Cách mở rộng quy mô phát hiện Phishing trong SOC của bạn: 3 bước dành cho CISOs

Phishing đã âm thầm trở thành một trong những mối đe dọa khó phát hiện sớm nhất đối với doanh nghiệp. Thay vì các chiêu trò thô sơ và payload dễ nhận biết, các chiến dịch hiện đại dựa vào hạ tầng đáng tin cậy, quy trình xác thực trông hợp pháp và lưu lượng truy cập được mã hóa để che giấu hành vi độc hại khỏi các lớp phát hiện truyền thống. Đối với các CISOs, ưu tiên hiện nay đã rõ ràng: mở rộng quy mô phát hiện Phishing theo cách giúp SOC phát hiện rủi ro thực sự trước khi nó dẫn đến đánh cắp thông tin đăng nhập, gián đoạn kinh doanh và hậu quả ở cấp hội đồng quản trị.
Phân tích Phishing với ANY.RUN sandbox
Phân tích Phishing với ANY.RUN sandbox

Phishing đã âm thầm trở thành một trong những mối đe dọa khó phát hiện sớm nhất đối với doanh nghiệp. Thay vì các chiêu trò thô sơ và payload dễ nhận biết, các chiến dịch hiện đại dựa vào hạ tầng đáng tin cậy, quy trình xác thực trông hợp pháp và lưu lượng truy cập được mã hóa để che giấu hành vi độc hại khỏi các lớp phát hiện truyền thống. Đối với các CISOs, ưu tiên hiện nay đã rõ ràng: mở rộng quy mô phát hiện Phishing theo cách giúp SOC phát hiện rủi ro thực sự trước khi nó dẫn đến đánh cắp thông tin đăng nhập, gián đoạn kinh doanh và hậu quả ở cấp hội đồng quản trị.

Tại sao mở rộng quy mô phát hiện Phishing trở thành ưu tiên hàng đầu của các SOC hiện đại

Đối với nhiều nhóm bảo mật, Phishing không còn là một cảnh báo đơn lẻ cần điều tra – mà nó là một luồng liên tục các liên kết đáng ngờ, nỗ lực đăng nhập và tin nhắn do người dùng báo cáo mà phải được xác thực nhanh chóng. Vấn đề là hầu hết các quy trình làm việc của SOC chưa bao giờ được thiết kế để xử lý khối lượng này. Mỗi cuộc điều tra vẫn đòi hỏi thời gian, thu thập ngữ cảnh và xác thực thủ công, trong khi kẻ tấn công hoạt động với tốc độ máy.

Khi khả năng phát hiện Phishing không thể mở rộng quy mô, hậu quả nhanh chóng đến bàn làm việc của CISO:

  • Đánh cắp danh tính doanh nghiệp: Kẻ tấn công chiếm đoạt thông tin đăng nhập của nhân viên và truy cập vào email, các nền tảng SaaS, VPN, và hệ thống nội bộ.
  • Chiếm đoạt tài khoản trong môi trường đáng tin cậy: Sau khi xác thực, kẻ tấn công hoạt động như người dùng hợp pháp, bỏ qua nhiều biện pháp kiểm soát bảo mật.
  • Di chuyển ngang qua các nền tảng SaaS và cloud: Danh tính bị xâm phạm cho phép truy cập vào dữ liệu nhạy cảm, công cụ nội bộ và hạ tầng dùng chung.
  • Phát hiện sự cố chậm trễ: Đến khi SOC xác nhận hoạt động độc hại, kẻ tấn công có thể đã hoạt động bên trong môi trường.
  • Gián đoạn hoạt động và tác động tài chính: Các cuộc tấn công Phishing có thể dẫn đến gian lận, lộ dữ liệu và thời gian ngừng hoạt động của doanh nghiệp.
  • Hậu quả về quy định và tuân thủ: Việc xâm phạm danh tính và sự cố truy cập dữ liệu thường kích hoạt nghĩa vụ báo cáo và điều tra.

Đối với các CISOs, thông điệp rõ ràng: phát hiện Phishing phải hoạt động với cùng tốc độ và quy mô như chính các cuộc tấn công, nếu không tổ chức sẽ luôn phải phản ứng sau khi thiệt hại đã bắt đầu.

