Các kiểu tấn công có chủ đích - APT xuất hiện ngày càng nhiều và ngày càng nguy hiểm, và chi phí để đối phó cũng ngày càng cao. Làm sao để bảo vệ cho mạng của tổ chức hay doanh nghiệp?
APT (Advanced Persistent Threat) là hình thức tấn công mạng có mục tiêu cụ thể do tin tặc chọn, sử dụng các công nghệ tiên tiến và kỹ thuật lừa đảo để đột nhập mạng mục tiêu và dai dẳng tập trung vào mục tiêu đó trong nhiều tuần, nhiều tháng hoặc nhiều năm cho đến khi cuộc tấn công diễn ra thành công (hoặc bị chặn đứng). Một khi vào được trong mạng, tin tặc cố giấu mình để không bị phát hiện trong khi sử dụng một số loại phần mềm độc hại (malware) để đánh cắp thông tin quan trọng và gửi đến nơi khác phân tích rồi bán lại trên thị trường chợ đen.
Các cuộc tấn công APT được tổ chức chặt chẽ, có nguồn lực tài chính và công nghệ dồi dào. Tuy có thể sử dụng các công cụ đột nhập thông thường, nhưng thường thì các cuộc tấn công APT sử dụng phần mềm tùy biến tinh vi khó bị hệ thống bảo mật phát hiện. Các kiểu tấn công APT bao gồm tấn công zero-day, lừa đảo (phishing), malware và tấn công web.
APT nguy hiểm nhưng không phải không có cách chống đỡ. Dưới đây là 5 cách bảo vệ cho mạng của tổ chức hay doanh nghiệp trước các cuộc tấn công APT, tất cả đều quan trọng.
1. Triển khai phòng thủ theo chiều sâu
Phòng thủ theo chiều sâu hay bảo mật theo lớp không thể thiếu trong chiến lược an ninh mạng, đây là một trong những phương pháp tốt nhất để ngăn chặn cuộc tấn công APT. Nó có nghĩa kiểm soát các điểm ra vào mạng, sử dụng tường lửa thế hệ mới, triển khai các hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS), hệ thống giám sát thông tin và sự cố bảo mật (SIEM), bổ sung hệ thống quản lý lỗ hổng, sử dụng phương thức xác thực và quản lý danh tính chắc chắn, cập nhật các bản vá bảo mật và thực hiện bảo vệ đầu cuối.
Vì malware thường là nguồn gốc của các các cuộc tấn công APT, bạn cũng cần có các giải pháp đáng tin cậy đối phó nguy cơ này. Do APT có thể dựa trên các công nghệ tiên tiến mới, thiết bị bảo mật cũng cần nâng cấp, điều đó có nghĩa nên lựa chọn các giải pháp phát hiện dựa trên hành vi cao cấp khi có thể.
Mục tiêu của việc này nhằm làm cho việc xâm nhập mạng ban đầu khó khăn, nếu bị vượt qua, các lớp bảo mật bổ sung sau đó phải đặt ra mức trở ngại cao hơn, hoặc ngăn cuộc tấn công lan rộng hay làm nó chậm lại đủ lâu để phát hiện và xử lý. Vì kẻ tấn công không ngừng cập nhật công cụ và tìm kiếm các lỗ hổng mới nên các công cụ của bạn cũng phải cập nhật theo thời gian.
Lưu ý: Hơn 1,9 tỷ USD đã được chi cho các giải pháp phòng chống APT trong năm 2015, và mức chi dự kiến sẽ vượt 6,7 tỷ USD vào năm 2019 (The Radicati Group).
Không phải mọi giải pháp bảo mật đều ngốn ngân sách. Ví dụ, công cụ bảo mật miễn phí Enhanced Mitigation Experience Toolkit (EMET) chạy trên Windows của Microsoft bổ sung cho các lớp phòng thủ bảo mật hiện có giúp phát hiện và ngăn chặn các kỹ thuật khai thác lỗ hổng. Hay như dịch vụ SecurityIQ của InfoSec Institute cho phép gửi email giả lừa đảo đến nhân viên để kiểm tra ý thức bảo mật của họ. Các chính sách an ninh nội bộ chắn chắn và các đánh giá bảo mật và nguy cơ thường xuyên cũng rất quan trọng để đảm bảo việc kiểm soát an ninh tập trung vào nơi quan trọng nhất.
Ảnh minh họa từ Internet
2. Sử dụng các kỹ thuật phát hiện và giám sát
Giám sát chặt chẽ việc kiểm soát an ninh giúp bạn nhận diện các dấu hiệu cảnh báo sớm của một cuộc tấn công APT, thường xuất hiện dưới dạng file log và lưu lượng dữ liệu bất thường, hay các hoạt động bất thường khác. Việc giám sát tất cả lưu lượng ra vào mạng, lưu lượng nội bộ, và tất cả các thiết bị truy cập mạng là hết sức quan trọng. Việc giám sát liên tục không chỉ giúp bạn phát hiện hoạt động đáng ngờ sớm nhất có thể mà còn làm giảm khả năng các cuộc xâm nhập leo thang hoặc kéo dài. Kết quả giám sát còn có thể dùng làm chứng cứ pháp lý nếu cuộc tấn công xảy ra.
