# TTPs In Cyber Threat Intelligence
Tactics, Techniques, and Procedures (TTPs) - Chiến thuật, Kỹ thuật, và Thủ tục là những khái niệm thiết yếu trong lĩnh vực an ninh mạng và tình báo mối đe dọa mạng. Chúng đề cập đến các phương pháp và cách tiếp cận được các tác nhân đe dọa sử dụng để đạt được mục tiêu trong các cuộc tấn công mạng. Hiểu được TTPs là rất quan trọng để phát hiện, bảo vệ, và ứng phó với các mối đe dọa mạng một cách hiệu quả.
## Tactics
Chiến thuật là các mục tiêu chiến lược, cấp cao mà các tác nhân đe dọa nhắm tới đạt được trong một cuộc tấn công. Chúng đại diện cho các mục tiêu bao quát của một cuộc tấn công. Một số chiến thuật tấn công mạng phổ biến bao gồm:
Các chiến thuật phổ biến
* Data Exfiltration: (lọc dữ liệu) đánh cắp dữ liệu nhạy cảm (quá trình trộn lẫn, thu thập và truyền dữ liệu từ một hệ thống máy tính hoặc mạng mà không có sự cho phép hoặc nhận thức của chủ sở hữu dữ liệu. (không được ủy quyền)).
* Denial of Service (DoS): làm quá tải hệ thống hoặc mạng khiến nó không khả dụng.
* Phishing: Lừa đảo các cá nhân để tiết lộ thông tin bí mật.
* Privilege Escalation: (leo thang đặc quyền) đạt được quyền truy cập cao hơn trong hệ thống.
* Persistence: Duy trì quyền truy cập lâu dài vào một hệ thống bị xâm nhập.
## Techniques
Kỹ thuật là những phương pháp và công cụ cụ thể mà những kẻ đe dọa sử dụng để thực hiện chiến thuật của mình. Đây là những chi tiết và chiến thuật hơn là chiến thuật. Các kỹ thuật có thể khác nhau đáng kể tùy thuộc vào mục tiêu và khả năng của kẻ tấn công. Ví dụ về các kỹ thuật tấn công mạng bao gồm:
* **Malware:** sử dụng phần mềm độc hại để giành quyền truy cập hoặc kiểm soát hệ thống.
* **Spear-phishing:** Các cuộc tấn công lừa đảo tùy chỉnh nhắm vào các cá nhân cụ thể (lừa đạo trực tuyến).
* **SQL injection:** Khai thác lỗ hổng trong ứng dụng web để thao tác cơ sở dữ liệu.
* **Zero-day exploits:** Tận dụng lỗ hổng chưa được phát hiện trong phần mềm.
* **Social engineering:** Thao túng các cá nhân để tiết lộ thông tin nhạy cảm.
* **Water Hole attack:** Kẻ tấn công xâm nhập các trang web mà nạn nhân mục tiêu của chúng có thể truy cập. Khi nạn nhân truy cập các trang web này, thiết bị của họ có thể bị nhiễm phần mềm độc hại.
* **Burte Force:** Các cuộc tấn công liên quan đến việc thử nhiều lần tất cả các tổ hợp mật khẩu hoặc khóa mã hóa có thể có cho đến khi tìm thấy tổ hợp chính xác. Những cuộc tấn công này tốn thời gian nhưng có thể thành công nếu mật khẩu yếu.
* **IoT Exploitation:** Kẻ tấn công nhắm vào các lỗ hổng trong thiết bị IoT, chẳng hạn như máy ảnh thông minh hoặc bộ điều nhiệt, để truy cập vào mạng gia đình hoặc công ty.
## Procedures
Các thủ tục thể hiện các processes hoặc workflows từng bước mà các tác nhân đe dọa tuân theo khi tiến hành một cuộc tấn công. Đây là những thông tin rất chi tiết và cụ thể đối với kỹ thuật đã chọn và các công cụ liên quan. Các thủ tục cung cấp sự hiểu biết chi tiết về cách thực hiện một cuộc tấn công. Ví dụ về thủ tục trong các cuộc tấn công mạng có thể bao gồm:
* **Malware delivery (phân phối phần mềm độc hại)**: Chuỗi hoạt động nhằm phân phối và thực thi phần mềm độc hại trên hệ thống của nạn nhân.
* **Credential harvesting (Thu thập thông tin chính xác):** Quá trình lấy thông xác thực đăng nhập từ các hệ thống bị xâm nhập.
* **Lateral movement (Chuyển động ngang):** Các kỹ thuật được sử dụng để di chuyển ngang trong mạng để mở rộng quyền truy cập. Nó thể hiện quá trình mà kẻ tấn công tiến xa hơn trong một mạng sau khi đã xâm nhập thành công.
* **Data exfiltration process (quá trình lọc dữ liệu):** các bước được thực hiện để đánh cắp và truyền dữ liệu từ hệ thống bị xâm nhập.
* **Evasion techniques (Kỹ thuật né tránh):** Các hành động nhằm tránh bị phát hiện hoặc phân tích bởi các công cụ bảo mật.
## Hiểu được nó sẽ giúp gì cho các chuyên gia an ninh mạng?
Vì nó cho phép:
* **Detect Attacks (phát hiện các cuộc tấn công):** Nhận biết các mẫu và hành vi liên quan đến các TTP đã biết để xác định các cuộc tấn công đang diễn ra hoặc tiềm ẩn.
* **Develop defence strategies (Phát triển chiến lực phòng thủ):** Thiết kế các biện pháp bảo mật nhằm mục tiêu cụ thể đến các kỹ thuật và quy trình được các tác nhân đe dọa sử dụng.
* **Enhance Incident Response (Tăng cường ứng phó sự cố):** ứng phó hiệu quả với các sự cố bảo mật bằng cách hiểu cách thức hoạt động của kẻ tấn công và các bước chúng thực hiện.
* **Share Threat Intelligence (Chia sẻ thông tin về mối đe dọa):** Truyền đạt thông tin về mối đe dọa với các tổ chức và cộng đồng bảo mật khác để giúp họ chống lại với các cuộc tấn công tương tự.
* **Improve Threat Hunting (Cải thiện việc săn lùng mối đe dọa):** Chủ động tìm kiếm các dấu hiệu xâm phạm trong mạng dựa trên các TTP đã biết.
Thường xuyên cập nhật chia sẻ thông tin về TTP là một khía cạnh cơ bản của thông tin về mối đe dọa mạng, vì nó giúp các tổ chức và cộng đồng an ninh mạng rộng lớn hơn được thông báo về các mối đe dọa mới nổi và điều chỉnh biện pháp phòng vệ của họ cho phù hợp.
***
Nguồn:
1. [https://www.linkedin.com/pulse/tactics-techniques-procedures-ttps](https://www.linkedin.com/pulse/tactics-techniques-procedures-ttps/)
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://viettaliii.gitbook.io/home/soc-and-dfir/interview-questions/ttps-in-cyber-threat-intelligence.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.