HCINT đóng vai trò quan trọng trong việc cung cấp các thông tin tình báo, các IOC cũng như nhiều dữ liệu về các mối đe doạ phục vụ cho khả năng săn tìm mối đe doạ,
cảnh báo với các tính năng chính như sau:
• Cơ sở dữ liệu khổng lồ về các IOC, dấu hiệu tấn công, dấu hiệu mã độc, sự kiện ATTT, thông tin mối đe doạ được lưu trữ và duy trì.
• Thu thập dữ liệu tình báo và các mối đe doạ gần theo thời gian thực, cập nhật kịp thời các xu hướng khai thác, các cuộc tấn công mạng trên thế giới.
• Tự động xâu chuỗi các mối quan hệ tương quan giữa các thuộc tính của các mã độc, chiến dịch tấn công mạng.
• Cho phép chia sẻ thông tin giữa các cơ quan tổ chức có duy trì hệ thống Threat Intelligence.
• Cho phép chia sẻ thông tin các mối đe doạ, nguy cơ với các sản phẩm bảo mật khác nhau SIEM, Anti-virus, IDS/IPS một cách tự động không cần sự can thiệp của con người và không có độ trễ, thông qua MRTI (Machine Readable Threat Intelligence) theo chuẩn STIX/ TAXII.
• Giao diện cho phép quản trị, cập nhật các sự kiện và thể hiện sơ đồ Graph biểu thị sự tương quan gữa các sự kiện, các IOC, các chiến dịch với nhau.
• Cung cấp khả năng tìm kiếm, tra cứu các thông tin về các mối đe doạ, các nguy cơ có khả năng ảnh hưởng hệ thống như đã đề cập bao gồm: lỗ hổng bảo mật, các nhóm tấn công, các chiến dịch tấn công, mã độc tiên tiến, IP, domain, URL, file, hash… Đồng thời cũng thể cho thấy sự tương quan, các mối liên hệ qua sơ đồ Graph.
• Duy trì thông tin tình báo, dữ liệu tổng hợp từ các hacking forum, darkweb, chợ đen mua bán… cho phép tiếp cận các nguồn thông tin phía dưới, vốn chứa nhiều thông tin nhạy cảm.
• Dữ liệu được lưu trữ có cấu trúc, cho phép tìm kiếm đơn giản, có thể tuỳ tỉnh ở một số trường hợp.
• Cho phép xuất dữ liệu dưới nhiều định dạng để đưa vào các hệ thống phòng thủ khác như OpenIOC, CSV, XML, JSON, STIX, IDS…
• Hỗ trợ phương thức nhập dữ liệu đầu vào đa dạng: bulk-import, batch-import, free-text import, OpenIOC.
• Thế mạnh cho phép tương tác thông tin qua API, có 2 loại API cho phép tương tác bao gồm API cơ bản bao gồm những thông tin IOC, các chiến dịch tấn công, tương tác sự kiện; còn lại là API nâng cao cho phép lấy những thông tin IOC đã bổ sung thông tin từ các Threat Intelligence khác.
• Các sự kiện, IOC được phân loại rõ ràng, cho phép gắn tag, tích hợp MITRE ATT&CK.
• Duy trì cơ sở dữ liệu các thông tin dữ liệu mua bán, thông tin bị lộ ra trên các kênh các khác nhau.
Công nghệ HCINT không chỉ mang tới năng lực theo dõi liên tục nguồn dữ liệu Threat Intelligence HCINT, mà còn mở rộng các khả năng tích hợp các nguồn OSINT đem lại những thông tin rõ ràng, bổ trợ công tác giám sát, xử lý và điều tra. Đem lại kết quả nhận định dấu hiệu tấn công chính xác hơn:
• Tích hợp các giải pháp phòng thủ, cung cấp tri thức tăng cường khả năng ngăn chặn và cảnh báo sớm.
• Chia sẻ tri thức với các tổ chức khác nhau nhằm tăng cường bảo mật cho quốc gia, thế giới.
• Giảm thời gian đáng kể trong công tác điều tra và ứng cứu sự cố ATTT nhờ các thông tin chuyên sâu.
• Công tác săn tìm mối đe doạ định kì được thực hiện hiệu quả.
• Cảnh báo kịp thời khi có các nguy cơ dữ liệu bị rò rỉ, thương hiệu bị ảnh hưởng.
• Cảnh báo khi có các keyword nhạy cảm về tổ chức xuất hiện trên các kênh và nền tảng khác nhau.
• Giảm tỉ lệ false positive trong các công tác thực hiện đảm bảo ATTT.
• Báo cáo định kì về các xu hướng, các mối đe doạ mới, lỗ hổng mới nhất có liên quan với tổ chức.
Lõi sức mạnh của một hệ thống Threat Intelligence là khả năng tổng hợp thông tin, dữ liệu và chia sẻ các thông tin một cách hiệu quả. Nguồn dữ liệu duy trì HCINT bao gồm:
• Các nguồn dữ liệu Threat Intelligence được chia sẻ từ các tổ chức ATTT, Trung tâm NCSC, các cá nhân uy tín trong mảng bảo mật, nguồn dữ liệu riêng tư.
• Các Threat Feed (IP, domain, hash, url, file…) từ hơn 65 nguồn trên thế giới cho các giải pháp ATTT khác nhằm tăng cường khả năng nhận diện tấn công trong
hệ thống.
• Các nguồn dữ liệu tri thức có được trong quá trình ứng cứu sự cố, giám sát cho các hệ thống khác nhau của HPT.
• Các nguồn dữ liệu tri thức qua việc thực hiện nghiên cứu, phân tích các sự cố, các chiến dịch mới, các chuỗi tấn công phức tạp xảy ra trên thế giới như mã độc tiên
tiến mới, kỹ thuật khai thác tấn công mới, các lỗ hổng 0-day…
• Các thông tin, tri thức chia sẻ qua mạng xã hội như Twitter, Facebook, Telegram…
• Các nguồn dữ liệu chợ đen như từ Dark web, onion sites, hacking forum…
• Hỗ trợ API và dữ liệu chuẩn để thực hiện chia sẻ như (STIX/TAXII, JSON, Text…)
Theo dõi liên tục các nguồn CVE, lỗ hổng bảo mật mới, MITRE ATT&CK, các nhóm APT, tin tức bảo mật mới nhất và các nhóm tấn công cũng như chiến dịch tấn công mới xuất hiện.