Cách phòng thủ tốt nhất chống lại các mối đe dọa trên mạng là nắm giữ thông tin tốt
Nghiên cứu về mối đe dọa gần đây cho thấy rằng trong sáu tháng đầu năm 2020, tội phạm mạng đã điều chỉnh các chiến lược tấn công thông thường của chúng để tận dụng đại dịch toàn cầu và nhắm mục tiêu vào phạm vi tấn công mở rộng do sự chuyển dịch mạnh mẽ sang những người làm việc từ xa. Hiểu được xu hướng này là rất quan trọng đối với các nhóm bảo mật có nhiệm vụ xác định các mối đe dọa và bảo mật mạng đúng cách.
Một trong những thách thức lớn nhất là con dao hai lưỡi khiến các nhóm NOC và SOC phải đảo ngược mạng lưới của họ để chuyển phần lớn người dùng cuối từ làm việc bên trong khu vực truyền thống sang kết nối từ các văn phòng tại nhà. Và nhiều người đã phải làm như vậy trong khi làm việc từ xa. Khả năng hiển thị và kiểm soát trên toàn mạng đã bị giảm xuống, khiến các tổ chức phải đối mặt với những rủi ro không tồn tại chỉ vài tuần trước. Dù muốn hay không, các mạng gia đình nổi tiếng chưa được vá lỗi và không được bảo vệ giờ đây là một phần của mạng công ty mở rộng.
Tội phạm mạng hiểu điều này và đã sửa đổi các chiến lược tấn công của chúng cho phù hợp. Theo dữ liệu về mối đe dọa gần đây, chữ ký IPS đã phát hiện ra sự gia tăng mạnh mẽ của các cuộc tấn công nhằm vào các bộ định tuyến và thiết bị IoT tại nhà. Ngoài ra, trong khi năm 2020 đang trên đà phát hành số lượng CVE lớn nhất trong lịch sử, 65% tổ chức báo cáo đã phát hiện các mối đe dọa nhắm vào các lỗ hổng được xác định vào năm 2018. Và hơn một phần tư các công ty đã đăng ký nỗ lực khai thác CVE từ 15 năm trước đó.
Sự chuyển đổi này sang các lỗ hổng cũ hơn là dấu hiệu cho thấy những nỗ lực của tội phạm mạng nhằm vào các thiết bị kém an toàn hơn cư trú trên mạng gia đình, chẳng hạn như bộ định tuyến và hệ thống DVR chưa được vá. Mục tiêu là thiết lập một đầu tàu ở đó và sau đó kết nối trở lại mạng công ty thông qua các kết nối từ xa do nhân viên làm việc từ xa khởi xướng.
Hoạt động của botnet, không giống như phát hiện IPS, cho thấy một cuộc tấn công mạng thành công. Và nó đang bị thống trị trong sáu tháng qua bởi hai mối đe dọa cũ hơn. Mirai, được phát hiện lần đầu tiên vào năm 2016 và Gh0st, từ năm 2014, đã giữ vị trí hàng đầu trong hoạt động mạng botnet trên toàn cầu và trên tất cả các ngành trong sáu tháng qua.
Những điểm dữ liệu này có liên quan trực tiếp đến sự chuyển đổi mạnh mẽ trong chiến lược tấn công. Các chủ đề liên quan đến COVID-19 đã thống trị các cuộc tấn công lừa đảo dựa trên web và email. Các trình duyệt hiện đã trở thành vectơ tấn công chính, vượt xa email là nguồn chính để phân phối các phần mềm độc hại cũ hơn này. Điều này một phần là do nhân viên từ xa duyệt Internet thường xuyên hơn mà không có sự bảo vệ của tường lửa công ty. Và đó cũng là vì email vẫn đang được gửi qua các cổng email an toàn của công ty. Các cuộc tấn công này nhắm vào những người làm việc từ xa mới làm quen với những hứa hẹn về thông tin về đại dịch, thường là từ các cơ quan công quyền như Tổ chức Y tế Thế giới hoặc Trung tâm Kiểm soát Dịch bệnh. Các hóa đơn khác bao gồm các hóa đơn nhắm mục tiêu đến các nhà sản xuất chăm sóc sức khỏe giả vờ đặt hàng khẩn cấp vật tư y tế.
