Chi tiết sản phẩm
Tầm quan trọng của Threat Intelligence
Threat Intelligence (hay Cyber Threat Intelligence – Thông tin tình báo về các mối đe dọa trên không gian mạng) là một giải pháp nâng cao giúp cho tổ chức có thể thu thập các thông tin chi tiết về các rủi ro theo ngữ cảnh, tình huống và từ đó có thể xâu chuỗi với bối cảnh cụ thể của tổ chức.
Các giải pháp Threat Intelligence thu thập dữ liệu thô từ nhiều nguồn khác nhau về các mối đe dọa khẩn cấp hoặc đang tồn tại. Các dữ liệu này sẽ được phân tích và trích lọc để tạo ra các thông tin quan trọng có thể được tích hợp và sử dụng bởi các giải pháp kiểm soát bảo mật tự động đã được trang bị trong hệ thống.
Mục đích chính của Threat Intelligence là đảm bảo các tổ chức luôn được thông báo về các dữ liệu đã bị rò rì, các mối đe dọa về tấn công APT, lỗ hổng zero-day, các mã khai thác và phương án chống lại các mối đe dọa này. Threat Intelligence giúp các tổ chức nhận thức được các nguy cơ của các mối đe dọa phổ biến và nguy hiểm nhất từ bên ngoài (như các mối đe dọa zero-day, APT và các mã khai thác). Mặc dù các mối đe dọa cũng đến từ nội bộ hoặc từ các đối tác của các tổ chức, điểm cần nhấn mạnh là các mối đe dọa từ bên ngoài cũng có nhiều khả năng ảnh hưởng đến hệ thống của một tổ chức. Threat Intelligence bao gồm các thông tin chuyên sâu về các mối đe dọa cụ thể để giúp các tổ chức bảo vệ chính mình trước các kiểu tấn công có thể gây ra thiệt hại lớn nhất.
Group-IB Threat Intelligence là một giải pháp SaaS, không yêu cầu tài nguyên phần cứng hay bất kỳ thay đổi tích hợp nào từ phía hạ tầng tổ chức. Tất cả dữ liệu được xử lý và cung cấp cho khách hàng thông qua giao diện web thuận tiện - an toàn hoặc thông qua API 2.0 / STIX / TAXII để tích hợp với hệ thống phản hồi và bảo vệ thời gian thực (như SOAR, NG Firewall, AV,…) đang được tổ chức sử dụng. Giải pháp tuỳ biến cho tổ chức đảm bảo tổ chức chỉ có thể nhận dữ liệu có liên quan, tránh việc lộ lọt những dữ liệu của các tổ chức khác.
Các lợi ích chính mà GROUP-IB Threat Intelligence mang lại bao gồm:
-
Giảm thiểu tối đa thời gian phản ứng với sự cố.
-
Theo dõi các công cụ và kỹ thuật tấn công mới để có phương án ngăn chặn.
-
Cung cấp các cảnh báo cho các tổ chức về các hiểm họa từ các nền tảng dark web.
-
Đánh giá hiệu quả đầu tư cho an toàn thông tin.
Các tính năng Threat Intelligence của GROUP-IB cung cấp
-
Cung cấp cảnh báo về các vấn đề an ninh mạng khẩn cấp
GROUP-IB Threat Intelligence cung cấp cảnh báo về các vấn đề an ninh mạng khẩn cấp được tìm ra bởi GROUP-IB toàn cầu, cho phép khách hàng truy cập và tìm kiếm thông tin về các mối đe dọa, đồng thời cung cấp ngữ cảnh chi tiết về các tấn công trên không gian mạng và các nhóm tội phạm mạng.
Các chuyên gia của GROUP-IB sẽ liên tục giám sát để phát hiện các mối nguy hại mới, bao gồm các kế hoạch gian lận, các dịch vụ tội phạm, các nhóm hacker, các công cụ và chiến thuật của các nhóm hacker, các dữ liệu bị rò rỉ và xâm phạm, các mối đe dọa từ nội bộ, mã độc và các mã khai thác.
-
Cung cấp dữ liệu về các tài khoản đăng nhập và mật khẩu bị xâm phạm
GROUP-IB Threat Intelligence cung cấp dữ liệu về các tài khoản đăng nhập và mật khẩu bị xâm phạm, các mô tả chi tiết về mã độc, được sử dụng trong các cuộc xâm nhập, các thông tin về các nhóm tội phạm mạng, mô tả về nguồn gốc của các tài khoản bị xâm phạm.
