An toàn trước các cuộc tấn công APT?

Mối đe dọa dai dẳng tiên tiến APT (Advanced Persistent Threat) đang ngày càng gia tăng về số lượng và mức độ nghiêm trọng. Đây là một kiểu tấn công mạng, trong đó kẻ tấn công chọn một mục tiêu cụ thể, sử dụng kỹ thuật xã hội và các công nghệ tiên tiến để đột nhập vào một mạng và sau đó tập trung vào các mục tiêu đó trong nhiều tuần, nhiều tháng hoặc nhiều năm cho đến khi cuộc tấn công thành công (hoặc bị cản trở). Một khi vào được bên trong mạng, kẻ tấn công phải duy trì để không bị phát hiện, trong khi sử dụng một số loại phần mềm độc hại để lấy cắp thông tin bí mật, gửi đến một địa điểm khác để phân tích và sau đó bán những thông tin này trên thị trường “chợ đen”.

Theo một báo cáo mới về Persistent Threat Awareness của Hiệp hội ISACA (The Information System Audit and Control Association) -  một tổ chức các chuyên gia quản trị thông tin, kiểm soát, bảo mật và kiểm toán, ước tính 92% những người được hỏi cảm thấy APT là một mối đe dọa nghiêm trọng; 66% nghĩ rằng chỉ là vấn đề thời gian trước khi bị tấn công bởi APT, trong khi 20% đã trải qua một cuộc tấn công APT trong những năm gần đây; 75% cho rằng thách thức lớn nhất hiện nay là công tác phòng lây nhiễm loại phần mềm độc hại này.

APT - Kỹ thuật tấn công tinh vi …

Các chuyên gia cho rằng, điều đặc biệt nguy hiểm của tấn công APT là hacker có thể tạo ra phần mềm độc hại riêng cho từng mục tiêu cụ thể, ủ bệnh rất lâu, thậm chí có những loại phần mềm độc hại có hành vi thể hiện rất ít nên cực kỳ khó phát hiện, kể cả khi chạy kiểm thử trong môi trường giả lập Sandbox. Với những loại phần mềm độc hại này, giải pháp truyền thống dựa trên phân tích  chữ ký (signature) trở nên bất lực trong việc phát hiện và ngăn chặn.

Chiêu thức đánh lừa sử dụng kỹ thuật xã hội (social engineering) thông qua email hay website có chứa mã độc vẫn được tin tặc dùng nhiều và rất hiệu quả. Việc truy tìm tin tặc không hề dễ, hơn nữa tội phạm tấn công mạng và nạn nhân thường không cùng một quốc gia nên càng gây khó cho các cơ quan thực thi pháp luật.

Có thể thấy kỹ thuật tấn công APT rất tinh vi và ngày càng khó lường. Theo đánh giá của hãng bảo mật nổi tiếng thế giới Kaspersky Lab, có 3 mối đe dọa nguy hiểm APT: Metel , Adwind và Poseidon, và được nhắm vào các tổ chức, đặc biệt là những tổ chức tài chính.

Khảo sát của FireEye phát hiện rằng, các cuộc tấn công APT tại khu vực châu Á – Thái Bình Dương vào nửa cuối năm 2015 là nhằm vào chính phủ Liên bang (48%), ngành giải trí truyền thông và du lịch khách sạn (38%), công nghiệp công nghệ cao (33%), ngành sản xuất (29%), ngành năng lượng và dịch vụ công cộng (29%), Nhà nước và chính quyền địa phương (28%), ngành dịch vụ và tư vấn (25%), ngành dịch vụ tài chính (20%)…

… và gây thiệt hại nặng nề

Đơn cử một ví dụ về APT là: các vụ thất thoát dữ liệu quan trọng xảy ra với RSA, Citibank, Google Payment, Home Depot, eBay, JPMorgan … hay vụ hãng phim Sony Pictures bị hacker tấn công vào cuối năm 2014 gây thiệt hại hàng tỷ đô la Mỹ, hay gần đây nhất là Văn phòng Quản lý nhân sự (OMP) Mỹ, với khoảng 22 triệu công chức đã bị đánh cắp thông tin cá nhân. …

