Cần cách tiếp cận mới cho công tác bảo mật và quản trị rủi ro trên đám mây

Báo cáo bảo mật mới nhất của IBM cho thấy các vấn đề giám sát an ninh cơ bản, bao gồm quản trị, lỗ hổng và cấu hình sai, vẫn là các yếu tố rủi ro hàng đầu mà các tổ chức phải giải quyết để bảo đảm các hoạt động ngày càng dựa trên đám mây
10:00 AM 28/06/2020 In bài viết này

Mối đe dọa trên đám mây ngày càng phổ biến và đa dạng

Trong bối cảnh các doanh nghiệp nhanh chóng chuyển đổi sang đám mây để đáp ứng nhu cầu làm việc từ xa của nhân viên, việc hiểu được những thách thức bảo mật do quá trình chuyển đổi này là điều cần thiết để quản lý rủi ro. Trong khi đám mây cho phép nhiều khả năng kinh doanh và công nghệ quan trọng, việc áp dụng và quản lý tài nguyên đám mây cũng đang tạo ra sự phức tạp cho các nhóm CNTT và an ninh mạng.

Nhóm Bảo mật của IBM vừa công bố dữ liệu mới bao gồm các thách thức và mối đe dọa hàng đầu ảnh hưởng đến bảo mật đám mây, trong đó, sự dễ dàng kết nối cũng như tốc độ của các công cụ đám mây mới là hai trong những yếu tố làm giảm thiểu khả năng kiểm soát việc ứng dụng đám mây của doanh nghiệp. Theo báo cáo mới này, các vấn đề giám sát an ninh cơ bản, bao gồm quản trị, lỗ hổng và cấu hình sai, vẫn là các yếu tố rủi ro hàng đầu mà các tổ chức phải giải quyết để bảo đảm các hoạt động ngày càng dựa trên đám mây. Ngoài ra, phân tích về các sự cố bảo mật trong năm qua đã làm sáng tỏ cách thức tội phạm mạng đang nhắm mục tiêu vào môi trường đám mây với những phần mềm độc hại tùy chỉnh, ransomware v.v. Có nhiều loại, nhóm nhắm mục tiêu vào các hệ thống đám mây khác nhau. Tội phạm có động cơ tài chính là mối đe dọa hàng đầu, nhưng các tác nhân được hậu thuẫn bởi nhà nước cũng là một rủi ro dai dẳng.

Các dịch vụ chính trong hệ sinh thái ngầm bao gồm các tài khoản dịch vụ đám mây với giá ngày càng giảm. Ví dụ: một diễn đàn tiếng Nga có các nhà cung cấp cung cấp dịch vụ hàng tháng không giới hạn cho dịch vụ đám mây công cộng lớn rẻ hơn nhiều lần so với giá bán công khai. Trong một trường hợp khác đã được quan sát thấy một nhóm tin tặc khác bán các khóa truy cập cho một dịch vụ đám mây công cộng lớn khác với giá chỉ 15 đô la mỗi cái. Các loại dịch vụ này có thể cho phép các tác nhân đe dọa sử dụng cơ sở hạ tầng đám mây cho các hoạt động độc hại của mình trong các tài khoản có vẻ hợp pháp.

Tội phạm cũng cung cấp hỗ trợ trong việc thâm nhập các tài khoản được lưu trữ trên đám mây cụ thể. Trên nền tảng kết nối các tin tặc nói tiếng Anh và tiếng Nga, một người dùng đã đăng một liên kết đến một tiện ích bỏ qua để truy cập tài khoản cá nhân trên một nền tảng đám mây công cộng lớn. Một dịch vụ khác cung cấp chi tiết các bước để khai thác dịch vụ đám mây công cộng ID và bao gồm một tập lệnh mà tin tặc đang bán trên diễn đàn. Một hoạt động mua bán khác được quan sát ở các địa chỉ web ẩn là bán tài nguyên điện toán đám mây. Ví dụ, quyền truy cập của nhà cung cấp đám mây được bán cho những người muốn lưu trữ các trang web lừa đảo. Trong một trường hợp, các nhà nghiên cứu bảo mật đã quan sát thấy một thành viên diễn đàn hack thể hiện kế hoạch lưu trữ các trang lừa đảo trên môi trường đám mây công cộng bắt chước một sản phẩm được cung cấp bởi nhà cung cấp đám mây.

