Các chuyên gia từ MIT phát hiện ra lỗ hổng bảo mật của chip M1 mà Apple không thể sửa.

Đến 2018, Apple trang bị PAC lên các thiết kế chip ARM của mình. Pointer Authentication Codes có mặt trên M1, M1 Pro, M1 Max và các chip dựa trên ARM của Qualcomm, Samsung…

Nhóm nghiên cứu của MIT đã tạo ra PACMAN để dự đoán chữ ký xác thực con trỏ (pointer), bỏ qua cơ chế bảo mật quan trọng này. Cụ thể, PACMAN chạy tất cả các giá trị xác thực qua kênh phần cứng, tiên đoán mật mã để vượt qua PAC.

“PAC được tạo ra như phòng tuyến cuối cùng, khi những xác thực khác thất bại, bạn vẫn còn nó để chặn cuộc tấn công. Tuy nhiên, chúng tôi chứng minh PAC không phải lớp phòng thủ tuyệt đối như mọi người nghĩ”, Ravichandran, người đưa ra báo cáo cho biết.

Đồng thời, PAC vốn là bảo mật phần cứng, Apple và các nhà sản xuất không thể chủ động vá lỗi bằng các phiên bản cập nhật phần mềm. Ngoài chip M1, tất cả vi xử lý ARM sử dụng Pointer Authentication Codes đều có thể bị tấn công. Tuy nhiên, các chuyên gia của MIT lựa chọn vi xử lý Apple để thử nghiệm bởi sản phẩm này phổ biến.

Chưa nguy hiểm đến lúc này

PACMAN là mối nguy đến chip M1 cùng các bộ xử lý ARM khác, nhưng các nhà nghiên cứu tại MIT cho rằng nó không phải vấn đề lúc này. Cụ thể, một phần mềm độc hại cần vượt ra tất cả các lớp bảo mật khác trước khi có thể tiếp cận tới PAC. Nói cách khác, phải có lỗ hổng phần mềm khác, lỗi phần cứng của chip mới đáng ngại.

Lỗ hổng PACMAN chưa đáng ngại ở hiện tại, nhưng cần được sớm khắc phục. Ảnh:Apple.

Các chuyên gia tại MIT cho rằng việc nghiên cứu ra PACMAN không để giải quyết vấn đề hiện tại mà phục vụ cho tương lai. “Vấn đề không phải liệu các bộ xử lý đang dễ bị tấn công, mà là tương lai chúng có dễ bị tổn thương hay không”, ông Ravichandran nói.

Sau khi nghiên cứu của MIT được đưa ra, ARM cho biết đã nắm thông tin và sẽ cập nhật kiến trúc nhân xử lý để khắc phục sớm nhất, lúc cuộc điều tra kết thúc. Trong khi đó, Apple chưa xem đây là vấn đề nghiêm trọng.

“Xin cảm ơn nỗ lực của các nhà nghiên cứu để chúng tôi nâng cao hiểu biết về kỹ thuật. Dựa trên phân tích tự thực hiện với các tài liệu được cung cấp, chúng tôi kết luận rằng vấn đề không gây nguy hiểm ngay lập tức đến người dùng, và hệ điều hành vẫn đủ các lớp bảo mật để không thể bị vượt qua”, Apple đưa ra phản hồi.

Không gây ra mối đe dọa ngay tức thời, PACMAN để lại các nguy cơ về sau, bởi nó sẽ hoạt động khi phần mềm gặp lỗi, có lỗ hổng bị khai thác. Do đó, người dùng nên cập nhật thiết bị thường xuyên để tránh trở thành nạn nhân của các cuộc tấn công 0-click.

Đồng thời, việc báo cáo được công bố ngay thời điểm ra mắt vi xử lý M2 có thể ảnh hưởng đến Apple. Bởi con chip này nhiều khả năng vẫn sử dụng PAC cho bảo mật.

