Nhiều tổ chức bỏ qua server trong chiến lược bảo mật

Chúng ta đã chứng kiến phần mềm ransomware khóa các máy tính đơn lẻ nối với các mạng diện rộng. Đã có các ví dụ về các vụ việc xâm dữ liệu thông qua một máy tính cuối duy nhất - đã lấy đi các dữ liệu nhạy cảm và thậm chí nhắm tới thương mại điện tử để đòi các khoản phí gian lận.

Tất cả những gì cần thiết cho tội phạm mạng xâm nhập một tổ chức là một điểm đăng nhập yếu nhất, và trong trường hợp này là các máy chủ. Ví dụ, Đại học Quốc gia Singapore (NUS) là một mục tiêu của một cuộc tấn công mạng năm 2017 khi tội phạm mạng thực hiện xâm nhập trái phép thông qua một máy chủ duy nhất.

Cuộc tấn công này đã thu hút sự chú ý của cả Singapore vì đây là cuộc tấn công đầu tiên vào một trường đại học ở Singapore, là cơ sở nghiên cứu hàng đầu của nước này và là cơ sở đào tạo đáp ứng nhân lực cho hơn 1900 cơ quan, tổ chức ngành và chính phủ.

Sự kiện này cho thấy các máy chủ ở trong tổ chức, là chìa khóa để tin tặc có thể đi vào một hạ tầng CNTT của tổ chức đó. Máy chủ đáp ứng hoạt động của cả hệ thống CNTT của một tổ chức, theo đó các máy chủ trở thành mục tiêu có giá trị cao cho những kẻ tấn công nguy hiểm.

Máy chủ - điểm đen cho tội phạm mạng

Hãy hình dung máy chủ giống như một cái cây, với các thiết bị đầu cuối của các cá nhân là lá và cành và bản thân máy chủ là thân cây. "Thân cây" nắm giữ toàn bộ sức sống của cây và không có nó, cành, lá sẽ không tồn tại.

Đối với các tổ chức ngày nay, máy chủ lưu trữ các dữ liệu quan trọng bao gồm thông tin nhạy cảm của công ty, dữ liệu chính phủ, các hồ sơ giấy tờ, mật khẩu hay thông tin nhận dạng cá nhân khác như chi tiết thẻ tín dụng hoặc chăm sóc khỏe, số nhận dạng bảo hiểm xã hội và số giấy phép lái xe. Như vậy, máy chủ mang lại cho tin tặc một số các lựa chọn:

1. Triển khai các cuộc tấn công mã độc

Một máy chủ sẽ là một con đường sẵn sàng cho bọn tội phạm tiến vào một mạng máy tính của tổ chức. Khi máy chủ bị xâm nhập, tin tặc có quyền truy cập vào toàn bộ các nguồn tài nguyên thông tin của tổ chức. Sau đó, chúng có thể sử dụng máy chủ để phát động các cuộc tấn công phần mềm độc hại, lấy dữ liệu nhạy cảm hoặc đưa lưu lượng truy cập đến các tài nguyên độc hại khác.

2. Buộc tổ chức phải trả tiền chuộc

Tin tặc cũng có thể buộc tổ chức trả tiền chuộc hoặc chúng có thể bán dữ liệu mà chúng tìm thấy, bao gồm tất cả thông tin doanh nghiệp và dữ liệu nhận dạng cá nhân, trên web đen hoặc đòi tiền chuộc các khách hàng cá nhân.

Thêm vào đó, một khi máy chủ bị xâm phạm, không có cách nào để lấy lại dữ liệu bị mất. Ngay cả khi đã trả tiền chuộc, thì vẫn không có gì đảm bảo rằng tin tặc sẽ trả lại dữ liệu cho tổ chức mà không bị sao chép hoặc bán dữ liệu trước. Thậm chí tồi tệ hơn là những dữ liệu đó có thể vẫn bị đánh cắp lần nữa.

3. Cài đặt phần mềm đào tiền ảo

Sự phát triển của tiền điện tử đã thấy một vấn đề khác về các lỗ hổng máy chủ. Tin tặc hiện nay đang cài đặt các phần mềm đào tiền ảo vào phần cứng máy chủ bị xâm phạm để tạo ra lợi nhuận cho chúng. Phần mềm đào tiền ảo có thể trở nên nguy hiểm khi có thể chiếm quyền hoàn toàn một máy chủ hoặc một loạt các máy chủ, ngăn cản tổ chức thực hiện bất cứ công việc nào.

Máy chủ thường bị bỏ qua

Mặc dù có giá trị rõ ràng đối với kẻ tấn công, máy chủ thường bị bỏ qua trong chiến lược bảo mật ở điểm cuối của tổ chức.

Với định hướng của Singapore là trở thành một quốc gia thông minh kết nối, nên việc cài đặt bảo vệ điểm cuối một cách truyền thống trên các máy chủ là chưa đủ. Các máy chủ có các đặc tính và yêu cầu vận hành rất khác so với các máy tính khác và do đó các máy chủ cần các tiêu chí bảo mật dành riêng.

Giải pháp cho tất cả các công ty muốn bảo vệ máy chủ của họ là áp dụng một giải pháp thế hệ tiếp theo sử dụng học sâu (deep learning) và trí tuệ nhân tạo để phát hiện trước mã độc hại, hoạt động đáng ngờ và chặn nó trước khi nó trở thành vấn đề.

Với các công ty chuyển sang đám mây, các máy chủ yêu cầu các công cụ bảo mật bổ sung như khám phá khối lượng công việc trên đám mây. Hơn nữa, cần phải xem xét cách thức mà tin tặc sử dụng các máy chủ để khởi động các cuộc tấn công mạnh mẽ vào một tổ chức. Công nghệ chống khai thác phải trở thành một phần của bất kỳ giải pháp bảo mật nào trên máy chủ.

Nếu việc bảo vệ máy chủ không được tăng cường, các cuộc tấn công vào các tổ chức như NUS sẽ trở nên phổ biến hơn. Tin tặc có động lực để tấn công các máy chủ để kiếm tiền trên web đen, thông qua việc đòi tiền chuộc hoặc thông qua khai thác tiền điện tử. Động thái này của tin tặc tạo sức ép khiến các công ty phải hành động để tự bảo vệ mình.