Phát hiện nguy cơ và rủi ro trong truy cập đặc quyền

Tình trạng tấn công trong truy cập đặc quyền

Tại Vietnam Security Summit 2021, ông Serkan Cetin, Giám đốc kỹ thuật One Identity khu vực châu Á - Thái Bình Dương và Nhật Bản (APJ) cho biết, mỗi phút có 3.246 hồ sơ bị đánh cắp, con số này ngày càng gia tăng do lừa đảo (email scam) và nhiều nguồn khác. Các cuộc tấn công ngày càng trở nên tinh vi và phức tạp hơn.

Tin tặc ngày càng có nhiều sự thay đổi về chiến thuật và công cụ tấn công. Chúng đã rút ra những bài học từ quá khứ và thích nghi với những tình huống mới để có được nhiều thành công hơn trong các hệ thống và mạng lưới.

Theo một kết quả báo cáo năm 2019 mà ông Serkan Cetin đưa ra, 34% các vụ tấn công xuất phát từ nội bộ, 23% thuộc các khối nhà nước (thuộc các quốc gia), 39% thuộc các nhóm tội phạm có tổ chức.

Theo các vụ việc báo cáo đến chính phủ Úc, từ tháng 1 đến tháng 6/2021, 80% vụ xâm phạm bảo mật liên quan tới các thông tin xác thực đặc quyền: Mật mã, mật khẩu (password) hoặc tiếp cận thông tin đặc biệt nào đó.

Các tấn công vào danh tính, con người, thiết bị với quyền truy cập đặc quyền đang lớn dần theo thời gian. Đặc biệt trong 2 năm đại dịch vừa qua, địa điểm của các cuộc tấn công không còn phụ thuộc vào một môi trường duy nhất nữa. Trước đây các danh tính đặc quyền này rất dễ xác định được trong mạng lưới của doanh nghiệp hay các hệ thống an ninh thông tin, nhưng giờ đây nó tràn lan trên nhiều nền tảng đám mây với các công nghệ đám mây khác nhau.

Mặc dù 80% các thiết bị kết nối trong công ty có thể đảm bảo được kiểm soát trên nhiều môi trường. Tuy nhiên, trong 2 năm qua, các thiết bị IoT không thuộc các kết nối với mạng công ty như bóng đèn thông minh, máy pha cà phê, thiết bị cho thú cưng ăn… từ những người làm việc từ xa có sự gia tăng, gây nhiều khó khăn cho việc bảo mật. Điều này cho thấy dữ liệu ngày càng trở nên phức tạp hơn, việc xâm nhập của kẻ tấn công ngày càng trở nên dễ dàng và chúng ta cũng ngày càng khó xác định, khó xử lý hơn.

Những thách thức đối với danh tính đặc quyền

88% các tổ chức nhận thấy việc quản lý các tài khoản đặc quyền là một thách thức lớn đối với chính họ. Ông Serkan Cetin đã chỉ ra một số căn nguyên của vấn đề là do các yếu tố sau:

Thứ nhất là chưa có tính trách nhiệm của các cá nhân trong việc sử dụng các danh tính đặc quyền này: Trên danh bạ chúng ta có thể tìm thấy tài khoản quản trị (admin), đăng nhập (login)… nhưng chúng ta không biết rõ là ai, thậm chí chẳng truy cập, đánh giá, nếu có cũng không xác định được ai là người trách nhiệm.

Thứ hai là danh tính đặc quyền được ứng dụng và nhúng vào các tập lệnh: Các hoạt động về bảo mật như một trở ngại với đối với một số người dùng bởi họ cảm thấy có sự phức tạp nên chưa thực sự tuân thủ. Ngoài ra, đội ngũ kinh doanh có thể đưa ra các yêu cầu rất khác biệt trở thành cản trở. Do vậy khi gặp khó khăn thì họ không tìm cách để vượt qua thay cho việc không tuân thủ. Đôi lúc có những giải pháp đã được cung cấp, nhưng họ lại tìm cách bỏ qua, kể cả nhóm admin cũng không ngoại lệ.