(Theo Zing)

Lợi ích: Các đề xuất chuyên viên của Cortex XSOAR đảm bảo khối lượng công việc không phải là tiêu chí duy nhất để phân bổ các sự cố mà còn có thể  lựa chọn chuyên viên có kinh nghiệm xử lý sự cố phù hợp nhất, đảm bảo đồng thời cả yếu tố thời gian, kinh nghiệm và chất lượng xử lý sự cố.

2. Đề xuất chuyên gia hỗ trợ xử lý sự cố

Thách thức: Xử lý sự cố không phải là một quá trình tách biệt và riêng rẽ của một cá nhân. Tuy nhiên các chuyên viên xử lý sự cố, đặc biệt là các chuyên viên mới ít kinh nghiệm thường âm thầm tiếp nhận và xử lý các sự cố một mình, ít khi chú ý hoặc biết các kỹ năng của đồng nghiệp có thể giúp ích và khiến quá trình xử lý sự cố trở nên nhanh chóng và đơn giản hơn rất nhiều.

Giải pháp: Tính năng War Room trên XSOAR cho phép các chuyên viên hợp tác trong quá trình điều tra xử lý sự cố. War Room cho phép các chuyên viên có thể mời các đồng nghiệp tham gia ngay lập tức vào quá trình xử lý sự cố với cú pháp thân thiện như các chương trình chat phổ biến @chuyên_viên_được_mời. Điều đặc biệt thú vị ở đây, XSOAR sẽ áp dụng cơ chế học máy để phân tích lịch sử các sự cố đã được giải quyết, đặc biệt đánh giá các thao tác thủ công đã được thực hiện bởi các chuyên viên và đưa ra đề xuất 3 chuyên viên phù hợp nhất với sự cố đang được xử lý.

Cortex XSOAR phân tích và đề xuất các chuyên gia có kỹ năng phù hợp với sự cố đang xử lý.

Lợi ích: Bằng cách tạo điều kiện thuận lợi và đơn giản cho quá trình phối hợp xử lý sự cố của các chuyên viên, XSOAR sẽ giúp giảm thời gian và tăng chất lượng, kết quả của công việc. Dựa trên sự đề xuất chính xác của XSOAR, các chuyên viên, đặc biệt là chuyên viên mới, sẽ không phải mất nhiều thời gian tìm hiểu lựa chọn các đồng nghiệp có kinh nghiệm, kỹ năng phù hợp để hỗ trợ mình hoàn thành nhiệm vụ được giao.

3. Tự động đề xuất các câu lệnh thường được sử dụng

Thách thức: Trong quá trình tiến hành điều tra xử lý sự cố, các chuyên viên thường có rất nhiều tác vụ cần thực thi như truy vấn thêm các thông tin từ hệ thống tường lửa, EDR, AD… Khi số lượng các thiết bị, thành phần của SOC tăng lên thì việc lựa chọn thứ tự cũng như các câu lệnh phù hợp để hỗ trợ quá trình xử lý sự cố sẽ giúp tăng đáng kể chất lượng xử lý sự cố cũng như tiết kiệm rất nhiều thời gian cho chuyên viên.

Giải pháp: Khi các chuyên viên nhập “!” để bắt đầu lựa chọn các câu lệnh, Cortex XSOAR sẽ nghiên cứu lịch sử các lệnh thủ công đã được thực thi với các loại sự cố tương ứng trước đó và đưa ra đề xuất các lệnh nên được thực thi trước. Ngay cả khi các chuyên viên đã đang thử một số lệnh và chưa tìm ra các thông tin phù hợp, tính năng này cũng có thể hỗ trợ họ đi đúng hướng với các lệnh mà họ đã có thể bỏ qua hoặc quên.

