Bài học các doanh nghiệp cần rút ra từ vụ tấn công SolarWinds

Hạnh Tâm (tổng hợp)| 25/06/2021 07:41
Theo dõi ICTVietnam trên

Đến nay, hầu hết mọi người đều quen thuộc với cái tên SolarWinds nổi tiếng, một chiến dịch xâm nhập toàn cầu mà một lãnh đạo tại Microsoft gọi là: “một trong những sự kiện lan rộng và phức tạp nhất trong lịch sử an ninh mạng”.

Đại dịch toàn cầu khiến các doanh nghiệp (DN) phải thích ứng nhanh với mô hình làm việc từ xa. Động lực mới này buộc những người lao động phải sử dụng máy tính cá nhân của mình và truy nhập các mạng của công ty ở mọi nơi, trừ văn phòng. Điều này khiến cho các chuyên gia CNTT và chuyên gia bảo mật khá đau đầu vì các xu hướng đe dọa bảo mật mới.

Các cuộc tấn công mạng toàn cầu nhắm vào các tổ chức chính phủ và tập đoàn kể từ khi Covid-19 bắt đầu xuất hiện đã có sự gia tăng lớn. Đến nay, hầu hết mọi người đều quen thuộc với cái tên SolarWinds nổi tiếng, một chiến dịch xâm nhập toàn cầu mà một giám đốc điều hành của Microsoft gọi là: "một trong những sự kiện lan rộng và phức tạp nhất trong lịch sử an ninh mạng". Thiệt hại mà cuộc tấn công gây ra cho các DN lớn và các cơ quan chính phủ cấp cao là tương đương nhau. Điều này cho thấy các hệ thống phần mềm bảo mật tưởng chừng như an toàn cũng vẫn có nguy cơ bị tấn công.

Giữ an toàn cho các hệ thống nội bộ đồng thời đảm bảo thông tin cá nhân và dữ liệu nhạy cảm không bị vi phạm đã trở thành vấn đề quan trọng mà các DN vừa và nhỏ cũng như các DN lớn đang tìm cách giải quyết. Bối cảnh kinh doanh hiện tại đã tạo ra một môi trường hoàn hảo cho tội phạm mạng phát triển mạnh với các cuộc tấn công ngày càng tinh vi hơn.

Khi xu hướng làm việc tại nhà còn tiếp tục thì cuộc tấn công SolarWinds là một bài học lớn cho các DN để xây dựng các mạng an toàn cũng như những môi trường làm việc thuận lợi cho giao tiếp và cộng tác.

Quá trình khai thác lỗ hổng

Để nắm được quy trình khai thác lỗ hổng, chúng ta cùng nghe câu chuyện của George Waller, CEO của StrikeForce Technologies.

Tháng 9/2020, hai khách hàng của công ty đã báo cáo một vấn đề bất thường. Nhân viên công ty bắt đầu nhận được các yêu cầu xác thực trên điện thoại để truy nhập vào VPN của công ty. Họ đã báo cáo điều này tới các bộ phận CNTT của mình, và cảnh báo với chúng tôi những vấn đề cụ thể. Làm việc với các bộ phận CNTT để tìm hiểu những gì đang xảy ra, ban đầu chúng tôi nghĩ đó là một lỗi phần mềm. Tuy nhiên, sau khi phân tích nhật ký của họ, chúng tôi xác định được các nỗ lực truy nhập thực sự đến từ các địa chỉ IP của Nga.

Dường như các tin tặc đã nắm được tên người dùng cùng các mật khẩu và đang cố gắng đăng nhập vào mạng của công ty. Điều rất lạ trong tình huống này là các khách hàng của chúng tôi có các hệ thống phát hiện xâm nhập hiện đại mà vẫn không bắt được cuộc tấn công.

Cảm thấy bối rối trước tình huống này, chúng tôi đã hỏi một số đồng nghiệp trong cộng đồng bảo mật và họ nói rằng một số công ty đã trải qua các cuộc tấn công tương tự. Vào thời điểm đó, chúng tôi không nghĩ gì về nó và sau đó vào tháng 12/2020, cuộc tấn công chuỗi chung ứng SolarWinds đã xảy ra.

FireEye đã trình bày chi tiết về cuộc tấn công SolarWinds trên một blog và quy kết cho một nhóm tấn công của Nga. Ngay sau đó, Volexity đã kết nối cuộc tấn công tới nhiều sự cố vào cuối 2019 và năm 2020, cũng do nhóm tấn công này gây ra. Những gì thú vị là Volexity tuyên bố rằng các tin tặc đã vượt qua xác thực đa yếu tố (MFA) từ Duo Volexity (hiện là một phần của Cisco) bằng cách lấy khóa bí mật tích hợp trong Duo và do đó có thể tạo ra một cookie vượt qua MFA. Thật đáng tiếc là cả hệ thống của Duo và vô số hệ thống bảo mật khác đã không phát hiện và ngăn chặn điều này.

