Tweet
Threat Actors là ai? Hiểu đúng về các tác nhân đe dọa trong an ninh mạng
Trong cybersecurity, threat actor (tác nhân đe dọa) là cá nhân hoặc nhóm thực hiện tấn công, hoặc là nguyên nhân gây ra một sự cố an ninh có thể ảnh hưởng đến tổ chức hay cá nhân.
Hiểu rõ ai là kẻ tấn công, động cơ của họ là gì, và cách họ hoạt động là nền tảng trong threat modeling, risk management, incident response và cả Zero Trust Architecture. Các loại Threat Actors phổ biến
1. Script Kiddies — “Tay mơ” dùng công cụ có sẵn
Đây là nhóm ít kỹ năng nhất.
Họ thường không tự phát triển malware hay exploit, mà sử dụng:
Đặc điểm:
Ví dụ:
Dù kỹ năng thấp, số lượng lớn của nhóm này vẫn tạo rủi ro thực tế.
2. Organized Crime Groups — Tội phạm mạng có tổ chức
Đây là nhóm có động cơ tài chính rõ ràng.
Mục tiêu thường là:
Khác với script kiddies, nhóm này hoạt động như doanh nghiệp ngầm:
Ví dụ:
Ngày nay nhiều chiến dịch ransomware gần như là organized cyber extortion business.
3. State-Sponsored Actors / Nation-State Threats
Đây là nhóm nguy hiểm nhất.
Được hậu thuẫn bởi chính phủ hoặc phục vụ lợi ích quốc gia.
Mục tiêu thường là:
Đối tượng nhắm tới:
Các nhóm APT (Advanced Persistent Threat) thường nằm trong nhóm này.
Ví dụ:
Đặc trưng:
SolarWinds là ví dụ kinh điển.
4. Hacktivists — Tấn công vì mục tiêu xã hội/chính trị
“Hack” + “Activism”.
Động cơ không phải tiền mà là tư tưởng.
Hình thức phổ biến:
Mục tiêu:
Ví dụ lịch sử:
Hiện đại hơn, hacktivism thường gắn với xung đột địa chính trị.
5. Terrorist Groups — Các nhóm khủng bố
Động cơ:
Có thể dùng không gian mạng để:
Đây là mối quan tâm lớn trong Critical Infrastructure Security.
Hacker, Cracker và Ethical Hacker — Phân biệt đúng
“Hacker” ban đầu không phải từ xấu
Nguyên thủy, hacker chỉ những người:
Theo nghĩa cổ điển, nhiều chuyên gia bảo mật ngày nay vẫn là hacker.
Cracker
Do báo chí đồng nhất “hacker = criminal”, ngành bảo mật dùng thêm từ cracker để chỉ:
Ngày nay thuật ngữ này ít dùng hơn nhưng về lịch sử rất quan trọng.
Ethical Hacker (White Hat)
Đây là hacker hợp pháp, được ủy quyền.
Thực hiện:
Triết lý của họ:
Muốn bảo vệ hệ thống, phải suy nghĩ như kẻ tấn công.
Đó là lý do offensive security trở thành một phần của defensive security.
White Hat, Black Hat, Gray Hat
White Hat
Hacker đạo đức.
Ví dụ:
Black Hat
Hacker tội phạm.
Mục tiêu:
Gray Hat
Vùng xám.
Thường:
Ví dụ:
Rủi ro:
Gray hat có thể nhanh chóng chuyển thành black hat.
Góc nhìn thực chiến: Threat Actor Mapping rất quan trọng
Trong CISSP, threat actor analysis gắn trực tiếp với:
Ví dụ:
Không phải mọi đối thủ đều cần cùng một biện pháp phòng thủ.
Kết luận
Trong bảo mật, câu hỏi không chỉ là:
“Có lỗ hổng nào không?”
Mà còn là:
“Ai sẽ khai thác lỗ hổng đó, vì mục đích gì, và với mức độ tinh vi nào?”
Đó chính là tư duy threat-centric security.
Hiểu threat actors là bước đầu để chuyển từ bảo mật phản ứng (reactive security) sang bảo mật dựa trên đối thủ (adversary-informed defense).
Trong cybersecurity, threat actor (tác nhân đe dọa) là cá nhân hoặc nhóm thực hiện tấn công, hoặc là nguyên nhân gây ra một sự cố an ninh có thể ảnh hưởng đến tổ chức hay cá nhân.
Hiểu rõ ai là kẻ tấn công, động cơ của họ là gì, và cách họ hoạt động là nền tảng trong threat modeling, risk management, incident response và cả Zero Trust Architecture. Các loại Threat Actors phổ biến
1. Script Kiddies — “Tay mơ” dùng công cụ có sẵn
Đây là nhóm ít kỹ năng nhất.
Họ thường không tự phát triển malware hay exploit, mà sử dụng:
- Script hoặc tool có sẵn từ Internet
- Public exploit kits
- Metasploit modules
- Scanning tools như Nmap, Nessus, Burp Suite bản crack, LOIC, v.v.
Đặc điểm:
- Kiến thức hạn chế
- Thường khai thác các lỗ hổng đã công bố (known vulnerabilities)
- Tấn công mang tính cơ hội hơn là có chủ đích
Ví dụ:
- Quét Internet tìm dịch vụ Telnet mở
- Dùng exploit có sẵn tấn công thiết bị IoT mặc định mật khẩu
- Chạy DDoS tool theo phong trào
Dù kỹ năng thấp, số lượng lớn của nhóm này vẫn tạo rủi ro thực tế.
2. Organized Crime Groups — Tội phạm mạng có tổ chức
Đây là nhóm có động cơ tài chính rõ ràng.