XSOAR đưa ra các đề xuất thông minh dựa trên phân tích dữ liệu lịch sử

Lợi ích: Tính năng tự động đề xuất các câu lệnh giúp tiêu chuẩn hoá quá trình điều tra xử lý, đảm bảo các câu lệnh phổ biến không bị bỏ quên với bất kì loại sự cố nào. Quan trọng nhất, nền tảng XSOAR sẽ đảm bảo và tối ưu SLA của SOC, ngăn chặn các quá trình điều tra xử lý thiếu thận trọng, bỏ quên các tác vụ quan trọng, cũng như tăng cường hiểu biết và kinh nghiệm cho các chuyên viên.

4. Hiển thị trực quan các sự cố tương đồng

Thách thức: Tần suất và số lượng các sự cố trong SOC thường rất lớn dẫn đến việc các chuyên viên phân tích khi tập trung vào phân tích xử lý một sự cố cụ thể sẽ rất khó có góc nhìn rộng hơn, kết nối sự cố hiện tại với một bức tranh lớn về các sự cố tương tự đã xảy ra trên hệ thống. Điều này có thể dẫn đến việc thực thi lại các tác vụ điều tra xử lý đã được thực thi, làm.

Giải pháp: Với mỗi sự cố, Cortex XSOAR sẽ tự động phân tích và tìm các sự cố có đặc điểm tương đồng diễn ra trên hệ thống. Một biểu đồ trực quan, dễ dàng tương tác cho phép chuyên viên phân tích, tìm kiếm, điều chỉnh các mức độ tương đồng khác nhau hay theo mốc thời gian.

Biểu đồ trực quan, dễ dàng tương tác

Lợi ích: Không chỉ đơn thuần cung cấp khả năng tiếp nhận, giảm thời gian xử lý sự cố (MTTR) như các tính năng của giải pháp SOAR tiêu chuẩn, khả năng hiển thị trực quan các sự cố tương đồng cùng mức độ dễ dàng tương tác điều chỉnh bộ lọc sẽ tăng cường năng lực điều tra của chuyên viên trong SOC. Các chuyên viên sẽ được một góc nhìn rộng hơn về các sự cố đang xảy ra, giúp họ dễ dàng phân tích sự tương đồng, liên quan giữa các sự cố thông qua hàng loạt các thông tin, yếu tố.

5. Đơn giản hóa quá trình xây dựng các kịch bản xử lý sự cố (Playbook)

Thách thức: Sau khi tiếp nhận các sự cố từ các giải pháp như SIEM, XDR, Email, các giải pháp SOAR sẽ sử dụng các playbook (các kịch bản xử lý sự cố) để thực thi các tác vụ điều tra xử lý sự cố. Các playbook này sẽ bám sát các quy trình xử lý sự cố trong SOC và được cập nhật hoặc tạo mới khi có thêm các loại sự cố mới hoặc cần bổ sung các tương tác với các hệ thống mới trong SOC. Việc tạo hay cập nhật playbook có thể sẽ tốn nhiều thời gian trong việc lựa chọn các dữ liệu đầu vào phù hợp và thử nghiệm nhiều lần để đánh giá mức độ chính xác.

Giải pháp: Không chỉ cung cấp giao diện rất trực quan cho việc tạo, cập nhật các playbook với các thao tác kéo thả rất nhanh chóng và đơn giản (không cần kỹ năng lập trình hay viết các script khi tạo playbook), Cortex XSOAR còn áp dụng công nghệ học máy để phân tích và tự động đề xuất các giá trị đầu vào (input) phù hợp cho các Task trong playbook. Tính năng này sẽ hỗ trợ rất nhiều cho các chuyên viên trong quá trình xây dựng playbook, tăng độ chính xác và rút ngắn thời gian đưa playbook vào hoạt động trong thực tế.

Cortex XSOAR tự động đề xuất các giá trị đầu vào phù hợp cho các task

Lợi ích: Không chỉ đơn thuần sử dụng các playbook để xử lý các sự cố, Cortex XSOAR sử dụng công nghệ học máy để giúp đẩy nhanh và tối ưu hóa việc tạo mới hoặc cập nhật các playbook, tiết kiệm thời gian của các chuyên viên cũng như tăng hiệu và liên tục tối ưu các playbook.