Một hệ thống phòng thủ Phishing quy mô trông như thế nào

Một SOC có thể xử lý Phishing ở quy mô lớn sẽ hoạt động rất khác so với một SOC không thể. Hoạt động đáng ngờ được xác thực nhanh chóng, hàng đợi điều tra không tăng lên một cách không kiểm soát, và các nhà phân tích dành ít thời gian hơn để nghiên cứu các indicator và nhiều thời gian hơn để hành động đối với các mối đe dọa đã được xác nhận. Các trường hợp leo thang dựa trên bằng chứng hành vi rõ ràng thay vì các giả định. Các cuộc tấn công dựa trên danh tính được phát hiện trước khi chúng lan rộng khắp các nền tảng SaaS và hệ thống nội bộ.

  • Phát hiện sớm hơn các hành vi đánh cắp thông tin đăng nhập và chiếm đoạt tài khoản.
  • Ngăn chặn nhanh hơn trước khi Phishing trở thành một sự thỏa hiệp rộng lớn hơn.
  • Giảm tải cho nhà phân tích và ít tắc nghẽn điều tra hơn.
  • Các trường hợp leo thang chất lượng cao hơn được hỗ trợ bởi bằng chứng hành vi thực tế.
  • Rủi ro gián đoạn thấp hơn trên các môi trường email, SaaS, VPN và cloud.
  • Giảm thiểu rủi ro tài chính, hoạt động và pháp lý.
  • Tăng cường niềm tin vào khả năng của SOC trong việc ngăn chặn các cuộc tấn công trước khi gây ra tác động đến kinh doanh.

Mô hình điều tra được xây dựng cho Phishing hiện đại: Ba thay đổi CISOs nên áp dụng

Các cuộc tấn công Phishing hiện đại được xây dựng để khai thác sự chậm trễ, khả năng hiển thị hạn chế và quy trình điều tra phân mảnh. Để theo kịp, các nhóm SOC cần một mô hình giúp họ xác thực hoạt động đáng ngờ nhanh hơn, phơi bày hành vi Phishing thực sự một cách an toàn và khám phá những gì các lớp phát hiện truyền thống bỏ lỡ.

Ba bước dưới đây đang trở thành yếu tố cần thiết cho các CISOs muốn mở rộng quy mô phát hiện Phishing theo mối đe dọa.

Bước #1: Tương tác an toàn. Bước vào bẫy Phishing mà không gặp rủi ro

Nhiều cuộc tấn công Phishing hiện đại không tiết lộ mục đích thực sự của chúng ngay lập tức. Một liên kết đáng ngờ có thể tải một trang trông có vẻ vô hại, trong khi cuộc tấn công thực sự chỉ bắt đầu sau khi người dùng nhấp qua một số lần chuyển hướng hoặc nhập thông tin đăng nhập. Đến khi hành vi độc hại trở nên rõ ràng, kẻ tấn công có thể đã chiếm được chi tiết đăng nhập hoặc các phiên hoạt động.

Đây là lý do tại sao các phương pháp điều tra truyền thống thường gặp khó khăn với Phishing hiện đại. Static analysis có thể đưa ra các indicator hữu ích như danh tiếng miền hoặc metadata của tệp, nhưng hiếm khi cho thấy cuộc tấn công thực sự diễn ra như thế nào. Các nhà phân tích phải suy luận rủi ro từ các tín hiệu rời rạc, điều này làm chậm quyết định và tạo cơ hội cho những giả định nguy hiểm.

Interactive sandbox analysis thay đổi động lực này. Thay vì đoán xem một liên kết hoặc tệp đính kèm đáng ngờ có thể làm gì, các nhóm SOC có thể thực thi nó trong một môi trường được kiểm soát và tương tác với nó chính xác như một người dùng. Các nhà phân tích có thể nhấp qua các trang, theo dõi chuỗi chuyển hướng, gửi thông tin đăng nhập thử nghiệm và quan sát cách hạ tầng Phishing hoạt động trong thời gian thực, tất cả mà không khiến tổ chức gặp rủi ro.