Mức độ tổn thất tài chính, có thể thấy là rất lớn. Chẳng hạn, Sony Pictures Entertainment đã chi hàng nhiều triệu USD để khắc phục vấn đề, bao gồm một quỹ 2 triệu USD để bồi hoàn cho chi phí các nạn nhân khi bị lộ danh tính (khoảng 1000 USD/1 người). Ngoài ra, Sony cũng phải trả 10.000 USD cho những người có liên quan bị thiệt hại sau vụ tấn công, tổng mức chi cho hạng mục này khoảng 2,5 triệu USD. Không những vậy, chi phí cho luật sư cũng phải do phía Sony chi trả với số tiền gần 3,5 triệu USD. Tổng chi phí phục hồi ước tính lên tới 100 triệu USD.

Không gian mạng đang ngày càng không an toàn, bởi bọn tội phạm mạng liên tục phát triển các cuộc tấn công APT cũng như nhiều các cuộc tấn công mạng khác, và chúng không chỉ nhắm đến các tổ chức/doanh nghiệp lớn mà cả các doanh nghiệp nhỏ và vừa. Nghiên cứu do Kaspersky Lab và B2B International thực hiện chỉ rõ, tổn thất về tài chính của doanh nghiệp nhỏ và vừa do các cuộc tấn công mạng gây ra tiếp tục tăng. Năm 2015, trung bình thiệt hại sau mỗi vụ là 38.000 USD. Con số này bao gồm chi phí thuê chuyên gia xử lý hậu quả, mất cơ hội kinh doanh và tổn thất do trì hoãn công việc.

Những chi phí khổng lồ để khắc phục hậu quả sau tấn công cho thấy mức độ nghiêm trọng của các cuộc tấn công an ninh mạng nói chung và tấn công APT nói riêng. Do đó, nếu không thay đổi, cập nhật phương thức bảo mật hiện có, các tổ chức/doanh nghiệp sẽ phải đối mặt với nguy cơ thiệt hại khó lường.

An toàn trước các cuộc tấn công APT?

Câu hỏi này là một vấn đề “lớn và nóng” của tất cả các tổ chức/doanh nghiệp, bởi theo các chuyên gia thì những biện pháp bảo vệ ngày nay là không đủ để đối phó với tấn công mạng hiện đại. Nguyên nhân là vì các giải pháp an ninh được triển khai thường độc lập với nhau. Do đó, để giảm thiểu nguy cơ bị tấn công có chủ đích thì các giải pháp an ninh mạng phải được kết hợp chặt chẽ, nhằm phát hiện sớm và phản ứng nhanh.

Dưới đây là 5 cách bảo vệ doanh nghiệp/tổ chức chống lại các cuộc tấn công APT. 

1. Phòng thủ theo chiều sâu

Các chuyên gia an ninh nhấn mạnh sự cần thiết của an ninh theo lớp hay phòng thủ theo chiều sâu như là một phần của một chiến lược an ninh mạng thường xuyên. Đây cũng là một trong những phương pháp tốt nhất để ngăn chặn một APT trước khi nó xâm nhập mạng. Điều này có nghĩa là kiểm soát các lối vào và lối ra mạng, sử dụng tường lửa thế hệ tiếp theo, triển khai các hệ thống phát hiện/ ngăn chặn xâm nhập và hệ thống quản lý sự kiện và thông tin bảo mật (SIEM- Security Information and Event Management), triển khai hệ thống quản lý lỗ hổng dễ bị xâm phạm, sử dụng xác thực mạnh mẽ và quản lý danh tính, luôn cập nhật bản vá bảo mật và thực hiện bảo vệ thiết bị đầu cuối.

