Khoảng 40% tin tặc (hacker) mũ trắng được SANS khảo sát gần đây cho biết họ có thể đột nhập vào hầu hết các môi trường mà họ thử nghiệm, nếu không muốn nói là tất cả. Cuộc khảo sát của SANS được thực hiện cùng với sự hợp tác của công ty bảo mật Bishop Fox đối với các hacker có đạo đức và nguy cơ tấn công mạng. Khảo sát đã thu thập phản hồi của hơn 300 “tin tặc tốt” làm việc ở nhiều vị trí khác nhau trong các tổ chức, có các mức độ kinh nghiệm và chuyên môn khác nhau trong các lĩnh vực bảo mật thông tin. Cuộc khảo sát tiết lộ rằng trung bình, tin tặc sẽ cần 5 giờ cho mỗi bước trong một chuỗi tấn công: do thám, khai thác, leo thang đặc quyền và xâm nhập dữ liệu, như vậy một cuộc tấn công đầu cuối chỉ mất chưa đầy 24 giờ.
Cuộc khảo sát nhấn mạnh sự cần thiết của các tổ chức trong việc cải thiện thời gian phát hiện sự cố và thời gian ngăn chặn, đặc biệt là khi các hacker mũ trắng bị hạn chế trong một số kỹ thuật mà họ được phép sử dụng trong quá trình thử nghiệm thâm nhập. Nếu sử dụng các kỹ thuật của hacker mũ đen, giống như tội phạm, tỷ lệ thành công và tốc độ tấn công vào các mạng lưới sẽ còn cao hơn nhiều.
Chỉ trong vài giờ, tin tặc có thể tìm ra điểm yếu dễ bị khai thác của mạng lưới
Khi được hỏi họ thường cần bao nhiêu thời gian để xác định điểm yếu trong môi trường, 57% tin tặc được thăm dò ý kiến cho biết từ 10 giờ trở xuống: 16% trả lời từ 6 đến 10 giờ, 25% từ 3 đến 5 giờ, 11% từ 1 đến 2 giờ và 5% có thể tìm ra điểm yếu trong chưa đầy một giờ. Cũng cần lưu ý rằng 28% trả lời rằng họ không biết, có thể là do nhiều lý do và cũng có thể họ sẽ mất hơn mười giờ mới tìm ra.
Một khả năng là nhiều tin tặc có đạo đức không theo dõi việc khám phá và thăm dò điểm yếu trong mạng lưới mất bao nhiêu thời gian vì đó không phải là thước đo quan trọng đối với họ hoặc họ không nhất thiết phải nóng vội về mặt thời gian khi tìm hiểu các điểm yếu. Nhiều yếu tố có thể ảnh hưởng đến điều này, từ quy mô của môi trường và số lượng tài sản cho đến sự quen thuộc từ trước của họ với môi trường được thử nghiệm.
Hơn 2/3 trong số các tin tặc được hỏi cho biết họ từng làm việc hoặc từng làm việc với tư cách là thành viên của các nhóm bảo mật nội bộ và một nửa cho biết họ từng là chuyên gia tư vấn cho các nhà cung cấp bảo mật tấn công. Gần 90% người được hỏi có chứng chỉ bảo mật thông tin và các chuyên môn hàng đầu trong số đó là bảo mật mạng, kiểm tra thâm nhập nội bộ, bảo mật ứng dụng, bảo mật đám mây. Bảo mật mã, bảo mật IoT và bảo mật di động ít phổ biến hơn với mức độ phổ biến từ 30% trở xuống.
"Dữ liệu của chúng tôi cho thấy phần lớn những người được hỏi có kinh nghiệm bảo mật ứng dụng, bảo mật mạng và kiểm tra nội bộ có thể tìm ra điểm yếu dễ bị khai thác trong vòng năm giờ hoặc ít hơn", Matt Bromiley, một giáo viên về ứng phó sự cố của SANS cho biết trong báo cáo.
Sau khi tìm thấy điểm yếu trong mạng lưới, khoảng 58% cho biết họ cần 5 giờ hoặc chưa đến 5 giờ để khai thác điểm yếu, 25% nói rằng họ cần từ một đến hai giờ và 7% cần chưa đến một giờ. Khi được yêu cầu xếp hạng các yếu tố khác nhau dẫn đến mạng lưới phơi nhiễm, đa số các nhà bảo mật đều đề cập đến kết nối của bên thứ ba, tốc độ phát triển và triển khai ứng dụng nhanh chóng, áp dụng cơ sở hạ tầng đám mây, làm việc từ xa, và các thương vụ sáp nhập và mua lại cũng khiến hệ thống bị ảnh hưởng.
Theo các chuyên gia bảo mật, loại phơi nhiễm mà họ gặp nhiều nhất là cấu hình mạng lưới sai, tiếp theo là phần mềm dễ bị tấn công, các dịch vụ web bị lộ, lộ lọt thông tin nhạy cảm và các vấn đề xác thực hoặc kiểm soát truy cập.
Nhanh chóng chiếm nhiều đặc quyền và thâm nhập vào mạng lưới tổ chức
Khung thời gian dưới 5 giờ dường như chiếm ưu thế trong tất cả các giai đoạn khác của một cuộc tấn công. 36% người được hỏi báo cáo rằng họ có thể chiếm các đặc quyền và di chuyển sâu vào mạng lưới tổ chức bị tấn công trong vòng 3-5 giờ sau lần xâm nhập đầu tiên. 20% ước tính họ có thể làm điều đó trong hai giờ hoặc ít hơn. Các bước thu thập và lọc dữ liệu cũng được các tin tặc thực hiện dễ dàng với 22% số người được hỏi cho biết họ sẽ mất từ ba đến năm giờ, 24% từ một đến hai giờ và 16% ít hơn một giờ.
