Những điểm chính rút ra từ báo cáo về vi phạm dữ liệu 2022 của Verizon

Những điểm chính rút ra từ báo cáo về vi phạm dữ liệu 2022 của Verizon

July 4, 2022 | vietsunshine

Hàng năm, tôi hồi hộp chờ đợi bản Báo cáo Điều tra Vi phạm Dữ liệu của Verizon (DBIR) được công bố. Năm nay báo cáo là một thánh địa ảo, thu hút khán giả trên toàn thế giới là những người thực hành bảo mật. Chúng ta tận hưởng những hiểu biết sâu sắc và phân tích của nó về các sự cố và vi phạm an toàn thông tin.

Nặng về dữ liệu thu thập được từ các cuộc điều tra thực tế, chắc chắn nó có thể hơi khô khan. Nhưng Verizon DBIR không chỉ là một bộ sưu tập các số liệu thống kê. Nó giúp chúng tôi hiểu rõ hơn về dã tâm của tội phạm mạng cũng như các chiến thuật, kỹ thuật và thủ tục mà chúng đang sử dụng hàng ngày. Nó cũng tham chiếu đến các ấn bản trước để giúp chúng tôi hiểu được bối cảnh mối đe dọa đã thay đổi như thế nào theo thời gian. Đó là một tài sản vô cùng quý giá mà tôi khuyến khích bạn chia sẻ với những người còn lại trong nhóm CNTT và bảo mật của bạn để tập trung nỗ lực bảo mật và củng cố khả năng phòng thủ của bạn.

Đây là những điểm nổi bật khiến tôi ngạc nhiên.

Tập trung vào việc lạm dụng và sử dụng sai đặc quyền

Báo cáo của Verizon chỉ ra nhiều mối nguy hiểm bắt nguồn từ việc lạm dụng và sử dụng sai đặc quyền, bao gồm quản trị viên triển khai bản vá không đúng cách, người trong cuộc làm điều gì đó độc hại hoặc tội phạm mạng từ bên ngoài đánh cắp dữ liệu hoặc cài đặt ransomware. Báo cáo của Verizon cho chúng tôi biết rằng gần 40% các sự cố bên ngoài liên quan đến các đối tác kinh doanh. Các công ty tin tưởng các nhà cung cấp và đối tác có quyền truy cập đặc quyền vào hệ thống. Do việc tăng cường thuê ngoài cho các vai trò khó lấp đầy với các ứng viên đủ tiêu chuẩn, họ đang trao quyền truy cập nhiều hơn cho các bên thứ ba. Do đó, các nhà cung cấp, nhà thầu, đối tác và các bên thứ ba khác có thể gây ra nhiều thiệt hại hơn và thường hoạt động mà không bị phát hiện.

Chúng ta cũng đang trải qua đợt di cư nhân tài lớn nhất trong lịch sử và cùng với đó là nguy cơ gia tăng từ những người trong cuộc có đặc quyền, những người biết cách hệ thống hoạt động và nơi áp dụng các biện pháp kiểm soát bảo mật. Các quy trình phải đảm bảo thông tin đăng nhập và dữ liệu không rời khỏi tổ chức với nhân viên cũ. Có khả năng hiển thị đầy đủ quyền truy cập của họ và khả năng vô hiệu hóa tất cả bằng cách nhấn nút hoặc reset tất cả mật khẩu tài khoản của họ là rất quan trọng.

Yếu tố con người là chìa khóa để giảm thiểu rủi ro

Cho dù bảo mật là công việc hàng ngày của chúng ta hay chúng ta là người dùng cuối “thông thường”, tất cả chúng ta đều không thể tránh khỏi. Tội phạm mạng sẽ tiếp tục khai thác những sai lầm rất con người của chúng ta. Bằng cách mang tới cho mọi người các giải pháp bảo mật có thể sử dụng giúp họ làm việc hiệu quả, bạn sẽ tăng khả năng họ áp dụng các phương pháp bảo mật tốt nhất và giảm các lỗi thủ công.

Chú ý đến việc bảo mật tất cả các điểm người dùng xâm nhập bằng điều khiển truy cập từ xa an toàn, MFA và quản lý chính sách tập trung, dựa trên vai trò. Điều đó nói lên rằng, không có công nghệ bảo mật nào có thể thay thế được nhu cầu đào tạo nhận thức về bảo mật liên tục.

Các lớp phòng thủ phải củng cố tất cả các con đường dẫn đến những viên ngọc vương miện

Các tổ chức có rất nhiều sự xâm nhập dẫn đến các hệ thống và dữ liệu nhạy cảm. Mỗi thứ đều là một phương tiện tấn công tiềm ẩn và lời khuyên của Verizon là hãy củng cố tất cả chúng.

Thông tin đăng nhập bị xâm phạm dẫn đến các cuộc tấn công ransomware, đã chứng kiến sự gia tăng vào năm 2021 lớn bằng 5 năm qua cộng lại.