Theo ông Serkan Cetin, nếu người dùng không sử dụng đến những đặc quyền danh tính thật cao thì cũng không nên đòi hỏi những đặc quyền đó. Nhiều người chỉ suy nghĩ rằng là có đặc quyền đó thì có thể làm gì mình muốn, để thể hiện một cái gì đó chứ không phải là nhu cầu công việc thực sự của họ.

Thứ ba là việc truy cập từ bên ngoài như nhà cung cấp, nhà sản xuất là một vấn đề rất nghiêm trọng.

Ngoài ra cũng phải kể đến các mối đe dọa từ nội bộ: Việc tiếp cận dịch vụ không phải chỉ có đội ngũ CNTT mà người sử dụng trong hoạt động kinh doanh và một số vị trí cần truy nhập đặc quyền chia sẻ các nền tảng xã hội trong phòng maketting cũng là không phù hợp. Vấn đề này không phải là công việc của riêngphòng CNTT mà chính bộ phận phòng maketting phải có cách quản lý phù hợp.

Phương án giải quyết những thách thức

Theo ông Serkan Cetin, để quản lý được những vấn đề trên cần phải quản lý an toàn và hiệu quả vấn đề ATTT, cần nắm rõ các vấn đề như tại sao họ sử dụng điều này? Sử dụng vào thời gian nào? Mục đích gì?

Việc kiểm soát lệnh một cách chặt chẽ, cho ai, ai là người không dùng mật khẩu (password), sử dụng mật khẩu dễ và khó phá, phục vụ mục đích gì, sử dụng vào nhiệm vụ nào… cũng là điều rất cần thiết.

Ngoài ra, cần ghi lại, giám sát, thậm chí là phát lại các hình thức kiểm soát, xem lại các video theo dõi các đối tượng sử dụng như thế nào. Hơn nữa, cần phân tích dữ liệu để ngăn chặn, phát hiện những người dùng và hành vi rủi ro.

Để giúp thực hiện được tất cả những điều này thì việc sử dụng học máy là vô cùng hữu ích. Đây là quá trình mà máy tính có thể cải thiện hiệu xuất cách liên lục kết hợp dữ liệu mới vào mô hình thống kê hiện có. Học máy xây dựng các thuật toán cho phép máy tính phát triển các hành vi mới dựa trên kinh nghiệm. Sử dụng học máy còn giúp phát hiện và ngăn chặn mối đe dọa.

Học máy thu thập nhật ký (log), phân tích log, bảo vệ một cách chủ động, ngăn ngừa các mối đe dọa. Với một hệ thống lạ thì hệ thống sẽ xác định "cái này là lần đầu tiếp cận", đây không phải là mô tả công việc, vai trò phân quyền chưa có... và sẽ đánh giá là hành vi đáng ngờ đồng thời lập tức ngăn chặn tiếp cận và đưa ra cảnh báo trước khi được xác minh là an toàn.

Học máy giúp điều tra và tìm ra các mối đe dọa được thuận tiện, biết những gì sẽ diễn ra trong mạng lưới, kết nối từ đâu tới, phát hiện hành vi thực sự bất thường, chỉ rõ địa chỉ IP giúp quản trị viên biết chính xác đối tượng này đã làm gì, đã đi vào hệ thống mạng nào và đang định hướng sẽ đi vào bộ phận, hệ thống mạng nào nữa hay không.

Ngày nay, học máy đóng vai trò rất quan trọng trong an ninh mạng nói chung và trong hiện nguy cơ, rủi ro trong truy cập đặc quyền nói riêng. Học máy là giải pháp cần thiết và là con đường nhiều hứa hẹn trong nhiệm vụ đảm bảo an toàn mạng cho các tổ chức và doanh nghiệp./.