Logo CyberJutsu
Về chúng tôi
Học thử

Threat Hunting là gì? Khác gì so với Threat Intelligence, SOC?

Technical Writer
Threat HuntingBlue TeamPurple Team
Threat Hunting là gì? Khác gì so với Threat Intelligence, SOC?
Threat Hunting chính là hành trình săn lùng những mối đe dọa tiềm ẩn mà hệ thống bảo mật thông thường không nhìn thấy – những kẻ tấn công đã lọt vào mạng của bạn, nhưng vẫn chưa bị phát hiện.

Trong một thế giới mà các cuộc tấn công mạng ngày càng tinh vi, nhanh và có mục tiêu, chỉ dựa vào firewall, IDS hay antivirus không còn đủ. Threat Hunting không phải là phản ứng, mà là sự chủ động. Thay vì chờ cảnh báo từ SOC, bạn đào sâu vào dữ liệu, tìm kiếm những bất thường, xâu chuỗi manh mối để lật tẩy kẻ địch trước khi chúng ra tay.

Bài viết này sẽ giúp bạn bước vào thế giới Threat Hunting, nơi các dấu vết mờ nhạt có thể dẫn đến những phát hiện chấn động. Bạn sẽ biết:

  • Threat Hunting là gì? Tại sao nó quan trọng trong thời đại an ninh mạng hiện nay?
  • Threat Intelligence vs SOC vs Threat Hunting – Chúng khác nhau thế nào?
  • Khi nào tổ chức cần Threat Hunting? Liệu doanh nghiệp của bạn đã sẵn sàng?
  • Làm sao để trở thành một Threat Hunter? Những kỹ năng nào bạn cần rèn luyện?
  • Vai trò của AI trong Threat Hunting – Nó có thể thay thế con người không?
  • Ứng dụng MITRE ATT&CK và Cyber Kill Chain – Công thức thành công cho một cuộc săn tìm hiệu quả.
  • Checklist dành cho Threat Hunter – Các câu hỏi quan trọng, artifacts cần lưu ý và công cụ hữu ích.

Nếu bạn là người mới bắt đầu, bài viết này sẽ cung cấp định hướng rõ ràng để bạn bước vào lĩnh vực đầy thử thách nhưng cực kỳ hấp dẫn này. Nếu bạn đã làm trong ngành, đây sẽ là tài nguyên tham khảo giúp bạn nâng cấp kỹ năng và bắt kịp với xu hướng hiện đại.

Threat Hunting là gì và tại sao quan trọng?

Threat Hunting là quá trình chủ động, liên tục tìm kiếm trong hệ thống của bạn những dấu hiệu về hoạt động độc hại hoặc bất thường có thể đã lọt qua các lớp phòng thủkhông bị phát hiện. Nói cách khác, thay vì chờ hệ thống cảnh báo sự cố, threat hunter giả định rằng hệ thống có thể đã bị xâm nhập và tự mình lùng sục các manh mối cho thấy sự hiện diện của kẻ tấn công​​. Chính vì sự chủ động này, threat hunting tương phản với cách tiếp cận truyền thống (chỉ phản ứng khi sự cố xảy ra).

Tại sao threat hunting lại quan trọng? Thực tế cho thấy một tỷ lệ lớn các cuộc tấn công có thể qua mặt được giải pháp phòng thủ truyền thống. Ví dụ, một thống kê cho biết 44% cuộc tấn công có thể vượt qua các biện pháp bảo mật thông thường​. Điều này đồng nghĩa với việc nếu chỉ dựa vào firewall, antivirus, IDS/IPS hay SIEM, bạn vẫn có nguy cơ bỏ sót những kẻ xâm nhập tinh vi. Threat hunting giúp phát hiện sớm những mối đe dọa ẩn nấp này trước khi chúng kịp gây thiệt hại nghiêm trọng. Bằng cách chủ động săn lùng, doanh nghiệp có thể giảm thiểu “thời gian ủ bệnh” của attacker (dwell time) – tức thời gian kẻ tấn công ẩn náu trong hệ thống. Rút ngắn dwell time giúp giảm thiểu hậu quả do vi phạm an ninh gây ra và nâng cao hiệu quả phản ứng sự cố khi phát hiện tấn công​.

Ngoài ra, quá trình threat hunting còn mang lại lợi ích bổ sung là củng cố thế phòng thủ: trong khi săn tìm dấu vết, đội ngũ bảo mật thường phát hiện ra các lỗ hổng cấu hình hoặc quy trình giám sát còn thiếu sót, từ đó cải thiện hệ thống phòng thủ về lâu dài. Có thể nói, threat hunting giúp chúng ta hiểu rõ hơn về hệ thống của mình và cách mà kẻ xấu có thể tấn công, để chủ động gia cố “phòng tuyến” trước khi sự cố xảy ra.

🔥 Những kỹ năng quan trọng:

Phân tích dữ liệu & log: SIEM, EDR, Windows Event Log, Sysmon
Hiểu kỹ thuật tấn công (MITRE ATT&CK, Kill Chain)
Kỹ năng forensics (phân tích malware, memory dump, PCAP)
Lập trình/scripting (Python, PowerShell, Bash)
Tư duy sáng tạo & hoài nghi (luôn hỏi “Có gì bất thường?”)
Giao tiếp & báo cáo (viết playbook, hướng dẫn đội SOC)

“Threat Hunting không chỉ là một công việc, mà là một lối sống. Một cách tư duy.”

Threat Hunting khác gì so với Threat Intelligence và hoạt động SOC?

Thuật ngữ bảo mật có khá nhiều khái niệm dễ nhầm lẫn. Vậy threat hunting khác gì so với threat intelligence và hoạt động của SOC (Security Operations Center)?

  • Threat Intelligence (TI)Tình báo mối đe dọa: Đây là hoạt động thu thập và phân tích thông tin về các mối đe dọa tiềm tàng từ nhiều nguồn khác nhau. Threat intelligence thường tập trung vào việc hiểu về kẻ địch: họ là ai, động cơ, phương thức tấn công ưa thích, các Indicators of Compromise (IoC) mà họ để lại... Nguồn thông tin có thể từ OSINT, diễn đàn dark web, mẫu malware, hay báo cáo từ các tổ chức an ninh​​. Mục tiêu của TI là cung cấp nhận thức kịp thời về bức tranh đe dọa bên ngoài, từ đó giúp tổ chức chuẩn bị trước các biện pháp phòng thủ phù hợp. Ví dụ, threat intelligence có thể cảnh báo về một lỗ hổng mới hoặc một chiến dịch tấn công đang diễn ra để đội ngũ bảo mật vá lỗ hổng hoặc tăng cường giám sát. Tuy nhiên, TI mang tính thông tin hỗ trợ, còn việc trực tiếp tìm kiếm dấu vết kẻ địch trong hệ thống mình hay không lại là chuyện khác.
  • Threat Hunting thì như đã đề cập, đó là việc đào sâu vào chính hệ thống của tổ chức để tìm xem liệu những mối đe dọa (nhiều khi do threat intelligence cảnh báo) có hiện diện trong mạng lưới hay không. Một cách hình tượng, nếu threat intelligence cung cấp “danh sách các loài thú nguy hiểm ngoài rừng”, thì threat hunting là việc vác súng lên và đi săn xem có con nào đã lén lọt vào khu vực của mình chưa. Threat hunting thường dựa trên các giả thuyết (hypotheses), có thể hình thành từ thông tin threat intel hoặc từ hiểu biết hệ thống, rồi từ đó kiểm tra logs, lưu lượng mạng, tiến trình, v.v. để xác thực giả thuyết. Threat intel là nguyên liệu đầu vào quan trọng để xây dựng giả thuyết hunting, nhưng threat hunting đi sâu hơn: thay vì chỉ tìm IoC đã biết, hunter còn tìm những bất thường chưa từng thấy dựa trên hiểu biết về kỹ thuật tấn công​. Nói cách khác, threat hunting giả định hệ thống đã bị tấn công thành công và truy lùng dấu vết, trong khi threat intel chủ yếu theo dõi bên ngoài để dự đoán và ngăn chặn từ sớm​​.
  • SOC (Security Operations Center) – Trung tâm vận hành an ninh: Đây là bộ phận (hoặc nhóm chuyên trách) giám sát an ninh cho tổ chức. SOC Analyst thường trực màn hình SIEM, IDS… để theo dõi cảnh báo (alerts) và nhật ký (logs), sau đó phân tích, phản hồi khi có sự cố. Hoạt động SOC mang tính phản ứng (reactive): khi hệ thống phát hiện điều gì đó bất thường (ví dụ alert từ IDS phát hiện lưu lượng giống malware), analyst sẽ điều tra và phản ứng (xử lý cảnh báo, cô lập thiết bị, mở cuộc điều tra sự cố - incident response). SOC cũng thường có các quy trình xử lý sự cố (IR) bài bản, và các analyst phải trực 24/7 để đảm bảo không bỏ lỡ sự kiện nào.