Cần cách tiếp cận mới cho công tác bảo mật và quản trị rủi ro trên đám mây - Ảnh 1.

Tương tự như các khóa học trực tuyến hợp pháp, có nhiều hướng dẫn về cách sử dụng tín dụng điện toán đám mây hoặc thẻ tín dụng bị đánh cắp để mở tài khoản trên các dịch vụ đám mây phổ biến, sau đó sử dụng chúng cho mục đích xấu.

Con đường để tác nhân đe dọa thâm nhập môi trường đám mây

Giống như bất kỳ hạ tầng mạng nào, môi trường đám mây có thể được nhắm mục tiêu theo nhiều cách khác nhau, một số trong đó là duy nhất cho đám mây nhưng phần nhiều trong số đó ảnh hưởng đến hầu hết các hệ thống CNTT.

Nhóm tình báo nghiên cứu mối đe dọa bảo mật IBM đã tận dụng dữ liệu ứng phó sự cố IRIS của X-Force để tìm ra những cách phổ biến nhất mà chúng ta thấy các tác nhân đe dọa nhắm vào môi trường đám mây. Trong nhiều trường hợp, các tác nhân đe dọa sử dụng nhiều hơn một trong các cơ chế sau để đạt được, duy trì và truyền bá quyền truy cập, cũng như leo thang quyền truy cập của mình trong cùng một đám mây và trên các đám mây có khả năng được kết nối.

Khai thác các ứng dụng đám mây: Phương thức lây nhiễm phổ biến nhất mà các nhà nghiên cứu quan sát thấy trong môi trường đám mây từ tháng 1/2019 đến tháng 5/2020 là khai thác từ xa các ứng dụng đám mây, chiếm 45% các sự kiện an ninh mạng liên quan đến đám mây được kiểm tra.

Mặc dù linh hoạt và có thể dễ dàng mở rộng, các ứng dụng dựa trên đám mây có thể mở ra một con đường rộng cho các tác nhân đe dọa. Vì các ứng dụng này cũng thường cần thiết cho hoạt động kinh doanh, chúng là mục tiêu chính cho hoạt động đe dọa.

Trong hai năm qua, IBM Security đã phản ứng với nhiều sự cố trong đó các ứng dụng dễ bị tấn công có mặt trong hệ thống nhưng vẫn không bị phát hiện. Đôi khi, đó là do sự thiếu hoàn chỉnh về bảo mật trong đám mây và thường cũng có thể là do mảng tối của CNTT, vì một nhân viên đi ra ngoài các kênh được phê duyệt để sử dụng các khả năng của đám mây, sử dụng ứng dụng đám mây dễ bị tổn thương và do đó đặt toàn bộ môi trường vào nguy cơ.

Việc giải quyết các lỗ hổng từ xa trong môi trường đám mây là một thách thức, một phần do thiếu danh mục công khai về các vấn đề được phát hiện. Cho đến năm 2020, các lỗ hổng trong các sản phẩm đám mây nằm ngoài phạm vi của CVE truyền thống, có nghĩa là các lỗ hổng liên quan đến cơ sở hạ tầng đám mây hiếm khi được tiết lộ công khai hoặc ghi lại theo thời gian. Do đó, môi trường đám mây có thể dễ bị tổn thương hơn so với trước đây, chứa đựng nhiều vấn đề không được giải quyết.

Khai thác thiết lập sai cấu hình: Theo khảo sát của IBV, các tổ chức phụ thuộc rất nhiều vào khả năng bảo mật của các nhà cung cấp dịch vụ đám mây. Tuy nhiên, thực tế cho thấy, có đến 85% các vi phạm về lỗ hổng dữ liệu liên quan tới các vấn đề cấu hình của chính những người sử dụng (là nhân viên của các tổ chức đó).

