Trong bối cảnh tấn công mạng ngày càng tinh vi, việc nhận diện và phản ứng kịp thời trước các mối đe dọa là tối quan trọng. Thông tin xác thực bị xâm phạm vẫn là vector ban đầu chính trong hơn một nửa số sự cố an ninh mạng. Đây là một điểm nổi bật trong báo cáo xu hướng Phản ứng Sự cố (IR Trends) Q1 2025 của Cisco Talos và được củng cố bởi Báo cáo Điều tra Vi phạm Dữ liệu (DBIR) của Verizon, chỉ ra 22% các vụ vi phạm liên quan đến lạm dụng thông tin xác thực. Để giải quyết thách thức này, Splunk đã giới thiệu PLoB (Post-Logon Behaviour Fingerprinting and Detection), một công cụ đột phá nhằm tăng cường khả năng phát hiện xâm nhập sau khi đăng nhập.

Bối Cảnh Tấn Công và Nhu Cầu Phát Hiện Xâm Nhập

Các cuộc tấn công mạng ngày nay thường không bắt đầu bằng việc phá vỡ tường lửa hay hệ thống bảo vệ ban đầu. Thay vào đó, kẻ tấn công thường lợi dụng thông tin xác thực hợp lệ đã bị đánh cắp hoặc rò rỉ để truy cập vào hệ thống. Sau khi đăng nhập thành công, chúng thực hiện các hoạt động bất thường nhưng có vẻ hợp pháp để duy trì sự hiện diện và mở rộng quyền kiểm soát. Phương thức này, còn được gọi là “Living off the Land” (LoL), khiến các giải pháp bảo mật truyền thống khó khăn trong việc nhận diện.

Các giải pháp dựa trên quy tắc, hành vi hoặc AI hiện có thường gặp khó khăn trong việc phát hiện những hoạt động này. Chúng có thể bỏ qua các kỹ thuật LoL vì chúng pha trộn với các tác vụ quản trị hợp pháp. Điều này tạo ra một “cửa sổ” quan trọng sau khi đăng nhập, nơi các tác nhân đe dọa có thể ẩn mình và đào sâu vào mạng lưới mà không bị phát hiện.

Giới Thiệu PLoB: Giải Pháp Phát Hiện Xâm Nhập Sau Đăng Nhập

PLoB được phát triển để đối phó với các mối đe dọa dai dẳng nâng cao (APTs) lợi dụng thông tin xác thực hợp pháp để duy trì quyền truy cập không bị phát hiện trong thời gian dài. Công cụ này tập trung vào cửa sổ quan trọng sau khi đăng nhập để xác định các hoạt động bất thường, mục tiêu là phát hiện mối đe dọa trước khi kẻ thù ăn sâu vào mạng lưới. PLoB bổ sung cho các lớp phát hiện hiện có, giúp bao quát những điểm mù mà các phương pháp truyền thống thường bỏ lỡ.

Nền tảng của PLoB là sự tích hợp giữa mô hình hóa dựa trên đồ thị, nhúng AI và tìm kiếm độ tương đồng vector. Điều này giúp tăng cường khả năng săn lùng mối đe dọa ở giai đoạn đầu. Bằng cách chuyển từ danh sách sự kiện tuyến tính sang các câu chuyện quan hệ, PLoB cho phép các nhà phòng thủ đặt ra những câu hỏi phản ánh tư duy của kẻ tấn công, chẳng hạn như truy vết cây tiến trình từ các sự kiện đăng nhập.

Kiến Trúc và Cơ Chế Hoạt Động Của PLoB

Dữ liệu Đầu Vào và Chuyển Đổi sang Đồ Thị

PLoB bắt đầu bằng việc tiếp nhận các nhật ký bảo mật thô từ Splunk hoặc các hệ thống SIEM tương tự. Các nhật ký này sau đó được chuyển đổi thành cơ sở dữ liệu đồ thị Neo4j. Mục đích của việc chuyển đổi này là để nắm bắt các mối quan hệ phức tạp giữa người dùng, máy chủ, phiên làm việc và các tiến trình. Cách tiếp cận tập trung vào đồ thị này cho phép các nhà phân tích bảo mật nhìn nhận các sự kiện theo một cách toàn diện hơn, không chỉ là các bản ghi rời rạc.

Tạo Dấu Vân Tay Hành Vi (Behavioral Fingerprinting)

Từ mô hình đồ thị đã được xây dựng, PLoB tạo ra các dấu vân tay hành vi. Đây là các bản tóm tắt văn bản ngắn gọn tập trung vào các điểm độc đáo hoặc bất thường trong hành vi người dùng. Các yếu tố được nhấn mạnh bao gồm sự mới lạ trong các lệnh được thực thi, tốc độ thực thi cho thấy tự động hóa, và các bất thường về cấu trúc như việc tạo ra quá nhiều tiến trình (excessive process spawning). Những dấu hiệu này là chìa khóa để nhận diện các hoạt động đáng ngờ.

