Bối cảnh:

     • Các dịch vụ đa phương tiện dựa trên IoT ngày càng phổ biến nhưng dễ bị tấn công APT (Advanced Persistent Threat).

     • Các mô hình kill chain hiện tại (Lockheed Martin, FireEye, Command Five) chưa mô tả đầy đủ các hành vi tấn công nội bộ sau khi xâm nhập.

   - Đặc điểm APT:

     • “Advanced”: sử dụng nhiều phương pháp tấn công, khai thác lỗ hổng mới, tránh bị phát hiện.

     • “Persistent”: duy trì kết nối lâu dài, lặp lại các giai đoạn tấn công.

     • “Threat”: có tổ chức, mục tiêu rõ ràng, tài chính mạnh, nhắm vào chính phủ, doanh nghiệp, dịch vụ đa phương tiện.

   - Giải pháp:

     • Đề xuất mô hình kill chain cải tiến gồm 2 lớp: mối đe dọa bên ngoài và bên trong.

     • Mỗi lớp gồm các giai đoạn: Reconnaissance, Weaponization, Delivery, Exploitation, Installation, C2, Action on Objectives.

     • Lớp nội bộ bổ sung các giai đoạn tương tự nhưng với đặc điểm kỹ thuật khác (ví dụ: reconnaissance nội bộ là quét mạng, thay vì tìm thông tin trên mạng xã hội).

     • Nhấn mạnh sự khác biệt giữa tấn công xã hội (bên ngoài) và kỹ thuật (bên trong).

   - Endpoint Detection and Response (EDR):

     • EDR thu thập dữ liệu hành vi từ endpoint (file hash, kết nối mạng, tiến trình, sự kiện hệ thống).

     • Phân tích theo thời gian, học máy, IOC → phản ứng tự động.

     • So sánh với EPP: EPP tập trung vào phòng ngừa, EDR tập trung vào phản ứng.

     • Gartner dự đoán EPP và EDR sẽ hợp nhất thành một thị trường vào năm 2019.

   - So sánh mô hình:

     • Mô hình tuyến tính: không mô tả tính lặp lại và nội bộ.

     • Mô hình vòng tròn: mô tả tính lặp lại nhưng không phân biệt rõ giữa đe dọa bên ngoài và bên trong.

     • Mô hình đề xuất: phân lớp rõ ràng, mô tả chi tiết từng giai đoạn nội bộ, hỗ trợ xây dựng chiến lược phản ứng theo từng giai đoạn.