# Cyber Threat Intelligence for Detection

## 1. Understanding of CTI Concept

### 1.1. Nhận diện mối đe dọa tiềm tàng

**Open Source Intelligence (OSINT):**

* **Nguồn dữ liệu công khai**: trang tin, blog, podcast, mạng xã hội (Twitter, Facebook…), tài liệu học thuật, tài nguyên chính phủ, diễn đàn, bản đồ…
* **Công cụ hỗ trợ**: Google, Bing, TweetDeck, Shodan, InVID…
* Cả hacker và người phòng thủ đều sử dụng cùng dữ liệu → ưu tiên học cách sử dụng hiệu quả và hệ thống.

**Technical Intelligence (TECHINT):**

* Thu thập thông tin qua công cụ công nghệ để hiểu kỹ thuật, chiến thuật của kẻ tấn công.
* **Dạng phổ biến**:
  * **SIGINT**: giám sát tín hiệu
  * **CNA**: phân tích mạng
  * **Phân tích malware**
* **Công cụ:** phân tích lưu lượng, sandbox, honeypot, OSINT tools
* TECHINT rất quan trọng trong săn mối đe dọa và phản ứng sự cố.

**Human Intelligence (HUMINT):**

* Thu thập thông tin trực tiếp từ con người thông qua:
  * **Kỹ thuật xã hội**
  * Nghiên cứu dark web
  * Người trong nội bộ rò rỉ thông tin
* HUMINT giúp hiểu hành vi, động cơ của kẻ tấn công và phát hiện các điểm yếu thuộc về con người.

### **1.2. Quản lý lỗ hổng (Vulnerabilities)**

**Vulnerability Scanners:**

* Dùng để phát hiện điểm yếu trước khi bị khai thác.
* Dựa vào cơ sở dữ liệu công khai như **CVE** (<https://cve.mitre.org/>)
* Nhiệm vụ của chuyên gia bảo mật: chọn công cụ phù hợp với nhu cầu thực tế của tổ chức.

**Threat Reports:**

* Báo cáo từ các hãng bảo mật và tổ chức nghiên cứu cung cấp thông tin chi tiết về:
  * Kẻ tấn công, mục tiêu, công cụ, kỹ thuật, lỗ hổng
* Giúp doanh nghiệp chủ động phòng thủ, sử dụng tài nguyên hiệu quả và hỗ trợ chia sẻ thông tin cộng đồng.

**Information Sharing Platforms:**

* Nền tảng chia sẻ thông tin mối đe dọa, hỗ trợ phản ứng nhanh:
  * **MISP**: chia sẻ chỉ số tấn công, kỹ thuật
  * **FS-ISAC**: dành riêng cho ngành tài chính
  * **OTX**: nền tảng chia sẻ cộng đồng từ AlienVault
* **Lợi ích**:
  * Tự động hóa thu thập/phân tích dữ liệu
  * Chuẩn hóa định dạng dữ liệu (STIX, TAXII)
  * Ẩn danh và quyền riêng tư
  * Phân tích cộng tác, tùy chỉnh dữ liệu theo nhu cầu

## 2. Introduction to Darkweb

### **2.1. Darkweb là gì?**

* Là phần ẩn của Internet, không thể truy cập bằng trình duyệt thông thường, chỉ truy cập qua các trình duyệt đặc biệt như **Tor Browser**.
* Cung cấp **ẩn danh cao** cho người dùng và trang web (đuôi **.onion**).
* Bao gồm cả **hoạt động hợp pháp** (báo chí, chống kiểm duyệt...) lẫn **bất hợp pháp** (buôn ma túy, vũ khí, tội phạm mạng…).
* Tồn tại nhiều rủi ro như malware, trang web giả mạo…

### **2.2. Ba lớp Internet:**

* **Surface Web:** phần nổi dễ thấy – web thường (Google, Facebook, báo chí…).
* **Deep Web:** phần không được lập chỉ mục – email, hồ sơ cá nhân, dữ liệu học thuật…
* **Dark Web:** phần ẩn, yêu cầu công cụ chuyên dụng để truy cập (Tor, I2P…), là nơi hoạt động ẩn danh diễn ra.

<figure><img src="/files/RMkT9TViLU4W6ZC6UoVG" alt=""><figcaption></figcaption></figure>

### **2.3. Vai trò của Darkweb trong An ninh mạng**

**a. Nguồn thông tin tình báo (Threat Intelligence):**

* Nơi hoạt động chính của **tin tặc** và **nhóm hacker** → cần theo dõi để phát hiện kỹ thuật, công cụ tấn công mới.

**b. Phát hiện dữ liệu bị rò rỉ:**

* Dữ liệu bị đánh cắp từ các cuộc tấn công được **rao bán trên Darkweb**.
* Dù dữ liệu không trực tiếp liên quan đến tổ chức, nhưng vẫn có thể gây rủi ro nếu có liên kết từ bên thứ ba, đối tác…

**c. Zero-day và khai thác lỗ hổng:**

* **Zero-day exploits** được bán và trao đổi hàng ngày → rất cần giám sát để kịp thời ứng phó.

**d. Dịch vụ tấn công dạng "X-as-a-Service":**

* Ransomware, DDoS, botnet… được **rao bán như dịch vụ** → theo dõi để đánh giá mối đe dọa tiềm ẩn.

**e. Nhóm hoạt động phản kháng, chính trị:**

* Nhóm phản kháng sử dụng Darkweb để tổ chức hoạt động → có thể tấn công tổ chức chỉ vì vị trí địa lý hay hoạt động tại quốc gia mục tiêu.

**f. Chia sẻ kiến thức kỹ thuật nâng cao:**

* Tin tặc chia sẻ kỹ thuật tấn công mới → chuyên gia an ninh có thể học hỏi để nâng cao năng lực phòng thủ.

### **2.4. Các công nghệ hỗ trợ Darkweb:**

**Tor (The Onion Router):**

* Trình duyệt phổ biến nhất để truy cập Darkweb (.onion).
* Cung cấp ẩn danh bằng cách **mã hóa nhiều lớp** và chuyển qua nhiều nút mạng trung gian.

**I2P (Invisible Internet Project):**

* Mạng ngang hàng bảo mật, không dùng hệ thống tập trung như Tor.
* Phù hợp với nhiều ứng dụng hơn, khó kiểm soát hơn vì sử dụng **DHT (Distributed Hash Table)**.

**Freenet:**

* Mạng chia sẻ tệp ẩn danh, nội dung được lưu phân tán và mã hóa cao.
* Hỗ trợ web ẩn danh, diễn đàn, chia sẻ file, chống kiểm duyệt.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/th/cyber-threat-intelligence-for-detection.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.