Theo Tạp chí An toàn thông tin các lĩnh vực quan tâm khác của các chuyên gia an ninh mạng bao gồm: Tấn công ransomware (30%), các cuộc tấn công phối hợp vào mạng của một tổ chức (30%), sự thiếu đầu tư vào các giải pháp bảo mật (26%). Trong đó, các chuyên gia bảo mật hàng đầu đã nêu ra một số mối đe dọa hàng đầu mà các hệ thống CNTT cần phải đối mặt, trong đấy phần mềm độc hại đe dọa hàng đầu:
Phần mềm độc hại bao gồm virus và sâu, được đưa vào mạng
và hệ thống với mục đích gây gián đoạn. Phần mềm độc hại có thể trích xuất
thông tin bí mật, từ chối dịch vụ và giành quyền truy cập vào hệ thống.
Các Tổ chức sử dụng phần mềm chống virus và tường lửa để giám sát và chặn phần mềm độc hại trước khi phần mềm này xâm nhập vào mạng và hệ thống, nhưng những kẻ xấu vẫn tiếp tục phát triển phần mềm độc hại của chúng để vượt qua các biện pháp phòng vệ này. Điều đó làm cho việc duy trì các bản cập nhật hiện tại cho phần mềm bảo mật và tường lửa trở nên cần thiết. Ngoài ra còn có các giải pháp phần cứng để ngăn chặn phần mềm độc hại, chẳng hạn như bộ định tuyến lưới Guardian của Gryphon có thể xử lý nhiều mối đe dọa khác nhau. Vậy làm thế nào để có thể phân tích phản ứng sự cố gây mất an ninh hàng ngày, cần có giải pháp tổng thể và công cụ hỗ trợ phân tích, công cụ hỗ trợ phân tích hiện nay đánh giá cao và sử dụng phổ biến đối với chuyên gia phân tích đó chính là THOR.
THOR ?
THOR là một công cụ rất toàn diện trong
việc phát hiện các dấu hiệu phần mềm độc hại, các hành vi đáng ngờ và các tấn
công mạng tiềm tàng. Công cụ THOR hỗ trợ nhiều loại hệ điều hành khác nhau như
Windows, Linux, macOS và hỗ trợ tích hợp vào các hệ thống quản lý thông tin và
sự kiện an ninh (SIEM - Security Information and Event Management). Điều này
giúp cho THOR trở thành một lựa chọn phổ biến trong các doanh nghiệp và tổ chức
muốn đảm bảo an toàn cho hệ thống mạng của họ. Các chức năng chính của THOR bao
gồm:
·Phát hiện IoC (Indicators of Compromise): Một trong những chức năng quan trọng của THOR là khả năng phát hiện
các chỉ số xâm nhập, tức là các dấu hiệu cho thấy hệ thống đã bị tấn công hoặc
bị xâm nhập trái phép. Những chỉ số này bao gồm các tập tin, URL, địa chỉ IP,
các khóa registry, và nhiều dạng dữ liệu khác liên quan đến các cuộc tấn công
mạng.
·Phân tích hành vi: THOR cũng
có khả năng phát hiện các hành vi đáng ngờ thông qua việc phân tích các tiến
trình đang chạy và các hoạt động của hệ thống. Điều này giúp phát hiện các phần
mềm độc hại hoặc các mối đe dọa không dựa vào các chỉ số tấn công truyền thống
mà thông qua các hành vi bất thường của hệ thống.
·Quét nhật ký sự kiện (Eventlog): THOR còn
có khả năng quét và phân tích các sự kiện hệ thống được ghi lại trong nhật ký
sự kiện. Điều này giúp phát hiện các cuộc tấn công hoặc hành vi đáng ngờ dựa
trên các sự kiện đã xảy ra trong hệ thống, giúp truy vết các hoạt động bất
thường và xác định các sự cố bảo mật.
·Quét tập tin và tiến trình: THOR cung
cấp tính năng quét chi tiết các tập tin và tiến trình đang chạy trên hệ thống.
Bằng cách này, nó có thể phát hiện các tập tin độc hại đã bị thay đổi hoặc thêm
vào hệ thống mà không được phát hiện bởi các công cụ bảo mật thông thường.
·Tích hợp với các hệ thống SIEM: THOR được thiết kế để tích hợp dễ dàng với các hệ thống quản lý sự kiện và thông tin bảo mật (SIEM). Điều này giúp các tổ chức theo dõi các sự kiện bảo mật theo thời gian thực, cung cấp thông tin chi tiết về các cuộc tấn công và hỗ trợ trong việc xử lý các sự cố an ninh một cách hiệu quả.
THOR hoạt động bằng cách sử dụng cơ sở dữ liệu về các chỉ số xâm nhập
(IoC) đã biết trước, bao gồm các chữ ký mã độc, các mẫu hành vi đáng ngờ, và
các dữ liệu từ các cuộc tấn công mạng trong quá khứ. Công cụ này cũng có khả
năng phát hiện các mối đe dọa chưa được nhận diện bằng cách so sánh các hoạt
động của hệ thống với các mẫu hành vi bình thường và nhận diện những hoạt động
bất thường.
THOR thực hiện quét toàn bộ hệ thống, từ các tập tin, các tiến trình,
cho đến các nhật ký hệ thống. Khi phát hiện một dấu hiệu tấn công hoặc một phần
mềm độc hại, THOR sẽ ghi nhận và cảnh báo cho người quản trị hệ thống. Điều này
giúp người quản trị phát hiện sớm các cuộc tấn công tiềm tàng và đưa ra biện
pháp xử lý kịp thời.
Phiên bản của THOR
|
Tính năng |
THOR APT Scan |
THOR Lite |
THOR
Thunderstorm |
|
Khả năng phát
hiện |
Phát hiện các
APT và mã độc phức tạp |
Chỉ phát hiện
các mối đe dọa phổ biến |
Phát hiện theo
thời gian thực các APT và zero-day |
|
Khả năng quét |
Có, bao gồm tệp,
bộ nhớ, registry |
Quét giới hạn
(tệp và tiến trình) |
Giám sát liên
tục, không cần quét định kỳ |
|
Phân tích hành
vi |
Có, phân tích
hành vi chi tiết |
Không hỗ trợ |
Phân tích hành
vi thời gian thực |
|
Giám sát thời
gian thực |
Không |
Không |
Có khả năng giám
sát liên tục |
|
Tích hợp với các
giải pháp khác |
Có khả năng tích
hợp |
Không |
Có khả năng tích
hợp |
|
Hỗ trợ rule YARA |
hỗ trợ quy tắc
tùy chỉnh |
Không |
hỗ trợ YARA rule
trong thời gian thực |
|
Chi phí |
Cao |
Miễn phí |
Rất cao, do yêu cầu
giám sát liên tục |
|
Đối tượng sử
dụng |
Doanh nghiệp
lớn, tổ chức chính phủ |
Tổ chức nhỏ, cá
nhân |
Tổ chức lớn, cần
giám sát liên tục |
|
Cập nhật cơ sở
dữ liệu IoC |
Thường xuyên
được cập nhật bởi cả nhà phát hành và cộng đồng |
Giới hạn, không
thường xuyên |
Thường xuyên
được cập nhật bởi cả nhà phát hành và cộng đồng |
Kết quả scan:
[2] Quyết định 14/CT-TT năm 2018 về việc nâng cao năng lực phòng, chống phần mềm độc hại.
[3] https://github.com/NextronSystems/thor-lite.