Những bài học rút ra từ cuộc tấn công mạng APT vào SingHealth

05:28 PM 24/08/2018 In bài viết

Vào ngày 20/7/2018, truyền thông đã đưa tin hệ thống y tế của Singapore bị tấn công bởi cuộc tấn công mạng dữ liệu cá nhân nghiêm trọng nhất của quốc gia. Tổng cộng có 1,5 triệu dữ liệu cá nhân của bệnh nhân của SingHealth đã bị đánh cắp, trong khi 160.000 người có đơn thuốc đã bị đánh cắp, trong đó có thông tin đơn thuốc của Thủ tướng Singapore Lý Hiển Long và một số Bộ trưởng.

Vào ngày 3/8/2018, chính phủ Singapore tiết lộ rằng cuộc tấn công do nhóm APT (Advanced Persistent Threat) thực hiện, có thể được nhà nước bảo trợ. Nhóm tấn công như vậy được xem là  nhóm những kẻ tấn công tinh vi, thực hiện các chiến dịch mạng mở rộng được lập kế hoạch kỹ lưỡng để lấy cắp thông tin hoặc làm gián đoạn các hoạt động.

Những kẻ tấn công đã sử dụng các công cụ tiên tiến và tinh vi, bao gồm phần mềm độc hại tùy chỉnh có thể tránh được các công cụ bảo mật và phần mềm độc hại của nhà cung cấp dịch vụ chăm sóc sức khỏe SingHealth. Một khi chúng thâm nhập họ vào hệ thống, chúng sẽ thực hiện các bước để duy trì trong hệ thống không bị phát hiện trước khi đánh cắp các thông tin của bệnh nhân.

Tim Liu, Giám đốc Công nghệ Hillstone Networks, công ty cung cấp các giải pháp bảo mật mạng sáng tạo, đã được chứng minh và hiệu quả cho hơn 15.000 khách hàng trên toàn thế giới và các chuyên gia đã có những trao đổi đáng chú ý xung quanh vụ tấn công vào SingHealth.

Trong cuộc tấn công mạng SingHealth, các tổ chức ở châu Á cần biết gì về APT?

Theo Giám đốc Công nghệ Hillstone Networks, APT tiếp tục là một trong những mối đe dọa hàng đầu của các cơ quan chính phủ, các tổ chức y tế và các doanh nghiệp (DN) lớn. Các tổ chức này có tài sản giá trị thu hút sự chú ý của tổ chức tội phạm mạng và các quốc gia của quốc gia. Các tổ chức này nên tiếp tục đầu tư vào phát hiện APT và công nghệ phát hiện vi phạm để bảo vệ chống lại vi phạm dữ liệu

Singapore được bảo vệ tốt như thế nào? Singapore đang ở giai đoạn bảo mật tiên tiến và những bài học cần biết?

Giám đốc Công nghệ Hillstone Networks cho biết, nhìn chung, tình trạng an ninh mạng của Singapore được xếp ở vị trí hàng đầu trong số các quốc gia trong khu vực châu Á - Thái Bình Dương. Nhưng sự sẵn sàng bảo mật của các hệ thống khác nhau ở Singapore không ở cùng một mức độ. Singapore cần phải xác định những dữ liệu quan trọng và thận trọng trong việc bảo vệ dữ liệu này khỏi tin tặc.

An ninh mạng là trò chơi “mèo và chuột” và chúng ta sẽ cần phải rút kinh nghiệm từ vụ việc này và các vụ việc khác để tiếp tục xây dựng cơ chế phát hiện và bảo vệ sớm.

Một trong những điểm chú ý trong vụ việc xâm phạm dữ liệu tại SingHealth dẫn đến mất mất dữ liệu là tốc độ phát hiện sự xâm phạm. Điều này cho thấy cần thực hiện tốt quy trình phát hiện sự xâm phạm và xử lý sự cố.

Về ứng phó với APT, hiện tại chi tiết về cách thức xâm phạm xảy ra vẫn chưa được tiết lộ. Điều quan trọng là tìm ra nguyên nhân gốc rễ và các lỗ hổng trong khung bảo mật.

Trong những năm gần đây, dường như các cuộc tấn công không gian mạng ngày càng được quy cho các yếu tố mang tính nhà nước chứ không phải là các nhóm tội phạm hoặc tin tặc. Có phải vì các cuộc tấn công do nhà nước bảo trợ phổ biến hơn hay khả năng mạnh hơn?

Theo Giám đốc Công nghệ Hillstone Networks, những tiến bộ trong công nghệ phòng vệ trực tuyến mang lại khả năng mạnh mẽ hơn so với các cuộc tấn không xác định trước đây.

Tiến bộ trong phát hiện sớm sự xâm phạm và tấn công kiểu APT là điều cần thiết để các dấu vết của các cuộc tấn công có thể được lưu lại trước khi chúng bị mất theo thời gian. Hillstone Networks có bộ tập hợp pháp y để lưu giữ lại hiện trường tội phạm cho một khu vực rộng lớn hơn và trong một thời gian dài hơn, cũng như công nghệ phân tích dữ liệu tốt hơn để sàng lọc dữ liệu.

