043. 7834986       info@nds.com.vn  
DANH MỤC SẢN PHẢM
 Giá vàng 9999
 Ngoại tệ
 Thời tiết
Liên kết website
 Tin tức mới

Threat Hunting: Cách phân tích mạng đồ thị Group-IB giúp dự đoán hoạt động tội phạm mạng, ngay cả trước khi nó xảy ra.

Group-IB, một công ty an ninh mạng quốc tế chuyên ngăn chặn các cuộc tấn công mạng, đã đưa ra một công cụ mới cho khách hàng, giúp dự đoán và tấn công thuộc tính, ngay cả trước khi chúng có thể xảy ra. Công ty đã cấp cho khách hàng quyền truy cập vào công cụ nội bộ của công ty để phân tích mạng đồ thị, có khả năng xác định các liên kết giữa dữ liệu phân tán, quy kết một cuộc tấn công vào một nhóm tin tặc cụ thể trong vài giây, cũng như kiểm tra và dự đoán các mối đe dọa có thể có liên quan đến một tổ chức hoặc ngành công nghiệp cụ thể.
Các công nghệ phân tích mạng đồ thị được cấp bằng sáng chế của Group-IB được tích hợp trong các sản phẩm của công ty, cụ thể là Threat Intelligence, Threat Detection System, Secure Bank và Brand Protection Service. Quyết định của công ty là cung cấp công cụ nội bộ cho khách hàng nhằm giúp các nhà phân tích SOC và CERT, chuyên gia tình báo và nhà nghiên cứu pháp y khám phá chiến thuật và cơ sở hạ tầng của những kẻ tấn công, đồng thời cải thiện hệ thống an ninh mạng của riêng họ và tăng cường kỹ năng săn lùng mối đe dọa của họ.

 

Phân tích mạng đồ thị Group-IB được thiết kế dựa trên các dấu vết tấn công trên hệ thống được tìm thấy trong nhiều năm điều tra tội phạm mạng, hoạt động ứng phó sự cố và phân tích phần mềm độc hại của Threat Intelligence và Threat Detection System. Dữ liệu lịch sử về tội phạm mạng, được thu thập trong 16 năm, bao gồm hàng tỷ hồ sơ từ tên miền, địa chỉ IP, truy tìm dấu vết trên máy chủ, đã được sử dụng trong các cuộc tấn công, cũng như gắn thẻ chúng cho các tin tặc hoặc nhóm cụ thể.

 
 
"Gần như không thể bảo vệ doanh nghiệp trước các cuộc tấn công và ngăn chặn thiệt
hại có thể xảy ra mà không biết về kẻ thù của họ. Group-IB đã xem xét hàng chục nhà
cung cấp phân tích mạng đồ thị trước khi quyết định phát triển công cụ của riêng mình.
Chúng tôi không tìm thấy một giải pháp duy nhất đáp ứng tất cả các yêu cầu của chúng
tôi. Không có biểu đồ nào có toàn bộ phạm vi dữ liệu lịch sử: tên miền, DNS thụ động,
SSL thụ động, bản ghi DNS, cổng mở, dịch vụ chạy trên cổng và tệp có kết nối với tên
miền và địa chỉ IP. Chúng tôi bắt đầu thu thập các bản ghi dữ liệu như vậy, cập nhật
chúng trên cơ sở liên tục, thời gian lưu trữ dữ liệu lên tới 15 năm. Thực tế các giải pháp
khác chỉ cung cấp tùy chọn cho việc tạo biểu đồ thủ công, do đó, chúng tôi đã xây dựng
biểu đồ của mình để hoàn toàn tự động. Để giải quyết vấn đề liên kết không liên quan
phổ biến đối với các sản phẩm khác, chúng tôi tạo ra hệ thống xác định các liên kết
không liên quan dựa trên logic của các chuyên gia đã thực hiện trước đó ở chế độ thủ
công. Mục tiêu chính của biểu đồ của chúng tôi là săn lùng mối đe dọa, phân bổ chính
xác nhất và phân tích sâu nhất về các đối thủ. Công cụ này hiện có sẵn trong các sản
phẩm của chúng tôi."
 