Mục tiêu thường là:
- Đánh cắp dữ liệu tài chính
- Gian lận thẻ tín dụng
- Ransomware
- Business Email Compromise (BEC)
- Data exfiltration để bán trên dark web
Khác với script kiddies, nhóm này hoạt động như doanh nghiệp ngầm:
- Có phân chia vai trò
- Có mô hình Ransomware-as-a-Service (RaaS)
- Có developer, operator, broker, negotiator
Ví dụ:
- Conti
- LockBit
- FIN7
- REvil
Ngày nay nhiều chiến dịch ransomware gần như là organized cyber extortion business.
3. State-Sponsored Actors / Nation-State Threats
Đây là nhóm nguy hiểm nhất.
Được hậu thuẫn bởi chính phủ hoặc phục vụ lợi ích quốc gia.
Mục tiêu thường là:
- Cyber espionage (gián điệp mạng)
- Intellectual property theft
- R&D theft
- Sabotage
- Critical infrastructure disruption
Đối tượng nhắm tới:
- Quốc phòng
- Năng lượng
- Viễn thông
- Semiconductor
- Chính phủ
- Nhà thầu quốc phòng
Các nhóm APT (Advanced Persistent Threat) thường nằm trong nhóm này.
Ví dụ:
- APT28 (Fancy Bear)
- APT29
- Lazarus Group
- Volt Typhoon
Đặc trưng:
- Persistence dài hạn
- Living-off-the-Land techniques
- Zero-day exploitation
- Supply-chain compromise
SolarWinds là ví dụ kinh điển.
4. Hacktivists — Tấn công vì mục tiêu xã hội/chính trị
“Hack” + “Activism”.
Động cơ không phải tiền mà là tư tưởng.
Hình thức phổ biến:
- Website defacement
- DDoS
- Data leak
- Information operations
Mục tiêu:
- Phản đối chính sách
- Gây chú ý truyền thông
- Ủng hộ một phong trào chính trị/xã hội
Ví dụ lịch sử:
- Anonymous
- LulzSec
Hiện đại hơn, hacktivism thường gắn với xung đột địa chính trị.
5. Terrorist Groups — Các nhóm khủng bố
Động cơ:
- Chính trị
- Tôn giáo
- Tư tưởng cực đoan
Có thể dùng không gian mạng để:
- Tuyển mộ
- Tuyên truyền
- Gây gián đoạn hạ tầng quan trọng
- Tấn công hệ thống ICS/SCADA
Đây là mối quan tâm lớn trong Critical Infrastructure Security.
Hacker, Cracker và Ethical Hacker — Phân biệt đúng
“Hacker” ban đầu không phải từ xấu
Nguyên thủy, hacker chỉ những người:
- Đam mê công nghệ
- Muốn hiểu hệ thống hoạt động thế nào
- Thử nghiệm và khám phá
Theo nghĩa cổ điển, nhiều chuyên gia bảo mật ngày nay vẫn là hacker.
Cracker
Do báo chí đồng nhất “hacker = criminal”, ngành bảo mật dùng thêm từ cracker để chỉ:
- Kẻ phá hoại
- Xâm nhập trái phép
- Compromise hệ thống không được phép
Ngày nay thuật ngữ này ít dùng hơn nhưng về lịch sử rất quan trọng.
Ethical Hacker (White Hat)
Đây là hacker hợp pháp, được ủy quyền.
Thực hiện:
- Penetration Testing
- Vulnerability Assessment
- Red Teaming
- Security Validation
Triết lý của họ:
Muốn bảo vệ hệ thống, phải suy nghĩ như kẻ tấn công.
Đó là lý do offensive security trở thành một phần của defensive security.
White Hat, Black Hat, Gray Hat
White Hat
Hacker đạo đức.
- Có ủy quyền
- Tuân thủ pháp luật
- Mục tiêu là cải thiện bảo mật
Ví dụ:
- Penetration Tester
- Red Team Operator
- Bug Bounty Researcher
Black Hat
Hacker tội phạm.
- Tấn công trái phép
- Trộm cắp dữ liệu
- Phát tán malware
- Phá hoại hệ thống
Mục tiêu:
- Tiền
- Quyền lực
- Gián điệp
- Phá hoại
Gray Hat
Vùng xám.
Thường:
- Không hẳn tội phạm
- Nhưng cũng không hoàn toàn hợp pháp
Ví dụ:
- Tự ý tìm lỗ hổng rồi công bố
- Truy cập hệ thống không được phép “để chứng minh có lỗi”
Rủi ro:
Gray hat có thể nhanh chóng chuyển thành black hat.
Góc nhìn thực chiến: Threat Actor Mapping rất quan trọng
Trong CISSP, threat actor analysis gắn trực tiếp với:
- Risk Assessment
- Threat Intelligence
- MITRE ATT&CK Mapping
- Adversary Emulation
- Zero Trust Controls
Ví dụ:
- Script kiddie → chặn bằng patching + basic hardening
- Organized crime → chống ransomware, EDR, segmentation
- Nation-state → defense-in-depth, threat hunting, deception
- Hacktivist → DDoS protection, monitoring, reputation defense
Không phải mọi đối thủ đều cần cùng một biện pháp phòng thủ.
Kết luận
Trong bảo mật, câu hỏi không chỉ là:
“Có lỗ hổng nào không?”
Mà còn là:
“Ai sẽ khai thác lỗ hổng đó, vì mục đích gì, và với mức độ tinh vi nào?”
Đó chính là tư duy threat-centric security.
Hiểu threat actors là bước đầu để chuyển từ bảo mật phản ứng (reactive security) sang bảo mật dựa trên đối thủ (adversary-informed defense).
Attached Files