Những cuộc tấn công này có sự giống nhau một cách kỳ lạ với những cuộc tấn công mà các khách hàng của chúng tôi đã phải trải qua vào tháng 9 theo vài cách khác nhau. Trong cả hai tình huống, các cuộc tấn công được thực hiện đều có được thực hiện bởi nhóm tấn công tinh vi của Nga (có thể là cùng một nhóm) với những tên người dùng và mật khẩu chính xác. Hơn nữa, cả hai cuộc tấn công đều có hệ thống MFA để cung cấp bảo mật bổ sung

Các phương pháp tốt nhất để bảo vệ và chống lại vi phạm trong tương lai

Sau cuộc tấn công lịch sử này, Mỹ đã thực hiện các hành động tăng cường các biện pháp an ninh mạng, yêu cầu sử dụng xác thực đa yếu tố và mã hóa dữ liệu cho các cơ quan liên bang, đồng thời tiết lộ toàn diện cho nhà cung cấp về bất kỳ vấn đề bảo mật, lỗ hổng hoặc vi phạm nào đối với người dùng của họ.

Các DN cũng nên rút ra bài học và áp dụng một số giải pháp sau:

Lập kế hoạch xử lý sự cố: Trong khi tâm điểm chú ý là các tin tặc xâm nhập bằng cách sử dụng chữ ký số dựa trên chứng chỉ mà chúng đánh cắp được để xâm phạm quá trình cập nhật thì điều rút ra từ SolarWinds là các tin tặc sẽ luôn luôn tìm cách để xâm nhập. 

Do vậy các DN nên lập kế hoạch hiệu quả để đảm bảo có thể xử lý các sự cố bảo mật phát sinh với các chính sách rõ ràng, giúp giảm thiểu các lỗ hổng bảo mật một nhanh chóng, giảm thiểu sự gián đoạn cũng như sao lưu với tốc độ nhanh nhất có thể.

Tich hợp bảo mật ngay từ đầu: Một khi tin tặc đã có quyền truy cập vào bên trong mạng để cấy phần mềm độc hại vào trước khi thực thi và phát tán, trong trường hợp này, DN nên tập trung vào việc cố gắng ngăn chặn việc gây thiệt hại bằng tích hợp sẵn ngay từ đầu các kiểm soát bảo mật và phải luôn giám sát chặt chẽ việc sử dụng các khóa ký phần mềm. Để thực hiện điều này thì việc tham khảo ý kiến của các chuyên gia bảo mật trong giai đoạn thiết kế ban đầu là vô cùng cần thiết.

Luôn cảnh giác trước những dấu hiệu bất thường: FireEye cũng giống như nhiều công ty công nghệ khác, sử dụng xác thực hai yếu tố, nhân viên cần lấy mật mã trên điện thoại của họ để kết nối từ xa với VPN của công ty. Khi bị tấn công, nhân viên an ninh của FireEye thấy rằng một nhân viên FireEye đã đăng ký hai chiếc điện thoại với họ và đã dành thời gian để gọi, hỏi để xác minh điều này thì thấy hóa ra là không phải. Sau một cuộc điều tra thì phát hiện ra một mã bị nhiễm mã độc. Điều này cho thấy tầm quan trọng của mọi người trong việc cảnh giác, điều tra và theo dõi những sai lệch nhỏ.

Tạo ra văn hóa an toàn: Cách tốt nhất để xây dựng tinh thần cảnh giác cho tất cả mọi người là thường xuyên tổ chức chương trình đào tạo nhận thức về an toàn để nâng cao nhận thức cho mọi người trong công ty. Khi mọi người hiểu những gì cần tìm và cách báo cáo các tin nhắn hoặc hoạt động đáng ngờ sẽ tạo cơ hội tốt để xác định những vi phạm và các sự cố khác một cách nhanh chóng.

Ngoài ra, trong tương lai, các DN lớn và nhỏ nên suy nghĩ theo cùng một hướng và tìm cách cải tiến cơ sở hạ tầng bảo mật của mình, đảm bảo các mạng được an toàn và không thể xâm nhập. Các DN  phải tìm cách triển khai những công nghệ cung cấp khả năng bảo vệ đa lớp giúp chủ động mã hóa các lần gõ phím và ngăn chặn ảnh chụp màn hình hoặc ghi âm không mong muốn.

Cuối cùng, thường xuyên cập nhật phần mềm cũng rất quan trọng, vì tội phạm mạng sẽ luôn tìm kiếm những cách mới để khai thác lỗi và lỗ hổng trên các hệ thống đã lỗi thời.

