Hồi tháng 8/2020, một câu chuyện về mối đe dọa nội gián đã gây xôn xao dư luận khi nhân viên này từ chối khoản hối lộ 1 triệu USD để đưa ransomware vào các máy chủ của Tesla tại Gigafactory ngay bên ngoài Reno, bang Nevada, Hoa Kỳ. Tuy nhiên, đây là trường hợp rất đặc biệt.
Thông thường, một tác nhân độc hại sẽ tìm một người nào đó trong nội bộ để giúp chúng thực hiện các cuộc tấn công, nhờ vậy mà chúng vượt qua được mọi biện pháp bảo vệ của tổ chức.
Câu chuyện này đã bị lặp đi lặp lại nhiều lần, đặc biệt là trong ngành dịch vụ di động.
Mối nguy hại trên di động
Ngành công nghiệp di động đã nhận biết được ngành là mục tiêu của những tác nhân độc hại, thường lợi dụng người trong nội bộ để xâm nhập và đánh cắp thông tin. Hồi tháng 9/2021, một người đàn ông tên là Muhammad Fahd đã bị kết án 12 năm tù vì trả cho các nhân viên của nhà mạng AT&T 1 triệu USD để giúp anh ta mở khóa những chiếc điện thoại và sau đó cấy phần mềm độc hại vào hệ thống của nhà mạng này để thực hiện những hành vi bất hợp pháp.
Theo các báo cáo, Muhammad Fahd và đồng phạm đã bẻ khóa thành công 1,9 triệu chiếc điện thoại. Hành vi gian lận này đã khiến AT&T tiêu tốn 201 triệu USD.
Những tài liệu của tòa án lưu ý rằng phần mềm độc hại mà Muhammad Fahd sử dụng có thể dùng để đánh cắp thông tin đăng nhập, mạo danh các nhân viên AT&T để hợp pháp hóa hành vi gian lận. Điều này cho phép chúng vẫn tiếp tục các hoạt động của mình ngay cả khi nhà mạng này đã thực hiện những thay đổi để ngăn chặn.
Nhìn từ bên ngoài, AT&T đã thực hiện khá tốt việc bảo vệ chính mình, giới hạn quyền mở khóa thiết bị cho những người dùng cụ thể và chỉ trong một số điều kiện nhất định. Tuy nhiên, bất chấp sự bảo vệ, bọn tội phạm vẫn có thể khai thác yếu tố con người và để những người trong nội bộ thỏa hiệp với chủ nhân của họ.
Xác định mối đe dọa nội bộ
Theo báo cáo năm 2020 của nhà mạng Verizon các mối đe dọa "nội gián" đang gia tăng, lên gần 40%, tăng gần 20% trong vòng 5 năm. Trong một biên độ nhất định, các mối đe dọa bên ngoài vẫn nhiều hơn số lượng các sự cố bên trong. Hơn nữa, người trong nội bộ không phải lúc nào cũng là "nội gián" mà chỉ là sự bất cẩn. Tuy nhiên, dù có vô tình hay cố ý thì hậu quả vẫn như nhau.
Các mối đe dọa từ nội bộ là rủi ro kép bởi vì bất kỳ thứ gì mà người nội bộ có thể truy nhập thì kẻ tấn công đã xâm phạm tài khoản của người dùng đặc quyền cũng có thể truy nhập. Trong một thế giới mà thông tin đăng nhập người dùng liên tục bị xâm phạm thì nguy cơ tài khoản người dùng hợp pháp bị những kẻ tấn công sử dụng để đăng nhập là rất dễ xảy ra. Nếu họ có một tài khoản đặc quyền cao hoặc có những "con đường" để leo thang thì tổ chức có thể sẽ gặp khó khăn trong một ngày gần nhất.
Tại sao các cuộc tấn công "nội gián" có thể gây thiệt hại lớn
Tất cả các trường hợp vi phạm đều là mối nguy hại cho một tổ chức. Mức độ nguy hại tùy thuộc vào việc họ do sơ suất hay là nạn nhân của các tin tặc.
Khi dữ liệu khách hàng bị một nhân viên cố ý xâm phạm sẽ đánh mất lòng tin của người dùng và rất khó có thể lấy lại.