Điều này có ý nghĩa gì đối với các nhóm an ninh?
Bằng cách hiểu các xu hướng mối đe dọa mới nhất này, các nhóm bảo mật cần thực hiện các biện pháp để đảm bảo rằng các chiến lược bảo mật của họ, bao gồm việc xác định và theo dõi các IOC mới, đang được cập nhật chính xác để các cuộc tấn công và vectơ tấn công này có thể được giám sát và đóng lại một cách thích hợp. Dưới đây là danh sách một số hành động mà các chuyên gia an ninh mạng cần phải tính đến.
Nâng cấp và bảo mật thiết bị đầu cuối – Ngay cả khi nhân viên từ xa vẫn đang sử dụng thiết bị cá nhân để kết nối từ xa với tài nguyên của công ty, thanh bảo mật phải được nâng lên. Điều này bao gồm yêu cầu rằng các thiết bị này đã được vá đúng cách, có phần mềm bảo mật và các kết nối từ xa được bảo vệ thích hợp trước các thiết bị có khả năng bị xâm phạm hoạt động trên mạng gia đình. Ngoài phần mềm AV / AM truyền thống, các giải pháp bảo mật nên bao gồm các công cụ phát hiện và khôi phục điểm cuối (EDR) mới để xác định các cuộc tấn công tinh vi và ngăn chặn phần mềm độc hại thực thi trên một thiết bị từ xa. Cần đặc biệt chú ý đến việc nâng cấp và tăng cường các trình duyệt, đồng thời triển khai một tác nhân bảo vệ tất cả các hoạt động duyệt internet – dù là trên mạng hay ngoài mạng – thông qua cổng bảo mật web dựa trên đám mây.
Nâng cấp Cổng Email Bảo mật – Mặc dù các trình duyệt đã trở thành phương tiện tấn công chính cho các chiến lược tấn công mới này, nhưng email vẫn đại diện cho một véc tơ quan trọng để phân phối phần mềm độc hại. Tuy nhiên, các cuộc tấn công như vậy không thể xảy ra nếu các cổng email hiệu quả hơn trong việc xác định và loại bỏ các tệp đính kèm độc hại. Xem xét nâng cấp hoặc cập nhật các cổng email an toàn hiện có để đảm bảo chúng bao gồm hộp cát để xác định các mối đe dọa chưa biết trước đây cũng như công nghệ tái thiết và giải trừ nội dung (CDR) mới để loại bỏ mã độc, macro và tệp thực thi được nhúng trong email.
Kiểm tra tất cả lưu lượng VPN – Ngay cả khi đã áp dụng các biện pháp trên, một số phần mềm độc hại vẫn sẽ lọt qua. Các tác nhân đe dọa đang cố ý nhắm mục tiêu vào các đường hầm VPN để cung cấp phần mềm độc hại và lấy dữ liệu vì họ biết rằng hầu hết các giải pháp bảo mật tại chỗ không có đủ sức mạnh cần thiết để kiểm tra lượng lưu lượng VPN mới di chuyển vào và ra khỏi mạng. Các tổ chức cần nghiêm túc xem xét việc thay thế tường lửa cũ bằng các thiết bị có khả năng kiểm tra lưu lượng được mã hóa mà không tạo ra nút thắt cổ chai cho các ứng dụng và quy trình công việc quan trọng. Tương tự, những người dùng cấp cao của công ty – chẳng hạn như quản trị viên hệ thống, nhân viên bộ phận trợ giúp và giám đốc điều hành yêu cầu quyền truy cập vào dữ liệu nhạy cảm – cũng nên nâng cấp mạng gia đình của họ bằng công nghệ SD-WAN bảo mật.