Sự khác biệt giữa điều tra static và interactive là đáng kể:

Static Analysis Interactive Analysis
Cách hoạt động Kiểm tra metadata, danh tiếng và các tín hiệu bề mặt Chạy liên kết hoặc tệp trong môi trường an toàn
Những gì SOC thấy Hashes, domain, nội dung trang cơ bản Các chuyển hướng, trang Phishing, hoạt động mạng, các tệp bị thả
Những gì thường bỏ lỡ Hành vi xuất hiện sau khi nhấp hoặc nhập thông tin đăng nhập Toàn bộ luồng Phishing khi nó diễn ra
Chất lượng quyết định Dựa trên tín hiệu và giả định Dựa trên hành vi có thể nhìn thấy
Tốc độ điều tra Chậm hơn, với nhiều kiểm tra thủ công hơn Nhanh hơn, với các phán quyết nhanh hơn
Rủi ro cho doanh nghiệp Khả năng chậm trễ và bỏ lỡ Phishing cao hơn Phát hiện sớm hơn trước khi người dùng bị phơi nhiễm
Kết quả cho CISO Nhiều tồn đọng hơn, nhiều bất ổn hơn, nhiều rủi ro hơn Phản ứng nhanh hơn, các trường hợp leo thang rõ ràng hơn, rủi ro thấp hơn

Trong phiên phân tích interactive dưới đây, một nhà phân tích sử dụng sandbox ANY.RUN để tiết lộ toàn bộ hành vi của một cuộc tấn công Phishing Tycoon2FA chỉ trong 55 giây. Biểu mẫu đăng nhập được lưu trữ trên Microsoft Azure Blob Storage, một dịch vụ hợp pháp khiến trang này khó bị phát hiện chỉ bằng các kiểm tra static. Bằng cách tương tác an toàn với mẫu, nhà phân tích khám phá toàn bộ chuỗi tấn công và trích xuất các IOCsTTPs có thể hành động để phát hiện thêm.

Kiểm tra Phishing thực tế được phơi bày trong 55 giây

Mẫu Tycoon2FA độc hại trên Microsoft Blob Storage được phân tích trong ANY.RUN sandbox
Mẫu Tycoon2FA độc hại trên một miền Microsoft Blob Storage hợp pháp, được phân tích trong 55 giây bên trong sandbox ANY.RUN

Đối với các CISOs, điều này có nghĩa là:

  • Phát hiện sớm hơn các chiến dịch Phishing trước khi người dùng bị phơi nhiễm.
  • Quyết định nhanh hơn dựa trên bằng chứng hành vi thực tế.
  • Các IOCs và TTPs có thể hành động để tăng cường khả năng phát hiện ở cấp độ tiếp theo.
  • Giảm rủi ro đánh cắp thông tin đăng nhập và chiếm đoạt tài khoản.

Phơi bày các cuộc tấn công Phishing sớm hơn bằng bằng chứng hành vi rõ ràng và giảm rủi ro bị xâm phạm danh tính trên toàn doanh nghiệp.

Tăng cường khả năng phát hiện Phishing

Bước #2: Tự động hóa. Mở rộng quy mô điều tra Phishing mà không cần mở rộng đội ngũ

Ngay cả khi đã có interactive analysis, hầu hết các SOC vẫn phải đối mặt với cùng một vấn đề: khối lượng. Các liên kết đáng ngờ, tệp đính kèm, QR codes, và tin nhắn do người dùng báo cáo liên tục xuất hiện, và việc xem xét thủ công không thể mở rộng quy mô.

Automation giúp giải quyết vấn đề này bằng cách thực thi các artifact đáng ngờ trong một sandbox được kiểm soát, thu thập các indicator và đưa ra phán quyết ban đầu trong vài giây. Nhưng Phishing hiện đại thường bao gồm CAPTCHAs, QR codes, các chuyển hướng đa bước và các cổng tương tác khác làm phá vỡ automation truyền thống. Trong những trường hợp đó, các nhà phân tích buộc phải dành thời gian nhấp qua các trang, giải quyết các thử thách và cố gắng tự mình tiếp cận nội dung độc hại thực sự. Điều này làm chậm quá trình điều tra và làm hao tốn thời gian quý báu của nhà phân tích.

