# Threat Hunting with CTI

## 1. Introduction

**Cyber Threat Intelligence (CTI)** là thông tin được **thu thập, đánh giá và phân tích về các mối đe dọa mạng**. CTI cung cấp dữ liệu về:

* Ai là kẻ tấn công,
* Tấn công diễn ra như thế nào, ở đâu,
* Mục tiêu là gì và kỹ thuật nào được sử dụng.

CTI giúp các đội ngũ an ninh mạng **ra quyết định chính xác, xây dựng chiến lược phòng thủ**, và **phản ứng hiệu quả hơn với các sự cố an ninh mạng**.

#### **Ứng dụng của CTI trong Thực tiễn**

**🧪 Threat Hunting**

* CTI hỗ trợ phát hiện các mối đe dọa tiềm ẩn.
* Các nhóm bảo mật sử dụng CTI để điều tra hoạt động đáng ngờ và xác định mối đe dọa thực sự.

**🖥 Security Operations Center (SOC)**

* Các nhà phân tích SOC dùng CTI để theo dõi và xử lý sự cố hàng ngày.
* Giúp phát hiện và phản ứng nhanh chóng với các hành vi bất thường.

**🦠 Phân tích Malware**

* CTI cung cấp thông tin về hành vi và phương thức lây lan của mã độc.
* Hỗ trợ việc phát hiện, cô lập và phân tích phần mềm độc hại.

**🛡 Chính sách và Chiến lược An ninh**

* CTI giúp xây dựng chính sách bảo mật hiệu quả hơn bằng cách cung cấp bức tranh toàn cảnh về mối đe dọa.
* Đảm bảo rằng các chiến lược phản ứng và phòng thủ luôn cập nhật và sát thực tế.

**📉 Đánh giá Rủi ro**

* CTI giúp phân tích mức độ ảnh hưởng và xác suất xảy ra của các mối đe dọa.
* Hỗ trợ tích hợp vào quy trình quản lý rủi ro để xác định ưu tiên bảo vệ.

**🕵️ Phân tích Bề mặt Tấn công**

* CTI giúp tổ chức xác định các điểm yếu trong hệ thống dễ bị khai thác.
* Từ đó, tổ chức có thể cải thiện biện pháp bảo vệ và giảm thiểu lỗ hổng.

#### **Kết luận**

**Cyber Threat Intelligence (CTI)** là nền tảng giúp tổ chức hiểu rõ hơn về bối cảnh mối đe dọa mạng, từ đó đưa ra quyết định đúng đắn và xây dựng một **hệ thống phòng thủ hiệu quả, chủ động**. CTI không chỉ hỗ trợ threat hunting mà còn phục vụ đa dạng các hoạt động như SOC, phân tích malware, xây dựng chiến lược an ninh và quản trị rủi ro.

## 2. CTI Resources

Nguồn tài nguyên CTI rất quan trọng để **phát hiện, phân tích các mối đe dọa mạng và xây dựng chiến lược phòng thủ**. CTI được tổng hợp từ nhiều nguồn như **tình báo mã nguồn mở (OSINT), nhà cung cấp CTI thương mại, tình báo dark web**, và **mạng lưới chia sẻ thông tin (ISACs)**.

### **2.1. Open Source Intelligence (OSINT)**

**🎯 Mục tiêu:**

* Thu thập thông tin công khai để hiểu rõ đối tượng tấn công.
* Phân tích và đánh giá mối đe dọa tiềm ẩn.
* Cảnh báo sớm.

**🔄 Quy trình OSINT:**

1. **Xác định nguồn:** Mạng xã hội, blog, diễn đàn, website chính phủ, tin tức.
2. **Thu thập dữ liệu:** Thủ công hoặc tự động.
3. **Phân tích:** Chuyển dữ liệu thô thành thông tin hữu ích.
4. **Báo cáo:** Tổng hợp kết quả phân tích.

**✅ Ưu điểm:**

* Miễn phí, đa dạng nguồn.
* Hỗ trợ phân tích nhiều chiều.

**❌ Hạn chế:**

* Thiếu độ tin cậy, khó xác minh.
* Quá tải thông tin.
* Rủi ro pháp lý và đạo đức.

### **2.2. Nhà cung cấp CTI Thương mại (Commercial CTI Providers)**

**🎯 Mục tiêu:**

* Cung cấp dịch vụ tình báo chuyên nghiệp và được xác minh.
* Giảm rủi ro bảo mật.
* Hỗ trợ phản ứng nhanh với sự cố.

**🔄 Quy trình:**

1. Thu thập dữ liệu từ nhiều nguồn, kể cả dark web.
2. Phân tích bởi công cụ AI và chuyên gia.
3. Báo cáo chi tiết, tích hợp với SIEM, EDR.

