Threat Intelligence Mạnh Mẽ: Phát Hiện Tấn Công, Giảm Rủi Ro Hiệu Quả

Tổ hợp công nghệ giữa Criminal IP, một nền tảng threat intelligence và giám sát bề mặt tấn công dựa trên AI, và Palo Alto Networks Cortex XSOAR đã được công bố. Sự tích hợp này mang lại ngữ cảnh mối đe dọa bên ngoài theo thời gian thực, thông tin tình báo về mức độ phơi nhiễm và khả năng quét đa giai đoạn tự động trực tiếp vào công cụ điều phối của Cortex XSOAR. Điều này giúp các đội ngũ bảo mật đạt được độ chính xác sự cố cao hơn và tốc độ phản hồi nhanh hơn so với các phương pháp truyền thống.

Nội dung

Tích Hợp Criminal IP và Cortex XSOAR

Nâng Cao Khả Năng Phát Hiện Tấn Công

Quy Trình Quét Tự Động Ba Giai Đoạn

Quản Lý Bề Mặt Tấn Công Micro (Micro Attack Surface Management)

Tác Động đến Hoạt Động Bảo Mật và Threat Intelligence

Mở Rộng Hệ Sinh Thái Criminal IP

Tích Hợp Criminal IP và Cortex XSOAR

Palo Alto Networks Cortex XSOAR đóng vai trò là trung tâm cho quá trình tự động hóa hoạt động bảo mật (SOC). Với việc Criminal IP được thêm vào như một tích hợp thông qua Cortex Marketplace, Cortex XSOAR hiện cung cấp khả năng đánh giá các địa chỉ IP và tên miền đáng ngờ.

Quá trình đánh giá này không chỉ dựa trên dữ liệu danh tiếng tĩnh mà còn thông qua các tín hiệu hành vi, lịch sử phơi nhiễm, mối tương quan cơ sở hạ tầng và điểm số mối đe dọa do AI điều khiển. Tất cả các chức năng này được thực hiện mà không yêu cầu hệ thống bổ sung hoặc các thao tác tra cứu thủ công.

Nâng Cao Khả Năng Phát Hiện Tấn Công

Các đội ngũ SOC hiện đại thường xuyên đối mặt với khối lượng cảnh báo bảo mật khổng lồ. Tuy nhiên, các phương pháp làm giàu thông tin truyền thống thường phụ thuộc vào các nguồn cấp dữ liệu danh tiếng tĩnh với ngữ cảnh hạn chế, thường bỏ sót các chi tiết quan trọng như:

Mức độ phơi nhiễm cổng (port exposure)
Liên kết với các lỗ hổng CVE
Tái sử dụng chứng chỉ
Thay đổi DNS
Hành vi ẩn danh hóa

Criminal IP giải quyết những thiếu sót này bằng cách liên tục phân tích các tài sản trên internet toàn cầu và tương quan các dữ liệu về hành vi IP, hoạt động tên miền, dữ liệu SSL/TLS, trạng thái cổng, mức độ phơi nhiễm CVE, các sự kiện IDS và các chỉ số che giấu. Khi một cảnh báo bao gồm một địa chỉ IP hoặc tên miền, Cortex XSOAR có thể tự động kéo thông tin tình báo phong phú này vào sự cố đang hoạt động thông qua một playbook.

Điều này cho phép các nhà phân tích đánh giá mục đích và mức độ nghiêm trọng mà không cần rời khỏi giao diện Cortex XSOAR, cải thiện hiệu quả trong việc phát hiện tấn công và quản lý sự cố.

Quy Trình Quét Tự Động Ba Giai Đoạn

Các playbook của Cortex XSOAR có thể kích hoạt quy trình quét tự động ba giai đoạn của Criminal IP:

Quick Lookup: Tra cứu nhanh ban đầu.
Lite Scan: Quét nhẹ, mở rộng phạm vi kiểm tra.
Full Scan: Quét đầy đủ để phân tích bề mặt tấn công toàn diện.