Dựa trên dữ liệu từ Chỉ số thông minh mối đe dọa X-Force 2020 của IBM, các tác nhân đe dọa đã lợi dụng các máy chủ đám mây bị định cấu hình sai để lấy hơn 1 tỷ hồ sơ từ các môi trường bị xâm nhập vào năm 2019. Cấu hình sai môi trường đám mây và rò rỉ dữ liệu sau đó vẫn là một trong những nguồn mất lớn nhất trên bảng xếp hạng và có thể nhanh chóng cho phép một tác nhân đe dọa truy cập và đánh cắp thông tin nhạy cảm từ các tổ chức nơi việc giám sát đó có thể ảnh hưởng đến tài sản trong đám mây.

Thâm nhập xuyên mây: Các tác nhân đe dọa đôi khi có thể vi phạm môi trường đám mây bằng cách lây nhiễm một môi trường đám mây, sau đó sử dụng kết nối đáng tin cậy để di chuyển sang các đám mây khác và lây nhiễm các môi trường bổ sung.

Sự thâm nhập giữa các đám mây này có thể đặc biệt xảo quyệt, vì môi trường đám mây, đặc biệt là các đám mây công cộng lớn, thường có khối lượng giao tiếp lớn và có thể khiến loại lây nhiễm này khó phát hiện hơn.

Trong một phản ứng sự cố IRIS của X-Force, các tác nhân đe dọa đã được phát hiện khi lượng dữ liệu lớn hơn bình thường được quan sát thấy được chuyển giữa các đám mây được chỉ định cho các khu vực địa lý khác nhau. Kiểu tấn công này cho phép các tác nhân đe dọa nhanh chóng di chuyển giữa các kho dữ liệu lớn và gây hại trong toàn bộ doanh nghiệp mục tiêu trong khi trốn tránh nhiều cơ chế phát hiện, che giấu hoạt động của mình trong hoạt động vận hành chung

Bơi ngược dòng: Trong một loại phương thức khác, các nhà điều tra an ninh mạng đã quan sát thấy các tác nhân đe dọa cố gắng giành quyền truy cập đặc quyền vào kho lưu trữ đám mây bằng cách truy cập vào phần cứng bên dưới.

Kỹ thuật bơi ngược dòng yêu cầu các tác nhân đe dọa có được quyền truy cập ban đầu vào môi trường đám mây, sau đó truy cập vào máy chủ bên dưới, rồi chui xuống hệ thống quản lý để di chuyển giữa các môi trường máy khách. Bơi ngược dòng đôi khi có thể che dấu hoạt động của tác nhân là hành chính hợp pháp, vì quản trị thường cần phải di chuyển dữ liệu giữa các trường hợp, do đó, việc phân biệt giữa hai trường hợp có thể phức tạp. Kỹ thuật này đã được hiển thị khi lỗ hổng Perfect 10.0 nghiêm trọng được tiết lộ vào năm 2020. Lỗ hổng đó cho phép một tác nhân đe dọa phá vỡ sự cô lập dựa trên phần cứng trong môi trường đám mây, khiến họ có thể chặn mã, thao tác chương trình và ảnh hưởng đến người dùng khác đối với các hoạt động được lưu trữ trên cùng một phần cứng. Lỗ hổng đó đã được sửa chữa.

Các tác nhân đe dọa đang sử dụng đám mây để gây hại như thế nào

Mặc dù có nhiều kỹ thuật lý thuyết để gây hại một lần trong môi trường đám mây, IBM Security đã quan sát các tác nhân đe dọa sử dụng nhiều chiến thuật tấn công truyền thống để kiếm lợi từ công nghệ này.

Ransomware, đánh cắp dữ liệu và tiền điện tử dẫn đầu trong việc gây hại cho các tổ chức trong khi tận dụng các đám mây. Tuy nhiên, việc lưu trữ các trang web lừa đảo và phần mềm độc hại trên môi trường đám mây hoặc tận dụng quyền truy cập để xâm nhập vào các đám mây khác, đã cho phép các tác nhân này gây ra thiệt hại rộng hơn ngoài phạm vi của tổ chức, cũng gây ra rủi ro tiềm ẩn cho các bên được kết nối.