Vậy SOC khác gì threat hunting? Thực ra, threat hunting thường là một chức năng bổ sung cho SOC. Trong nhiều tổ chức, threat hunting do chính các SOC analyst cấp cao đảm nhiệm, hoặc có nhóm threat hunter riêng nhưng vẫn phối hợp chặt chẽ với SOC. Điểm khác biệt cốt lõi: SOC xử lý những gì hệ thống đã phát hiện và cảnh báo, còn threat hunting chủ động đi tìm những gì chưa bị phát hiện​. Một cách ví von, nếu xem SOC như lực lượng tuần tra phản ứng khi chuông báo động reo, thì threat hunting là biệt đội trinh sát âm thầm rà soát khắp nơi để tìm kẻ địch ẩn nấp dù chuông báo động chưa kêu.

Một SOC hiệu quả cao thường tích hợp hoạt động threat hunting như một phần không thể thiếu​. Threat hunter sẽ liên tục phối hợp với SOC: sử dụng dữ liệu do SOC thu thập (logs từ SIEM, kết quả phân tích của Incident Response) để truy vết sâu hơn, đồng thời khi phát hiện kỹ thuật tấn công mới, họ sẽ phản hồi ngược cho đội SOC (viết quy tắc cảnh báo mới, bổ sung trường hợp vào SIEM)​. Sự kết hợp nhịp nhàng này tạo thành một vòng tuần hoàn: Threat intel cung cấp thông tin cho cả SOC và threat hunter; Threat hunter tìm ra mối đe dọa ẩn và gửi kết quả, hướng dẫn lại cho SOC; SOC cập nhật hệ thống phát hiện, từ đó nâng cao khả năng phòng thủ chung của tổ chức​.

Tóm lại, Threat Hunting, Threat Intelligence và SOC không loại trừ nhau mà bổ trợ lẫn nhau. Threat intelligence như tai mắt bên ngoài, SOC là lớp phòng thủ tuyến đầu bên trong, còn threat hunting là hoạt động tinh nhuệ giúp “dọn sạch” những gì lọt lưới, đảm bảo hệ thống an toàn ở mức độ sâu hơn.

Checklist: Câu hỏi & dấu hiệu cần lưu ý khi hunting
✔ Có đăng nhập bất thường vào hệ thống không?
✔ Có tiến trình nào lạ xuất hiện trong log hệ thống?
✔ Máy nào đang gửi lưu lượng ra nước ngoài nhiều hơn bình thường?
✔ Có scheduled task hoặc service nào lạ?
✔ Có registry key nào bị thay đổi đáng ngờ?
✔ Có hash file nào trùng với IOC từ threat intel?

Khi nào tổ chức cần thực hiện Threat Hunting?

Một quan niệm sai lầm thường gặp là chỉ những công ty lớn, đội ngũ hùng hậu mới cần threat hunting. Thực tế, bất kỳ tổ chức nào muốn nâng cao khả năng phát hiện và ứng phó đều nên xem threat hunting là một phần của chiến lược an ninh. Vậy khi nào thì việc triển khai threat hunting trở nên cần thiết?

Trước hết, ngay khi bạn nhận ra rằng không có hệ thống nào an toàn tuyệt đối, đó là lúc nên nghĩ đến threat hunting. Các giải pháp tự động như firewall, IDS, EDR, SIEM dù tốt đến đâu cũng có lỗ hổngkẻ tấn công luôn tìm cách mới để qua mặt​. Một SOC trưởng thành hiểu rằng sớm muộn cũng sẽ có mối đe dọa vượt qua được lớp phòng thủ​. Chính giả định “đã bị xâm nhập” (assume breach) này thúc đẩy việc chủ động săn tìm. Nếu tổ chức của bạn đã có các biện pháp bảo mật cơ bản (vá lỗ hổng, giám sát nhật ký, phản ứng sự cố) thì bước kế tiếp để nâng cấp an ninh chính là thực hiện các cuộc threat hunting định kỳ.

Thời điểm cụ thể để tiến hành threat hunting có thể là:

  • Định kỳ theo lịch: Nhiều công ty tổ chức các đợt threat hunt hàng quý hoặc hàng tháng. Điều này đảm bảo liên tục “quét” hệ thống tìm nguy cơ ẩn. Recon Infosec – một nhà cung cấp dịch vụ SOC – cho biết họ thực hiện các cuộc hunt theo chu kỳ sprint 1-2 tuần, mỗi sprint tập trung vào một giả thuyết cụ thể​. Cách làm bài bản này giúp threat hunting trở thành một phần thường xuyên của hoạt động SOC, thay vì sự kiện đơn lẻ.
  • Sau các sự kiện lớn: Ví dụ, sau khi nhận được cảnh báo threat intelligence về một chiến dịch tấn công mới nhắm vào ngành của bạn, hoặc sau khi có một lỗ hổng nghiêm trọng được công bố (như Log4J năm 2021). Khi đó, ngoài việc vá và triển khai phòng thủ, threat hunting có thể được kích hoạt để kiểm tra xem kẻ tấn công có dấu hiệu đã lợi dụng điểm yếu này trong hệ thống chưa​​.
  • Khi có dấu hiệu bất thường khó giải thích: Nếu SOC nhận thấy một số hành vi đáng ngờ nhưng chưa đủ để xác nhận sự cố (ví dụ: lưu lượng mạng tăng đột biến tại một thời điểm, hay tài khoản admin có login hơi khác thường nhưng không có cảnh báo cụ thể), threat hunting có thể vào cuộc. Đây chính là lúc cần con mắt “săn” tinh tường để điều tra kỹ hơn những manh mối mơ hồ.
  • Khi hệ thống đã bị breach: Sau khi xử lý một incident (ví dụ mã độc tống tiền đã bị chặn), threat hunting giúp đảm bảo không còn kẻ địch ẩn náu nào khác và tìm hiểu xem chúng đã làm gì trước khi bị phát hiện. Điều này thường trùng với hoạt động forensics sau sự cố, nhưng tư duy threat hunting sẽ chủ động mở rộng phạm vi tìm kiếm hơn, không chỉ tập trung vào dấu vết sự cố vừa xảy ra.
  • Khi tổ chức nâng cao mức bảo mật: Nếu doanh nghiệp đang chuyển từ bị động sang chủ động về an ninh, hay muốn đạt các chứng chỉ, tiêu chuẩn cao hơn, việc xây dựng chương trình threat hunting là điều tất yếu. Một SOC không thực hiện threat hunting ở mức độ nào đó được xem là đã “đi chệch hướng” và dễ bị tụt hậu so với đối thủ (tức hacker)​​.

Tựu trung, threat hunting nên được thực hiện càng sớm càng tốt khi bạn có đủ dữ liệu logsnhân sự có kỹ năng để tiến hành. Ban đầu có thể chỉ là những cuộc săn quy mô nhỏ (vd kiểm tra một máy chủ quan trọng), sau đó dần mở rộng. Điều quan trọng là xây dựng được một văn hóa “assume breach” – luôn giả định hệ thống đã bị lọt lưới – thì threat hunting sẽ trở thành thói quen, giúp tổ chức chủ động phát hiện và vô hiệu hóa mối nguy trước khi chúng gây ra sự cố lớn.