**🛠 Nguồn phổ biến:**

* Nền tảng: **MISP, ThreatConnect, Anomali**.
* Công ty: **FireEye, CrowdStrike, Recorded Future**.
* Báo cáo phân tích chuyên sâu.

**✅ Ưu điểm:**

* Dữ liệu chất lượng cao, chuyên sâu.
* Tiết kiệm thời gian phân tích nội bộ.
* Có khuyến nghị từ chuyên gia.

**❌ Hạn chế:**

* Chi phí cao.
* Rủi ro về quyền riêng tư.
* Nguy cơ lệ thuộc quá mức vào bên ngoài.

### **2.3. Tình báo từ Dark Web (Dark Web Intelligence)**

**🎯 Mục tiêu:**

* Theo dõi hoạt động tội phạm mạng.
* Cảnh báo sớm từ các diễn biến dark web.
* Phản ứng nhanh với mối đe dọa.

**🔄 Quy trình:**

1. Truy cập và giám sát dark web.
2. Thu thập dữ liệu từ chợ đen, diễn đàn hacker.
3. Phân tích nội dung để nhận diện hành vi nguy hiểm.
4. Báo cáo cho nhóm bảo mật.

**🛠 Nguồn:**

* **Dark markets**, **hacker forums**, **dark web search engines**.

**✅ Ưu điểm:**

* Cảnh báo sớm nguy cơ.
* Hiểu rõ cách thức hoạt động của tội phạm mạng.

**❌ Hạn chế:**

* Khó tiếp cận, đòi hỏi kỹ năng cao.
* Dữ liệu khó xác thực.
* Rủi ro pháp lý và đạo đức.

### **2.4. Mạng chia sẻ tình báo (ISACs – Information Sharing and Analysis Centers)**

**🎯 Mục tiêu:**

* Chia sẻ thông tin đe dọa giữa các tổ chức cùng ngành.
* Đánh giá và báo cáo rủi ro theo từng lĩnh vực.
* Phát triển chiến lược phòng thủ tập thể.

**🔄 Quy trình:**

1. Kết nạp thành viên theo ngành.
2. Thu thập và phân phối thông tin đe dọa.
3. Hợp tác và phối hợp phản ứng sự cố.
4. Tổ chức huấn luyện và nâng cao nhận thức.

**🛠 Ví dụ:**

* **FS-ISAC** (Tài chính), **H-ISAC** (Y tế), **Auto-ISAC** (Ô tô), **E-ISAC** (Năng lượng).

**✅ Ưu điểm:**

* Cảnh báo sớm theo ngành.
* Tăng cường hợp tác – phòng thủ tập thể.
* Tối ưu hóa tài nguyên bảo mật.

**❌ Hạn chế:**

* Thiếu tin tưởng giữa thành viên.
* Vấn đề riêng tư và bảo mật thông tin chia sẻ.
* Thách thức trong phối hợp đa tổ chức.

#### ✅ **Kết luận**

Các nguồn tài nguyên CTI gồm **OSINT, CTI thương mại, tình báo dark web và mạng ISACs** đều có vai trò quan trọng trong quá trình threat hunting. Khi được sử dụng phù hợp, chúng:

* **Tăng khả năng phát hiện sớm.**
* **Hỗ trợ phản ứng nhanh với sự cố.**
* **Cung cấp thông tin nền để ra quyết định chiến lược.**

## 3. Threat Hunting Process with CTI

CTI cung cấp thông tin thiết yếu giúp **phát hiện, phân tích và phản ứng với các mối đe dọa mạng**. Trong quy trình threat hunting (săn tìm mối đe dọa), CTI đóng vai trò quan trọng ở **mọi giai đoạn từ hình thành giả thuyết đến phát hiện mô hình tấn công mới**.

<figure><img src="/files/yHrAtzjBcvfdv2Yfd3ha" alt=""><figcaption></figcaption></figure>

### **3.1. Hình thành giả thuyết (Create Hypotheses)**

**🛠 Vai trò của CTI:**

* **Chỉ báo đe dọa (IoCs):** Cung cấp các dấu hiệu như mã độc, địa chỉ IP, domain độc hại → làm cơ sở để xây dựng giả thuyết.
* **Thông tin về nhóm tấn công:** Cho biết động cơ, năng lực và mục tiêu → giúp xây dựng giả thuyết về cách và lý do xảy ra tấn công.