-
Cung cấp dữ liệu về các tài khoản lừa đảo (money mules): số thẻ, số điện thoại, tài khoản ngân hàng
GROUP-IB tự động phân tích nhiều tệp tin cấu hình của các mã độc để xác định cách thức chương trình nhận lệnh để thực hiện các giao dịch tự động và phát hiện các hệ thống điều khiển mã độc. Phương pháp phân tích mã độc chuyên sâu này cho phép GROUP-IB mô phỏng các giao tiếp của mã độc với các máy chủ điều khiển của chúng và nhận các lệnh chính xác được sử dụng để chuyển tiền một cách tự động. Bằng cách giải mã các lệnh này, GROUP-IB phát hiện ra thông tin về các tài khoản lừa đảo.
Nhờ vào việc tham gia các hoạt động điều tra chung với các cơ quan thực thi pháp luật, GROUP-IB có được thông tin về các tài khoản mà một số nhóm tội phạm đang lên kế hoạch chuyển tiền bị đánh cắp. Hacker có thể sử dụng các tài khoản ngân hàng, số thẻ, số điện thoại hoặc số ví điện tử để thực hiện việc rửa tiền. Từ thông tin về các sự cố gian lận được cung cấp bởi các ngân hàng, GROUP-IB có thể xác định các cuộc tấn công vào các ngân hàng khác được thực hiện bởi cùng một kẻ lừa đảo.
-
Cung cấp dữ liệu về các thẻ ngân hàng đã bị xâm phạm do tổ chức phát hành
GROUP-IB cung cấp dữ liệu về các thẻ ngân hàng đã bị xâm phạm, do chính tổ chức phát hành, mô tả về mã độc được sử dụng để trích xuất từng dữ liệu thẻ cụ thể, thông tin về nguồn dữ liệu cho mỗi bản ghi. Để thu thập dữ liệu thẻ ngân hàng, hacker sử dụng các trang phishing, phần mềm độc hại cho máy tính cá nhân và các thiết bị chạy Android, thiết bị đầu cuối POS và ATM. Các hacker cũng tích cực sử dụng các thiết bị đọc trộm thông tin thẻ (skimming), tấn công các trang web thương mại điện tử và cổng thanh toán. Trong trường hợp kẻ tấn công sử dụng mã độc cho các máy tính cá nhân và thiết bị chạy Android hoặc thiết bị đầu cuối POS, thì dữ liệu bị xâm phạm có thể được phát hiện bằng cách phân tích các giao thức mạng được sử dụng trong giao tiếp giữa mã độc với máy chủ C&C. Để thực hiện giám sát như vậy, GROUP-IB sử dụng các cảm biến được triển khai trong các phân đoạn mạng khác nhau và các kỹ thuật Sinkhole để chuyển hướng lưu lượng độc hại đến các cảm biến của GROUP-IB. Nếu tin tặc sử dụng tài nguyên phishing, dữ liệu bị xâm phạm có thể được lưu trữ trong các bản ghi đặc biệt. Các chuyên gia của GROUP-IB giám sát các trang phishing và thu thập các tệp tin cấu hình của chúng, giúp tìm ra các bản ghi với dữ liệu bị đánh cắp và xác định tất cả các thẻ bị xâm phạm và chủ sở hữu của chúng. Một lượng lớn thẻ ngân hàng bị đánh cắp được bán tại các “card-shop”. Nhờ việc tham gia các hoạt động điều tra chung với các cơ quan thực thi pháp luật và hợp tác với các nhà cung cấp dịch vụ lưu trữ, các chuyên gia của GROUP-IB có được các bản sao của máy chủ “card-shop”, cho phép nhận diện tất cả các thông tin thẻ đang được rao bán.
-
Cung cấp các định danh và ngữ cảnh của các thiết bị di động bị lây nhiễm
GROUP-IB Threat Intelligence cung cấp các định danh và ngữ cảnh của các thiết bị di động bị lây nhiễm mã độc, bao gồm các mô tả về mã độc trên mỗi thiết bị đã bị lây nhiễm và thông tin chi tiết về nguồn gốc của mối đe dọa cụ thể.
-
Phát hiện các thông tin của tổ chức rò rỉ trên các trang Git leaks
Group-IB Threat Intelligence có một hệ thống duy nhất để giám sát liên tục kho lưu trữ về thông tin cụ thể của công ty/tổ chức. Phần này được sử dụng để phát hiện rò rỉ dữ liệu & mã nguồn, để xác định các cuộc tấn công có chủ đích đang được chuẩn bị nhắm vào công ty của bạn. Tấn công có chủ đích này có thể ở dạng khai thác vào dịch vụ web của tổ chức hoặc ở dạng một bộ thu thập dữ liệu hoạt động thông qua API của ứng dụng di động của tổ chức. Và thực hiện các biện pháp đối phó nhằm củng cố thế trận an ninh mạng của tổ chức.
