Know Your Enemy - Hiểu rõ kẻ địch

Know your enemy là 1 phần quan trọng trong tiến trình đánh giá rủi ro (risk management). Know your enmy được nhắc rất nhiều trong các article bảo mật. Nguồn gốc của nó thì bạn cũng có thể đoán ra xuất phát từ câu nói nổi tiếng của Tôn Tử "Biết địch biết ta trăm trận, trăm thắng"

Tôi có đọc qua nhiều article như vậy thường cách phân chia "kẽ địch" theo tiêu chuẩn kĩ thuật - scriptkiddie , black hacker v.v Tôi có cảm giác phân chia như vậy không giúp ích gì nhiều cho việc quản trị bảo mật (thật ra nhiều article mang tính miệt thị thì đúng hơn), nên tôi muốn tiếp cận theo hướng khác - phân chia theo động cơ (motive) (có thể có ai đã viết trước rồi nếu bạn nào biết xin gởi cho tôi để tiện tham khảo)

Tôi phân tích theo động cơ là bởi vì bước kế tiếp là đánh giá nguy cơ bị tấn công trong đó động cơ của kẻ tấn công là một trong những yếu tố quan trọng.

1. Chemical Hacker - hacker do tâm sinh lý

Bạn có thể buồn cười nhưng thực tế phần lớn các cuộc tấn công trên mạng vì lí do không đâu này. Chemical là từ bọn Mỹ dùng để chỉ những họat chất hormone trong người. Các họat chất hormone ảnh hưởng thế nào thì bạn có thể xem tại đây http://tintucvietnam.com/Tinhyeu-Gioitinh/2003/11/21931.ttvn, còn tôi chỉ nhấn mạnh khía cạnh kĩ thuật an ninh mạng mà thôi.

Phần lớn các "hacker" dạng này tập trung vào các teenager -các thanh thiếu niên trong giai đọan dậy thì. Mục đích của họ không gì khác hơn là [COLOR=yellow]chứng tỏ minh[COLOR] trước mọi người và đặc biệt trước các bạn nữ. Đối với những hacker này thì những lời giáo huấn về đạo đức hay răn đe về pháp luật không có ý nghĩa gì hết. Viễn cảnh 5,6 năm tù không đủ răn đe họ (cái này gọi là điếc không sợ súng) và họ sẳn sàng delete hay phá hủy hàng triệu $ dữ liệu một cách lạnh lùng. Phá họai đập phá những gì có thể được và không sợ pháp luật (nhiều người còn tưởng tượng giây phút huy hòang khi bị bắt vì tội ác công nghệ cao) là đặc trưng của những hacker này.

Tuy nhiên các hacker này về mặt kĩ thuật không được cao lắm - không hẳn vì họ dở mà vì họ không có đủ sự kiên nhẫn. Vì thế chỉ cần bạn hardening hệ thống của mình hay fool them around bằng honeypot thì họ nhanh chóng chán và rời bỏ site của bạn để tìm một site khác dễ xơi hơn. Các hacker này cũng thường rất noisy - họ thường sử dụng những tool quét hàng lọat tạo những request đặc biệt. Nếu bạn có trong tay hệ thống phát hiện xâm nhập tốt - thì ngay lập tức bạn sẽ phát hiện ra các dấu hiệu xâm nhập rất ồn ào này.

Các hacker này thường không học cách "cover his ass" nên việc điều tra và tóm cổ rất dễ dàng, thậm chí các điều tra viên có thể dùng các kĩ thuật social engineering để tìm ra thủ phạm một cách nhanh chóng - ví dụ lên hva post hôm qua có ai hack site xyz hay dễ sợ thế nào cũng có kẻ nhao nhao vô nhận .

Serial - killer cũng là đặc điểm của hacker dạng này. Khi có một lỗi mới - hay lỗi cũ mà vẫn còn xài được, họ sẽ dùng các công cụ tìm kiếm hay quét hàng lọat để tìm kiếm các site bị lỗi này để xâm nhập đập phá hay cài vài con back door thông dụng.