Nhìn chung, mục tiêu của một chiến lược phòng thủ an ninh là làm cho việc xâm nhập vào mạng ngay từ đầu là khó khăn. Mỗi lớp bảo mật bổ sung sau đó phải đặt ra một rào cản khó hơn nữa, hoặc chặn đứng sự lan rộng của cuộc tấn công hoặc làm chậm tốc độ tấn công để có đủ thời gian phát hiện và xử lý. Bởi vì những kẻ tấn công liên tục cập nhật các công cụ của chúng và tìm kiếm các lỗ hổng mới – lỗ hổng lớp bảo vệ - nên các công cụ và giải pháp bảo mật hiện tại của bạn cần phải đủ mạnh.

Trên thực tế, số tiền đầu tư để đảm bảo an toàn trước các mối đe dọa APT là rất lớn. Nghiên cứu của The Radicati Group thực hiện năm 2015 cho biết, các tổ chức/doanh nghiệp đã phải chi hơn 1,9 tỉ đô la cho các giải pháp ngăn chặn tấn công APT, và dự kiến đến năm 2019, con số này sẽ vượt 6,7 tỷ đô la.

Tuy nhiên, cũng có những giải pháp bảo mật tốt mà không cần phải trả tiền. Ví dụ,  Enhanced Mitigation Experience Toolkit của Microsoft (EMET) - một tiện ích giúp ngăn ngừa các lỗ hổng trong phần mềm bị khai thác thành công - là một công cụ bảo mật dựa trên Windows miễn phí để bổ sung cho việc phòng thủ an ninh hiện nay, nhằm giúp phát hiện và ngăn chặn các kỹ thuật khai thác lỗ hổng. Hay dịch vụ SecurityIQ của Viện InfoSec cho phép gửi các email lừa đảo tới nhân viên để kiểm tra nhận thức an ninh của họ. Ngoài ra, các chính sách an ninh nội bộ mạnh mẽ và việc đánh giá rủi ro và bảo mật thường xuyên cũng rất quan trọng để đảm bảo rằng việc kiểm soát an ninh được tập trung tại nơi quan trọng nhất.

2. Sử dụng các kỹ thuật theo dõi và phát hiện

Giám sát và kiểm soát an ninh chặt chẽ giúp xác định các dấu hiệu cảnh báo sớm của một cuộc tấn công APT. Bởi các cuộc tấn công này thường bị phát hiện khi log file hay sự bất bình thường của lưu lượng dữ liệu và các hoạt động khác. Điều này là cực kỳ quan trọng để theo dõi tất cả các giao dịch ra/vào mạng, lưu lượng nội bộ và tất cả các thiết bị truy cập mạng. Việc liên tục giám sát không chỉ giúp phát hiện hoạt động đáng ngờ càng sớm càng tốt, mà còn làm giảm khả năng leo thang đặc quyền hoặc xâm nhập dài hạn. Và những thông tin giám sát có thể là bằng chứng pháp lý nếu xảy ra một cuộc tấn công như vậy. 

3. Sử dụng dịch vụ Threat intelligence

Theo định nghĩa của Gartner, Threat intelligence là kiến thức dựa trên bằng chứng, bao gồm ngữ cảnh, cơ chế, chỉ số, các tin tức liên quan về một mối đe dọa hoặc nguy cơ đang hiện diện đối với tài sản – có thể được sử dụng để đưa ra quyết định phản ứng xử lý đối với mối đe dọa đó. Còn SANS cho rằng Threat intelligence là tập hợp dữ liệu thu thập được, định mức và áp dụng đối với mối đe dọa bảo mật, nhân tố đe dọa, khai thác, mã độc, lỗ hổng và các chỉ số xâm hại.

Một số hãng bảo mật cung cấp các dịch vụ Threat intelligenca, trong đó dữ liệu thô về các mối đe dọa đang nổi lên được thu thập từ nhiều nguồn khác nhau, và sau đó phân tích và lọc để tạo ra thông tin hữu ích có thể dùng được. Các thông tin này thường là nguồn dữ liệu cho hệ thống kiểm soát an ninh, cũng như các báo cáo cho các cấp quản lý để giúp họ hiểu được viễn cảnh mối đe dọa an ninh mạng. Chìa khóa của Threat intelligence là tương quan của tình báo toàn cầu với các mối đe dọa tới mạng riêng của một tổ chức, giúp nhân viên an ninh có khả năng nhanh chóng xác định và giải quyết các mối đe dọa có nguy cơ cao trong thời gian thực.

