‘Mọi cuộc tấn công điều không giống nhau’ vì vậy hãy cố gắng phân tích động cơ tấn công, các vấn đề liên quan khác để xác định ‘loại mục tiêu’ là chìa khóa quan trọng để giải quyết & đánh bại đối thủ.
1) Động cơ của đối thủ:
Bạn không thể chiến đấu thành công với những kẻ xấu mà không hiểu họ là ai và tại sao họ lại theo đuổi bạn. Mỗi kẻ tấn công điều có câu chuyện và mục tiêu nguồn gốc riêng của chúng, và điều này thúc đẩy mọi thứ chúng làm và cách chúng thực hiện.
Ngày nay, các tin tặc đe dọa với động cơ nghiêm trọng – đa phần trong những trường hợp sau:
Tài chính (Financial)
Quốc gia tài trợ / chiến tranh mạng (Nation-state sponsored / cyberwarfare)
Gián điệp công ty (Corporate espionage)
Hack activists
Trộm cắp tài nguyên (Resource theft)
Gian lận trong trò chơi nhiều người chơi (Cheating in multiplayer games)
Cần lưu ý rằng ‘mọi cuộc tấn công điều không giống nhau’ vì vậy hãy cố gắng phân tích động cơ tấn công, các vấn đề liên quan khác để xác định ‘loại mục tiêu’ là chìa khóa quan trọng để giải quyết & đánh bại đối thủ.
2) Các loại phần mềm độc hại
Có ba loại phần mềm độc hại chính: Virus máy tính, Trojan horse, Worm. Bất kỳ chương trình phần mềm độc hại nào cũng là sự kết hợp của một hoặc nhiều phân loại này.
Virus máy tính là một chương trình phần mềm độc hại lưu trữ bên trong các chương trình, files và lưu trữ kỹ thuật số khác để sao chép.
Trojan là một chương trình phần mềm độc hại tự xưng là một thứ hợp pháp để lừa con người thiết lập nó trong chuyển động (Tools Cracked,…). Trojan không tự sao chép, mà nó dựa vào nhu cầu và sự tò mò của người dùng để giúp nó lan rộng.
Worm là một chương trình tự sao chép, sử dụng các CODE để tự phát tán. Nó không cần các chương trình hoặc tập tin máy chủ khác.
Khi hiểu rõ các loại phần mềm độc hại cơ bản này – thì khi bạn tìm thấy chương trình độc hại – bạn có thể phân tích kịch bản có khả năng nhất về cách nó xâm nhập vào hệ thống. Điều này sẽ giúp bạn hiểu nơi tìm kiếm nguồn gốc của chương trình độc hại và hiểu nơi nó có thể sẽ lan rộng hơn nữa.
3) Khai thác nguyên nhân gốc rễ
Mỗi năm các chuyên gia IT Security phải đối mặt với hàng ngàn lỗ hổng phần mềm mới, hàng triệu chương trình phần mềm độc hại.
Dưới đây là các loại gốc rễ để kẻ xấu khai thác:
Không ngày (Zero-days)
Phần mềm chưa được vá (Unpatched software)
Phần mềm độc hại (Malware)
Kỹ thuật xã hội (Social engineering)
Tấn công mật khẩu (Password attacks)
Nghe trộm / MitM (Eavesdropping /MitM)
Rò rĩ dữ liệu (Data leaks)
Cấu hình sai (Misconfiguration)
Từ chối dịch vụ (Denial of service)
Người trong cuộc / đối tác / tư vấn / nhà cung cấp / bên thứ ba (Insider / Partner / Consultant / Vendor / Third Party)
Lỗi người dùng (User error)
Truy cập vật lý (Physical access)
…
4) Mật mã và bảo vệ dữ liệu
Mật mã số là nghệ thuật làm cho thông tin an toàn trước sự truy cập và sửa đổi trái phép. Mỗi chuyên gia IT Security nên nắm bắt tốt về kiến thức cơ bản về mật mã, bao gồm mã hóa bất đối xứng, mã hoá đối xứng, băm và phân phối và bảo vệ khóa.
Bảo vệ dữ liệu đòi hỏi rất nhiều mật mã. Bảo vệ dữ liệu hoàn chỉnh cũng yêu cầu dữ liệu phải được thu thập và sử dụng hợp pháp, bạn bảo về quyền riêng tư của mình trước sự truy cập trái phép và bạn sao lưu an toàn để tránh sửa đổi độc hại và đảm bảo tính khả dụng.
5) Phân tích gói mạng và mạng
Hãy nắm bắt đầy đủ các kiến thức cơ bản và xây dựng chặt chẽ về mạng, gói mạng như: Giao thức, số cổng, địa chỉ mạng, các lớp của mô hình OSI, sự khác biệt giữa bộ định tuyến và bộ chuyển đổi và sự khác nhau của các gói mạng,….