### **3.2. Điều tra bằng công cụ và kỹ thuật (Investigate With Tools and Techniques)**

**🧩 CTI hỗ trợ:**

* **Tích hợp với công cụ bảo mật:** CTI được đưa vào SIEM, EDR... để hỗ trợ phân tích.
* **Phân tích chuyên sâu:** Biết cách malware hoạt động giúp phân tích chi tiết hơn.
* **Theo dõi và phát hiện:** CTI cung cấp các TTPs và IoCs, giúp phát hiện dấu hiệu tấn công hiệu quả hơn.

### **3.3. Phát hiện mẫu và kỹ thuật tấn công mới (Uncover New Patterns and TTPs)**

**🔎 CTI giúp:**

* **Làm giàu dữ liệu:** Cung cấp thêm thông tin để phát hiện mẫu tấn công mới.
* **Phát hiện bất thường:** Nhận diện hành vi lệch khỏi chuẩn → phát hiện đe dọa tiềm ẩn.
* **Thông tin cập nhật liên tục:** Luôn cung cấp dữ liệu mới nhất về cách thức tấn công đang thay đổi.

### **3.4. Cung cấp ngữ cảnh và xác minh sự cố (Inform and Enrich Analytics)**

**📌 CTI hỗ trợ:**

* **Cung cấp ngữ cảnh:** Không chỉ dừng lại ở tên malware mà còn biết nhóm đứng sau.
* **Liên kết dữ liệu:** Kết hợp dữ liệu hệ thống với CTI để phát hiện nhanh hơn.
* **Xác minh sự cố:** Nếu sự kiện trùng khớp IoC trong CTI, có thể xác thực mối đe dọa.

#### **Kết luận**

CTI là **trụ cột không thể thiếu trong quy trình threat hunting**:

* **Tạo giả thuyết chính xác hơn.**
* **Tăng độ sâu và tốc độ điều tra.**
* **Phát hiện sớm TTPs mới.**
* **Tăng tính chính xác khi xác minh sự cố.**

👉 CTI biến threat hunting từ thụ động sang chủ động, tăng khả năng phòng thủ mạng hiệu quả hơn.

## 4. Phishing Campaign Hypothesis

#### **Giả thuyết: Chiến dịch Phishing nhắm mục tiêu (Phishing Campaign Hypothesis)**

> Có thể đang diễn ra một chiến dịch phishing nhắm vào nhân viên của tổ chức. Mục tiêu có thể là đánh cắp thông tin đăng nhập, truy cập dữ liệu tài chính, hoặc cài mã độc.

### **4.1. Nguồn dữ liệu cần phân tích**

* **Nền tảng CTI:** Thu thập và phân tích thông tin về mối đe dọa.
* **Threat Intelligence Feeds:** Cung cấp email, URL, IP liên quan đến chiến dịch phishing.
* **Hệ thống SIEM:** Thu thập và phân tích log và sự kiện bảo mật.
* **Log từ cổng email:** Giám sát email đến/đi.
* **Log từ web proxy:** Theo dõi lịch sử truy cập internet.
* **EDR Logs:** Ghi lại hành vi bất thường trên thiết bị đầu cuối.
* **UEBA:** Phân tích hành vi người dùng để phát hiện bất thường.

### **4.2. Các bước phân tích**

1. **Thu thập log** từ SIEM, cổng email, web proxy và hệ thống EDR.
2. **Tổng hợp dữ liệu CTI** và threat feeds liên quan đến chiến dịch phishing.
3. **So sánh log với thông tin CTI**, tìm trùng khớp email, URL, IP độc hại.
4. **Phát hiện kỹ thuật phishing** như website giả mạo, email lừa đảo qua các log:
   * Email đến từ địa chỉ đã biết trong chiến dịch phishing.
   * Người dùng truy cập vào URL phishing qua proxy logs.
   * Hành vi lạ của người dùng bị nhắm mục tiêu qua log EDR và UEBA.
5. **Phân tích nội dung email** để nhận diện kỹ thuật social engineering.
6. **Chuyển các sự kiện đáng ngờ** cho đội phản ứng sự cố.
7. **Đội IR phân tích chi tiết** chiến dịch và xác định tài khoản/thiết bị bị ảnh hưởng.
8. **Cô lập tài khoản/thiết bị bị ảnh hưởng** để ngăn chặn thiệt hại lan rộng.

### **4.3. Kết quả mong đợi**

* Xác định **chi tiết và kỹ thuật** của chiến dịch phishing.
* Phát hiện **email phishing và website giả** đã được sử dụng.
* Phát hiện hành vi đáng ngờ và **nguy cơ xâm nhập tài khoản**.
* **Phối hợp với dữ liệu CTI** để phát hiện sớm và phản ứng kịp thời.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/th/3.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.