Cách tiếp cận mạnh mẽ hơn là automation kết hợp với interactivity an toàn. Trong một sandbox như ANY.RUN, phân tích tự động có thể mô phỏng hành vi của nhà phân tích thực, tương tác với các trang, giải quyết các thử thách và tự động di chuyển qua các luồng Phishing. Thay vì dừng lại giữa chừng chuỗi tấn công hoặc tạo ra một kết quả không rõ ràng, sandbox tiếp tục thực thi cho đến khi toàn bộ hành vi trở nên rõ ràng.

Phishing bằng QR code được phân tích trong ANY.RUN sandbox
Phishing với QR code được phân tích bên trong sandbox ANY.RUN

Trong 90% trường hợp, phán quyết có sẵn trong vòng dưới 60 giây, mang lại cho các nhóm SOC tốc độ cần thiết để theo kịp Phishing ở quy mô lớn.

55 giây để tiết lộ toàn bộ chuỗi tấn công nhắm vào doanh nghiệp
55 giây cần thiết để tiết lộ toàn bộ chuỗi tấn công, nhắm vào các doanh nghiệp

Đối với các CISOs, mô hình lai này mang lại những lợi ích hoạt động rõ ràng:

  • Năng suất điều tra cao hơn mà không cần mở rộng nhân sự SOC.
  • Ít công việc thủ công hơn cho các nhà phân tích, giảm mệt mỏi và kiệt sức.
  • Phán quyết chính xác hơn, ngay cả đối với các cuộc tấn công Phishing được thiết kế để né tránh automation.

Bước #3: Giải mã SSL. Phá vỡ ảo tưởng về lưu lượng truy cập hợp pháp

Các chiến dịch Phishing hiện đại ngày càng hoạt động hoàn toàn bên trong phiên HTTPS được mã hóa. Các trang đăng nhập, chuỗi chuyển hướng, biểu mẫu thu thập thông tin đăng nhập và cơ chế đánh cắp token được phân phối thông qua hạ tầng hợp pháp và được bảo vệ bởi các chứng chỉ SSL hợp lệ. Đối với hầu hết các hệ thống giám sát, lưu lượng truy cập này trông hoàn toàn bình thường.

Điều này tạo ra một ảo tưởng nguy hiểm về sự tin cậy. Một kết nối tới cổng 443, một trang đăng nhập an toàn và một chứng chỉ hợp lệ thường trông không thể phân biệt được với hoạt động kinh doanh hợp pháp, ngay cả khi thông tin đăng nhập đang bị đánh cắp bên trong phiên.

Các phương pháp kiểm tra truyền thống gặp khó khăn với thách thức này. Nhiều công cụ có thể nhìn thấy kết nối được mã hóa, nhưng không thể tiết lộ điều gì thực sự xảy ra bên trong nó. Kết quả là, việc xác nhận Phishing thường yêu cầu các bước điều tra bổ sung, điều này làm chậm phản hồi và tăng rủi ro bị xâm phạm thông tin đăng nhập.

Một trang web trông bình thường là điểm khởi đầu cho cuộc tấn công Phishing
Một trang web trông bình thường đóng vai trò là điểm khởi đầu cho cuộc tấn công Phishing

Giải mã SSL tự động bên trong sandbox loại bỏ rào cản này. Bằng cách trích xuất khóa mã hóa trực tiếp từ bộ nhớ tiến trình trong quá trình thực thi, ANY.RUN giải mã lưu lượng HTTPS nội bộ và phơi bày toàn bộ hành vi Phishing trong quá trình phân tích. Các chuỗi chuyển hướng, cơ chế thu thập thông tin đăng nhập và hạ tầng của kẻ tấn công trở nên hiển thị ngay lập tức.

Khi Phishing ngày càng ẩn sau mã hóa, khả năng phân tích lưu lượng HTTPS mà không chậm trễ trở nên quan trọng để duy trì khả năng phát hiện đáng tin cậy ở quy mô lớn.

Giảm thiểu rủi ro bị tấn công Phishing trong công ty của bạn. Tích hợp ANY.RUN như một phần của quy trình phân loại & phản hồi của SOC.