Thông tin xác thực rất dễ lấy. Việc giả dạng một nhân viên hợp pháp giúp tội phạm mạng theo nhiều cách, chẳng hạn như tránh bị phát hiện. Tội phạm mạng sử dụng thông tin xác thực để có quyền truy cập ở biên giới mạng của bạn, trên máy trạm của người dùng, thiết bị mạng, máy chủ, bộ điều khiển miền và các ứng dụng đặc quyền. Sự tập trung gần đây vào việc triển khai kiến trúc Zero Trust làm giảm nguy cơ xâm phạm thông tin xác thực. Nó giới hạn quyền truy cập theo Nguyên tắc Ít Đặc quyền nhất và đảm bảo người dùng là chính họ.

Lừa đảo là món quà không ngừng trao tặng.

Làm việc từ xa đã làm gia tăng bề mặt tấn công và việc thiếu vệ sinh an ninh cho các mạng gia đình so với văn phòng tạo ra nhiều cơ hội hơn cho các cuộc tấn công mạng. Một lần nữa, thỏa hiệp thông tin xác thực và tiếp quản điểm cuối là các chiến thuật giúp tội phạm mạng di chuyển theo chiều dọc đến mạng máy chủ và sau đó di chuyển ngang giữa các máy chủ, săn lùng dữ liệu.

Các lỗ hổng phần mềm mở ra cánh cửa cho bọn tội phạm mạng.

Việc vá lỗi thường xuyên để đóng các lỗ hổng bảo mật đã biết để duy trì sức khỏe và bảo mật cơ bản của hệ thống, ứng dụng và dữ liệu của bạn. Xếp lớp các kiểm soát PAM bổ sung như nâng cao đặc quyền và MFA có thể ngăn chặn chuyển động theo chiều dọc hoặc ngang sau đó khi tội phạm mạng xâm phạm thông tin xác thực. Các khả năng PAM dựa trên ngữ cảnh trưởng thành hơn như phân tích hành vi thời gian thực và học máy có thể phát hiện các tình huống như khai thác zero-day trong đó các quy tắc tĩnh không thành công.

Cảnh báo sớm và phản ứng nhanh là chìa khóa để phục hồi kinh doanh

Nhanh chóng phát hiện ra một vi phạm mang lại nhiều cơ hội hơn để ngăn chặn và giảm thiểu sự cố. Về mặt tích cực, theo Báo cáo của Verizon, các tổ chức thường phát hiện các vi phạm trong vài ngày chứ không phải vài tháng. Rất tiếc, việc kiểm soát bảo mật không phát hiện ra cảnh báo. Thay vào đó, Verizon cho biết, các kẻ đe dọa đang tiết lộ nỗ lực của họ bằng cách để lại ghi chú ransomware cho nạn nhân hoặc khi bán dữ liệu trên các diễn đàn tội phạm trên Dark Web.

Công nghệ vẫn có thể giúp ích. Nó có thể ngăn chặn hoặc cản trở tiến trình thông qua đặc quyền ít nhất và MFA được áp dụng tại nhiều cổng kiểm soát truy cập và với phân tích hành vi phát hiện và cảnh báo nhanh hơn về hoạt động bất thường. Ví dụ: nếu vi phạm được phát hiện, là một phần của kế hoạch ứng phó sự cố, bạn có thể tự động thay đổi tất cả mật khẩu, triển khai các lớp MFA hoặc phê duyệt bổ sung, hoặc thậm chí thu hồi toàn bộ quyền truy cập vào các hệ thống quan trọng cho đến khi vi phạm được giải quyết và pháp y xác định ransomware hoặc các vấn đề khác đã được loại bỏ.

Tội phạm mạng mặc vest

Các nhóm tội phạm mạng là những cỗ máy được bôi trơn. Họ điều hành như một doanh nghiệp, với sự chú ý của P&L. Chúng tôi đã thấy sự thay đổi từ các cuộc tấn công cơ hội sang một mô hình tội phạm có tổ chức hơn. Các nhóm có thể làm việc liên tục, làm việc trên các dự án để cung cấp trong khung thời gian cụ thể cho khách hàng. Họ đầu tư tiền vào các chương trình, tài trợ phát triển, mua lại mục tiêu, các kênh phân phối email và nội dung cũng như vào các phương pháp như ransomware để kiếm tiền từ dữ liệu mà họ xâm phạm. Với các kế hoạch dự án đã xác định và các nhóm chuyên gia làm việc trên các nhiệm vụ cố định trong chuỗi tấn công, việc đặt các chướng ngại vật trên đường đi của họ (như đã đề cập ở trên, chẳng hạn như MFA), có thể phá vỡ chuỗi đó.

Tôi khuyến khích bạn sử dụng một hoặc hai giờ trong lịch trình bận rộn của mình để quét qua Verizon DBIR 2022. 

Như Verizon DBIR 2022 lưu ý “bằng cách hiểu các giao dịch liên quan đến hệ sinh thái này, chúng ta có thể hiểu các bước chính liên quan đến các cuộc tấn công và hợp tác làm việc để làm cho các giao dịch đó trở nên khó khăn hơn, tốn kém hơn hoặc không bền vững đối với những kẻ tấn công muốn phá vỡ bảo mật và xâm phạm dữ liệu và hoạt động của chúng ta . ”

Lược dịch theo bài viết “Key Takeaways from the Verizon Data Breach Investigations Report 2022của Tony Goulding.

Xem thêm: Data Breach Investigations Report 2022

Tags: , ,