Cuối cùng nhưng không kém phần quan trọng, thông tin tình báo mối đe dọa cụ thể hơn đã cho phép khớp các đặc tính của các cuộc tấn công vào cơ sở dữ liệu các yếu tố đã được biết đến. Những tiến bộ này có tác động lớn hơn đối với các cuộc tấn công do quốc gia khởi động, bởi vì các cuộc tấn công này thường phức tạp hơn và trước đây khó theo dõi.

Chúng ta đã chứng kiến nhiều kịch bản tấn công có ý đồ phá hoại, chẳng hạn như cuộc tấn công ransomware gần đây vào Công ty Sản xuất bán dẫn Đài Loan (TSMC), buộc cơ sở sản xuất độc quyền các bộ vi xử lý cho điện thoại iPhone phải đóng cửa một số nhà máy.

Để tiến về phía trước, cần phải những biện pháp nào cho chính phủ, lĩnh vực chăm sóc sức khỏe và các tổ chức khác trong khu vực?

Giám đốc Công nghệ Hillstone Networks cho rằng hầu hết các sự cố bảo mật lớn gần đây đã dẫn đến mất dữ liệu. Tài sản dữ liệu có giá trị cao là các mục tiêu cao cấp cho các tin tặc hiện nay.

Các tổ chức cần xem xét khung bảo vệ mạng của họ theo một quan điểm khác: lấy dữ liệu làm trung tâm. Bắt đầu từ kiểm kê dữ liệu nhạy cảm, xác định cách dữ liệu đó được sử dụng thông qua vòng đời của nó, xác định sự phơi nhiễm của dữ liệu trước rủi ro và các cơ chế bảo mật cần thiết. Quan điểm lấy dữ liệu làm trung tâm nên được bổ sung vào khung công tác bảo mật hiện nay và cho các lớp bảo mật chống mất mát dữ liệu.

Trong khi đó, Giám đốc kỹ thuật các hệ thống của Commvault cho biết: "Các doanh nghiệp (DN) không nên rơi vào cái bẫy cho rằng dữ liệu ngoại tuyến là an toàn. Các DN vẫn phải kiểm soát và tiến hành kiểm thử một cách thích hợp được xem như một cách tiếp cận bảo mật toàn diện để đảm bảo quyền truy cập được ủy quyền”.

Trên thực tế, 70% dữ liệu là dữ liệu thứ cấp (secondary data) nhưng hầu hết các DN chỉ đầu tư vào việc bảo vệ dữ liệu chính hoặc trực tiếp. Một cách tiếp cận đơn giản, đầy đủ để bảo vệ và quản lý dữ liệu là cần thiết, nếu không thì liên kết yếu nhất (dữ liệu thứ cấp) - cho dù bị tấn công bởi kẻ tấn công hoặc bị lộ thông qua sự cố mất điện và kỹ thuật - sẽ bị chuyển đến một điểm truy cập dễ bị xâm phạm. Cuối cùng, tập trung bảo mật dữ liệu là yếu tố quan trọng để có thêm các cơ hội kinh doanh và tầm quan trọng của nó không bao giờ được bỏ qua.

Không có biện pháp đơn độc nào có thể nào có thể giảm thiểu tất cả rủi ro, nhưng khả năng phát hiện các mối đe dọa trong thời gian thực cùng với việc chấp nhận cách tiếp cận "dữ liệu làm trung tâm” có thể tăng thêm sức mạnh đáng tin cậy cho phòng thủ của tổ chức", Chủ tịch Micro Focus cho Châu Á - Thái Bình Dương và Nhật Bản Stephen McNulty trao đổi.

Trong một môi trường công nghệ rộng lớn và không đồng nhất, chẳng hạn như trong các chính phủ và DN, việc tìm kiếm sự cân bằng giữa bảo mật dữ liệu và khả năng sử dụng là một nhiệm vụ phức tạp. Mặc dù các bên sở hữu thông tin đang tìm cách khai thác sức mạnh dữ liệu và phát triển khả năng sử dụng dữ liệu để đạt được kết quả mong đợi tốt hơn, họ phải đảm bảo bảo mật từ đầu đến cuối, yêu cầu dữ liệu được bảo mật khi không sử dụng hoặc khi được sử dụng trên tất cả các môi trường.

Điều quan trọng là các chính phủ và DN phải xây dựng một chiến lược mạng tổng thể trải rộng trên môi trường CNTT truyền thống, khối lượng công việc ứng dụng hiện đại và các thiết bị thông minh. Chiến lược này phải bao gồm bảo mật danh tính, dữ liệu, ứng dụng, giám sát bảo mật nâng cao và phản hồi sự cố hiệu quả.

 “Ngày nay, CNTT mang đến khả năng đáng kinh ngạc cho xã hội và DN. Sự phát triển của các thành phố thông minh và các thiết bị Internet of Things (IoT) tương ứng chắc chắn sẽ mang lại giá trị và cải thiện đáng kể chất lượng cuộc sống của người dân. Tuy nhiên, điều này cũng có nghĩa là khi tin tặc và các cuộc tấn công mạng trở nên phức tạp hơn, chúng ta phải làm nhiều hơn để bảo vệ những gì quan trọng nhất - dữ liệu ”, McNulty cho biết thêm.

ML (Theo enterpriseinnovation.net, asiancorrespondent.com)