6 mối đe dọa an ninh mạng hàng đầu và cách đánh bại chúng

6 mối đe dọa an ninh mạng hàng đầu và cách đánh bại chúng

June 15, 2022 | vietsunshine

Dưới đây là danh sách các mối đe dọa bảo mật bên ngoài  và lỗ hổng bảo mật nội bộ cũng như cách bảo vệ mạng thành công chống lại cả hai.

Dưới đây là phân tích về sáu mối đe dọa mạng hàng đầu hiện nay và các tip về cách xác định và ngăn chặn chúng.

1. Ransomware

Ransomware dễ dàng là mối đe dọa mạng lớn nhất, vì nó mang lại cho những kẻ tấn công một cú nổ lớn nhất với xác suất bị bắt tương đối thấp. Andy Rogers, một nhà đánh giá cấp cao tại công ty tuân thủ và an ninh mạng Schellman cho biết: “Cũng không cần có quá nhiều kỹ năng để xâm nhập vào loại thứ này. Có rất nhiều doanh nghiệp Ransomware-as-a-Service (RaaS) sẵn sàng đảm bảo rằng bạn có các công cụ cần thiết để mở một chiến dịch ransomware.”

Những “nhà cung cấp dịch vụ” này phải đối mặt với rủi ro tối thiểu, vì bản thân họ không phát động bất kỳ cuộc tấn công nào. “Đó là một thỏa thuận khá ngọt ngào đối với họ”, anh ấy nói. Ngoài ra, khoản thanh toán đến dưới dạng tiền điện tử, vì vậy chúng rất khó theo dõi.

Ransomware đã trở thành một trong những ngành tội phạm có lợi nhuận cao nhất thế giới nhờ lớp áo ẩn danh và khả năng thanh toán cao. “Nhiều cuộc tấn công chuỗi cung ứng cao cấp gần đây, như Colonial Pipeline vào năm 2021, là các cuộc tấn công ransomware trong đó ổ đĩa cứng (HDD) và ổ đĩa trạng thái rắn (SDD) được mã hóa và tin tặc đã sử dụng chúng để đòi tiền chuộc lên tới 4,4 triệu USD bằng tiền điện tử,” Rogers lưu ý.

Thiết lập các chính sách và quy trình bảo mật vững chắc, bao gồm đào tạo nhận thức về bảo mật, là cách tốt nhất để tránh trở thành nạn nhân của ransomware. Rogers khuyến nghị vá hệ thống và ứng dụng hàng tháng, cũng như tách biệt các hệ thống dễ bị tấn công không thể vá khỏi các hệ thống và dữ liệu quan trọng. “Duy trì các bản sao lưu dữ liệu của bạn thường xuyên và thực hiện theo cách mà ransomware không thể ghi vào”, ông nói thêm.

2. Zombie botnets

Các mạng Zombie botnet được tạo ra để thực hiện các hành động độc hại cụ thể, chẳng hạn như các cuộc tấn công từ chối dịch vụ phân tán (DDoS), keylogging và gửi thư rác. “Những mối đe dọa như vậy có khả năng tàn phá vì chúng có thể được sử dụng để làm những việc như đánh cắp danh tính của bạn hoặc làm tê liệt toàn bộ mạng chỉ bằng một cuộc tấn công,” Eric McGee, kỹ sư mạng cấp cao tại nhà cung cấp dịch vụ trung tâm dữ liệu TRG Datacenters cho biết.

Mỗi máy tính trong mạng botnet được mô tả như một thây ma (zombie) do thực tế là máy tính — và chủ nhân của nó — không biết rằng máy đang thực hiện các hành động độc hại một cách nghiêm túc và không suy nghĩ. Các thiết bị Internet vạn vật thông minh (IoT) là mục tiêu đặc biệt hấp dẫn cho các cuộc tấn công botnet zombie.

McGee cảnh báo: “Có thể dễ dàng bỏ qua tính bảo mật của các thiết bị IoT của bạn … nhưng những thiết bị như vậy thường là cách dễ nhất mà những kẻ tấn công giành được quyền truy cập vào hệ thống của bạn”. Ông gợi ý nên bảo vệ chống lại các botnet zombie trên mạng IoT bằng cách hạn chế khả năng mở kết nối đến của mỗi thiết bị và yêu cầu mật khẩu mạnh trên tất cả các tài khoản được kết nối.

3. Các quy trình và chính sách lỗi thời

Các quy trình và chính sách thủ công cũ kỹ và không có kỹ thuật đặt ra một mối đe dọa nghiêm trọng đối với an ninh mạng. “Số lượng lỗ hổng bảo mật mới nổi và khả năng bị khai thác đang tăng lên theo cấp số nhân. Các quy trình và chính sách của tổ chức cần tạo ra sự linh hoạt và tốc độ để tổ chức có thể xoay chuyển và phản ứng nhanh chóng và tự động với các mối đe dọa mới xuất hiện”, Robert Smallwood, phó chủ tịch công nghệ tại General Dynamics (GDIT) cho biết.