3. Sử dụng dịch vụ đánh giá, phân tích mối đe dọa
Một số hãng bảo mật cung cấp dịch vụ đánh giá mối đe dọa, thu thập dữ liệu thô về các mối đe dọa mới xuất hiện từ nhiều nguồn khác nhau, sau đó phân tích và sàng lọc để tạo ra thông tin hữu ích, có thể hành động. Thông tin này thường ở dạng dữ liệu cung cấp cho các hệ thống kiểm soát an ninh, hay các báo cáo phục vụ cho các nhà quản lý CNTT và giám đốc điều hành để giúp họ hiểu được tình hình về các mối đe dọa trong lĩnh vực của mình. Điểm mấu chốt đó là sự tương quan giữa tình hình chung với các mối đe dọa trực tiếp đến với mạng của tổ chức hay doanh nghiệp, giúp cho nhân viên an ninh nhận diện nhanh chóng và giải quyết các mối đe dọa có nguy cơ cao trong thời gian thực.
APT có thể lây lan bằng nhiều phương thức và có thể tập trung vào các lỗ hổng mà các công ty bảo mật chưa biết, vì vậy điều quan trọng là nhận biết các dấu hiệu của cuộc tấn công APT càng sớm càng tốt. Dịch vụ đánh giá mối đe dọa có thể cung cấp mắc xích còn thiếu gắn kết các biểu hiện bất thường trong dữ liệu đăng nhập mạng với lỗ hổng zero-day. Việc kết nối các dấu hiệu có thể cho chúng ta thông tin có ý nghĩa.
4. Đào tạo nâng cao nhận thức bảo mật
Gần như mọi cuộc thảo luận về bảo mật CNTT đều đề cập đến sự cần thiết của việc đào tạo nâng cao nhận thức. Làm cho nhân viên thấu hiểu rủi ro của việc nhấn vào những liên kết không rõ ràng trong email và nhận biết những kỹ thuật lừa đảo sẽ biến họ thành những đối tác trong cuộc chiến chống lại các mối đe dọa bảo mật, giúp bảo vệ mạng và dữ liệu mà họ nắm giữ.
Dạng đào tạo này cần bao gồm đánh giá nhanh chính sách bảo mật của tổ chức hay doanh nghiệp, và hậu quả đối với nhân viên nếu một sự cố an ninh xảy ra do hành động của họ. Đó có thể là đào tạo bổ sung, báo cáo cho bộ phận nhân sự hoặc sa thải ngay lập tức, tùy hoàn cảnh. Nhưng hãy nhớ rằng nhân viên luôn muốn làm tốt công việc của mình chứ không muốn là nguyên nhân làm công ty thua lỗ vì tạo nên một cuộc tấn công. Hãy làm nổi bật mặt tích cực trong quá trình đào tạo nâng cao nhận thức và cung cấp động lực cho tư-duy-bảo-mật là cách tiếp cận tốt nhất.
5. Lập kế hoạch ứng phó sự cố
Dù nỗ lực hết mình và trang bị những công nghệ đắt tiền thì việc bảo mật của tổ chức hay doanh nghiệp vẫn sẽ bị vi phạm ở điểm nào đó: hầu hết các chuyên gia đều cho rằng vấn đề là "khi nào" chứ không phải "có xảy ra hay không". Một kế hoạch ứng phó sự cố hữu hiệu có thể dập tắt cuộc tấn công, giảm thiểu thiệt hại và chặn bớt rò rỉ dữ liệu, giảm thiểu tổn hại uy tín thương hiệu.
Ngoài việc xác định vị trí công việc nào chịu trách nhiệm cho những hành động nào, kế hoạch ứng phó sự cố còn phải bao gồm việc bảo toàn chứng cứ pháp lý của việc vi phạm. Bạn có thể cần bằng chứng để truy tố kẻ tấn công nếu bắt được (không may là việc này ít có khả năng).
Chứng cứ còn giúp đội ngũ an ninh xác định những khoảng trống bảo mật cần tăng cường kiểm soát và ngăn ngừa tái phát. Việc xem xét sử dụng Lockheed Martin Cyber Kill Chain cũng là một ý tốt, đây là mô hình tấn công xác định trình tự từng bước của một sự cố bảo mật. Biết cách thức tin tặc xác định mục tiêu và tiến hành các bước của cuộc tấn công có thể giúp nhân viên an ninh nhận biết sớm một cuộc tấn công khi xảy ra.
Mọi tổ chức, bất kể quy mô, đều có thể bị tấn công APT. Hiểu cách thức APT hoạt động, xây dựng hệ thống phòng thủ tốt nhất trong khả năng của mình và giáo dục nhân viên nhận biết hành vi mờ ám có thể hạn chế thiệt hại, và trong một số trường hợp có thể ngăn chặn cuộc tấn công ngay từ đầu.
Thêm bình luận