Báo cáo của McAfee Labs: 93% nhà quản lý các Trung tâm khai thác quá tải với cảnh báo và không thể phân loại các đe dọa tiềm ẩn

McAfee Labs của Intel Security đã phát hành báo cáo của họ về mối đe dọa vào tháng 12 năm 2016. Báo cáo cung cấp góc nhìn sâu hơn về cách mà các doanh nghiệp đang sử dụng hoạt động trung tâm an ninh (SOC), đề cập đến những chi tiết quan trọng về phát triển ransomware trong năm 2016, và minh họa cách kẻ tấn công đang gây khó khăn cho việc phát hiện phần mềm độc hại bằng cách lây nhiễm chính mã đó với Trojans và nhằm tận dụng tính hợp pháp để ẩn náu được càng lâu càng tốt. Báo cáo này cũng nêu chi tiết về phần mềm độc hại di động, phần mềm độc hại vĩ mô, phần mềm độc hại Mac OS, và các mối đe dọa khác trong quý 3 năm 2016.

"Một trong những vấn đề khó khăn trong ngành an toàn thông tin là xác định các hành vi độc hại của một mã được thiết kế để hoạt động giống như các phần mềm hợp pháp, với dương tính giả thấp", Vincent Weafer, Phó chủ tịch McAfee Labs của Intel Security cho biết. "Càng nhiều xác thực mảnh mã xuất hiện, càng nhiều khả năng nó được bỏ qua. Trong năm 2016, ransomware càng trở nên nhận thức được các “hộp cát” -sandbox, theo một xu hướng tới các ứng dụng Trojan hóa (Trojanizing) hợp pháp. Sự phát triển này đặt một khối lượng công việc lớn hơn giờ hết lên SoC của một tổ chức – nơi mà thành công đòi hỏi một khả năng để nhanh chóng phát hiện, săn lùng và tiêu diệt các cuộc tấn công ngay lập tức".

Thực trạng của SOC trong năm 2016

Vào giữa năm 2016, Intel Security đã tiến hành một nghiên cứu ban đầu để tìm hiểu sâu hơn về cách thức mà các doanh nghiệp sử dụng SOC, cách chúng thay đổi theo thời gian, và chúng sẽ như thế nào trong tương lai. Phỏng vấn gần 400 học viên an ninh đến từ các khu vực khác nhau, các ngành công nghiệp, và công ty có qui mô khác nhau đã mang lại những thông tin có giá trị về tình trạng của SOC vào năm 2016: 

• Tình trạng quá tải thông báo. Tính trung bình, các tổ chức không có khả năng đủ để điều tra 25% các cảnh báo an ninh của họ, không có sự thay đổi đáng kể bởi quốc gia hoặc qui mô công ty.

• Khó phân loại bệnh. Trong khi hầu hết người được hỏi thừa nhận bị choáng ngợp bởi những cảnh báo an ninh, có đến 93% là không thể phân loại tất cả các mối đe dọa tiềm năng.

• Sự cố ngày càng tăng. Cho dù từ sự gia tăng các cuộc tấn công hoặc khả năng giám sát tốt hơn, 67% số người được hỏi báo cáo sự cố an ninh gia tăng.

• Nguyên nhân gia tăng. Tromg số người được hỏi báo cáo tăng sự cố, 57% cho biết họ đang bị tấn công thường xuyên hơn, trong khi 73% tin rằng họ có thể phát hiện các cuộc tấn công tốt hơn.

• Báo hiệu đe dọa. Các tín hiệu phát hiện mối đe dọa phổ biến nhất đối với phần lớn các tổ chức (64%) đến từ các điểm kiểm soát an ninh truyền thống, chẳng hạn như chống malware, tường lửa và các hệ thống phòng chống xâm nhập.

• Chủ động ứng phó. Phần lớn số người được hỏi khẳng định theo hành động hướng tới mục tiêu của một hoạt động an ninh chủ động và tối ưu hóa, nhưng 26% vẫn còn hoạt động trong chế độ ứng phó, với các phương pháp tiếp cận ad-hoc cho hoạt động an ninh, săn các mối đe dọa, và ứng phó sự cố.

• Các đối thủ. Hơn hai phần ba (68%) cuộc điều tra vào năm 2015 liên quan đến một thực thể cụ thể, hoặc là một cuộc tấn công từ bên ngoài có chủ đich hoặc một mối đe dọa nội bộ.

• Lý do điều tra. Những người trả lời cho biết rằng phần mềm độc hại chung dẫn đầu danh sách các sự cố (30%), dẫn đến điều tra an ninh, tiếp theo là các cuộc tấn công có chủ đích dựa trên phần mềm độc hại (17%), các cuộc tấn công có chủ đích dựa trên mạng (15%), sự cố nội bộ vô tình dẫn đến các mối đe dọa tiềm năng hay mất dữ liệu (12%), các mối đe dọa độc hại nội bộ (10%), các cuộc tấn công trực tiếp của các quốc gia (7%), và các cuộc tấn công nhà nước gián tiếp hoặc hacker cấp độ quốc gia (7%).

