nhất có thể chuyển tiếp các sửa đổi đối với sự kiện sẽ là Alice và Bob. EBa sẽ bị từ chối khi thực hiện sửa đổi sự kiện A và cố gắng chia sẻ sự kiện đó ngược lại với Bob.
Khi tham gia cộng đồng, các tổ chức có thể đăng ký các nguồn cấp dữ liệu liên quan trực tiếp đến các mối đe dọa với các chỉ số IOC theo danh mục cụ thể. Thông qua các API, dữ liệu này có thể được trích xuất thành các tệp có định dạng đồng bộ với hệ thống quản lý và phân tích sự kiện bảo mật, hệ thống phát hiện xâm nhập, hệ thống tường lửa,... Mặt khác, các tổ chức cũng có thể đóng góp bằng cách chia sẻ nguồn cấp dữ liệu, sự kiện của tổ chức đến cộng đồng sử dụng nền tảng MISP.
MISP khuyến khích một môi trường cộng tác, nơi các tổ chức có thể cùng nhau bảo vệ chống lại các mối đe dọa trên không gian mạng, tập hợp chuyên môn và nguồn lực để cùng nhau thúc đẩy phòng thủ an ninh mạng chủ động. Việc tận dụng các nguồn dữ liệu bên ngoài và việc sử dụng các nguyên tắc phân loại trong MISP cho phép cụ thể hóa thông tin tình báo về các mối đe dọa, cung cấp hiểu biết sâu hơn về các chiến thuật, kỹ thuật và quy trình của đối thủ.
Trong bối cảnh các tin tặc đang ngày càng phát triển nhiều kỹ thuật và phương thức tấn công mới, cùng với các mối đe dọa mạng tiếp tục gia tăng về mức độ phức tạp và tần suất, việc chia sẻ thông tin tình báo về mối đe dọa hiệu quả là rất quan trọng để duy trì hệ thống phòng thủ an ninh mạng được hiệu quả. Bằng cách tận dụng sức mạnh của sự cộng tác, chia sẻ thông tin nhanh chóng và phòng thủ chung, các tổ chức có thể phát hiện sớm các mối đe dọa và phản ứng nhanh chóng hơn. Việc sử dụng MISP như một phần của chiến lược tình báo về mối đe dọa toàn diện sẽ trao quyền cho các tổ chức bảo vệ tài sản kỹ thuật số và thúc đẩy một cộng đồng an ninh mạng mạnh mẽ và linh hoạt hơn.
Trần Nhật Long (Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ), Nguyễn Đình Chiến (Công ty Misoft)
13:00 | 04/08/2023
13:00 | 06/12/2022
09:00 | 14/09/2023
09:00 | 17/11/2023
Theo Cục An toàn thông tin (Bộ TT&TT), hiện nay có 24 hình thức lừa đảo qua mạng phổ biến mà các đối tượng lừa đảo nhắm vào người dân. Để tránh trở thành nạn nhân, người dân cần nắm bắt, tuyên truyền cho người thân, bạn bè, đồng nghiệp của mình.
14:00 | 22/08/2023
Trong sự phát triển mạnh mẽ của các trang mạng nói riêng và công nghệ thông tin nói chung, vấn đề an ninh, an toàn thông tin cũng trở thành một trong những thách thức lớn. Một trong những mối nguy cơ gây tác động đến nhiều hệ thống mạng vẫn chưa xử lý được triệt để trong nhiều năm qua chính là các hoạt động tấn công từ chối dịch vụ (DoS), một thủ đoạn phổ biến của tin tặc nhằm cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, Internet và thiết bị số. Bài báo phân tích thực trạng và các thủ đoạn tấn công DoS, đồng thời nêu lên thách thức trong đảm bảo an ninh, an toàn thông tin trên cổng thông tin điện tử dịch vụ công của các cơ quan nhà nước và các doanh nghiệp trong thời gian qua. Từ đó, đưa ra các giải pháp nhằm nâng cao hiệu quả bảo đảm an ninh, an toàn thông tin cho cổng thông tin điện tử trên mạng Internet trong thời gian tới.
09:00 | 05/06/2023
Tấn công tiêm lỗi (Fault Injection Attack - FIA) là loại tấn công chủ động, giúp tin tặc xâm nhập vào các thiết bị điện tử, mạch tích hợp cũng như các thiết bị mật mã nhằm thu được khóa bí mật và đánh cắp thông tin. Tiêm lỗi có thể được thực hiện trong cả phần cứng và phần mềm. Bài báo này nhóm tác giả sẽ trình bày về các kỹ thuật, công cụ được thực hiện trong FIA.
21:00 | 14/07/2022
Nhà thông minh là một xu hướng đang rất thịnh hành hiện nay. Việc lắp đặt các thiết bị điện, điện tử có thể được điều khiển tự động hoặc bán tự động giúp cho cuộc sống trở nên tiện nghi, dễ dàng và hiệu quả hơn. Tuy nhiên đi kèm với những tiện ích này là những nguy cơ mất an toàn thông tin tiềm ẩn. Điều này không có nghĩa là người dùng cần hạn chế sử dụng các thiết bị công nghệ, mà phải hiểu và đảm bảo cho các thiết bị này luôn được an toàn khi sử dụng.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
Do lưu giữ những thông tin quan trọng nên cơ sở dữ liệu thường nằm trong tầm ngắm của nhiều tin tặc. Ngày nay, các cuộc tấn công liên quan đến cơ sở dữ liệu để đánh cắp hay sửa đổi thông tin càng trở nên khó lường và tinh vi hơn, vì vậy việc quản lý cơ sở dữ liệu đặt ra những yêu cầu mới với các tổ chức, doanh nghiệp. Trong hệ thống phân tán, khi dữ liệu được phân mảnh và phân phối trên các vị trí khác nhau có thể dẫn đến khả năng mất toàn vẹn của dữ liệu. Thông qua sử dụng cây Merkle và công nghệ Blockchain ta có thể xác minh tính toàn vẹn của dữ liệu. Trong bài viết này, nhóm tác giả sẽ trình bày các nghiên cứu về ứng dụng cây Merkle và công nghệ Blockchain để bảo đảm tính toàn vẹn dữ liệu cho cơ sở dữ liệu phân tán, đồng thời đảm bảo hiệu năng của hệ thống.
18:00 | 22/09/2023
Dựa trên công bố của công ty quản lý định danh và truy cập Okta (Mỹ) vào ngày 20/10/2023 liên quan đến một vi phạm bảo mật gần đây, các nhà nghiên cứu đã xác định rằng các tác nhân đe dọa đã giành được quyền truy cập thành công vào hệ thống hỗ trợ khách hàng của Okta, kẻ tấn công có thể xem các tệp tải lên (upload) liên quan đến các trường hợp hỗ trợ mới bằng mã thông báo phiên hợp lệ, các tác nhân đe dọa sau đó đã có được quyền truy cập vào hệ thống của khách hàng. Trong bài viết này sẽ mô tả tác động của các hành vi vi phạm của nhà cung cấp danh tính (IdP) và cách các tổ chức có thể tự chủ động bảo vệ mình trước các cuộc tấn công này.
16:00 | 14/11/2023