Vector Hóa và Phân Tích Độ Tương Đồng

Các dấu vân tay hành vi này sau đó được chuyển đổi thành các vector 3072 chiều. Quá trình này sử dụng mô hình nhúng văn bản của OpenAI, cụ thể là text-embedding-3-large, giúp mã hóa các sắc thái ngữ nghĩa để biểu diễn hành vi một cách chính xác. Các vector này được lưu trữ trong cơ sở dữ liệu vector Milvus, tạo điều kiện thuận lợi cho việc tìm kiếm độ tương đồng hiệu quả thông qua phương pháp cosine similarity.

Hệ thống tính điểm cho các phiên làm việc từ 0 đến 1 để xác định các hành vi bất thường (outliers) và các cụm hành vi lặp lại. Các phiên có điểm số dưới 0.92 được coi là hành vi độc đáo, trong khi điểm số trên 0.99 cho thấy các mẫu lặp đi lặp lại một cách đáng ngờ, thường là dấu hiệu của các cuộc tấn công được lập trình (scripted attacks).

Cải Thiện Kỹ Thuật Dấu Vân Tay

Hiệu quả của PLoB đến từ việc tinh chỉnh kỹ thuật tạo dấu vân tay, giúp khuếch đại các tín hiệu quan trọng. Ban đầu, các hoạt động LoL độc hại có thể hòa lẫn với các tác vụ quản trị thông thường. Để khắc phục điều này, PLoB ưu tiên các yếu tố đáng ngờ như các tệp thực thi mới hoặc thời gian thực hiện lệnh cực nhanh. Điều này giúp các phép nhúng phân biệt tốt hơn các mối đe dọa tinh vi, với ngưỡng được điều chỉnh để cân bằng độ nhạy và tỷ lệ dương tính giả trong bối cảnh dữ liệu biến động (data drift).

Phân Tích Bổ Sung bằng AI

Các phiên được đánh dấu là bất thường sẽ được phân tích sâu hơn bởi các tác nhân AI. Chúng bao gồm các tác nhân dựa trên mô hình Foundation Sec của Cisco và GPT-4o của OpenAI. Các tác nhân này nhận được các lời nhắc ngữ cảnh (context-aware prompts) được điều chỉnh theo từng loại bất thường, tập trung vào tính độc đáo đối với các trường hợp ngoại lệ hoặc tính lặp lại đối với các cụm. Kết quả phân tích được xuất ra dưới dạng đánh giá rủi ro có cấu trúc và lý do bằng định dạng JSON.

Ưu Điểm và Tác Động của PLoB trong An Ninh Mạng

Không giống như các giải pháp phát hiện thông thường thường thất bại trước các mối đe dọa mới hoặc tự động do sự phụ thuộc vào đường cơ sở (baselines) hoặc dữ liệu huấn luyện, PLoB tập trung nhẹ nhàng vào hoạt động ngay sau khi đăng nhập. Điều này cung cấp những thông tin chi tiết nhanh chóng mà không cần dữ liệu lịch sử phong phú.

Quy trình từ đồ thị sang vector này không chỉ tăng tốc điều tra mà còn hỗ trợ săn lùng mối đe dọa chủ động và trực quan hóa. Nó thách thức quan điểm cho rằng các nhà phòng thủ bị giới hạn bởi các danh sách sự kiện, trong khi kẻ tấn công khai thác các mối quan hệ đồ thị.

Theo báo cáo của Splunk, sáng kiến này, được thông báo bởi các thách thức dữ liệu thực tế và sự hợp tác, nhấn mạnh nhu cầu về các công cụ thích ứng trong việc quản lý rủi ro thông tin xác thực phổ biến. Điều này cũng được lặp lại trong báo cáo M-Trends 2025 của Mandiant, ghi nhận thông tin xác thực bị đánh cắp đã vượt qua lừa đảo (phishing), chiếm 16% các vector truy cập ban đầu. Xem thêm chi tiết tại: AI-Powered Compromised Credential Detection.

Khi các tổ chức phải đối mặt với các chiến thuật APT ngày càng phát triển, PLoB cung cấp một khuôn khổ mở, có khả năng mở rộng để cộng đồng nâng cao. Tiềm năng của nó là giảm thời gian cư trú của kẻ tấn công (dwell times) và giảm thiểu các vụ vi phạm trong các môi trường có tính rủi ro cao. Đây là một bước tiến quan trọng trong việc tăng cường khả năng an ninh mạng toàn diện.