Các đối tác, các nhà đầu tư và cả khách hàng đều muốn làm việc với những người đáng tin cậy. Việc giành được khách hàng ngay từ đầu đã khó, đặc biệt ở những thị trường mà khách hàng được yêu cầu chia sẻ quyền truy cập vào dữ liệu của họ, họ cần sư tin cậy và dữ liệu của họ được bảo vệ. Việc hệ thống của bạn bị tin tặc xâm phạm có thể là một sự khó khăn với lòng tin của khách hàng. Việc lấy lại niềm tin sau những tổn hại đến từ bên trong còn là một cuộc chiến khó khăn hơn.
Cách giảm thiểu rủi ro cho những mối đe dọa "nội gián"
Rủi ro từ bên trong và bên ngoài luôn hiện hữu, nhưng có những bước mà chúng ta có thể thực hiện để giảm thiểu khả năng đe dọa và thiệt hại khi chúng xảy ra.
1). Tập huấn nhóm để xác định các tình huống rủi ro
Bất cứ khi nào những kẻ tấn công tiếp cận một người nội bộ "tiềm năng" để khai thác thông tin tổ chức, chúng sẽ đưa ra những phần thưởng lớn đồng thời hạ thấp mức độ nghiêm trọng của những việc họ làm. Trong một số trường hợp, người trong nội bộ có thể biết mình làm điều gì đó sai trái nhưng sẽ không lường được hậu quả mà hành động của họ gây ra, trừ khi có sự cảnh tỉnh của bạn bè, đồng nghiệp hoặc thành viên trong gia đình.
Vì vậy, cần nói chuyện, giải thích với họ về những rủi ro có thể xảy ra nếu họ thực hiện những việc ảnh hưởng đến tổ chức. Ngoài ra, cần cung cấp cho họ công cụ để phát hiện những "dấu hiệu đỏ" trước khi họ có thể vô tình tham gia vào một điều gì đó mang tính phá hoại.
Cuối cùng là hãy làm rõ chính sách của bạn là gì và cho họ biết rằng bạn có các biện pháp bảo vệ.
2). Sử dụng các biện pháp giám sát hành động người dùng
Những công cụ phù hợp để xác định khi nào người dùng đang thực hiện các hành động bất thường, nằm ngoài nhiệm vụ của họ có thể giúp ngăn chặn chúng sớm hơn.
Việc phân tích hành vi người dùng có thể giúp phát hiện những mối đe dọa này, hiểu được đường cơ sở của hành vi bình thường là gì và cảnh báo khi người dùng đi lệch quy trình của họ.
3). Sử dụng xác thực đa yếu tố (MFA) bất cứ khi nào có thể
Như đã lưu ý, thông tin đăng nhập sẽ bị xâm phạm. Trong những trường hợp đó, xác thực đa yếu tố có thể đóng một vai trò quan trọng trong việc ngăn chặn những kẻ tấn công.
Nhiều tổ chức sử dụng SMS làm giải pháp MFA của họ, ngoài ra có thể sử dụng ứng dụng tạo mã một lần. Để có thêm phần an toàn, hãy sử dụng bổ sung Yubikey (một thiết bị phần cứng có thể sử dụng như một phương thức xác thực 2 yếu tố trên các loại tài khoản) cho những người dùng đặc quyền nhất của bạn.
Xác minh nhưng tin tưởng
Quản lý các mối đe dọa nội gián cần sự cân bằng. Chúng ta tuyển dụng nhân viên vì tin rằng họ sẽ là những nhân viên giỏi, những người luôn hướng tới lợi ích tốt nhất của tổ chức. Việc áp dụng các biện pháp bảo vệ để giúp mọi người trung thực hoặc xác định được tác nhân đe dọa bên ngoài là lẽ thường tình và có thể giúp tránh một số tình huống không mong muốn.
Nhưng chúng ta phải tin tưởng rằng chúng ta có những người phù hợp làm việc với chúng ta và cần phải làm cho họ cảm thấy rằng họ là một phần của nhóm bằng những cuộc trò chuyện minh bạch về các biện pháp bảo vệ mà bạn áp dụng để mọi người đều có cùng quan điểm. Trong trường hợp này, trung thực thực sự là chính sách tốt nhất.
Cân bằng sự kết hợp giữa giám sát và sự tin tưởng phù hợp là điều quan trọng cho sự thành công lâu dài của tổ chức, nếu chỉ vì nghi ngờ có tội cho đến khi được chứng minh là vô tội thì lúc đó không còn kịp./.
.jpg "Chìa khóa giải quyết thách thức trong bảo vệ trẻ em trên không gian mạng")