Ransomware: Trong các trường hợp ứng phó sự cố IRIS của X-Force mà các nhà nghiên cứu đã phân tích từ năm 2019 và 2020, ransomware là loại phần mềm độc hại phổ biến nhất được triển khai trên đám mây, chiếm số lượng sự cố nhiều gấp ba lần so với bất kỳ phần mềm độc hại nào khác.

Không giống như các cuộc tấn công của ransomware vào các điểm cuối được nối mạng truyền thống, ransomware trong đám mây có thể có tác động đột phá hơn và gây mất dữ liệu lớn hơn. Điều đó có thể là do phạm vi hoạt động rộng hơn được hỗ trợ bởi môi trường đám mây, tác động tiềm năng của chúng đối với các ứng dụng quan trọng và lượng dữ liệu di chuyển qua các đám mây mỗi ngày. Trong một sự cố ransomware mà X-Force IRIS đã phản hồi, sự lây nhiễm xuất phát từ khoảng trống về trách nhiệm quản trị đám mây giữa nhà cung cấp cơ sở hạ tầng và khách hàng của mình. Khoảng trống đó có khả năng cho phép thâm nhập không bị phát hiện lâu hơn, làm tăng chi phí cho tổ chức và nêu bật mức độ quan trọng của việc xác định vai trò bảo mật đám mây cho cả nhà cung cấp và khách hàng.

Trộm cắp dữ liệu: Trộm dữ liệu là hoạt động đe dọa phổ biến thứ hai mà IBM X-Force quan sát thấy trong môi trường đám mây bị vi phạm vào năm 2019.

Môi trường đám mây lưu trữ các kho thông tin lớn và dữ liệu này có thể bị đánh cắp bởi các tác nhân đe dọa và được bán trên các thị trường ngầm. Từ các sự cố mà IBM X-Force IRIS đã xử lý, cho thấy rằng các loại dữ liệu bị đánh cắp có thể khác nhau. Ví dụ: các nhà nghiên cứu đã quan sát các tác nhân đe dọa đánh cắp PII nhạy cảm, bao gồm số thẻ tín dụng, do vi phạm dữ liệu đám mây. Trong một sự cố khác, các tác nhân đe dọa có khả năng đánh cắp các email liên quan đến khách hàng từ một đám mây bị xâm nhập.

Loại dữ liệu bị đánh cắp có thể khác nhau dựa trên động cơ và sự tinh vi của tác nhân đe dọa, nhưng trong môi trường đám mây, lượng dữ liệu có sẵn có thể lớn hơn nhiều, khiến tác động tiềm tàng của vi phạm gây tổn hại lớn hơn cho tổ chức.

Tiền điện tử: Khi nói đến các mối đe dọa tiền điện tử bất hợp pháp, đặc biệt là các mối đe dọa sử dụng cơ sở hạ tầng quy mô như đám mây, các chuyên gia an ninh mạng khẳng định đã thấy nhiều trường hợp các tác nhân đe dọa sử dụng môi trường đám mây để khai thác tiền điện tử trong năm 2019.

Trong một trường hợp vào năm 2019, IRIS X-Force đã phản ứng với một sự cố trong đó một máy chủ đám mây bị nhiễm một loại mã độc khai thác tiền điện tử mà sau đó đã cố gắng lây lan sang các máy được kết nối. Loại thâm nhập này có thể có một vài tác động: đối với môi trường đám mây tư nhân, tổ chức có thể phải chịu chi phí điện tăng và suy giảm nhanh chóng các thành phần phần cứng cũng như tác động hiệu suất có thể có ý nghĩa quan trọng trong các ngành như ngành tài chính.

Với các đám mây bên ngoài, đám mây công cộng, tổ chức có thể phải đối mặt với các khoản phí tăng do sử dụng dữ liệu cao hơn hoặc thời gian phản hồi chậm hơn vì sức mạnh xử lý bị giảm. Trong mọi trường hợp, những mã độc khai thác tiền điện tử là một sự tiêu tốn tài nguyên của tổ chức và có thể cản trở hoạt động kinh doanh.