 
Hunting: Sự Phát Triển
Phân tích mạng đồ thị Group-IB để lại các dấu vết tấn công trên hệ thống chưa được xác minh phía sau và tập trung vào kiểm tra kẻ tấn công và quản lý mối đe dọa có liên quan đến một lĩnh vực kinh doanh cụ thể. Các nhà phân tích sử dụng mạng biểu đồ Group-IB có thể nhập tên miền đáng ngờ, địa chỉ IP, email hoặc dấu vết chứng chỉ SSL vào thanh tìm kiếm, sau đó hệ thống sẽ tự động tạo biểu đồ mạng dựa trên thành phần tìm kiếm hiển thị tên miền được liên kết, địa chỉ IP, dấu vết kỹ thuật... Mặc dù thực tế là phần lớn những kẻ tấn công - cụ thể là các nhóm APT và tội phạm mạng - cố gắng không bị phát hiện trực tuyến, phần lớn trong số họ đã ít chú ý đến tính ẩn danh và bảo mật hoạt động của họ và đã gây ra lỗi khi bắt đầu quá trình tội phạm của họ.
Các biểu đồ giúp xác định không chỉ các yếu tố được liên kết mà cả các tính năng phổ biến - các mẫu đặc trưng cho một nhóm tội phạm mạng cụ thể này với một nhóm khác. Kiến thức về các tính năng độc đáo như vậy giúp xác định các yếu tố cơ sở hạ tầng của kẻ tấn công ở giai đoạn chuẩn bị tấn công ngay cả khi không có bằng chứng xác nhận cuộc tấn công như email lừa đảo hoặc phần mềm độc hại.
Ví dụ, vào tháng 12 năm 2018, nhóm tin tặc Cobalt được biết đến với mục tiêu là các ngân hàng, đã gửi các email được ngụy trang thành Ngân hàng Quốc gia Kazakhstan. Nếu các chuyên gia an ninh mạng không tìm thấy email lừa đảo và không có cơ hội thực hiện phân tích toàn diện các tệp độc hại, họ có thể đã tạo một biểu đồ dựa trên tên miền độc hại nationalbank[.]bz, được sử dụng bởi tội phạm mạng. Biểu đồ được tạo sẽ ngay lập tức hiển thị các liên kết đến các miền độc hại khác và nhóm tội phạm mạng Cobalt, tiết lộ những tệp nào đã được sử dụng trong các cuộc tấn công trước đó.

 
Khi Group-IB điều tra các cuộc tấn công lừa đảo, hoạt động của các nguồn web giả hoặc vi phạm bản quyền, các chuyên gia của công ty thường tạo biểu đồ để xác định các nguồn web được liên kết và kiểm tra tất cả các máy chủ tìm thấy cho nội dung tương tự. Điều này cho phép Group-IB tìm thấy cả các trang lừa đảo cũ vẫn hoạt động nhưng không bị phát hiện và các trang lừa đảo hoàn toàn mới được tạo cho các cuộc tấn công trong tương lai và cho đến nay vẫn chưa được sử dụng.
Hơn nữa, phân tích mạng đồ thị là không thể thiếu trong việc tìm kiếm các phụ trợ: 99% các hội thảo, diễn đàn tin tặc, nhiều tài nguyên lừa đảo và các máy chủ độc hại khác đang ẩn giấu đằng sau máy chủ proxy của chính họ và các máy chủ hợp pháp. Kiến thức về vị trí thực sự của một máy chủ độc hại giúp xác định dịch vụ lưu trữ và tạo liên kết đến các dự án độc hại khác của các tác nhân đe dọa.
 

Các tin khác

 CERT-GIB: 3 chủng phần mềm độc hại hàng đầu trong các chiến dịch lừa đảo COVID-19 và các tình huống khó xử liên quan đến đại dịch mà tin tặc phải đối mặt 
 nGeniusONE - Nền tảng Đảm bảo Dịch vụ 
 Joker’s Stash quảng cáo hàng loạt dữ liệu thẻ Ấn Độ bị đánh cắp 
 Thông Báo Lịch Nghỉ Tết Canh Tý 2020 
 Kỷ nguyên mới trên không gian mạng