Kỹ năng cần có để trở thành Threat Hunter

Threat hunting không chỉ đòi hỏi kiến thức rộng về bảo mật mà còn cần ở người thực thi một tư duy đặc thù và tập hợp kỹ năng đa dạng. Dưới đây là những kỹ năng quan trọng mà một threat hunter giỏi cần có:

  • Phân tích dữ liệu (Data Analytics): Threat hunter phải làm việc với khối lượng dữ liệu khổng lồ từ log hệ thống, lưu lượng mạng đến sự kiện bảo mật. Khả năng thu thập, lọc và phân tích dữ liệu một cách hiệu quả là tối quan trọng​. Điều này bao gồm hiểu biết về các công cụ phân tích (SIEM, truy vấn SQL, ngôn ngữ truy vấn logs) và thậm chí cả các kỹ thuật data science để tìm ra xu hướng hoặc bất thường. Kỹ năng trực quan hóa dữ liệu (dùng chart/graph) cũng hữu ích để nhìn ra mẫu hành vi lạ trong đống dữ liệu khô khan​.
  • Nhận biết mẫu (Pattern Recognition): Một threat hunter giỏi như một thợ săn dấu vết – phải nhanh nhạy phát hiện ra mẫu hình của hoạt động đáng ngờ giữa môi trường bình thường. Muốn vậy, bạn cần nắm rõ hoạt động thông thường của hệ thống (baseline bình thường là gì) để khi có gì đó chệch khỏi quỹ đạo, bạn lập tức nhận ra​. Đồng thời, bạn cũng phải quen thuộc với các TTP (tactics, techniques, procedures) của hacker: ví dụ biết rằng kẻ tấn công thường xóa log sau khi xâm nhập, hay dùng những lịch trình Windows lạ để duy trì persistence... Khi đã nhớ các mẫu tấn công này, bạn sẽ dễ so khớp chúng với những gì bạn thấy trong hệ thống​.
  • Kỹ năng giao tiếp và báo cáo (Communication): Nghe có vẻ lạ khi một kỹ năng “mềm” lại quan trọng trong threat hunting, nhưng thực tế giao tiếp rõ ràng là chìa khóa để thành công. Threat hunter cần truyền đạt được phát hiện của mình cho đội ngũ khác và lãnh đạo một cách dễ hiểu​. Ví dụ: khi bạn phát hiện một chuỗi tấn công, bạn phải viết báo cáo hoặc trình bày sao cho team ứng cứu sự cố hiểu cần làm gì tiếp theo, hay ban giám đốc hiểu được nguy cơgiá trị của việc bạn làm. Kỹ năng này cũng bao gồm viết tài liệu, hướng dẫn để chuyển giao kiến thức cho đồng đội (như tạo playbook, viết rules cho SOC…).
  • Kỹ năng phân tích pháp chứng (Digital Forensics): Threat hunting thường đan xen với việc phân tích sâu một mẫu malware hay kiểm tra file hệ thống để tìm bằng chứng. Do đó, kiến thức và kỹ năng forensic là cần thiết. Một threat hunter không nhất thiết là chuyên gia forensic, nhưng phải biết tìm gì trong các ổ đĩa, bộ nhớ, registry...​. Ví dụ: biết cách kiểm tra chuỗi chạy (execution chain) của một file thực thi, hay nhận ra dấu hiệu một Trojan đã chiếm dụng một tiến trình hợp lệ. Kỹ năng này giúp hunter hiểu rõ cách malware hoạt động, từ đó suy ra được kẻ tấn công đã làm gì và chúng ta cần khắc phục ra sao​.
  • Hiểu kiến trúc & hệ thống (Systems Understanding): Mỗi tổ chức có hạ tầng CNTT khác nhau, vì vậy threat hunter cần hiểu sâu hệ thống của chính mình. Điều này bao gồm kiến trúc mạng, các hệ điều hành, ứng dụng, quy trình kinh doanh... Sự hiểu biết này giúp hunter nhìn quanh góc khuất để phát hiện vấn đề​. Ví dụ: nếu bạn biết rõ hệ thống email công ty chỉ dùng Microsoft 365, thì khi thấy log cho thấy có kết nối SMTP nội bộ lạ, bạn sẽ nghi ngờ ngay. Hoặc hiểu luồng dữ liệu bình thường giữa các server với nhau sẽ giúp bạn nhận ra khi nào có kết nối bất thường. Hiểu hệ thống còn giúp đánh giá mức độ ảnh hưởng của mỗi phát hiện: chẳng hạn phát hiện một service lạ chạy trên máy chủ database quan trọng sẽ đáng báo động hơn là trên máy của nhân viên.
  • Kỹ năng lập trình/scripting: Khả năng viết code hoặc script để tự động hóa và tùy biến công cụ sẽ giúp ích lớn trong threat hunting. Nhiều khi hunter cần viết các script nhỏ để trích xuất log, phân tích nhanh dữ liệu, hoặc thậm chí tạo công cụ riêng. Biết các ngôn ngữ như Python, PowerShell, Bash giúp bạn xử lý khối lượng dữ liệu nhanh hơn và thử các ý tưởng một cách linh hoạt​. Chẳng hạn, viết script kiểm tra tất cả máy trạm xem có tiến trình nào trùng hash với malware đã biết, hay tự động hoá việc truy vấn nhiều log khác nhau và tổng hợp kết quả. Coding cũng thể hiện tư duy logic và chi tiết – phẩm chất quý giá cho một hunter.
  • Tư duy sáng tạo và tò mò: Đây không hẳn là kỹ năng kỹ thuật, nhưng lại là phẩm chất vàng của threat hunter. Bạn cần một trí tò mò tự nhiên, luôn tự hỏi "điều gì sẽ xảy ra nếu...?" và không ngại đào bới sâu. Tư duy sáng tạo giúp bạn đưa ra giả thuyết mới khi mọi người khác có thể chưa nghĩ đến. Ví dụ, thay vì chỉ tìm IoC trong log, một hunter sáng tạo có thể nghĩ “Nếu hacker sử dụng kỹ thuật X lẩn trốn, mình thử tìm dấu hiệu gián tiếp Y xem sao”. Chính sự sáng tạo và nhạy bén này tạo nên những phát hiện đột phá.

Kết hợp những kỹ năng trên, threat hunter còn cần sự kiên trì và khả năng ra quyết định dựa trên không đầy đủ thông tin (vì đôi khi chỉ có manh mối nhỏ cũng phải quyết đoán đào sâu). Đây là một công việc đòi hỏi chuyên môn cao – như SANS nhận xét: “Threat hunting là một trong những kỹ năng cao cấp nhất trong an ninh thông tin hiện nay”​. Bởi vậy, lộ trình thường thấy là các chuyên gia bảo mật sau vài năm làm SOC analyst, Incident Response hoặc malware analyst sẽ dần tích lũy đủ kiến thức để chuyển sang vai trò threat hunter​. Nếu bạn đang ấp ủ trở thành threat hunter, hãy rèn giũa những kỹ năng trên và không ngừng học hỏi, bạn sẽ sẵn sàng để bước vào “thế giới săn mối đe dọa” đầy thú vị.

So sánh vai trò của SOC Analyst và Threat Hunter

Như đã đề cập, SOC AnalystThreat Hunter đều hoạt động trong lĩnh vực giám sát an ninh, nhưng có sự khác biệt về phạm vi và cách tiếp cận:

  • SOC Analyst (nhân viên vận hành an ninh): Thường chịu trách nhiệm giám sát liên tục hệ thống qua các công cụ SIEM, IDS/IPS, endpoint protection... Họ xử lý các cảnh báo do hệ thống phát hiện, thực hiện phân tích ban đầu và phản ứng sự cố theo quy trình. Mục tiêu chính của SOC analyst là phát hiện nhanh và phản ứng kịp thời đối với các sự kiện bất thường hoặc tấn công đang diễn ra. Công việc của họ mang tính tuyến đầu và phản xạ – ví dụ khi có alert về malware, họ sẽ điều tra máy bị nhiễm, cô lập nó, quét virus, v.v. Họ cũng tham gia quản lý cấu hình bảo mật, tạo dashboard theo dõi, xử lý hỗ trợ người dùng khi có vấn đề an ninh (như máy bị nhiễm virus)...
  • Threat Hunter (chuyên gia săn mối đe dọa): Là người đào sâu vào dữ liệu với tư duy “đi tìm thứ chưa biết”. Họ ít khi chờ cảnh báo tự động, mà thường bắt đầu từ một giả thuyết hoặc manh mối rồi chủ động lục tìm trong hệ thống để xác minh xem có dấu hiệu xâm nhập hay không. Threat hunter làm việc theo kiểu dự án: ví dụ dành vài ngày để kiểm tra toàn bộ hệ thống xem có mã độc X nào ẩn náu không. Họ phải tự thiết kế truy vấn, công cụ để tìm ra những bất thường tinh vi. Công việc của hunter mang tính nghiên cứu và sáng tạo cao – giống như “thám tử” hơn là “cảnh sát trực ban”.