Khi nói đến thời gian trung bình cần thiết để hoàn thành một cuộc tấn công từ đầu đến cuối, hầu hết những người được hỏi (57%) cho biết khung thời gian dưới 24 giờ với 23% khác nói rằng họ không biết.
Các phương pháp phát hiện và ứng phó tấn công mạng hiệu quả
Theo khảo sát, 38% số người được hỏi cho biết họ có thể tấn công thành công vào hệ thống mạng lưới sau khi tổ chức đã áp dụng các biện pháp phòng thủ. Điều này cho thấy việc áp dụng các phương pháp phát hiện và ngăn chặn tấn công tốt sẽ có lợi trong việc chặn đứng các nỗ lực xâm nhập, đặc biệt vì tội phạm thường triển khai theo những lối tấn công cũ và chuyển mục tiêu nếu chúng đã cố gắng thực hiện những bước xâm nhập ban đầu nhưng không thành công.
59% số người được hỏi cho biết họ dựa vào các công cụ mã nguồn mở để xâm nhập và 14% cho biết họ sử dụng các gói khai thác công khai. Chỉ 6% sử dụng biện pháp khai thác riêng tư và 7% sử dụng các công cụ tùy chỉnh do họ tự viết. Điều này có nghĩa là các đội bảo mật có thể nhận được rất nhiều giá trị nếu tập trung vào việc bảo vệ chống lại các công cụ và cách khai thác phổ biến và đã được công khai.
Tuy nhiên, thật không may, 3/4 số người được hỏi chỉ ra rằng chỉ có một số tổ chức có khả năng phát hiện và phản ứng hiệu quả trong việc ngăn chặn các cuộc tấn công. Gần 50% nói rằng các tổ chức không có khả năng phát hiện và ngăn chặn các cuộc tấn công dành riêng cho ứng dụng và đám mây.
Một số biện pháp bảo mật được các chuyên gia an ninh mạng khuyến nghị
Bảo mật quyền truy cập mạng
Theo các chuyên gia an ninh mạng, một giải pháp quan trọng mà các tổ chức cần lưu ý là bảo mật quyền truy cập mạng, đặc biệt khi xu hướng công việc từ xa và/hoặc kết hợp được ưu tiên hơn, do đó làm tăng bề mặt tấn công.
Củng cố và sao lưu dữ liệu
Ngoài bảo mật quyền truy cập mạng, theo Steve Santamaria, Giám đốc điều hành tại Folio Photonics, việc củng cố và sao lưu dữ liệu rất cần thiết. “Dữ liệu đại diện cho tài sản chiến lược của hầu hết mọi tổ chức. Tuy nhiên, dù từ các nhân viên CNTT đến các nhà lãnh đạo cấp cáp đều đồng ý rằng khả năng xảy ra một cuộc tấn công mạng rất cao, song nhiều người vẫn thừa nhận họ chưa chuẩn bị đầy đủ để ứng phó với tất cả các mối đe dọa”, Steve Santamaria nói.
Đề phòng với các mối đe dọa nội bộ
Báo cáo điều tra vi phạm dữ liệu năm 2022 của Verizon tiết lộ rằng 82% các vụ vi phạm dữ liệu xảy ra do yếu tố con người. Một ví dụ gần đây là vụ tấn công mạng tại Toyota làm rò rỉ dữ liệu của 296.019 khách hàng, mà nguyên nhân là một nhân viên nội bộ để quên các khóa truy cập máy chủ trong mã nguồn, sau đó được tải lên công khai trên GitHub.
Brian Dunagan, Phó Giám đốc Kỹ thuật tại Retrospect, nói: “Mặc dù các tác nhân xấu bên ngoài, ransomware và các phần mềm độc hại khác, là những mối đe dọa phổ biến nhất, nhưng hành động độc hại hoặc thậm chí bất cẩn của nhân viên cũng có thể gây ra rủi ro an ninh mạng”.
Bảo vệ trước mối họa ransomware
Các cuộc tấn công ransomware đã tăng 13% vào năm 2022, theo báo cáo của Verizon, cao hơn 5 năm qua cộng lại. Ransomware cũng có mặt trong 70% các vụ vi phạm phần mềm độc hại vào năm 2022.
Ngoài ra, các băng đảng ransomware liên tục phát triển, thêm các công cụ mới vào chiến thuật của chúng, từ tống tiền kép, ransomware dưới dạng dịch vụ (ransomware-as-a-service) đến các chương trình tiền thưởng lỗi.
Quản lý lỗ hổng bảo mật thích hợp
Cho đến nay vào năm 2022, Microsoft đã vá được khoảng 1.100 lỗ hổng trong các sản phẩm của mình. Đồng thời, các lỗ hổng mới trong một số sản phẩm và dịch vụ CNTT tiếp tục được phát hiện.
Các lỗ hổng phần mềm là phương tiện tấn công phổ biến thứ hai được các tác nhân đe dọa sử dụng, theo báo cáo Ứng phó sự cố năm 2022 của Palo Alto Networks.
Bảo mật email
Mika Aalto, Giám đốc điều hành và Đồng sáng lập của Hoxhunt, đã nhắc nhở về mối đe dọa “mọi vi phạm đều bắt đầu bằng một email độc hại”. Ông cho biết các cuộc tấn công email đã phát triển, tội phạm mạng áp dụng nhiều công nghệ tiên tiến và các nền tảng mới như một dịch vụ. Vì thế, hãy đào tạo tất cả mọi người về rủi ro của email./.