Gia tăng Phòng thủ OT – Phần mềm độc hại có nguồn gốc từ nhân viên tại nhà, cùng với ransomware mới và các cuộc tấn công khác, đang ngày càng nhắm mục tiêu vào các môi trường OT. Phần mềm tống tiền EKANS và khuôn khổ gián điệp Ramsay – được thiết kế để thu thập và truy xuất các tệp nhạy cảm trong các mạng không dây hoặc có giới hạn cao – chỉ là hai ví dụ về cách tội phạm mạng đang tìm ra những cách mới để xâm nhập vào mạng OT. Bảo mật OT phải hạn chế các tài nguyên mà người dùng, thiết bị, ứng dụng và quy trình làm việc có thể truy cập. Việc triển khai chiến lược truy cập mạng không tin cậy (ZTNA), bao gồm phân đoạn mạng, nên được áp dụng trên toàn mạng, nhưng đặc biệt là trong môi trường OT để bảo mật các hệ thống SCADA và ICS và các hệ thống quản lý và giám sát cũ hơn, chưa được vá lỗi. Điều này sẽ đảm bảo rằng ngay cả khi phần mềm độc hại cố gắng vượt qua các kiểm soát bảo mật biên, nó vẫn sẽ bị giới hạn trong một phân đoạn nhỏ của mạng OT.
Xem lại các biện pháp bảo mật ransomware – Các cuộc tấn công lừa đảo theo chủ đề COVID-19 đã bao gồm một loạt các trọng tải ransomware, bao gồm các biến thể Netwalker, Ransomware-GVZ và CoViper. Ransomware-as-a-Service (RaaS) cũng đã mở rộng, cho phép những kẻ tấn công nghiệp dư và không có kinh nghiệm tham gia vào cuộc chiến. Phobos, ransomware khai thác Giao thức Máy tính Từ xa (RDP) để truy cập vào mạng, là một trong những công cụ ransomware mới nhất được cung cấp dưới dạng dịch vụ trên dark web. Các tổ chức nên có chiến lược ransomware mạnh mẽ, chẳng hạn như có toàn bộ dữ liệu và bản sao lưu hệ thống được lưu trữ ngoại tuyến và ngoại mạng để đảm bảo khôi phục nhanh chóng. Tuy nhiên, những kẻ đòi tiền chuộc mạng đã thêm một nếp nhăn mới vào chiến lược tấn công của họ. Không chỉ dữ liệu được mã hóa, mà các bản sao đang được tải đến máy chủ với mối đe dọa rằng nếu tiền chuộc không được trả, nó sẽ được tung ra công chúng. Điều này có nghĩa là dữ liệu bên trong mạng, cho dù đang ở trạng thái nghỉ, đang sử dụng hay đang chuyển động, đều cần được mã hóa để chúng không thể bị tội phạm mạng sử dụng hoặc tiếp xúc. Tất nhiên, điều này chỉ làm tăng gấp đôi nhu cầu triển khai NGFW có thể xử lý công suất xử lý tăng lên cần thiết để kiểm tra lưu lượng này.
Bảo mật tốt bắt đầu bằng nắm giữ thông tin tốt
Việc bắt kịp các xu hướng bảo mật mới nhất, chẳng hạn như sự thay đổi lớn trong các chiến lược tấn công đã xảy ra trong nửa đầu năm 2020, là điều cần thiết nếu CISO và các chuyên gia bảo mật khác thực hiện các biện pháp đối phó thích hợp. Hơn bao giờ hết, cách phòng thủ tốt nhất chống lại các mối đe dọa mạng là thông tin tốt. Tận dụng thông tin tình báo về mối đe dọa quan trọng, bao gồm báo cáo mối đe dọa, thu thập – và đóng góp vào – nguồn cấp dữ liệu thông tin tình báo và giữ danh sách cập nhật IOC được tham chiếu chéo với mọi thiết bị được kết nối với mạng, là điều cần thiết nếu các nhóm bảo mật luôn đi trước chiến lược tội phạm mạng ngày nay.
Thegioibantin.com | VinaAspire News
Nguồn: securityweek.com