Khảo sát cho biết rằng ưu tiên cao nhất đối với tăng trưởng và đầu tư các SoC là nâng cao khả năng ứng phó với các cuộc tấn công được xác nhận, trong đó bao gồm khả năng phối hợp, khắc phục, xóa, tìm hiểu, và ngăn chặn xảy ra tái tấn công.Sự xuất hiện của "trojan hóa" phần mềm hợp pháp

Báo cáo cũng trình bày chi tiết một số trong nhiều cách, trong đó kẻ tấn công đặt Trojans trong mã thường được chấp nhận để giấu độc hại của chúng. McAfee Labs xác định được một loạt các phương pháp tiếp cận để thực hiện điều này, bao gồm:

• Thực thi bản vá trên các fly (hình chạy) khi chúng được tải về thông qua cuộc tấn công man-in-the-middle (MITM)

• Kết hợp các tệp tin "sạch" và "bẩn" với nhau sử dụng chất kết dính hoặc khớp nố

• Thay đổi tính thực thi thông qua những người vá trong khi duy trì sử dụng ứng dụng

• Sửa đổi thông qua diễn giải, mã nguồn mở, hoặc mã dịch ngược

• Đầu độc mã nguồn máy chủ, đặc biệt là trong các thư viện tái phân bổ.

2016: Năm của ransomware

Đến hết quý 3, số lượng mẫu ransomware mới trong năm nay đạt 3.860.603, làm gia tăng 80% tổng số mẫu ransomware kể từ đầu năm. Ngoài sự nhảy vọt về khối lượng, ransomware còn phô diễn những tiến bộ kỹ thuật đáng chú ý trong năm 2016, bao gồm cả mã hóa ổ đĩa một phần hoặc toàn bộ, mã hóa các trang web được sử dụng bởi các ứng dụng hợp pháp, chống sandbox hóa, bộ khai thác ransomware tinh vi hơn, và nhiều ransomware-như-một-dịch vụ phát triển hơn.

"Năm ngoái, chúng tôi dự đoán rằng sự tăng trưởng đáng kinh ngạc về các cuộc tấn công ransomware trong năm 2015 sẽ tiếp tục trong năm 2016," Weafer cho biết. "Năm 2016 thực sự có thể được nhớ đến như là 'năm ransomware", với cả sự nhảy vọt về số lượng các cuộc tấn công ransomware, những vụ tấn công cấu hình cao tạo ra sự quan tâm lớn của giới truyền thông, và tiến bộ kỹ thuật quan trọng của kiểu tấn công này. Ở góc độ khác của các cuộc tấn công ransomware là: Sự hợp tác nhiều hơn giữa các ngành an ninh và thực thi pháp luật, và sự hợp tác mang tính xây dựng giữa các đối thủ công nghiệp thực sự bắt đầu để mang lại kết quả trong việc đấu tranh với bọn tội phạm. Điều mà chúng ta kỳ vọng là sự tăng trưởng của các cuộc tấn công ransomware sẽ chậm lại trong năm 2017 ".

Hoạt động các mối đe dọa trong quí 3 năm 2016

Trong quý 3 năm 2016, mạng Threat Intelligence toàn cầu của McAfee Labs đã ghi nhận sự nổi lên đáng chú ý về ransomware, phần mềm độc hại di động, và các phần mềm độc hại vĩ mô:

• Ransomware. Số ransomware tăng 18% trong quý 3 năm 2016 và 80% kể từ đầu năm.

• Phần mềm độc hại Mac OS: phần mềm độc hại Mac OS tăng vọt 637% trong quý 3, nhưng sự gia tăng này chủ yếu là do một họ phần mềm quảng cáo duy nhất, Bundlore. Tổng số phần mềm độc hại Mac OS vẫn còn khá thấp so với các nền tảng khác.

• Malware mới. Phần mềm độc hại malware mới giảm 21% trong quý 3.

• Phần mềm độc hại di động. Hơn hai triệu mối đe dọa từ phần mềm độc hại di động mới đã được phân loại trong  quý 3. tỷ lệ bị ảnh hưởng ở châu Phi và châu Á đều giảm 1,5%, trong khi Úc tăng 2% trong quý 3.

• Phần mềm độc hại Macro: phần mềm độc hại vĩ Macro mới của Microsoft Office (chủ yếu là Word) tiếp tục tăng lần tầu tiên sau quý 2.

• Spam Botnet. Các Necurs botnet  gấp 7 lần số lượng của trong quý 2, trở thành lượng thư rác botnet cao nhất của Quý 3, trong khi phát tán thư rác bởi Kelihos giảm mạnh, kéo theo sự suy giảm lương thư rác đầu tiên tính theo quý của năm 2016.

• Nhiễm botnet toàn cầu. Wapomi, phát tán sâu và phần mềm download, vẫn giữ vị trí số một trong quý 3, dù có giảm từ 45% trong quý 2. CryptXXX ransomware phục vụ bởi các botnet nhảy lên vị trí thứ hai; chỉ chiếm có 2% lưu lượng quý trước.