Nói tóm lại ngày nay bạn sẽ phải đối phó với làn sóng tấn công không ngừng nghỉ của các chemical hacker - mặc dù họ không khó đối phó nhưng nên nhớ rằng họ có số đông họ liều mạng và nếu để họ xâm nhập thành công thì bạn phải chuẩn bị backup dữ liệu đi.

2. Business hacker và Cybar Crime - hacker thương mại và tội phạm công nghệ cao

Động cơ chính của lọai hacker này chủ yếu là tiền hay những lợi ích có giá trị khác. Thật ra không cần phân biệt giửa hacker thương mại và tội phạm công nghệ cao, vì đối với pháp luật là như nhau. Tuy nhiên chúng ta nên phân tích kĩ sẽ thấy động cơ và cách hành động của 2 lọai hacker này có sự khác biệt rõ rệt. Buniness hacker , tôi dùng để chỉ những người có ý thức phạm pháp không rõ ràng, họ chỉ đơn thuần là những người mang suy nghỉ: "Tôi có kiến thức hơn người bình thường, tôi có thể lợi dụng nó để kiếm chát chút đỉnh và làm cho cuộc sống dễ dàng hơn". Nên nhớ xã hội thông thường cũng khối kẻ như vậy. Còn tội phạm công nghệ cao thì khác hẳn đó là những kẻ ý thức rõ ràng hành động phạm pháp của mình - có thể là những tội phạm chuyên nghiệp có kĩ năng cao, có thể là những kẻ nghiệp dư nhưng lại muốn kiếm tiền nhanh chóng v.v. Đặc trưng của những hacker này là không phô trương , không đập phá, am hiểu pháp luật (muốn phạm phát thì trước hết phải am hiểu ???) và đặc biệt có kiến thức về kinh tế thương mại.

Những hacker này thật ra cũng không phải là những người tiên phong về mặt kĩ thuật. Nhưng họ có sự kiên nhẫn và kĩ thuật hacking của họ có chiều sâu. Bạn đã biết qua thuật ngữ "phòng thủ có chiều sâu" trong khoa học bảo mật, tôi xin dùng thuật ngữ "hacking có chiều sâu" để chỉ hacker biết kết hợp nhiều kĩ thuật hacking khác nhau đặc biệt là kỹ thuật social engineering. So sánh với kỹ thuật các chemical hacker chỉ đơn thuần là chạy chương trình khai thác lỗi - cài backdoor - deface trang web - xóa dữ liệu, thì các hacker này chịu khó nguyên cứu các họat động trong hệ thống của bạn và các nghi thức (protocol) giao dịch thương mại, từ đó họ tìm ra cách để thu thập các dữ liệu có giá trị hay sửa đổi hệ thống. Nên nhớ những hacker này luôn luôn có quan niệm là "tối đa hóa giá trị và tối thiểu hóa rũi ro" - nghĩa là họ cố gắng thu thập càng nhiều dữ liệu có giá trị cáng tốt - và thay đổi hệ thống sao cho khó bị phát hiện nhất và dù có phát hiện cũng không thể làm gì được họ. Tôi lấy ví dụ năm ngóai 1 site đánh bạc trực tuyến của Mỹ bị xâm nhập, những kẽ tấn công đã thay đổi chương trình đánh bạc - tăng xác xuất có lợi lên 1 chút. Kết quả sóng bạc phải chi trả hàng triệu đôla thắng cuộc cho những người chơi hôm đó vì không chứng minh được những người thắng có liên quan đến vụ xâm nhập. Đó là một trong những điển hình của business hacker / cybarcrime thông minh.