Về mối quan hệ giữa hai vai trò: SOC analyst thường là nền tảng để trở thành threat hunter. Nhiều threat hunter xuất thân từ các analyst có kinh nghiệm, hiểu rõ vận hành SOC rồi muốn đào sâu hơn sang mảng hunting​. Thực tế, trong một SOC có tổ chức tốt, hai vai trò này hỗ trợ qua lại: threat hunter giúp tạo quy tắc phát hiện mới cho SOC (dựa trên phát hiện khi hunting), ngược lại SOC cung cấp dữ liệu và thực thi các phản ứng khi hunter phát hiện vấn đề.

Một cách so sánh khác: SOC analyst tập trung vào threat detection – tức nhận diện mối nguy đã biết thông qua quy tắc có sẵn (nên có thể tự động hóa nhiều bằng công cụ); còn threat hunter tập trung vào threat pursuit – truy tìm mối nguy chưa biết (phải do con người thực hiện, khó tự động hóa hoàn toàn)​. Máy móc có thể thay thế một phần công việc SOC analyst (ví dụ các hệ thống SIEM ngày càng thông minh hơn), nhưng máy móc chưa thể thay thế threat hunter do thiếu khả năng suy luận linh hoạt. Sự khác biệt này giống như bác sĩ chẩn đoán thông thường (theo quy trình có sẵn) so với bác sĩ chuyên gia tìm ra những căn bệnh hiếm gặp – cả hai đều cần, nhưng vai trò chuyên gia (threat hunter) luôn đòi hỏi trình độ và kinh nghiệm cao hơn.

Tuy nhiên, ranh giới đang mờ dần: nhiều SOC analyst ngày nay cũng được khuyến khích áp dụng tư duy threat hunting trong công việc hàng ngày, chẳng hạn đào sâu thêm mỗi khi phân tích alert để tìm những gì ẩn sau alert đó. Mặt khác, các công cụ hiện đại cũng hỗ trợ threat hunter rất nhiều (như tự động gợi ý bất thường), giúp họ tiết kiệm thời gian ở khâu kỹ thuật để tập trung vào khâu tư duy.

Tóm lại, SOC Analyst vs Threat Hunter khác nhau chủ yếu ở cách tiếp cận (reactive vs proactive)phạm vi nhiệm vụ. Cả hai vai trò đều quan trọng để xây dựng một năng lực an ninh toàn diện: SOC analyst đảm bảo không bỏ lỡ cảnh báo tức thời, còn threat hunter đảm bảo những kẻ tấn công lẩn trốn kỹ nhất cũng bị lôi ra ánh sáng.

AI có thể hỗ trợ Threat Hunting đến đâu, giới hạn của AI là gì?

Với sự phát triển của trí tuệ nhân tạo (AI) và machine learning (ML), nhiều người tự hỏi liệu AI có thể thay con người làm threat hunting hay không. Thực tế, AI đang trở thành trợ thủ đắc lực giúp nâng cao hiệu quả threat hunting, nhưng nó không phải đũa thần và vẫn cần bàn tay con người để phát huy tối đa.

AI hỗ trợ threat hunting như thế nào?

  • Tốc độ và tự động hóa: AI/ML có khả năng xử lý lượng dữ liệu khổng lồ nhanh hơn con người rất nhiều. Những tác vụ tốn hàng giờ phân tích log, AI có thể làm trong vài phút. Các hệ thống sử dụng AI có thể quét hàng tỷ sự kiện để tìm ra một vài điểm bất thường đáng chú ý. Nhờ đó, threat hunter được giải phóng khỏi các công việc lặp lại và tập trung vào phân tích chuyên sâu hơn​.
  • Phát hiện bất thường (anomaly detection): Thuật toán ML có thể học hành vi bình thường của hệ thống và tự động phát hiện deviation (độ lệch). Ví dụ, AI có thể nhận ra một máy chủ bỗng gửi lưu lượng ở pattern khác thường mà con người khó nhận thấy trong hàng loạt log. Những bất thường này có thể chính là dấu hiệu sớm của tấn công để hunter điều tra thêm​.
  • Học hỏi từ dữ liệu tấn công (pattern recognition): ML có thể được huấn luyện trên tập dữ liệu lớn về các cuộc tấn công, từ đó nhận diện lại khi gặp mẫu tương tự. Điều này hữu ích cho việc phát hiện IoC mới hoặc biến thể của malware dựa trên hành vi (behavior) thay vì chỉ dựa trên chữ ký. AI cũng có thể gợi ý mối liên hệ giữa các sự kiện mà con người dễ bỏ qua, hỗ trợ hunter trong việc kết nối các manh mối rời rạc.
  • Ưu tiên mối đe dọa: Một số nền tảng AI có khả năng xếp hạng mức độ nguy hiểm của các bất thường dựa trên bối cảnh (context). Ví dụ, AI có thể gắn nhãn “cao” cho sự kiện đăng nhập trái phép vào máy chủ quan trọng lúc nửa đêm, trong khi gắn “thấp” cho đăng nhập thất bại trên máy thường. Việc này giúp threat hunter ưu tiên tập trung vào những gì quan trọng trước. Các công cụ AI tiên tiến thậm chí còn map sự kiện vào MITRE ATT&CK để cho biết sự kiện đó có thể liên quan đến kỹ thuật tấn công nào​​.
  • Hỗ trợ ra quyết định và cộng tác: AI có thể đóng vai trò như một “cố vấn ảo” cho hunter, đề xuất bước tiếp theo dựa trên những gì nó phân tích được. Một số hệ thống còn tích hợp thành nền tảng để nhiều thành viên cùng xem và chia sẻ kết quả dễ dàng, thúc đẩy làm việc nhóm trong threat hunting​.

Nhờ những khả năng trên, AI thực sự là một công cụ mạnh mẽ giúp tăng tốc, tăng độ chính xác và phạm vi cho threat hunting. Tuy nhiên, AI không phải vạn năng, và đây là những giới hạn quan trọng:

  • Phụ thuộc vào dữ liệu huấn luyện: ML hoạt động tốt hay không phụ thuộc vào dữ liệu mà nó được học. Nếu hệ thống AI chưa từng “thấy” một kỹ thuật tấn công hoàn toàn mới, khả năng cao nó sẽ không nhận ra. Kẻ tấn công luôn sáng tạo ra phương thức mới để qua mặt giải thuật, do đó AI có thể bị bỏ sót những mối đe dọa chưa có tiền lệ. Ngay cả các mô hình AI tự học bất thường cũng có thể bị “đánh lừa” bởi hành vi tấn công khéo léo nằm trong ngưỡng bình thường.
  • False positives và bối cảnh: AI có thể tạo ra nhiều cảnh báo giả nếu dữ liệu không được tinh chỉnh kỹ. Một hành vi bất thường về mặt thống kê chưa chắc đã là tấn công. Con người có kiến thức bối cảnh để phân biệt đâu là bất thường chấp nhận được (ví dụ một kỹ sư IT đăng nhập vào nhiều server trong bảo trì), còn AI có thể coi đó là đáng ngờ. Hunter vẫn phải xem xét các bất thường AI nêu ra để loại bỏ false positive, tránh báo động nhầm​. Việc lạm dụng AI mà không kiểm chứng có thể dẫn tới “alert fatigue” – quá tải cảnh báo giả, cuối cùng lại bỏ sót sự kiện quan trọng thật​.
  • Thiếu trực giác và sáng tạo: AI hiện tại dù thông minh đến đâu vẫn là kết quả của lập trình và học máy theo khuôn khổ. Nó không có trực giác như con người, cũng không thể tự nghĩ ra giả thuyết ngoài những gì nó học. Các cuộc tấn công tinh vi nhất thường đòi hỏi sự sáng tạo trong săn tìm – như việc thử kết hợp nhiều nguồn dữ liệu lạ, hay đặt những câu hỏi bất ngờ. Đây là chỗ mà con người vượt trội: khả năng suy luận, hoài nghi và tưởng tượng kịch bản mới. Máy móc sẽ chưa thể thay thế hunter cho đến khi chúng thực sự biết “sáng tạo” như bộ não con người​.
  • Nguy cơ bị khai thác ngược: Đừng quên rằng AI/ML cũng có thể bị kẻ tấn công tìm cách khai thác (adversarial machine learning). Ví dụ, hacker có thể phun nhiễu vào log để mô hình học sai lệch, hoặc cố tình hoạt động “dưới ngưỡng” mà AI đánh giá là bất thường. Nếu chỉ tin tưởng hoàn toàn vào AI, ta có thể bị qua mặt bởi những kỹ thuật né tránh AI tinh vi.

Tóm lại, AI là công cụ hỗ trợ rất hữu ích nhưng không thay thế được threat hunter con người. Cách tiếp cận tốt nhất hiện nay là “kết hợp người và máy”: dùng AI/ML để làm force multiplier – phóng đại sức mạnh của hunter, chứ không phải thay thế họ. AI lo việc nặng và cung cấp gợi ý, còn hunter đưa ra phán quyết cuối cùng và đào sâu những chỗ AI chưa với tới. Như vậy, chúng ta tận dụng được tối đa ưu điểm của mỗi bên: máy thì nhanh và bao quát, người thì thông minh và linh hoạt.

Ứng dụng MITRE ATT&CK và Cyber Kill Chain trong Threat Hunting

Trong quá trình threat hunting, việc có phương pháp luận và khung tham chiếu tốt sẽ giúp hunter định hướng nỗ lực, tránh bỏ sót các góc quan trọng. Hai trong số những framework được sử dụng rộng rãi nhất là MITRE ATT&CKLockheed Martin Cyber Kill Chain. Vậy chúng là gì và được ứng dụng ra sao trong threat hunting?

MITRE ATT&CK – Bách khoa toàn thư về kỹ thuật tấn công

MITRE ATT&CK là một knowledge base đồ sộ tập hợp các Tactics, Techniques and Procedures (TTPs) của kẻ tấn công, dựa trên các quan sát thực tế trên toàn thế giới. Hiểu đơn giản, ATT&CK giống như một bảng tuần hoàn các hành vi tấn công, phân loại theo mục tiêu (tactic) và cách thức (technique). Ví dụ, tactic Defense Evasion bao gồm các technique như Disable Security Tools (vô hiệu hóa công cụ bảo mật), Clear Logs (xóa log), v.v.

Threat hunters sử dụng MITRE ATT&CK như thế nào?

  • Xây dựng giả thuyết hunt: ATT&CK cung cấp cho hunter một danh mục đầy đủ các kỹ thuật mà kẻ xấu có thể làm trong từng giai đoạn xâm nhập. Nhìn vào đó, hunter có thể tự hỏi: “Liệu trong hệ thống của mình có dấu hiệu của kỹ thuật X hay không?”. Ví dụ, tactic Persistence liệt kê các technique như Startup Items, Scheduled Task/Job... Từ đó, hunter có thể đề ra giả thuyết: “Kẻ tấn công có thể tạo lịch task để duy trì truy cập. Hãy kiểm tra xem có task lạ nào được tạo gần đây trên các máy chủ trọng yếu không.” Như vậy, ATT&CK định hướng trực tiếp nơi cần tìm và cái cần tìm cho hunter, đảm bảo họ không quên những mảng kỹ thuật quan trọng.
  • Ưu tiên và phạm vi: Với hàng trăm kỹ thuật trong ATT&CK, không ai có thể hunt tất cả một lúc. Tuy nhiên, dựa trên mức độ phổ biến và nguy hiểm của các kỹ thuật (thông tin cũng được MITRE và cộng đồng cung cấp), hunter có thể ưu tiên những kỹ thuật đáng lo ngại trước. Chẳng hạn, nếu ngành tài chính thường bị tấn công bằng cách Valid Accounts (dùng thông tin tài khoản hợp lệ) và Scripting, thì team sẽ tập trung săn các dấu hiệu đăng nhập bất thường và script độc hại trước. MITRE ATT&CK giúp cấu trúc hóa việc ưu tiên này một cách có hệ thống​.
  • Đánh giá độ bao phủ: Các tổ chức dùng ATT&CK để đánh giá khả năng phát hiện của mình đã bao phủ được những kỹ thuật nào. Trong hunting cũng vậy, team có thể lập một bảng ma trận đánh dấu những kỹ thuật đã kiểm tra, tìm ra lỗ hổng trong giám sát. Điều này đảm bảo không góc khuất nào bị bỏ quên. Ví dụ, nếu nhận thấy chưa bao giờ hunt liên quan đến kỹ thuật Exfiltration Over DNS, thì có thể đó là một lỗ hổng cần khắc phục (vì kẻ xấu có thể đang dùng DNS tunnel để bòn rút dữ liệu).
  • Mapping phát hiện với ATT&CK: Khi hunter phát hiện một hoạt động đáng ngờ, việc đối chiếu nó với ATT&CK sẽ giúp hiểu rõ bối cảnh của hành vi đó. Ví dụ, phát hiện một dòng lệnh PowerShell lạ, tra trong ATT&CK thấy khớp với kỹ thuật PowerShell Scripts dưới tactic Execution. Điều này giúp khẳng định bản chất hành vi (đây là một kỹ thuật thực thi mã) và gợi ý bước tiếp theo kẻ tấn công có thể làm. Nhiều công cụ hunting tự động map kết quả vào ATT&CK để hỗ trợ bước này​. Nhờ đó, hunter có ngữ cảnh đầy đủ hơn để ra quyết định.

Tóm lại, MITRE ATT&CK cung cấp một phương pháp tiếp cận có hệ thống cho threat hunting. Nó giống như một checklist toàn diện các khả năng của attacker, giúp hunter hình dung rõ bức tranhkiểm soát quá trình hunting tốt hơn. Đây là lý do ATT&CK được xem như ngôn ngữ chung giữa các hunter và được tích hợp vào nhiều quy trình hunting, detection hiện nay​.

Cyber Kill Chain – Hiểu tiến trình tấn công để săn tìm hiệu quả

Lockheed Martin’s Cyber Kill Chain là một mô hình gồm 7 giai đoạn mô tả các bước mà một cuộc tấn công có chủ đích (APT) thường diễn ra: Reconnaissance (trinh sát), Weaponization (vũ khí hóa), Delivery (phát tán), Exploitation (khai thác), Installation (cài cắm), Command & Control (điều khiển), Actions on Objectives (hành động cuối cùng, như đánh cắp dữ liệu). Ý tưởng chính của kill chain là: kẻ tấn công phải đi tuần tự qua các bước này, và nếu ta ngắt được một mắt xích, cuộc tấn công sẽ thất bại.

Threat hunter áp dụng Kill Chain ra sao?