APT có thể lây lan bằng các phương pháp khác nhau, và có thể tập trung vào các lỗ hổng mà các công ty bảo mật chưa từng biết đến, vì vậy dịch vụ Threat intelligence là cần thiết để nhận biết dấu hiệu của một cuộc tấn công APT sớm nhất có thể. 

4.  Đào tạo nhận thức về bảo mật

Gần như mọi cuộc thảo luận về an ninh CNTT đều đề cập đến sự cần thiết phải đào tạo nâng cao nhận thức an ninh, bởi đây được xem là một giải pháp hiệu quả. Do đó, việc yêu cầu nhân viên hiểu những nguy hiểm khi nhấp vào liên kết nghi ngờ trong email và các kỹ thuật lừa đảo qua mạng xã hội (social engineering) là cần thiết, thậm chí coi nhân viên như các đối tác trong cuộc chiến chống lại các mối đe dọa an ninh, sẽ giúp bảo vệ các mạng lưới và các dữ liệu cho các tổ chức và doanh nghiệp.

Việc đào tạo này là một trong những yêu cầu để đánh giá nhanh một chính sách bảo mật của tổ chức, cũng như hậu quả và hành động mà mỗi nhân viên có thể để lại trước một sự cố an ninh. Điều này có thể giúp các tổ chức/doanh nghiệp đưa ra những quyết định phê bình hoặc sa thải nhân viên ngay lập tức, tùy thuộc vào từng hoàn cảnh cụ thể. Do đó, đào tạo và nâng cao nhận thức an ninh cho nhân viên là giải pháp đảm bảo an toàn mạng tốt nhất trong tình hình tội phạm mạng ngày càng gia tăng và diễn biến phức tạp hiện nay. 

5. Kế hoạch ứng phó những sự cố

Ngay cả với những nỗ lực tốt nhất về công nghệ và ngân sách dành cho an ninh, một tổ chức vẫn có thể là mục tiêu của những vi phạm bảo mật. Các chuyên gia cho rằng, vấn đề không phải là “nếu” mà là “khi nào” bị tấn công. Do đó, thực hiện một kế hoạch ứng phó sự cố vững chắc có thể ngăn chặn một cuộc tấn công, giảm thiểu thiệt hại và ngăn chặn rò rỉ dữ liệu, và tất cả điều này là nhằm giảm thiểu thiệt hại danh tiếng, thương hiệu cho các tổ chức/doanh nghiệp.

Ngoài  ra, việc làm rõ vai trò trách nhiệm của từng hoạt động truy nhập mạng, từ việc xác định thông qua các cách giải quyết, kế hoạch ứng phó sự cố cho tới các bước để bảo quản chứng cứ pháp lý của việc vi phạm là cần thiết. Hơn nữa, tổ chức/doanh nghiệp có thể cần bằng chứng đó để truy tố một kẻ tấn công mạng của mình nếu “may mắn” bắt được chúng.

Kế hoạch ứng phó sự cố cũng giúp đội ngũ an ninh xác định khoảng cách an toàn để tăng cường kiểm soát và ngăn ngừa tái phát sự cố bảo mật. Đồng thời, biết được cách xác định mục tiêu của một kẻ tấn công và sự di chuyển qua các giai đoạn của một cuộc tấn công có thể giúp nhân viên an ninh sớm nhận ra một cuộc tấn công mạng.

Mọi tổ chức/doanh nghiệp, bất kể quy mô, đều rất dễ dàng bị tấn công APT. Hiểu cách APT hoạt động, xây dựng hệ thống phòng thủ tốt nhất và đào tạo nhận thức an ninh cho nhân viên sẽ hạn chế được thiệt hại, và trong một số trường hợp, còn có thể ngăn chặn thành công loại tấn công này.