Các hacker dạng này dùng các kĩ thuật thăm dò khá kín đáo - họ không muốn đánh động hệ thống cảnh báo xâm nhập. Kĩ thuật ưa thích của họ là social engineering - cái mà các IDS thông thường không thể biết được chỉ có các IDS con người mới phát hiện được. Nếu họ phạm sai lầm để hệ thống IDS phát hiện , thì ngay lập tức họ sẽ ngưng và đợi cho IDS hạ mức báo động hay có thể họ sẽ giả vờ hành động như nhửng chemiscal hacker , bạn sẽ nghĩ "à lại 1 thằng scriptkiddie khác - hơi đâu để ý".

Khác biệt giữa hành động của business hacker và cybercrime ở chổ ý chí phạm pháp của họ. Buniness hacker thường giới hạn mức độ lợi ích, họ thường nghĩ "chà 1,2 trăm đô chắc không ai để ý đâu" + với khả năng che dấu vết -rõ ràng họ khá an tòan khi không 1 ai bỏ hàng trăm ngàn đô la để truy bắt 1 kẻ chỉ đánh cắp 1 đôi giày. Tất nhiên mỗi chổ 1,2 trăm đô thì nhiều chổ là số tiền khổng lồ rồi. Cybercrime thì khác hằn, họ kiếm được càng nhiều càng tốt nhưng bù lại kĩ thuật "cover his ass" cũng tinh vi hơn - Tất nhiên với những thiệt hại hàng chục ngàn đô trở lên cơ quan pháp luật ra tay rất tích cực những kẻ cắp amatuer thường bị bắt nhanh chóng nhưng những tổ chức tội phạm chuyên nghiệp thì không dễ dàng như vậy.

Tóm lại đây là những đối thủ chính của bạn - những kẻ thật sự mang lại headache cho bạn và cũng là những bóng ma vì thật sự bạn rất khó xác định được những cuộc tấn công mang tính chất này. Tuy nhiên có 1 tin vui rằng động cơ của nhửng kẻ này tỉ lệ thuận với những giá trị của hệ thống bạn. Nếu hệ thống bạn không có gì đáng giá thì không phải là mục tiêu của những hacker này. Để ngăn ngừa , bạn chỉ có thể tiến hành phòng ngự có chiều sâu và tòan diện.

3. Political Hacker - hacker chính trị

Đây là những người hack vì muốn thể hiển 1 chính kiến nào đó. Bạn đừng lầm lẩn những người này với những lực lượng đặc biệt thuộc chính phủ, thật sự họ là những người cô độc hay 1 nhóm hacker nhỏ mang chút xíu tư tưởng "vô chính phủ". Chính kiến của những người này cũng rất phức tạp từ chống đối các chính phủ hay chống chiến tranh đến ủng hộ các nhóm phi chinh phủ như hòa bình xanh chống lại các đại công ty hay chống các công ty độc quyền như M$ v.v. Và bạn cũng đừng lầm lẩn những người này với các chemical hacker. Họ rất ít khi phá họai và không tấn công lung tung các site không liên quan. Thường các chemical hacker cũng hay mượn các khẩu hiểu chính trị để thể hiện mình - ví dụ cuộc chiến Iraq vừa qua - ngòai một số ít là hack vì động cơ chống chiến tranh còn lại là số đông chemical hacker ăn theo - họ hack lung tung vô tội vạ bất cứ website nào mà họ vớ được trong khi các political hacker chủ yếu nhằm vào các site trọng yếu mang tính chất biểu tưởng - như các site chính phủ , quân sự và truyền thông. Bạn cũng dễ dàng phân biệt: các political hacker thường chỉ deface trang web để lại thông điệp chính trị của mình còn các chemical hacker thì deface để ghi tên tuổi của mình ( điều họ sợ nhất là người khác không biết tới mình mà)