  • Hiểu cách kẻ tấn công vận hành: Kill Chain giúp hunter suy nghĩ như kẻ tấn công. Khi điều tra, hunter có thể đặt câu hỏi: “Đối với cuộc tấn công này, nó đang ở giai đoạn nào của kill chain? Bước trước đó là gì, bước tiếp theo có thể là gì?”. Ví dụ, nếu phát hiện một webshell trên server (Installation), hunter sẽ quay ngược lại các bước trước (Exploitation: chúng khai thác lỗ hổng gì? Delivery: bằng cách nào upload được webshell?) và đồng thời nhìn bước sau (C2: webshell có đang liên lạc ra ngoài không?). Bằng cách này, kill chain cung cấp bức tranh toàn cảnh để hunter không bỏ sót manh mối ở các giai đoạn khác nhau.
  • Định hướng hunt theo từng giai đoạn: Mỗi giai đoạn kill chain tương ứng với một loại dấu vết khác nhau. Ví dụ:Bằng việc phân chia theo kill chain, hunter có thể lập checklist theo từng giai đoạn để tìm kiếm. Điều này đảm bảo một cuộc tấn công dù ở bước nào cũng có thể bị phát hiện và chặn đứng sớm nếu ta tập trung đúng chỗ.
    • Reconnaissance (do thám): dấu hiệu có thể là lưu lượng scan cổng, truy vấn thông tin public. Hunter có thể kiểm tra log firewall xem có IP nào quét nhiều cổng lạ không.
    • Delivery (phát tán): dấu hiệu có thể là email phishing. Hunter có thể rà soát mailbox tìm email nghi ngờ chứa link độc.
    • C2 (Command & Control): dấu hiệu là kết nối mạng bất thường tới máy chủ lạ. Hunter sẽ phân tích log proxy, DNS để tìm kết nối ra ngoài đáng ngờ.
  • Ưu tiên phá kill chain sớm: Mục tiêu của defender là phá vỡ kill chain sớm nhất có thể, lý tưởng là ngay từ giai đoạn Delivery hoặc Exploitation. Threat hunter dùng kill chain để đánh giá mức độ tiến triển của một mối đe dọa. Nếu họ phát hiện dấu hiệu ở giai đoạn muộn (ví dụ Data Exfiltration – dữ liệu bắt đầu tuồn ra), thì đó là báo động đỏ vì attacker đã gần đạt mục tiêu. Nếu phát hiện sớm (ví dụ mã độc vừa được Delivery nhưng chưa kịp exploit), thì có thể nhanh chóng ngăn chặn trước khi quá muộn. Tư duy này giúp hunter phản ứng nhanh và dứt khoát tùy theo mắt xích kill chain bị lộ.
  • Giao tiếp và báo cáo: Kill chain cũng là một cách tuyệt vời để truyền đạt kết quả điều tra cho người khác. Khi bạn báo cáo rằng “Chúng tôi phát hiện attacker đang ở giai đoạn Lateral Movement (di chuyển ngang) trong kill chain, đã cài backdoor và thiết lập C2”, người đọc (nhất là quản lý) sẽ dễ hình dung mức độ nghiêm trọng và các bước đã xảy ra. Nó tạo ra một câu chuyện mạch lạc thay vì chỉ liệt kê kỹ thuật rời rạc.

Lockheed Martin Kill Chain tuy ra đời đã lâu nhưng vẫn rất hữu ích và đơn giản để áp dụng. Nó không mâu thuẫn mà bổ sung cho MITRE ATT&CK: có thể xem kill chain là trục thời gian của cuộc tấn công, còn ATT&CK là chi tiết kỹ thuật tại mỗi chặng. Nhiều dịch vụ Threat Hunting chuyên nghiệp sử dụng đồng thời cả hai – kill chain để dẫn dắt quy trình, ATT&CK để thực thi chi tiết​.

Tóm lại, MITRE ATT&CKCyber Kill Chain là hai công cụ tư duy quan trọng giúp threat hunter có cấu trúc trong tiếp cận. ATT&CK thì chi tiết theo chiều rộng của kỹ thuật, Kill Chain thì theo chiều dọc tiến trình tấn công. Sự kết hợp này đảm bảo hunter vừa không bỏ sót kỹ thuật, vừa không mất định hướng tổng quan – một yếu tố quyết định cho những cuộc săn thành công.

Checklist: Câu hỏi & artifacts cần lưu ý khi hunting

Khi bắt tay vào một cuộc threat hunt, các chuyên gia thường có một checklist tinh thần gồm những câu hỏi cần trả lời và các nguồn dữ liệu (artifacts) cần xem xét. Dưới đây là một checklist tham khảo giúp bạn định hướng quá trình hunting, đặc biệt hữu ích cho người mới:

  • Có dấu hiệu đăng nhập bất thường nào không? Kiểm tra kỹ log xác thực người dùng để tìm các hành vi lạ:
    • Tài khoản hệ thống (daemon, bin, nobody… trên Linux) hoặc các service account có xuất hiện đăng nhập hay hoạt động interactive không? (Thông thường những tài khoản này không bao giờ login tương tác, nên nếu có là rất bất thường)​.
    • Người dùng có đăng nhập ngoài giờ làm việc hay từ múi giờ khác thường không? (Ví dụ nhân viên văn phòng đăng nhập lúc 3h sáng Chủ Nhật)​.
    • Đăng nhập vào hệ thống không thuộc phạm vi công việc: Xem log để phát hiện trường hợp user truy cập thành công vào server/ứng dụng mà họ không nên dùng đến​. Đây có thể là dấu hiệu kẻ tấn công lợi dụng tài khoản hợp pháp di chuyển trong mạng.
  • Hệ thống có kết nối ra bên ngoài nào bất thường? Phân tích log mạng (firewall, proxy, DNS) để phát hiện:
    • Máy trạm hoặc server gửi lưu lượng đến địa chỉ IP hoặc domain lạ chưa từng thấy, đặc biệt là tới quốc gia bạn không có giao dịch. Chú ý các kết nối ra ngoài vào giờ khuya hoặc với tần suất đều đặn (dấu hiệu của C2).
    • Tra cứu DNS bất thường: chẳng hạn một máy nội bộ resolve rất nhiều tên miền ngẫu nhiên (có thể là DNS tunneling), hoặc truy vấn domain có tên giống dịch vụ hợp pháp nhưng sai chính tả (typo-squatting).
    • Lưu lượng lớn upload từ trong ra ngoài: kiểm tra xem có máy nào gửi lượng data lớn bất thường (khả năng exfiltration dữ liệu).
  • Có tiến trình hoặc hoạt động nào bất thường trên endpoint? Thu thập thông tin từ EDR hoặc logs hệ điều hành (như Windows Event Log, Sysmon, Linux audit):
    • Xuất danh sách các process chạy trên các máy chủ/PC rồi tìm xem có process nào lạ (tên hiếm gặp, đường dẫn lạ, chữ ký file không rõ ràng). Đặc biệt chú ý các process chạy từ thư mục tạm, thư mục user (vì malware thường trú ẩn ở đó).
    • Kiểm tra các chương trình khởi động cùng hệ thống (autoruns, startup). Có mục nào mới được thêm gần đây không? (ví dụ một Scheduled Task lạ, một service mới được cài đặt) – đây là dấu hiệu của persistence.
    • Xem log cài đặt phần mềm (trên Windows có Event ID cài MSI, trên Linux check gói cài đặt) để phát hiện nếu kẻ tấn công đã cài thêm công cụ.
    • Tiêu thụ CPU/RAM: máy nào đột nhiên dùng CPU cao hoặc RAM đầy trong thời gian dài không rõ lý do? (Khả năng quá trình đào coin hoặc công cụ tấn công đang chạy ngầm).
  • Có file hoặc đối tượng đáng ngờ nào trên hệ thống? Tìm kiếm các artifact trên đĩa:
    • Quét qua các thư mục quan trọng (như C:\Windows\Temp, /tmp, thư mục home user) xem có file thực thi, script hoặc DLL nào mới xuất hiện không. Đối với Windows, dùng thông tin từ Prefetch, Shimcache có thể giúp biết file thực thi đã chạy.
    • Kiểm tra hash của các file thực thi lạ so với cơ sở dữ liệu virus (VirusTotal, MISP…). Nếu trùng với mã độc đã biết thì xác định ngay IOC.
    • Xem log Antivirus/EDR: có cảnh báo nào trước đó về file độc hại bị chặn/quét không? Đôi khi anti-virus đã phát hiện và cách ly, nhưng threat hunter có thể phân tích thêm để xem có file tương tự nào chưa bị xóa.
  • Có thay đổi nào trong cấu hình hệ thống có thể là dấu hiệu tấn công? Kiểm tra:
    • Logs hệ thống về thay đổi quan trọng: Ví dụ Windows Event ID 4719 (thay đổi audit policy), ID 7045 (dịch vụ được tạo), ID 4720 (tạo user mới)... Bất kỳ thay đổi nào như thêm người dùng admin, tắt audit log, tắt antivirus đều rất đáng ngờ.
    • Thiết lập trên AD/Group Policy: nếu có, xem có group nào được thêm thành viên lạ, chính sách nào bị sửa (như tắt khóa tài khoản...).
    • Tài khoản và quyền: Audit lại danh sách tài khoản domain/local admin, xem có tài khoản nào mới hoặc quyền nào được nâng cấp gần đây không (dấu hiệu privilege escalation).
  • Các giải pháp bảo mật có hoạt động bình thường không? Đôi khi kẻ tấn công sẽ vô hiệu hóa một số cơ chế bảo vệ:
    • Kiểm tra xem antivirus/EDR trên các máy chủ, máy trạm có bị dừng hoạt động đột ngột? (Có log hoặc alert cho việc agent bị tắt hay bị gỡ không).
    • Kiểm tra cấu hình của các thiết bị mạng (firewall, IDS): có luật nào bị thay đổi, bị tắt? (Ví dụ firewall bị mở cổng bất thường).
    • Nếu có hệ thống giám sát file (FIM), xem có file log nào bị xóa hoặc sửa timestamp (hacker xóa dấu vết).
  • Kiểm tra các IoC từ threat intelligence: Luôn đối chiếu Indicators of Compromise mới nhất với dữ liệu hệ thống:Bước này mang tính dò quét theo danh sách (IOC sweep). Tuy nó là reactive (dò theo thông tin có sẵn) nhưng vẫn rất cần thiết trong mỗi cuộc hunt để đảm bảo bạn không bỏ qua dấu hiệu rõ ràng nào.
    • Danh sách địa chỉ IP độc hại (C2, phishing) – so sánh với log firewall/proxy.
    • Domain, URL độc hại – so sánh với log DNS, proxy.
    • Hash của malware, tên file – quét trên các endpoint xem có file nào trùng.
    • Email sender, tiêu đề chiến dịch phishing – tìm trong hệ thống mail.