Lưu trữ phần mềm độc hại hoặc trang web độc hại: Các tác nhân đe dọa có thể sử dụng các môi trường đám mây bị nhiễm để lưu trữ phần mềm độc hại mà sau đó có thể lây lan sang các môi trường khác. Ví dụ, vào cuối năm 2019, bọn tội phạm đã lưu trữ skimmer thẻ thanh toán trên nền tảng đám mây, sau đó được tải xuống các máy mục tiêu. Trong một trường hợp khác, các tác nhân đe dọa đã lưu trữ hơn 200 trang web lừa đảo hỗ trợ công nghệ trên đám mây, hướng người dùng đến các trang web này và sử dụng môi trường đám mây để hacker tấn công một cách hợp pháp. Lưu trữ phần mềm độc hại hoặc các trang web độc hại trên môi trường đám mây có thể giúp các tác nhân đe dọa tránh các đợt rà quét bằng cách xuất hiện dưới dạng dẫn chiếu đến cơ sở hạ tầng hợp pháp.

Ngoài ra, việc sử dụng lưu trữ đám mây có thể cung cấp cho các tác nhân đe dọa một lớp vỏ phức tạp, khiến hoạt động xâm

nhập và khai thác của chúng trở nên khó theo dõi hơn. Nếu một tổ chức vô tình lưu trữ phần mềm độc hại trên đám mây của mình, đặc biệt là trong thời gian dài, điều này có thể dẫn đến cả tác hại trực tiếp và uy tín vì tổ chức có thể bị mất dữ liệu của chính mình, đồng thời cũng bị cáo buộc dung túng cho hoạt động này tồn tại.

Thâm nhập DNS: Các chuyên gia an ninh mạng cảnh báo đã quan sát nhiều sự cố trong đó các tác nhân đe dọa đã xâm phạm các dịch vụ DNS được lưu trữ trên đám mây để chuyển hướng nhân viên đến các trang web khác nhau. Lây nhiễm và làm tràn bộ đệm DNS, phương thức tấn công xảo quyệt này tận dụng truy cập đám mây hiện có để gây hại thêm cho tổ chức và người dùng nhiều nhất có thể, đồng thời rất khó bị phát hiện. Loại thâm nhập này có thể chuyển hướng người dùng đến các trang web cố gắng khai thác trình duyệt và thả một tải độc hại vào các máy đầu cuối hoặc nó có thể chuyển hướng người dùng đến các trang web lừa đảo để đánh cắp thông tin mạng của họ. Mặc dù thâm nhập DNS không phải là một kiểu tấn công mới, khi các tổ chức tiếp tục chuyển các dịch vụ này sang nhà cung cấp đám mây bên ngoài, các tác nhân đe dọa có thể tìm ra con đường mới cho thâm nhập tiềm năng và tác động có thể mở rộng trong toàn tổ chức.

Không ngừng lan rộng: Các tác nhân đe dọa đã sử dụng nhiều phương pháp khác nhau để mở rộng từ lây nhiễm ban đầu sang các phần khác của môi trường đám mây hoặc trên các điểm cuối truy cập tài nguyên đám mây. Vào năm 2019, IBM X-Force IRIS đã phản ứng với một sự cố trong đó phần mềm độc hại được triển khai vào môi trường đám mây đã cố gắng lây lan sang các máy khác thông qua SSH bruteforcing, ảnh hưởng đến các máy cục bộ bên ngoài truy cập vào đám mây.

Cũng trong năm 2019, sâu Exim, một loại sâu Linux lây lan qua các máy chủ Exim, đã được báo cáo là lây nhiễm tự động thông qua khai thác CVE 2019-10149 từ xa. Con sâu này sẽ chiếm lấy một máy chủ với mục tiêu thả phần mềm độc hại mã hóa vào nó.

Kiểu lây lan này có thể kết hợp tác động của lây nhiễm đám mây và đưa nó vào bên trong không gian mạng của tổ chức.

Một ví dụ về họ phần mềm độc hại thích ứng với thực tế đám mây mới là DemonBot, bot dựa trên Linux được báo cáo vào tháng 10/2018. DemonBot nhắm mục tiêu các máy chủ đám mây chạy Hadoop và lây nhiễm chúng thông qua lỗ hổng trong công cụ quản lý tài nguyên Hadoop.