Các political hacker thường là những hacker lớn tuổi giàu kinh nghiệm và có kỉ năng từ khá cho tới giỏi. Họ cũng có sự kiên nhẫn và kỉ năng hack có chiều sâu. Đặc biệt các kĩ năng social engineering và xóa dấu vết rất tốt. Bạn có thể cho rằng "những tay này cũng dễ thương chứ vì không hack vì bồng bột (như chemical hacker) không hack vì tiền (như business hacker) mà vì 1 lí tưởng nào đó" nhưng thật sự đôi lúc họ cũng thật sự nguy hiểm và ảnh hưởng đến an ninh quốc gia. Hành động ưa thích của các hacker này là xâm nhập vào các hệ thống thông tin trọng yếu của chính phủ hay các công ty để đọc tài liệu mật thậm chí phát tán những tài liệu đó ra Internet.

Tất nhiên để thộp cổ những người này không dễ dàng tí nào vì họ cũng ranh ma không kém các business hacker mà lại ít phô trương như các chemical hacker và đôi lúc mọi người có vẽ thông cảm và đồng tình với các hacker.

Nếu bạn là quản trị cho hệ thống thông tin các cơ quan chính phủ thì political hacker là một trong những kẻ địch chính. Nhưng tôi không tin bạn có thể đối phó được những con người này vì thường các hệ thống chính phủ phòng thủ rất yếu đặc biệt phòng thủ chống các kĩ thuật social engineering. Nhưng may mắn là những hacker này rất ít.

4. Technical hacker - hacker kĩ thuật

Đây là những người hack vì muốn chứng nghiệm các kĩ thuật mới. Họ có thể là những chuyên gia bảo mật , những người chuyên nguyên cứu nghệ thuật hacking hay đơn giản là những người say mê kĩ thuật. Trình độ của những người này từ khá trở lên (bạn lưu ý là tôi phân theo mục đích không phải trình độ nên vì vậy không hẳn là technical hacker nào cũng giỏi hơn chemical hacker)
Họ là những người có đam mê muốn được vượt qua các rào cản về kĩ thuật (nói một cách nào đó đây thật sự là true hacker theo nghĩa đen) - họ có thể thử nghiệm kĩ thuật trên home lab của họ , nhưng dù sao thử trên hệ thống thực tế cũng thú vị hơn . Trái ngược với chemical hacker là càng khó càng mau chán còn technical hacker càng khó càng hứng thú. Nên mục tiêu chính của các technical hacker là các site nổi tiếng về an ninh, các site dạy về bảo mật hay các site hacker khác.

Tuy nhiên khó so sánh về mặt kĩ thuật giửa technical hacker và các nhóm khác đặc biệt là với business hacker. Theo thiển ý của tôi thì technical hacker là bậc thầy về những phát kiến còn business hacker là bậc thầy về mặt ứng dụng. Rỏ ràng các technical hacker có thể rất giỏi về mặt kĩ thuật nhưng chưa chắc họ là những tay xâm nhập trộm đạo giỏi như business hacker. Thường thì chiến thuật hay dàn cảnh xâm nhập của họ không cầu kì phức tạp.

Chúng ta nên đánh giá cao tinh thần vị kĩ thuật của các hacker, họ thường tuân thủ chặt chẻ cái gọi là "đạo đức của hacker thật sự". Tuy nhiên không lọai trừ trường hợp họ thay đổi suy nghĩ (thấy của nổi lòng tham chẳng hạn). Điều hơi thú vị là nếu hệ thống của bạn phạm nhiều lỗi thô thiển, thì các technical hacker sẽ chóng chán bỏ đi tìm site khác thú vị hơn.Nếu bạn sử dụng khéo léo honeypot có thể fool them a little.