Trong quá trình thực hiện những bước trên, một nguyên tắc quan trọng là phải kết hợp thông tin từ nhiều nguồn (logs host, logs network, dữ liệu trên mây, logs IAM/AD...) để có cái nhìn đầy đủ​. Ví dụ, một đăng nhập bất thường cần kết hợp thông tin đăng nhập (host) + địa chỉ IP (network) + thông tin tài khoản (IAM) mới xác định được đó có phải xâm nhập hay chỉ là admin bảo trì từ xa.

Checklist trên không cố định mà cần điều chỉnh tùy môi trường và giả thuyết cụ thể. Tuy nhiên, nó giúp người mới có điểm khởi đầu để luyện tập tư duy threat hunting. Theo thời gian, bạn sẽ xây dựng được checklist phù hợp nhất với hệ thống của mình, thậm chí tạo playbook tự động cho một số bước (ví dụ: daily hunt tự động quét IOC). Quan trọng nhất là luôn giữ thái độ hoài nghi tích cực – luôn tự hỏi “Có gì bất thường không?” mỗi khi xem một tập dữ liệu. Những câu hỏi đúng sẽ dẫn dắt bạn đến câu trả lời giá trị.

Các công cụ hữu ích trong Threat Hunting

Để thực hiện threat hunting hiệu quả, bên cạnh kiến thức và quy trình, các công cụ phù hợp sẽ giúp bạn tiết kiệm thời gian và công sức đáng kể. Dưới đây là những nhóm công cụ phổ biến và hữu ích cho threat hunting (bao gồm cả thương mại lẫn mã nguồn mở):

  • Nền tảng SIEM (Security Information and Event Management): Đây gần như là “vũ khí chính” của mọi threat hunter, cho phép tập trung logs và tìm kiếm một cách mạnh mẽ. Các SIEM nổi tiếng như Splunk, Elastic Stack (ELK), IBM QRadar, ArcSight... giúp bạn chạy các truy vấn phức tạp trên hàng tỷ sự kiện. Ví dụ, Splunk được đánh giá là một trong những công cụ hunt hàng đầu nhờ khả năng tìm kiếm linh hoạt và hỗ trợ cả triển khai on-prem lẫn cloud​. Với SIEM, bạn có thể nhanh chóng lọc ra các đăng nhập bất thường, chuỗi sự kiện liên quan, hay tương quan nhiều nguồn dữ liệu – những việc gần như bất khả thi nếu làm thủ công.
  • Công cụ EDR/XDR (Endpoint Detection & Response/eXtended DR): EDR cung cấp telemetry chi tiết từ endpoint (tiến trình, file, registry, network connections trên máy trạm/máy chủ). Tiêu biểu có Microsoft Defender for Endpoint, CrowdStrike Falcon, Carbon Black, SentinelOne... Những công cụ này không chỉ tự động phát hiện mà còn cho phép hunter truy vấn dữ liệu endpoint để săn tìm dấu vết tùy ý. Ví dụ, bạn có thể dùng truy vấn trên Defender để liệt kê mọi quá trình tạo bởi cmd.exe trong 24h qua trên toàn bộ máy, rất hữu ích khi săn tìm hoạt động script lạ. EDR hiện đại còn hỗ trợ tìm IOC trên mọi máy trong vài phút. Theo đánh giá, các giải pháp như Defender ATP hay Carbon Black nằm trong top công cụ hunt nên có​.
  • Công cụ phân tích log và network: Bên cạnh SIEM, các công cụ chuyên dụng giúp phân tích lưu lượng mạng và log cũng rất cần. Zeek (Bro) là một công cụ mã nguồn mở mạnh mẽ để giám sát mạng, tạo ra log chi tiết từ traffic (DNS, HTTP, SSL...). Suricata vừa là IDS vừa có thể ghi lại chi tiết gói tin. Các công cụ này cho phép hunter phân tích sâu giao tiếp mạng, tìm pattern bất thường hoặc trích xuất được file, nội dung từ traffic để phân tích malware​. Ngoài ra, Wireshark là công cụ “kinh điển” để soi từng gói tin nếu cần kỹ hơn. Về log, nếu không dùng SIEM lớn, bạn có thể tận dụng ELK stack (Elasticsearch-Logstash-Kibana) hoặc Graylog để tập trung và tìm kiếm log tùy biến.
  • Công cụ truy vấn hệ thống và săn IOC: Đối với việc săn trên endpoint, ngoài EDR, bạn có thể dùng osquery – một tiện ích cho phép truy vấn hệ thống (Windows, Linux, macOS) như cơ sở dữ liệu SQL. Osquery rất hữu ích để kiểm tra cấu hình, tiến trình, network connections trên nhiều máy một cách nhất quán. Bên cạnh đó, có những tool chuyên hỗ trợ hunt IoC, ví dụ APT-Hunter (mã nguồn mở) giúp phân tích Windows Event Logs theo các kịch bản tấn công đã biết​. Các bộ công cụ Sysinternals (Process Explorer, Autoruns, etc.) cũng là trợ thủ đắc lực khi điều tra chi tiết trên máy Windows nghi nhiễm. Đối với memory forensics (phân tích bộ nhớ), Volatility framework cho phép trích xuất thông tin từ dump bộ nhớ để tìm malware fileless, tiến trình ẩn...
  • Threat Intelligence & IOC feeds: Một hunter nên có các công cụ hỗ trợ tra cứu nhanh IoC và tình báo. Ví dụ: VirusTotal, Hybrid Analysis để kiểm tra file hash, URL, IP xem có ai báo cáo xấu không. MISP (Malware Information Sharing Platform) để nhận chia sẻ IoC từ cộng đồng. Shodan, Censys để tra cứu hạ tầng internet (khi cần điều tra IP/host lạ kết nối đến mình). Ngoài ra, nhiều nền tảng threat intel thương mại cung cấp plugin tích hợp thẳng vào SIEM/EDR, giúp bạn vừa thấy một IP lạ đã có ngay thông tin về nó.
  • Ngôn ngữ kịch bản và sổ tay phân tích: Như đã nói ở phần kỹ năng, biết lập trình giúp bạn tận dụng tốt các công cụ. Nhiều hunter chuyên nghiệp sử dụng Python notebooks (Jupyter) để tùy biến phân tích: ví dụ kéo dữ liệu logs từ API rồi dùng pandas để lọc, vẽ biểu đồ phát hiện outlier. Bạn cũng có thể viết scripts PowerShell để chạy truy vấn WMI trên loạt máy, hoặc dùng Bash để tự động parse log text. Việc xây dựng “công cụ riêng” bằng script giúp bạn giải quyết các bài toán đặc thù nhanh chóng khi công cụ thương mại không có sẵn chức năng đó.
  • Framework, thư viện quy tắc: Thay vì viết mọi thứ từ đầu, hãy tận dụng kho tàng kiến thức cộng đồng:
    • Sigma: một ngôn ngữ trung gian để viết quy tắc truy vấn log (dạng giống SIEM query) có thể áp dụng cho nhiều nền tảng. Sigma có hàng trăm mẫu rule do chuyên gia đóng góp, bạn có thể tìm rule phù hợp (ví dụ rule phát hiện Mimikatz) và chuyển thành truy vấn trên hệ thống của mình để săn.
    • YARA: ngôn ngữ tạo chữ ký cho file/memory. Hunter có thể dùng YARA để quét hệ thống tìm malware dựa trên các đặc trưng byte code, string mẫu...
    • ATT&CK Navigator: một ứng dụng web (từ MITRE) để bạn đánh dấu các kỹ thuật ATT&CK trên ma trận. Rất hữu ích để trực quan hóa những kỹ thuật nào đã/đang hunt, hoặc lập kế hoạch sẽ hunt.
  • Công cụ hỗ trợ phân tích malware: Trong trường hợp bạn tìm được file nghi ngờ, các công cụ như Cuckoo Sandbox (môi trường chạy thử malware), Ghidra/IDA (phân tích mã ngược) có thể được dùng để hiểu rõ hơn malware đó làm gì, từ đó tìm thêm IoC. Tuy mảng này nghiêng về malware analysis, nhưng một threat hunter nhiều khi cũng phải kiêm luôn phân tích nhanh một số mẫu để phục vụ điều tra.