Kết quả của quá trình Full Scan được cung cấp dưới dạng báo cáo có cấu trúc trong Cortex XSOAR. Cơ chế thăm dò chung (generic polling) đảm bảo quy trình làm việc tiếp tục mà không cần sự can thiệp thủ công.

Quản Lý Bề Mặt Tấn Công Micro (Micro Attack Surface Management)

Bên cạnh việc làm giàu thông tin dựa trên cảnh báo, tích hợp này còn liên kết dữ liệu đo lường nội bộ với thông tin tình báo từ internet mở. Nó cung cấp dữ liệu về hành vi lịch sử, mối quan hệ C2 (Command and Control), các chỉ số ẩn danh hóa, hồ sơ lạm dụng và mối tương quan SSL cho từng chỉ số.

Cortex XSOAR cũng có thể lên lịch quét Micro Attack Surface Management để đánh giá các cổng bị lộ, hiệu lực chứng chỉ, các dịch vụ dễ bị tổn thương và phần mềm lỗi thời. Điều này cung cấp khả năng ASM (Attack Surface Management) nhẹ, liên tục, giúp các tổ chức xác định điểm yếu trước khi chúng bị khai thác và giảm thiểu rủi ro bảo mật.

Tác Động đến Hoạt Động Bảo Mật và Threat Intelligence

Sự tích hợp giữa Palo Alto Networks và Criminal IP phản ánh một xu hướng rộng hơn hướng tới các hoạt động bảo mật tự chủ. Bằng cách kết hợp khả năng tự động hóa và điều phối của Cortex XSOAR với phân tích bên ngoài theo thời gian thực của Criminal IP, các đội ngũ SOC có thể tự động hóa các quyết định mà trước đây yêu cầu nghiên cứu thủ công trên nhiều nguồn threat intelligence.

Điều này giúp giảm thời gian phản hồi, cải thiện độ chính xác trong phân loại sự cố và giảm thiểu sự mệt mỏi của nhà phân tích. Đây là những vấn đề ngày càng trở nên nghiêm trọng khi khối lượng cảnh báo và các mối đe dọa do AI tạo ra tiếp tục gia tăng.

Mở Rộng Hệ Sinh Thái Criminal IP

Criminal IP hiện đã có mặt trên các marketplace của Azure, AWS và Snowflake, đồng thời duy trì tích hợp với hơn 40 nhà cung cấp bảo mật, bao gồm Cisco, Fortinet và Tenable. Việc mở rộng vào hệ sinh thái Palo Alto Networks đặt nền móng cho các tích hợp sâu rộng hơn trên các giải pháp XDR và bảo mật đám mây.

Theo CEO của AI SPERA, Byungtak Kang, sự tích hợp này “chứng minh tầm quan trọng ngày càng tăng của threat intelligence và phân tích mức độ phơi nhiễm dựa trên AI trong các hoạt động bảo mật doanh nghiệp”. Criminal IP đặt mục tiêu đóng vai trò trung tâm trong việc hỗ trợ các tổ chức chuyển đổi sang kiến trúc phòng thủ hoàn toàn tự chủ.

Nền tảng Criminal IP được sử dụng tại hơn 150 quốc gia và cung cấp khả năng hiển thị mối đe dọa toàn diện thông qua các giải pháp bảo mật doanh nghiệp như Criminal IP ASM và Criminal IP FDS. Nền tảng này tiếp tục củng cố hệ sinh thái toàn cầu thông qua các quan hệ đối tác chiến lược với Cisco, VirusTotal và Quad9.

Dữ liệu mối đe dọa của nền tảng cũng có sẵn thông qua các marketplace kho dữ liệu lớn của Hoa Kỳ, bao gồm Amazon Web Services (AWS), Microsoft Azure và Snowflake. Sự mở rộng này cải thiện khả năng tiếp cận toàn cầu với dữ liệu threat intelligence chất lượng cao từ Criminal IP. Để tìm hiểu thêm về tích hợp này, bạn có thể truy cập Cortex Marketplace.