Tóm lại các technical hacker xem ra là những người hiền lành nhất - thường thì mọi người lầm tưởng đây là những hacker gây nên những rắc rối do những kĩ thuật mà họ phát kiến ra. Nhưng thực tế đó chỉ là những kĩ thuật thô, phải cộng thêm đầu óc nghịch phá của các chemical hacker hay sự gọt dũa của các business hacker, những kĩ thuật đó mới thật sự trở thành những vũ khí sắc bén. Tuy nhiên không vì họ hiền lành mà bạn để cho họ đùa giỡn với hệ thống của mình - các hệ thống honeypot, ids, log và audit system cho phép bạn theo dõi và phát hiện những dấu hiệu xâm nhập bất hợp pháp. Nếu không ngăn cản được những người này bạn có thể viện tới pháp luật hiện có những điều luật khá nghiêm khắc với các tội xâm nhập bất hợp pháp dù với mục đích vô hại.

5. Cyber Special Force - Lực lượng đặc biệt công nghệ cao

Thú thật là tôi cũng chẳnc có thông tin gì ngòai trừ những lời bàn tán bề lề - tôi sẽ cố gắng sưu tầm thêm để hòan chỉnh ở version kế tiếp article này.

Mặc dù không chính phủ nào thừa nhận về sự hiện diện của các tổ chức do thám điện tử , xâm nhập và tấn công điện tử, nhưng thời buổi Internet và công nghệ thông tin phổ cập thế này thì chắc chẳng ai bỏ qua mặt trận nóng bỏng này. Tôi còn nhớ đọc được đâu đó 1 tuyên bố của 1 quan chức CIA rằng ngày nay chỉ cần duyệt web là người ta có thể lấy được nhiều thông tin hơn là dùng điệp viên truyền thống. Không biết bạn có cảm thấy rằng, chúng ta disclosure quá nhiều thông tin không cần thiết lên Internet quá không??? Và nhận xét đó chỉ đề cập đến chuyện tổng hợp thông tin bình thường chứ tôi có thể nói thêm là ngồi 1 chổ xâm nhập vào các hệ thống thông tin có thể thu gấp 100 gấp 1000 lần thông tin có giá trị hơn và tất nhiên là an tòan hơn nửa.

Các điệp viên công nghệ cao này hẳn là những "siêu" hacker. Bạn nên nhớ là khoa học quân sự bao giờ cũng đi trước cuộc sống 10, 20 năm, những công nghệ Internet và CDROM chẳng phải là đã ứng dụng trong quân sự chán chê rồi mới vứt ra ngòai cho bạn xài đấy thôi ... Vì vậy chắc chắn rằng họ có thể xâm nhập vào các hệ thống thông tin dễ dàng thông qua các siêu backdoor - tức là các cửa sau được chính các nhà sản xuất lưu lại theo yêu cầu cùa giới quân sự. Nếu bạn muốn an tòan hơn thì sử dụng các phần mềm mã nguồn mở cho phép bạn thẩm tra code - xin nhắc lại là đừng lầm tưởng là sử dụng mã nguồn mở là an tòan hơn trừ khi đích thân bạn review code thật kĩ trước khi mang vào sử dụng. Tuy nhiên viết cố ý viết code backdoor rất khó phát hiện trừ khi bạn là chuyên gia về bảo mật code (chứ chuyên gia thường thường cũng bó tay nhé).
Ví dụ một đọan code nhìn có vẽ vô hại nhưng nếu kết hợp nó với đọan code khác nằm xa hàng cây số thì tạo thành một logic flaw (lỗi luận lí) hay code C

CODE
if (x=1) {}

nhìn sơ qua thì tưởng phép so sánh nhưng thực ra là phép gián giá trị v.v

Nếu bạn có phần mềm an tòan rồi, thì bạn đừng tưởng là mình thoát nạn nhé - bạn vẫn phụ thuộc mà hàng trăm hàng nghìn thiết bị phần cứng, viễn thông mà mỗi thứ cũng có thể là một backdoor cứng. Nếu bạn sử dụng tòan bộ là đồ trong nước sản xuất được kiểm sóat chặt chẽ thì bạn vẫn có thể thể bị tấn công bằng kĩ thuật social engineering. Đây thật sự là kĩ thuật truyền thống của ngành tình báo vì vậy không lí nào các điệp viên kĩ thuật số không thành thạo mà tôi tin rằng so sánh với họ những trò của Kevin Mitnick chỉ là trò trẽ con.