Danh sách trên không hạn chế – hệ sinh thái công cụ cho threat hunting rất phong phú, và mỗi tổ chức sẽ có stack công cụ riêng. Điều quan trọng là threat hunter cần thành thạo sử dụng các công cụ cốt lõi (như SIEM, EDR, phân tích log) và biết khi nào nên dùng công cụ nào cho hiệu quả. Đôi khi kết hợp nhiều công cụ cũng là cả một nghệ thuật – ví dụ xuất kết quả từ SIEM rồi dùng Python để lọc nâng cao, sau đó dùng ATT&CK Navigator để map kết quả.

Nếu bạn mới bắt đầu, không cần phải học hết mọi công cụ cùng lúc. Hãy bắt đầu với những thứ sẵn có trong môi trường của bạn (vd đã có Splunk thì học Splunk query thật giỏi, có Microsoft 365 thì tận dụng các log và công cụ của nó...). Dần dần, khi đối mặt các tình huống mới, bạn sẽ tự nhiên tìm đến và học thêm công cụ mới. Tinh thần của một threat hunter là luôn mày mò thử nghiệm công cụ để có thêm “vũ khí” trong kho đồ nghề của mình.

Kết luận: Bắt đầu hành trình Threat Hunting

Threat hunting không phải là một nhiệm vụ đơn giản – nó đòi hỏi kiến thức rộng, kỹ năng sâu và một tư duy chủ động, sáng tạo. Tuy nhiên, đây cũng là một lĩnh vực đầy hấp dẫn đối với những ai đam mê an ninh mạng, bởi cảm giác “săn lùng” và chiến thắng kẻ xấu trong thầm lặng thực sự rất thỏa mãn. Quan trọng hơn, threat hunting mang lại giá trị to lớn cho tổ chức bằng cách giữ hệ thống an toàn hơn mỗi ngày.

Nếu bạn là người mới và muốn bắt đầu với threat hunting, đây là một vài lời khuyên định hướng:

  • Hiểu rõ hệ thống của bạn: Hãy bắt đầu bằng việc nắm vững các thành phần hệ thống, ứng dụng, luồng mạng trong tổ chức. Song song đó, học cách đọc các loại log cơ bản (Windows Event, Linux syslog, firewall log, v.v.). Đây là nguyên liệu thô cho mọi cuộc hunt.
  • Học và áp dụng framework: Tìm hiểu về MITRE ATT&CKCyber Kill Chain. Bắt đầu áp dụng chúng khi suy nghĩ về các tình huống tấn công. Ví dụ, khi đọc tin tức về một cuộc tấn công ransomware, hãy thử map các bước theo kill chain và các kỹ thuật ATT&CK liên quan – coi như một bài tập giả lập threat hunting trên giấy.
  • Rèn luyện kỹ năng qua thực hành: Không có gì thay thế được trải nghiệm thực tế. Bạn có thể tự tạo một lab nhỏ để tập săn (ví dụ cài một máy Splunk miễn phí, thu thập log từ vài máy ảo rồi thử viết truy vấn tìm bất thường). Tham gia các thách thức CTF/blue team cũng là cách hay để luyện kỹ năng phân tích log và điều tra.
  • Tận dụng tài nguyên cộng đồng: Tham khảo các blog, webinar về threat hunting, học hỏi từ case study mà chuyên gia chia sẻ. Sử dụng các rule Sigma, YARA có sẵn để tập hiểu logic của các cuộc tấn công. Cộng đồng an ninh rất cởi mở và có nhiều tài liệu miễn phí – hãy tận dụng để nâng cao kiến thức.
  • Phối hợp với đội ngũ hiện có: Nếu bạn đã có SOC hoặc IT team, hãy bắt đầu nhỏ bằng cách cùng họ xem xét một hai log cụ thể. Ví dụ: yêu cầu team hệ thống cho log đăng nhập VPN tháng trước, rồi cùng nhau xem có gì lạ không. Những chiến thắng nhỏ (như phát hiện vài lần đăng nhập đáng ngờ và xử lý kịp) sẽ tạo động lực để mở rộng hoạt động threat hunting.

Như câu nói nổi tiếng trong giới bảo mật: “There are two types of companies: those who have been hacked, and those who don't know they have been hacked.” (Có hai loại công ty: một đã bị hack, hai là chưa biết mình bị hack). Threat hunting chính là để biến “chưa biết” thành “biết và đã xử lý”. Hãy bắt đầu hành trình của bạn ngay hôm nay – mỗi bước chủ động của bạn sẽ làm kẻ tấn công chùn bước. Chúc bạn may mắn trên con đường trở thành một Threat Hunter xuất sắc!​

Albert Einstein

"Education is not the learning of facts,
but the training of the mind to think"

CÔNG TY CỔ PHẦN CYBER JUTSU

Số 3 Nguyễn Xuân Ôn, Phường 2, Quận Bình Thạnh, TP Hồ Chí Minh

Mã số thuế: 0314377455

Hotline: 0906622416

Phản ánh chất lượng dịch vụ: 0906622416

Email liên hệ: contact@cyberjutsu.io

Chịu trách nhiệm nội dung: Nguyễn Mạnh Luật

Khóa học

Web Penetration Testing

Red Team - Exploit 101

1DAY ANALYSIS

Lộ trình học tập

Road Map

Tất cả khóa học

Cộng đồng

Blog

Videos

Cảm nhận học viên

Hall of Fame

Kiểm tra kiến thức

Liên hệ

Chính sách

Lớp học Live Online

Flipped Classroom

Chương trình giới thiệu

Xem tất cả chính sách

Copyright © 2025 CyberJutsu JSC. All Rights Reserved.