IRIS X-Force đã điều tra một phiên bản của DemonBot được tìm thấy trong môi trường đám mây được phát hiện bởi tổ chức bị ảnh hưởng do sự gia tăng đáng kể trong việc sử dụng tài nguyên và thanh toán. Trong trường hợp đó, chức năng chính của nhị phân DemonBot là khởi chạy các cuộc tấn công từ chối dịch vụ phân tán (DDoS) như một phần của mạng botnet. Với việc bổ sung khả năng nhắm mục tiêu trên đám mây, những kẻ khai thác phần mềm độc hại có thể khuếch đại các cuộc tấn công này bằng tài nguyên đám mây.

Một họ phần mềm độc hại khác đã được sử dụng trong các tổ chức là Graboid, một loại sâu mã hóa được xác định vào tháng 10/2019. Phần mềm độc hại này đã nhắm mục tiêu và xâm phạm các máy chủ Docker không bảo mật, trên đó nó đã tải xuống các container Docker độc hại. Các thùng chứa độc hại đã thực hiện mã hóa và cũng phát tán phần mềm độc hại đến các máy chủ khác. Vào tháng 6/2019, các nhà nghiên cứu đã báo cáo về một chiến dịch tấn công cũng nhắm vào các máy chủ Docker được định cấu hình sai để xâm nhập vào chúng. Trong trường hợp này, đó là một mã độc botnet Linux được gọi là AESDDoS đã khai thác các cấu hình sai API để triển khai phần mềm độc hại trên các khu vực dễ bị tấn công. Phần mềm độc hại này sau đó có thể nhận lệnh từ máy chủ kiểm soát lệnh và khởi chạy một loạt các cuộc tấn công DdoS.

Ứng phó với sự cố bảo mật trên đám mây một cách tỉnh táo

Ứng phó với sự cố bảo mật trong môi trường đám mây đòi hỏi một số cân nhắc đặc biệt nằm ngoài phương pháp ứng phó sự cố thông thường. Khi phát hiện tin tặc đã thâm nhập vào hệ thống và đang thực hiện hành vi gây hại cho hệ thống CNTT, các tổ chức, doanh nghiệp cần ứng phó một cách tỉnh táo.

Đừng vội xóa sạch, hãy tái hiện lại nó: Khi các tổ chức buộc phải chấm dứt sử dụng đám mây của mình, họ sẽ mất các di sản có giá trị để điều tra, nghiên cứu. Thay vì hủy ngay lập tức dữ liệu trên đó, việc cách ly các hệ thống bị ảnh hưởng và dựng lại hiện trường có thể cho phép các nhà điều tra nghiên cứu, phân tích trường hợp bị nhiễm và có khả năng tìm thấy các dẫn dắt bổ sung để hiểu những gì đã sai và cách ngăn chặn trong tương lai.

Trong trường hợp xảy ra sự cố, hãy xây dựng một máy trạm trên đám mây để các nhà điều tra của bạn thực hiện công việc trên, sau đó tạo một hình ảnh từ các máy chủ bị xâm nhập và thu thập dữ liệu bộ nhớ dễ bị xóa. Ngoài ra, thực hiện phân tích pháp y gốc có thể giúp các quản trị viên CNTT không còn tái diễn sai lầm khiến hệ thống bị nhiễm mã độc.

Thỏa thuận trước chi phí băng thông: Một thách thức mà các tổ chức hiện nay phải đối mặt là việc tải xuống hình ảnh máy chủ lớn sau sự cố có thể không được cho phép vì chi phí băng thông cao liên quan đến việc di chuyển dữ liệu ra khỏi môi trường đám mây. Cần thỏa thuận trước các chính sách hoặc yêu cầu có liên quan trước khi xảy ra sự cố có thể giúp giảm chi phí tải xuống, đặc biệt là khi những mối nguy hại có thể gây hại cho các trường hợp khác trên cùng một đám mây.