Trong một thế giới mạng ngày càng không an toàn, nơi tin tặc liên tục tìm kiếm những điểm yếu bảo mật của công ty, các DN phải nhanh chóng và sử dụng mọi phương tiện cần thiết để bảo vệ bản thân và nhân viên của mình khỏi những vi phạm toàn cầu không thể tránh khỏi sau này./.

Bài liên quan
Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Microsoft hắt hơi và lĩnh vực CNTT thế giới cảm lạnh
    Một lỗi trong hệ thống của Crowdstrike, đối tác của Microsoft, đã gây gián đoạn hầu hết các dịch vụ trên hành tinh và là lời cảnh báo lớn về rủi ro hệ thống của dịch vụ đám mây.
  • Còn 11 triệu thuê bao 2G và một số kiến nghị giải pháp
    Tính đến tháng 5/2024, số thuê bao 2G only còn hơn 11 triệu thuê bao, chiếm khoảng 9% tổng số thuê bao di động trên toàn quốc. Các nhà mạng đang kiến nghị các giải pháp giảm số thuê bao 2G khi hệ thống công nghệ này tiến tới dừng hoạt động vào ngày 15/9/2024.
  • VNPT cung cấp đường truyền Internet thế hệ mới XGSPON, đột phá về tốc độ
    Với tốc độ truyền tải tối đa lên tới 10 Gbps, đường truyền Internet công nghệ mới XGigabit-capable Passive Optical Network (XGSPON) của VNPT đang tiên phong trong việc đón đầu, đáp ứng xu hướng kết nối của thời đại số, đem đến trải nghiệm tối ưu cho khách hàng.
  • VinaPhone hỗ trợ khách hàng nâng cấp điện thoại 4G miễn phí
    Thực hiện chủ trương tắt sóng 2G của Bộ Thông tin và Truyền thông vào tháng 9/2024 tới đây, VinaPhone triển khai loạt ưu đãi khách hàng nâng cấp lên điện thoại 4G miễn phí và nhiều ưu đãi hấp dẫn khác để duy trì liên lạc mà không phải lo lắng về chi phí.
  • 4 kỹ năng cần có để không bị AI thay thế
    Sự phát triển bùng nổ của trí tuệ nhân tạo (AI) trong những năm gần đây đã gây ra không ít tranh luận về việc liệu AI có thể thay thế con người và đe dọa trực tiếp đến công việc của người lao động trong tương lai hay không. Theo đó, chúng ta cần trang bị những gì để thích ứng.
  • ‏FPT khai trương văn phòng mới tại Kuala Lumpur, Malaysia‏
    FPT vừa chính thức cắt băng khánh thành văn phòng thứ hai tại Kuala Lumpur, nhằm tăng cường hiện diện của công ty tại khu vực và trên toàn cầu, từ đó mở rộng tiếp cận các khách hàng lớn. ‏
  • Nhân lực ngành quản trị kinh doanh cần cập nhật, ứng dụng công nghệ liên tục
    Quản trị Kinh doanh (QTKD) là một ngành "hot" trong những năm gần đây và dường như vẫn chưa có dấu hiệu hạ nhiệt ngay cả khi hàng loạt ngành học mới liên tục ra đời.
  • VPBank cam kết đầu tư cho các tài năng trẻ lĩnh vực CNTT & Khoa học dữ liệu
    Sau thành công của các sân chơi công nghệ từ VPBank Cloud Technology Day 2023 tới VPBank Technology Hackathon 2024, Ngân hàng đánh giá cao tiềm năng của nhóm nguồn nhân lực trẻ và cam kết tiếp tục đầu tư hơn nữa để tiếp tục mang đến những cơ hội phát triển nghề nghiệp của các tài năng trẻ tại VPBank. Đó cũng là mục tiêu của chương trình VPBank Technology & Data Young Talents mà ngân hàng vừa mới triển khai.
  • VPBank và IFC hợp tác cung ứng vốn cho doanh nghiệp cà phê Việt Nam
    VPBank và Tổ chức Tài chính Quốc tế (IFC) mới đây đã hợp tác đồng tài trợ chuỗi cung ứng cho các công ty xuất khẩu cà phê, trong nỗ lực hỗ trợ cộng đồng doanh nghiệp vừa và nhỏ (SME) của Việt Nam tham gia sâu rộng hơn vào chuỗi cung ứng nông nghiệp toàn cầu.
  • Doanh nghiệp game thứ ba ký kết hợp tác đào tạo với PTIT
    Học viện Công nghệ Bưu chính Viễn thông (PTIT) - Bộ TT&TT và Công ty Cổ phần (CP) APPOTA (APPOTA) đã chính thức công bố hợp tác đào tạo và phát triển nguồn nhân lực ngành công nghiệp game.
Bài học các doanh nghiệp cần rút ra từ vụ tấn công SolarWinds
POWERED BY ONECMS - A PRODUCT OF NEKO