-
Cung cấp thông tin về các lỗ hổng bảo mật được công bố
Thông tin chi tiết về các lỗ hổng và cách khai thác mới được cung cấp ngay lập tức cho tất cả khách hàng của Group-IB Threat Intelligence. Phần này cũng cung cấp thông tin chi tiết về các dịch vụ và thiết bị dễ bị tấn công, các báo cáo về các cuộc tấn công của các tác nhân đe dọa bằng cách sử dụng các cách khai thác cụ thể và mô tả chi tiết về việc khai thác.
-
Hồ sơ của các tác nhân đe dọa nâng cao
Cập nhật liên tục hồ sơ của tội phạm mạng và các tác nhân đe dọa quốc gia. Tất cả các TTP, tệp được kết nối, chỉ báo, phần mềm độc hại, công cụ, đồng phạm, v.v. Phân tích tấn công dựa trên ma trận MITRE ATT&CK® . Các báo cáo liên quan và nghiên cứu bổ sung được tạo ra bởi các chuyên gia tình báo và bảo mật.
-
Truy cập vào cơ sở dữ liệu Dark Web lớn nhất
Các cộng đồng chuyên ngành thường khó có thể hoặc không thể tiếp cận vào các diễn đàn Dark Web này. Group-IB Threat Intelligence bao gồm thông tin được thu thập và xử lý bằng 11 ngôn ngữ thông qua các công nghệ độc quyền và với sự giúp đỡ của các chuyên gia đã dành nhiều năm để xây dựng độ tin cậy và danh tiếng trên các diễn đàn đó. Dữ liệu "thô" cũng có thể truy cập để nghiên cứu và phân tích.
-
Cung cấp thông tin về các chương trình độc hại nhắm đến các khách hàng và nhân viên của tổ chức (Targeted malware)
GROUP-IB cung cấp thông tin về các chương trình độc hại nhắm đến các khách hàng và nhân viên của tổ chức, những người thường xuyên kết nối với các dịch vụ web và tài nguyên web của tổ chức. Phần này bao gồm mô tả chi tiết về mã độc, web-inject, được sử dụng để tấn công nhân viên và khách hàng tổ chức, dữ liệu máy chủ C&C và các thông tin khác để cung cấp cho các chuyên gia phân tích mã độc và đội phản ứng sự cố.
Với Group-IB Threat Intelligence, đội ngũ bảo mật có quyền truy cập vào công cụ Sandboxing online, là một công cụ kích hoạt phần mềm độc hại (dựa trên THF Polygon)
Công cụ này giúp phân tích dynamic malware trong các môi trường biệt lập để phát hiện cả các mối đe dọa đã biết và chưa biết. Nó cung cấp các báo cáo chuyên sâu bao gồm video về quá trình thực thi tệp, đánh giá bảo mật, đánh dấu hành vi, nhật ký hoạt động mạng và cây quy trình.
-
Cung cấp API cho việc tích hợp GROUP-IB Threat Intelligence với các hệ thống thứ ba
Các chỉ dấu về tấn công sẽ được GROUP-IB cung cấp cho khách hàng thông qua một Web portal an toàn dưới dạng các báo cáo nghiên cứu hoặc các luồng riêng biệt phụ thuộc vào loại dữ liệu được cung cấp. Các dữ liệu có thể được tải về tự động thông qua giao diện API hoặc STIX/TAXII (Structured Threat Information eXpression / Trusted Automated eXchange of Indicator Information – Các kỹ thuật chia sẻ thông tin an ninh mạng có cấu trúc được sử dụng bởi các tổ chức lớn trên thế giới). Các thông tin được cung cấp thường xuyên cho nền tảng Threat Intelligence của khách hàng để làm giàu thông tin và tương quan với các dữ liệu được cung cấp từ các nguồn khác. Các luồng dữ liệu đã được làm giàu có thể được tích hợp trực tiếp với các hệ thống an ninh khác nhau. Dữ liệu được cung cấp dưới định dạng JSON.
-
Cung cấp dữ liệu về các tấn công DDoS đến các trang web và dịch vụ
GROUP-IB Threat Intelligence cung cấp thông tin về các tấn công DDoS đang nhắm đến các trang web và dịch vụ, với các thông tin chi tiết toàn diện về loại tấn công, máy chủ C&C và mã độc cụ thể được sử dụng bởi các tội phạm mạng.
-
Cập nhật liên tục các địa chỉ IP của TOR, SOCKS, Proxy, VPN
GROUP-IB Threat Intelligence cung cấp dữ liệu được cập nhật liên tục và dựa trên nhiều nguồn dữ liệu khác nhau về các địa chỉ IP của TOR, SOCKS, Proxy, VPN.