6. Trích xuất các sự cố trùng lặp

Thách thức: Lượng cảnh báo lớn thường dẫn đến việc có nhiều sự cố bị trùng lặp dẫn các chuyên viên phải tốn thêm thời gian khi phải lặp lại quá trình điều tra, xử lý. Nguyên nhân của sự trùng lặp có thể đến từ việc có nhiều hướng tấn công khác nhau, hoặc các cảnh báo sinh ra đồng thời trên nhiều nền tảng phân tích (XDR, SIEM…) và đây là một trong những yếu tố khiến cho các chuyên viên mệt mỏi và giảm hiệu quả hoạt động của SOC.

Giải pháp: Với Cortex XSOAR, chuyên viên có thể tự động hóa việc phát hiện và tạo danh sách các sự cố trùng lặp như sử dụng các playbook, các task trong playbook hoặc trong trực tiếp War Room. Cortex XSOAR sử dụng công nghệ máy học để phân tích các dữ liệu trong quá trình tiếp nhận và xử lý các sự cố, tìm kiếm các thông tin tương đương (như các email labels trong việc xác định các email phishing), thời gian xảy ra sự cố và các dấu hiệu phổ biến để xác định sự trùng lặp.

Tự động hóa việc xác định các sự cố trùng lặp với Cortex XSOAR

Lợi ích: Dễ dàng xác định và loại bỏ các sự cố trùng lặp giúp giảm tải cho các chuyên viên, giúp họ tập trung cho các nhiệm vụ quan trọng và nâng cao hiệu quả hoạt động của SOC.

7. Tự động xử lý các tấn công phishing

Thách thức: Các tấn công phishing rất phổ biến và diễn ra thường xuyên khiến cho các chuyên viên SOC phải dành nhiều thời gian để phân tích và xác định và xử lý các sự cố này. Thông thường các chuyên viên sẽ phải thực hiện phân tích thủ công bằng cách sử dụng nhiều công cụ, nguồn thông tin để tìm kiếm, đối chiếu các IOC có trong các email phishing. Có rất nhiều trường hợp, sau khi tốn nhiều thời gian để phân tích, đánh giá thì lại là cảnh báo giả, không phải là email phishing, gây ra sự lãng phí rất lớn thời gian và công sức của chuyên viên cũng như giảm hiệu năng hoạt động của SOC.

Giải pháp: Năng lực học máy của Cortex XSOAR có thể giải quyết các công đoạn đánh giá thủ công này với độ chính xác rất cao bằng cách sử dụng bộ phân loại tấn công phishing. Bộ phân loại phishing là một mô hình học máy chuyên sâu cho phép Cortex XSOAR phân tích và dựa đoán hành vi thông qua loại sự cố và các trường thông tin có trong các sự cố (như domain, IP, URL…). Mô hình học máy này có thể được sử dụng để tự động phát hiện các loại email phishing, địa chỉ URL hợp pháp hay chứa các nội dung spam, lừa đảo.

Ví dụ về kết quả phân loại của mô hình học máy phát hiện phishing

Lợi ích: Với khả năng áp dụng học máy trong tự động phát hiện xử lý các tấn công lừa đảo, Cortex XSOAR sẽ giúp các SOC tiết kiệm rất nhiều thời gian công sức của các chuyên viên. Tận dụng toàn bộ các thông tin về sự cố, các đánh giá phân tích của chuyên viên như đầu vào để đào tạo bộ phân loại nhận biết và phân loại giữa các tấn công phishing và cảnh báo giả sẽ giúp đảm bảo độ chính xác và phù hợp với môi trường thực tế tại SOC. Đây là một bước tiến nữa trong hành trình tự động hóa trong SOC, loại bỏ và giải phóng chuyên viên khỏi các tác vụ thủ công không cần thiết.