Những siêu hacker này chắc chắn là những người được đào tạo một cách chuyên nghiệp bài bản - họ có kiến thức sâu rộng từ các ngành viễn thông điện tự, tự động và tất nhiên là công nghệ thông tin (chứ không phải là mấy chú teen mặc dù chưa biết mặt mủi cái protocol ra sao cũng hack hiết lung tung). Họ cũng được trang bị các thiết bị tân tiến nhất. Nói chung là vói họ thật sự nothing imposible.

Tất nhiên bạn không phải lo là tới một ngày bạn sẽ bị những siêu nhân này tới viếng thăm. Tuy nhiên phần lớn các cơ quan công sở quốc gia lại không có được sự phòng vệ nào. Tôi có vài lần đến các công sở quan trọng, được lịch sự mời vào phòng khách mà ngay dưới chân là lổ cắm mạng - nói ác mồm không cần phải có máy xách tay chỉ cần 1 thiết bị nhỏ bằng bàn tay cũng đủ thả virus, worm hay xâm nhập vào hệ thống mạng nội bộ.

6. Revenge hacker - hacker trả thù

Đây là những người tấn công bạn vì mục đích trả thù. Đây có thể là những nhân viên bất mãn, cựu nhân viên, đối thủ cạnh tranh hay đơn thuần là những thù hằn có lí do cá nhân. Theo tôi đánh giá đây là kẽ thù nguy hiểm nhất . Những con người này "biết bạn" . Họ có thể nắm rõ tường tận con người và máy móc trong hệ thống của bạn. Họ hiểu tường tận những mối quan hệ qua lại giửa các bộ phận, thói quen của con người v.v.

Mộ điều đáng ngại là những người này có quyết tâm cao, họ có thể kiên nhẫn theo từng bước chân của bạn rầm rình những giây phút bạn lơi lỏng vì mệt mỏi để hạ thủ. HVA đã từng nếm mùi này rồi - bị một số cựu quản trị viên theo dỏi tới 1 thời điểm sơ xuất nhỏ là bị tấn công liền. Vì những người này hiểu bạn quá rỏ nên họ dễ dàng dùng những kĩ thuật socical eng, tôi lấy ví du nhưng họ có thể chat chít với bạn rồi dụ dỗ bạn download 1 phần mềm có backdoor hay đơn giản hơn vào thăm viếng bạn rồi cài backdoor vào máy của bạn v.v.

Kỉ thuật của những revenge hacker này thường đủ lọai - có những kẻ thậm chí cũng không giỏi lắm nhưng điểm chung là họ dàn dựng những màn hacking nhằm tối đa hóa thiệt hại của bạn. Tất nhiên điều này phụ thuộc vào đầu óc kẻ tấn công. Người thường thường thì xóa dữ liệu hay modify lung tung là thỏa mãn, kẽ thậm độc thì gởi những thông tin đó cho khách hàng nhằm hạ thấp uy tín của bạn ... nói chung còn nhiều kịch bản thâm độc hơn nhiều lần... Nếu hệ thống bạn quá vững chắc thì những người này cũng không từ thủ đọan dùng kĩ thuật DOS để chơi bạn. Nói chung những người này bất chấp thủ đọan miển là gây thiệt hại cho bạn càng lớn.

Đối phó với những revenge hacker này không khó lắm vì đơn giản là nó biết bạn thì bạn cũng biết rỏ nó (trừ khi bạn gây thù chuốc óan nhiều quá không biết mà thôi). Bạn nên xếp danh sách những kẻ tình nghi vào mức báo động cao. Điều quan trọng là nếu để những kẻ này xâm nhập thành công thì cái giá phải trả cho bạn là rất lớn vì dó không phải là trò dùa nghịch của các chemical hacker đâu. Tuy nhiên 1 điều dễ dàng là nếu bạn xét thấy có dấu hiệu trả thù trong các cuộc tấn công, bạn có thể gởi danh sách của những kẻ tình nghi cho các điều tra viên. Họ sẽ dễ dàng tìm ra kẽ tấn công.