Các tổ chức đã tụt hậu hoặc thậm chí hoàn toàn bỏ bê quy trình làm mới và hiện đại hóa doanh nghiệp có nguy cơ bị gánh một khoản nợ kỹ thuật có thể mở rộng bề mặt tấn công của mạng.

Smallwood lưu ý, nhiều doanh nghiệp tiếp tục vật lộn với các chính sách cứng nhắc và lỗi thời trong khi không tận dụng được lợi thế của các môi trường phức hợp kết hợp tự động tạo nên một mạng lưới hiện đại. “Ngoài ra, nhiều tổ chức cung cấp các ngoại lệ về chính sách cho các giao thức hoặc thiết bị cũ mà không cung cấp đầy đủ các biện pháp giảm thiểu mối đe dọa, phá vỡ các biện pháp bảo mật như xác thực đa yếu tố”, ông nói thêm.

Các quá trình quan trọng cần được xem xét thường xuyên như một nhiệm vụ quản lý cơ bản. “Khi các thay đổi tác động đến mạng được thực hiện, các quy trình và chính sách liên quan cần được đánh giá”, Smallwood nói. Đối với một số tổ chức, điều này có thể yêu cầu đánh giá tất cả các quy trình liên quan đến mạng. “Trong những trường hợp như vậy, tốt nhất bạn nên bắt đầu với các phương pháp quản lý dịch vụ CNTT điển hình của bạn … cũng như bất kỳ quy trình nào phụ thuộc nhiều vào các hoạt động thủ công.”

4. Tấn công man-in-the-middle

Trong một cuộc tán công man-in-the-middle (MTM), bên thứ ba chặn giao tiếp giữa hai bên để nghe trộm hoặc thay đổi dữ liệu đã trao đổi. Đó là một nhiệm vụ có thể được thực hiện theo một số cách, chẳng hạn như giả mạo địa chỉ IP, sử dụng máy chủ proxy độc hại hoặc thông qua nghe trộm Wi-Fi.

Một cuộc tấn công MTM có thể tương đối đơn giản, chẳng hạn như lấy trộm thông tin đăng nhập để đánh cắp tên người dùng và mật khẩu. Ở cấp độ cao hơn, MTM có thể được sử dụng để tạo ra một phương thức phụ tinh vi chuyển hướng nạn nhân đến một trang web không có thật, nhưng có tính thực tế cao được thiết kế để đạt được một mục tiêu bất chính cụ thể.

Dưới bất kỳ hình thức nào của nó, một cuộc tấn công MTM có thể rất tàn khốc, vì một khi bên trong mạng, kẻ xâm nhập có thể tấn công theo chiều ngang, bắt đầu từ một phần của mạng sau đó phát hiện ra các lỗ hổng sẽ cho phép chúng di chuyển sang các khu vực khác.

“Vì những kẻ tấn công đang đăng nhập bằng thông tin xác thực ‘hợp lệ’, thường rất khó phát hiện sự xâm nhập, vì vậy chúng có thời gian để tiến sâu hơn vào mạng”, Benny Czarny, Giám đốc điều hành của OPSWAT, một công ty chuyên bảo vệ các mạng cơ sở hạ tầng quan trọng cho biết.

Keatron Evans, nhà nghiên cứu bảo mật chính tại công ty đào tạo bảo mật Infosec Institute, cho biết các cuộc tấn công MTM thường bị bỏ qua và đánh giá thấp. Ông nói: “Mọi người nghĩ rằng [mối đe dọa] có thể được khắc phục bằng cách mã hóa dữ liệu trong quá trình vận chuyển, nhưng điều này chỉ giải quyết một phần nhỏ của vấn đề.

Một quan niệm sai lầm khác là các mối đe dọa dựa trên mạng sẽ biến mất một cách kỳ diệu ngay sau khi một tổ chức chuyển sang dịch vụ đám mây. “Nó chỉ đơn giản là không đúng,” Evans cảnh báo. “Luôn siêng năng ngay cả khi bạn đã chuyển sang dịch vụ đám mây.”

Để ngăn chặn các cuộc tấn công MTM, Evans khuyên bạn nên bổ sung bảo mật dựa trên cổng với tính năng theo dõi DHCP và kiểm tra Giao thức phân giải địa chỉ động (DARP), cũng như nâng cấp lên IPv6 càng sớm càng tốt. Ông cũng đề xuất thay thế ARP, một trong những yếu tố kích hoạt chính của các cuộc tấn công dựa vào người trung gian dựa trên mạng, bằng một giao thức mới hơn có tên là Neighbor Discovery Protocol (NDP).