Có công cụ điều tra phù hợp: Bảo mật đám mây yêu cầu các công cụ phù hợp để tiến hành điều tra kỹ lưỡng nếu xảy ra sự cố. Nhiều phản ứng sự cố thông thường và các công cụ pháp y chỉ có hiệu quả trong môi trường cục bộ hoặc máy chủ được lưu trữ tại chỗ và không được trang bị cho môi trường đám mây. Tuy nhiên, chuẩn bị bộ công cụ phù hợp có thể cho phép điều tra đám mây hiệu quả.

Ngoài ra, các tổ chức nên đưa tài sản đám mây vào các kế hoạch ứng phó sự cố tổng thể của mình và kiểm tra phản ứng sự cố bảo mật đám mây ở cấp chiến thuật để đảm bảo rằng các công cụ có khả năng hoạt động trên tất cả các môi trường đám mây đang sử dụng.

Tự động xử lý sự cố: Việc thực hiện tự động hóa bảo mật hiệu quả trong môi trường đám mây có thể cải thiện khả năng phát hiện và phản hồi, thay vì dựa vào phản ứng thủ công với các sự kiện. Ví dụ: Tuân theo cách tiếp cận Cơ sở hạ tầng dưới dạng Mã (IaC) và sử dụng các công cụ như CloudFormation, phương pháp khai báo và các dịch vụ Lambda không có máy chủ, theo sự kiện, một tổ chức bị xâm phạm có thể xây dựng lại môi trường từ một mẫu được xác định trước một cách hiệu quả. Phương pháp này có thể dẫn đến sự phục hồi nhanh hơn trong quá trình nhiễm ransomware hoặc các cuộc tấn công mạng phá hoại đối với môi trường đó.

Các khuyến nghị để tăng cường bảo mật đám mây

Điện toán đám mây là một kỷ nguyên mới đối với nhiều tổ chức. Hầu hết các doanh nghiệp ngày nay đã chuyển khoảng 20% tác vụ sang đám mây. Khi các công ty tiếp tục hiện đại hóa cơ sở hạ tầng CNTT cốt lõi của họ và chuyển dữ liệu, ứng dụng quan trọng đến đám mây, các tổ chức cũng phải thích ứng với những thách thức ninh mạng hoàn toàn mới tạo ra từ môi trường đám mây lai hoặc đa đám mây. Việc đảm bảo ATTT trên hạ tầng phức tạp này, giải quyết các mối quan tâm về quyền riêng tư, quy định và tuân thủ dữ liệu… tất cả đều yêu cầu một cách tiếp cận mới và phù hợp với các thực tiễn tốt nhất có thể.

Các nhà nghiên cứu bảo mật của IBM đã tổng hợp một số bài học quan trọng nhằm tăng cường an toàn thông tin cho đám mây.

Chuẩn bị môi trường đám mây an toàn hơn: Trước khi xem xét chuyển khối lượng công việc hoặc dữ liệu lên đám mây, hãy phát triển một kế hoạch theo mục đích sử dụng. Xây dựng các kiểm soát bảo mật vào quá trình thiết kế ban đầu và tính đến mức độ quan trọng và độ nhạy của các hoạt động đang chạy trong đám mây. Cân nhắc sử dụng một đối tác cung cấp dịch vụ bảo mật toàn diện để giúp bạn có được khả năng hiển thị và kiểm soát tất cả các khía cạnh của bảo mật đám mây lai khi bạn phát triển chương trình của mình.

Sử dụng mô phỏng chủ động: Mô phỏng cả các sự kiện bảo mật dự kiến và bất ngờ trong môi trường đám mây của bạn để hiểu được hiệu quả của sự chuẩn bị trước đó. Việc chuẩn bị này có thể cung cấp một cơ hội để thực hiện các kịch bản nội bộ và quy trình vận hành tiêu chuẩn. Bằng cách tập trung vào kiểm tra và cải thiện cả kỹ năng phản ứng kỹ thuật và vận hành, các tổ chức có thể nhanh chóng khắc phục các sự cố trước khi thiệt hại được thực hiện hoặc mở rộng. Hơn nữa, các bài tập này có thể được tăng cường với thông tin chiến thuật, chẳng hạn như các chỉ số thâm nhập (IOC), để hỗ trợ cho một kịch bản phản ứng khi nhận được cảnh báo về mối đe dọa.