Kết luận
Trong article này tôi cố gắng chia ra 6 lọai động cơ chính của các hacker. Tất nhiên có bạn sẽ không hiểu lắm làm vậy có lợi ích gì.

Intrusion Tringle - Tam giác xâm nhập
Trong một số tài liệu bảo mật có nhắc tới khái niệm này. Đây là mô hình dựa trên mô hình Crime Triangle - Tam giác phạm tội dùng để giải thích ở một tình huống nhất định thì một tội ác sẽ xảy ra. Tương tự như vậy tam giác xâm nhập sẽ giải thích tình huống nào bạn sẽ bị tấn công.

Tam giác này gồm 3 đỉnh: Movtive(Động cơ của kẻ xâm nhập), Means (Phương tiện và khả năng của kẻ xâm nhập), Opportunity (Cơ hội thuận lợi cho kẻ xâm nhập). Thiếu 1 trong 3 yếu tố thì sự xâm nhập sẽ không xảy ra, tuy nhiên mức độ của mỗi yếu tố cũng có thể giải thích tại sao bạn bị xâm nhập dễ dàng như vậy.

- Nếu động cơ kẻ tấn công rất cao - trong trường hợp muốn trả thù. Thì có thể khả năng kẻ đó không cao, cơ hội không nhiều nhưng, kẻ tấn công quần bạn riết thì nó cũng thành công ít nhiều.
- Khả năng kẻ tấn công rất cao - trong trường hợp hacker kĩ thuật. Thì có thể động cơ không cao (just for fun) , cơ hội không nhiều nhưng dùng có lỗi 0-day vẫn xâm nhập tốt.
- Nếu kẻ tấn công chỉ là chemical hacker , khả năng cũng kém nhưng hệ thống bạn quá sở hở thì tạo cơ hội quá lớn cho mấy nhóc rồi còn gì. Đây là trường hơp của mấy site bị lỗi mà dùng Google search cũng ra.

Để ngăn ngừa 1 cuộc tấn công bạn có thể căn cứ vào tam giác này để giảm bớt nguy cơ.

1. Tác động vào động cơ kẻ tấn công - làm giảm động cơ kẻ tấn công khiến hắn sợ hải hay chán nản là cách phòng ngự tích cực - active defense. Trước đây khi mò mẩm 1 site nào mà thấy bật lên thông báo rằng - Xin cáo lỗi hệ thống họat động không bình thường , quản trị hệ thống đã được thông báo v.v thì tôi rút liền vì biết rằng những hành động của mình có thể bị theo dõi (tất nhiên ai biết nó hù hay thiệt). Hay có lần mới lò dò thì thấy 1 trang cảnh báo hiện rõ ràng IP của mình bị hệ thống log ... Bất cứ hacker nào cũng sợ nhất là người quản trị hệ thống đang theo dõi từng nước đi của mình.
Hay đối với các revenge hacker là các hacker có động cơ cao nhất - cần phải khéo léo trong cách xử sự - quan trọng nhất là nhắc khéo " tớ biết cậu đấy nhé đừng cố tình làm bậy". Tôi biết các công ty lớn quan tâm tới bảo mật làm rất tốt điều này họ làm cho các cựu nhân viên bất mãn hiểu rằng nếu làm điều gì xằng bậy sẽ trả giá rất đắt.

2. Tác động vào cơ hội xâm nhập - đây là cách phòng ngự thụ động truyền thống. Bịt các lổ hổng, cấp quyền vừa đủ, hardening hệ thống v.v