Yêu cầu truy cập cho nhóm của bạn

Ví dụ: Phát hiện chiến dịch Phishing Salty2FA nhắm mục tiêu vào các doanh nghiệp

Trong phiên phân tích sandbox này, một cuộc tấn công Phishing Salty2FA trông giống như lưu lượng HTTPS thông thường được phơi bày bên trong ANY.RUN trong lần chạy đầu tiên. Với giải mã SSL tự động, sandbox tiết lộ luồng độc hại, kích hoạt một Suricata rule và tạo ra phán quyết sẵn sàng phản hồi trong 40 giây.

Xem toàn bộ phiên tại đây: Phân tích tấn công Phishing Salty2FA

Sandbox ANY.RUN cung cấp chi tiết kết nối, hiển thị lưu lượng HTTPS
Sandbox ANY.RUN cung cấp chi tiết kết nối, hiển thị lưu lượng HTTPS

Đối với các CISOs, khả năng này mang lại những kết quả bảo mật quan trọng:

  • Phishing được mã hóa bị phơi bày trước khi nó biến thành chiếm đoạt tài khoản trên các nền tảng kinh doanh cốt lõi.
  • Bảo vệ mạnh mẽ hơn chống lại việc bỏ qua MFA, chiếm đoạt phiên và xâm phạm danh tính ẩn trong lưu lượng HTTPS.
  • Xác nhận nhanh hơn, dựa trên bằng chứng trong lần điều tra đầu tiên, giảm sự chậm trễ leo thang và thời gian nhà phân tích dành cho các trường hợp không rõ ràng.

Xây dựng mô hình điều tra Phishing có khả năng mở rộng

Các chiến dịch Phishing hiện đại di chuyển nhanh chóng, ẩn sau hạ tầng đáng tin cậy và ngày càng dựa vào các kênh được mã hóa khiến hoạt động độc hại có vẻ hợp pháp. Để theo kịp, các nhóm SOC cần nhiều hơn là các công cụ riêng lẻ; họ cần một mô hình điều tra được thiết kế để phơi bày hành vi Phishing thực sự sớm, xử lý khối lượng lớn mà không làm quá tải các nhà phân tích và tiết lộ các mối đe dọa ẩn trong lưu lượng truy cập được mã hóa.

Bằng cách kết hợp tương tác an toàn, automationgiải mã SSL, các tổ chức có thể điều tra hoạt động đáng ngờ nhanh hơn, khám phá các chuỗi tấn công ẩn và xác nhận hành vi độc hại bằng bằng chứng rõ ràng trong lần điều tra đầu tiên.

Giải pháp của ANY.RUN cải thiện quy trình SOC
Giải pháp của ANY.RUN cải thiện các quy trình của SOC

Nhiều tổ chức đã áp dụng phương pháp này, và các CISOs báo cáo những cải thiện đáng kể về mặt hoạt động như:

  • Hiệu quả SOC mạnh hơn 3 lần, mang lại cho các CISOs khả năng phát hiện tốt hơn mà không cần tăng trưởng đội ngũ tương ứng.
  • Giảm tới 20% khối lượng công việc của Tier 1, giảm áp lực cho nhà phân tích và giảm căng thẳng hoạt động.
  • Giảm 30% số lần leo thang lên Tier 2, bảo toàn chuyên môn cấp cao cho những sự cố quan trọng nhất.
  • Giảm 21 phút MTTR mỗi trường hợp, giúp ngăn chặn các mối đe dọa Phishing trước khi tác động lan rộng.
  • Phát hiện sớm hơn và phản hồi rõ ràng hơn, giảm rủi ro vi phạm và rủi ro kinh doanh.
  • Phân tích dựa trên cloud không gánh nặng phần cứng, giảm chi phí và sự phức tạp của hạ tầng.
  • Phán quyết nhanh hơn với ít sự mệt mỏi cảnh báo hơn, cải thiện tốc độ và tính nhất quán trong phân loại.
  • Phát triển nhân tài cấp dưới nhanh hơn, giúp các nhóm xây dựng năng lực nhanh hơn.

Tăng cường SOC của bạn với một mô hình điều tra Phishing được xây dựng cho tốc độ, khả năng hiển thị và quy mô, giảm tải cho nhà phân tích, cải thiện phạm vi phát hiện và giảm rủi ro kinh doanh do phản hồi chậm trễ.

Thẻ liên quan
#Phishing #An ninh mạng #SOC #CISO #Bảo mật doanh nghiệp