Triển Khai ThreatMapper Phát Hiện Sớm Vulnerability
ThreatMapper là một công cụ phân tích và đánh giá rủi ro an ninh thông tin được phát triển để giúp tổ chức và doanh nghiệp xác định và đối phó với các mối đe dọa tiềm ẩn đối với hệ thống và dữ liệu của họ. Với sự kết hợp của các công nghệ hiện đại và các phương pháp phân tích thông tin tiên tiến, ThreatMapper cung cấp cái nhìn tổng thể và chi tiết về các lỗ hổng bảo mật, điểm yếu trong hạ tầng IT, và các mối đe dọa có thể đến từ bên ngoài hoặc bên trong tổ chức.
Bằng cách tự động quét và phân tích hệ thống, ThreatMapper có thể tạo ra các bản đồ mô tả chi tiết về cấu trúc mạng, các điểm yếu trong bảo mật, và các loại dữ liệu quan trọng đang được lưu trữ và xử lý. Nó cung cấp thông tin cần thiết để phát hiện và giảm thiểu các mối đe dọa an ninh một cách hiệu quả, từ việc xác định các cơ hội tấn công tiềm ẩn đến việc đề xuất các biện pháp cải thiện bảo mật.
ThreatMapper không chỉ giúp tổ chức phát hiện sớm các mối đe dọa mà còn hỗ trợ trong việc xây dựng và duy trì một chiến lược bảo mật hiệu quả. Bằng cách cung cấp thông tin phân tích và khả năng đánh giá rủi ro liên tục, nó giúp tổ chức tăng cường khả năng phòng thủ và phản ứng nhanh chóng trước các mối đe dọa mới nổi lên trong môi trường an ninh thông tin ngày nay.
Để chạy được phần mềm bạn cần cài docker và docker composer trước sau đó chạy 2 lệnh sau
wget https://github.com/deepfence/ThreatMapper/raw/release-2.1/deployment-scripts/docker-compose.yml
docker compose up -d
Sau đó truy cập vào trang https://ip_cua_ban để cấu hình
tài khoản được tạo đầu tiên là tài khoản admin nên bạn chọn Register now và tạo tài khoản
Sau khi đăng nhập song chúng ta có giao diện như sau thì bạn chọn Go to main dashboard luôn mấy cái agent này cài sau cũng được
Sau khi vào chúng ta có giao diện trang chủ như sau
Để thêm agent kết nối tới hệ thống bạn chọn settings chọn tới mục connection instructions trong này bạn chọn cái phù hợp với hệ thống của bạn ở đây thì mình chọn docker và chọn Linux bare-metal/vm bạn chỉ cần copy lệnh lên máy chủ chạy là song
Sau khi chạy lệnh trên song trên máy client thì bạn trên máy chủ phần Posture sẽ thấy máy client được kết nối như vậy đã thành công
Để scan bạn tick vào dấu ba chấm chọn start scan một tùy chọn hiện ra bạn chọn start scan để bắt đầu
Đợi một lát ta sẽ có kết quả scan
Lúc này click vào host chúng ta sẽ có chi tiết về các vấn đề cảnh báo trên hệ thống
Click vào phần ID bạn sẽ được hướng dẫn fix các cảnh báo này
Như vậy quá trình triển khai đã hoàn thành và có thể scan được các hệ thống trong mạng, bây giờ để đánh giá lỗ hổng chúng ta ở phần trang chủ chọn vào host lúc này một topology sẽ hiện ra bạn chọn host cần scan chọn view detail
sau đó có một giao diện mới bạn chọn vào action
ở đây có 4 tùy chọn quét bạn có thể lựa chọn lần lượt ở đây mình chọn vulnerability scan
Chọn Select All và bắt đầu
Lúc này trong menu vulnerability bạn sẽ thấy host đang được scan ở đây
Sau một lúc scan thì đã có kết quả
Để kiểm chứng khả năng phát hiện mã độc tôi sẽ tải về 1 list các malware php ở đây: https://github.com/1337r0j4n/php-backdoors
Sau đó dùng tính năng scan malware để kiểm chứng
hệ thống đang scan malware
sau một hồi scan thì bắt đầu có thông tin tuy nhiên tôi nhận thấy nó không thể phát hiện các malware php mà tôi tải về nó chỉ có khả năng nghi nhận các thư viện file hệ thống bị nhiễm virus
Nếu bạn muốn nó phát hiện malware thì hãy lưu ý nó không thể phát hiện được toàn bộ scan thiếu và rất yếu