6) Phòng thủ chung cơ bản
Hiểu và sử dụng các biện pháp bảo vệ an ninh CNTT cơ bản là điều bắt buộc đối với chuyên gia bảo mật CNTT. Hãy tham khảo các tiêu chuẩn của hệ thống bảo mật máy tính:
- Quản lý bản vá (Patch Management)
- Đào tạo người dùng cuối (End-User Training)
- Tường lửa (Firewalls)
- Diệt virus (Antivirus)
- Cấu hình an toàn (Secure Configurations)
- Mã hóa / Mật mã (Encryption / Crytography)
- Xác thực (Authentication)
- Phát hiện xâm nhập (Intrusion Detection)
- Ghi nhật ký (Logging)
7) Cơ sở xác thực:
Xác thực không đơn giản chỉ là việc nhập mật khẩu hợp lệ hoặc kiểm tra ID. Mà xác thực là quá trình cung cấp ‘nhãn’ nhận dạng hợp lệ, duy nhất như: địa chỉ email, tên chính của người dùng, tên đăng nhập,..
Khi xây dựng ‘chuỗi’ xác thực hiệu quả để xác định người dùng là chủ sở hữu hợp lệ, các đối tượng cố gắng truy cập vào tài nguyên được bảo vệ, được kiểm tra bởi quy trình quản lý, bảo mật được gọi là ‘ủy quyền’.
Tất cả các lần đăng nhập và truy cập phải được ghi lại thành file nhật ký, để tìm hiểu, để xác định những thay đổi có thể xảy ra trong tương lai, trong xác thực.
8) Các mối đe dọa di động
Dễ dàng sở hữu, dễ dàng kết nối, dễ dàng sử dụng, …..và đi kèm là các mối đe dọa, các mối bảo mật di động như sau:
- Phần mềm độc hại di động (Mobile malware)
- Phần mềm gián điệp (Spyware)
- Dữ liệu hoặc thông tin trộm cắp (Data or Credential theft)
- Hình ảnh trộm cắp (Picture theft)
- Ransomware
- Tấn công lừa đảo (Phishing attacks)
- WIFI không bảo mật (Unsecured wireless)
- ….
9) Bảo mật đám mây
Đám mây thực sự có nghĩa là ‘máy tính của người khác’, IT System không còn kiểm soát máy chủ, dịch vụ, cơ sở hạ tầng được sử dụng để lưu trữ dữ liệu nhạy cảm và kiểm soát người dùng dịch vụ trong đám mây.
Mọi thứ điều đặt vào sự tin tưởng của nhóm bảo mật của nhà cung cấp đám mây đang thực hiện với sự tách riêng biệt dữ liệu của các khách hàng khác nhau bằng cách ảo hóa, microservice,….
Các yếu tố làm cho bảo mật đám mây phực tạp hơn các mạng truyền thống:
Thiếu kiểm soát (Lack of control)
Luôn có sẵn trên Internet
Nhiều người thuê (dịch vụ/ máy chủ dùng chung)
Ảo hóa / container hóa / microservice
10) Ghi nhật ký sự kiện
Theo nghiên cứu cho thấy rằng các sự kiện bảo mật bị bỏ lỡ nhiều nhất đã có ngay trong các file nhật ký, chỉ chờ được khám phá, phân tích
Các bước cơ bản của ghi nhật ký sự kiện mà mọi chuyên gia bảo mật CNTT chú ý:
- Policy
- Configuration
- Event log collection
- Normalization
- Indexing
- Storage
- Correlation
- Baselining
- Alerting
- Reporting
11) Ứng phó sự cố
Bằng cách nào đó, một tin tặc hoặc phần mềm độc hại của họ xuyên qua bức tường phòng thủ của bạn. Vì vậy, việc xây dựng cách ứng phó sự cố là cần thiết – hãy tham khảo các chia sẻ sau:
- Sẵn sàng đáp ứng hiệu quả và kịp thời (Respond effectively and in a timely fashion)
- Hạn chế thiệt hại (Limit Damage)
- Tiến hành phân tích (Conduct Forensic Analysis)
- Xác định mối đe dọa (Identification the Threat)
- Giao tiếp (Communication)
- Hạn chế thiệt hại trong tương lai (Limit Future Damage)
- Bài học từ thất bại (Acknowledging Lessons Learned)
- …
12) Chia sẻ và truyền thông đe dọa
Chia sẻ các mối đe dọa được biết đến và thường xuyên tái diễn đến người dùng, đến quản lý, đến lãnh đạo công ty để có sự nhận thức và chủ động – đó cũng là cách có thể ngăn chặn được sự đe dọa !
Truyền thông là kỹ năng chuyên nghiệp cần có của IT Security như: trò chuyện trực tiếp, tài liệu bằng văn bản, email, online sharing, bản tin, bài kiểm tra và lừa đảo giả lập,…
Mỗi chuyên gia CNTT giỏi cần có khả năng giao tiếp rõ ràng hiệu quả bằng lời nói, bằng văn bản – tham khảo các nội dung sau để chuẩn bị các sự kiện cần thiết của bạn:
- Nhiều khả năng, đáng kể, các mối đe dọa và rủi ro đối với tổ chức (The most likely, significant, threats and risks against the organization)
- Chấp thuận sự dụng (Acceptable use)
- Chính sách bảo mật (Security policy)
- Làm thế nào để xác thực và nhưng điều cần tránh (How to authenticate and what to avoid)
- Bảo vệ dữ liệu (Data Protection)
- Nhận thức về kỹ thuật xã hội (Social engineering avareness
- Làm thế nào và khi nào báo cáo sự cố an ninh đáng ngờ (How and when to report suspicious security incidents)
- …
Thegioibantin.com | VinaAspire News
Nguồn: Seacom