5. Xâm phạm email doanh nghiệp

Thỏa hiệp email doanh nghiệp (BEC) là một mối đe dọa mạng nghiêm trọng mà các doanh nghiệp thuộc mọi quy mô trong tất cả các ngành phải đối mặt. Jonathan Hencinski, giám đốc phát hiện và ứng phó mối đe dọa tại Expel, một công ty phát hiện và ứng phó với an ninh mạng được quản lý cho biết: “Khi các công ty ngày càng áp dụng các chính sách truy cập có điều kiện, chẳng hạn như đăng nhập một lần, gian lận BEC tăng lên về phạm vi tiếp cận và ảnh hưởng đến tài chính.”

Các cuộc tấn công BEC dẫn trực tiếp đến thỏa hiệp thông tin xác thực. Kiểu tấn công khó phát hiện nhất là kiểu tấn công mà kẻ tấn công xâm nhập qua cửa trước với thông tin xác thực hợp lệ. Những kẻ tấn công BEC sử dụng VPN và các nhà cung cấp dịch vụ lưu trữ để vượt qua các chính sách truy cập có điều kiện.

Hencinski nói: “Một cách tiếp cận phổ biến đối với những kiểu tấn công này là sử dụng các giao thức truyền thống để bỏ qua xác thực đa yếu tố (MFA) trong Office 365. Một khi kẻ tấn công đã xâm nhập thông tin đăng nhập và đang ở trong mạng, chúng có thể có quyền truy cập vào các biện pháp kiểm soát quan trọng và thông tin nhạy cảm trong toàn tổ chức.”

Các cuộc tấn công BEC có thể tấn công bất kỳ mạng nào bất kỳ lúc nào. “Kể từ năm 2019, chúng tôi đã thấy việc sử dụng các dịch vụ VPN và các nhà cung cấp dịch vụ hosting để truy cập các tài khoản bị xâm phạm đã tăng 50%. Việc sử dụng các dịch vụ này cho phép những kẻ tấn công bỏ qua các chính sách truy cập có điều kiện từ chối đăng nhập từ các quốc gia nhất định bằng các geo-IP record.”

Phát hiện các nỗ lực BEC là một quá trình ba bước đơn giản. “Bước đầu tiên là kiểm tra e-mail để ngăn chặn và phát hiện các e-mail lừa đảo đang cố đánh cắp thông tin đăng nhập của nhân viên và phát hiện khi nào kẻ đe dọa sử dụng tài khoản của nhân viên để gửi e-mail lừa đảo”, Hencinski nói. Bước thứ hai là giám sát xác thực để phát hiện việc sử dụng thông tin đăng nhập bị đánh cắp. “Thứ ba là giám sát tài khoản để phát hiện các dấu hiệu đặc trưng của việc tiếp quản tài khoản BEC.”

6. Mở rộng tràn lan các công cụ

Sự lan rộng của các công cụ, với các nhà lãnh đạo CNTT và mạng đang vật lộn để quản lý hàng chục công nghệ bảo vệ mạng khác nhau, có thể khiến mục tiêu trở thành một doanh nghiệp chống tấn công khó đạt được hơn. Amit Bareket, Giám đốc điều hành và đồng sáng lập của nhà cung cấp dịch vụ an ninh mạng Perimeter81, cảnh báo về sự phức tạp trên không gian mạng gây ra bởi sự tràn lan của công cụ và thiếu quản lý an ninh mạng dễ dàng.

Bareket chỉ ra một nghiên cứu mà tổ chức của ông thực hiện gần đây cho thấy rằng 71% CIO và các giám đốc điều hành có liên quan tin rằng số lượng lớn các công cụ mạng khiến việc phát hiện các cuộc tấn công đang hoạt động hoặc bảo vệ chống lại các vi phạm dữ liệu trở nên khó khăn hơn.

Keith Mularski, giám đốc điều hành an ninh mạng tại EY Consulting, nói rằng việc tuân thủ các quy tắc bảo mật cơ bản vẫn là cách tốt nhất để bảo vệ khỏi tất cả các loại mối đe dọa mạng. “Cô lập các hệ thống và mạng quan trọng của sứ mệnh khỏi Internet và kiểm soát chặt chẽ ai hoặc những gì có quyền truy cập”, ông khuyên.

Không tin tưởng gì và phân đoạn mọi thứ trên các hệ thống hoạt động của bạn, Mularski khuyến nghị. “Hãy đảm bảo rằng bạn tránh” sự tin tưởng ngầm “– mọi thứ và mọi người truy cập vào mạng của bạn phải được xác thực, bất kể họ ở đâu, khi họ truy cập hay họ là ai.” Để nâng cao khả năng chuẩn bị, Mularski cũng đề xuất chạy các mô phỏng theo lịch trình. “Giống như một vận động viên, bạn muốn đội của mình tăng cường trí cơ bắp của họ và thực hiện các quy trình phản ứng nhanh chóng và trực quan hơn trong trường hợp vi phạm hoặc sự cố.”

Nguồn: 6 top network security threats and how to beat them

Tags: ,