Phòng ngừa lỗ hổng chính sách bảo mật: Với các đám mây bên ngoài hay đám mây công cộng, trách nhiệm bảo vệ môi trường đám mây thường rơi vào cả tổ chức và nhà cung cấp dịch vụ lưu trữ đám mây. Cloud hosting bao giờ cũng yêu cầu bảo mật cả về phía các nhà cung cấp dịch vụ đám mây và tổ chức sử dụng dịch vụ. Phân định vai trò cho mỗi bên tại thời điểm đàm phán hợp đồng có thể giúp xác định trách nhiệm, kiểm soát, giám sát và trách nhiệm pháp lý trước khi xảy ra sự cố. Điều này có thể giúp ngăn ngừa sự cố do các lỗ hổng chính sách, cũng như cho phép phát hiện và ứng phó sự cố hiệu quả hơn.

Áp dụng các thực tiễn tốt nhất cho bảo mật đám mây: Bảo mật đám mây có cách tiếp cận riêng, nhưng chúng cũng giống với bảo mật của các mạng khác ở một số khía cạnh. Do đó, các tổ chức cần áp dụng các thực tiễn bảo mật tốt nhất cho môi trường đám mây của mình, vì các đám mây không tránh khỏi sự thâm nhập. Để giảm thiểu mối đe dọa của truy cập trái phép, việc thực hiện xác thực đa yếu tố có thể giúp ngăn chặn sự xâm nhập bằng các thông tin bị đánh cắp.

Quản lý tài khoản đặc quyền (Privileged account management - PAM) là một khái niệm quan trọng khác trong việc giữ cho các đám mây được bảo vệ tốt hơn. Hạn chế tài khoản đối với các đặc quyền được yêu cầu ít nhất để giảm thiểu tác hại từ việc thâm nhập tài khoản và xem xét sử dụng mô hình không tin cậy. Bằng cách thực hiện các thực tiễn này trong môi trường đám mây, các tổ chức có thể giảm thiểu rủi ro của sự cố hoặc giảm tác động của các sự kiện bảo mật tiềm ẩn.

Theo dõi và ghi chép: Môi trường đám mây cần được theo dõi cho nhiều vấn đề. Từ sự mở rộng của đám mây đến sự truy cập của bên thứ ba và sự cố mất điện đột xuất… Việc theo dõi thích hợp có thể giúp phát hiện sớm phần mềm độc hại và dấu hiệu đầu tiên của một cuộc tấn công. Người dùng đám mây nên duy trì ghi nhật ký kỹ càng các sự kiện trong môi trường đám mây để điều tra pháp y về hoạt động độc hại. Trách nhiệm giám sát và ghi nhật ký các sự kiện đám mây phải được quyết định bởi tổ chức và nhà cung cấp dịch vụ lưu trữ đám mây trước khi bắt đầu dịch vụ để ngăn chặn các điểm chết chính sách.

Sử dụng trí thông minh nhân tạo (AI) để theo dõi các mối đe dọa: Các tác nhân đe dọa tiếp tục phát triển và tăng cường, kỹ thuật và quy trình hiện có của mình với các khả năng mới đặc biệt để nhắm mục tiêu vào môi trường đám mây. Khi các khả năng này tiếp tục phát triển, các tổ chức nên tận dụng trí thông minh nhân tạo để theo dõi các thay đổi trong việc nhắm mục tiêu và thực hiện các biện pháp phòng vệ hiệu quả.

Môi trường CNTT doanh nghiệp ngày càng phức tạp khi các doanh nghiệp kết hợp các yếu tố đám mây và cần quản lý cơ sở hạ tầng đa kênh lai của mình theo cách đơn giản, nhất quán và tích hợp. Có tầm nhìn rõ ràng, toàn cảnh về đe dọa an ninh đám mây có thể giúp các tổ chức bảo vệ bản thân tốt hơn và chuẩn bị cho các sự  kiện bảo mật tiềm năng.

(Bài đăng trên tạp chí TT&TT Số 5+6 tháng 6/2020)

Bảo Quang
Xem thêm