Advanced Persistent Threats (viết tắt APT) đề cập đến một quá trình tấn công máy tính liên tục, trong đó một tội phạm mạng thực hiện một cuộc tấn công kéo dài chống lại một mục tiêu cụ thể. APT không phải là mối nguy hiểm an ninh mạng. APT là hoạt động dài hạn được thiết kế để xâm nhập và trích xuất càng nhiều dữ liệu có giá trị càng tốt mà không bị phát hiện. APT có thể kéo dài trong nhiều tháng và có thể gây thiệt hại không kể xiết cho một doanh nghiệp trong việc dữ liệu bị đánh cắp và bí mật thương mại.Chúng là những cuộc tấn công mạng có tổ chức gây ra bởi một loạt các tác nhân đe dọa tinh vi. APT không phải là các cuộc tấn công đánh phá, lấy cắp dữ liệu trong thời gian ngắn như các mối đe dọa an ninh mạng thông thường. Những đối tượng này thường lên kế hoạch cho chiến dịch tấn công của chúng một cách cẩn thận để nhắm vào các mục tiêu chiến lược và thực hiện tấn công mục tiêu đó trong một khoảng thời gian dài. APT là hình thức tấn công phức tạp liên quan đến nhiều giai đoạn và một loạt các kỹ thuật tấn công, nhiều phương cách tấn công phổ biến. Ban đầu chúng được giới thiệu là một phần của chiến dịch APT với việc khai thác các lỗ hổng zeroday và malware, đánh cắp thông tin đăng nhập và sử dụng các công cụ mở rộng phạm vi kiểm soát là những ví dụ nổi bật nhất. Các chiến dịch APT thường có xu hướng liên quan đến nhiều mô hình tấn công và nhiều điểm truy cập. Liên hệ thêm: nguyensy270395@gmail.com
TỔNG QUAN VỀ AN NINH MẠNG VÀ TẤN CÔNG APT
Tổng quan về an ninh mạng
1.1.1 Thực trạng về an toàn không gian mạng trong nước và quốc tế
An ninh mạng, hay an ninh mạng máy tính, là việc bảo vệ hệ thống khỏi các hành vi trộm cắp, tổn hại đến phần cứng, phần mềm và dữ liệu, đồng thời ngăn chặn sự gián đoạn dịch vụ Đối với quốc gia, an ninh mạng thể hiện độc lập, chủ quyền và lợi ích quốc gia trên không gian mạng, đảm bảo sự an toàn và phát triển ổn định của hệ thống thông tin Đây là nội dung trọng tâm của an ninh quốc gia, liên quan chặt chẽ đến các vấn đề an ninh truyền thống như an ninh chính trị, quân sự, văn hóa tư tưởng, kinh tế và xã hội Nguy cơ mất an ninh mạng đang gia tăng, trở thành mối đe dọa lớn đối với an ninh quốc gia và quốc tế.
Theo thống kê của Trung tâm Giám sát an toàn không gian mạng quốc gia, từ đầu năm đến hết tháng 5/2020, Việt Nam ghi nhận 1.495 cuộc tấn công mạng vào các hệ thống thông tin, giảm 43,9% so với cùng kỳ năm 2019 Trong số này, tấn công lừa đảo (Phishing) chiếm 46,9% với 701 cuộc, tấn công thay đổi giao diện (Deface) chiếm 33,3% với 498 cuộc, và tấn công cài mã độc (Malware) chiếm 19,7% với 296 cuộc.
Theo báo cáo International Privacy Day Report 2020 của Kaspersky, Việt Nam đứng thứ 9 toàn cầu về mức độ bị ảnh hưởng bởi phần mềm gián điệp, với 7.216 người dùng bị tấn công trong năm 2019, tăng 21,54% so với 5.937 người dùng năm 2018 Phần mềm gián điệp có khả năng xâm nhập thông tin cá nhân của người dùng, cho phép kẻ tấn công truy cập vào tin nhắn, hình ảnh, thông tin mạng xã hội, định vị, âm thanh và video của nạn nhân Những phần mềm này hoạt động ẩn danh trên thiết bị mà không được sự nhận thức và cho phép của người dùng.
[1] http://www.cngcntt.hanoi.gov.vn/vn/tin-tuc/Viet-Nam-hung-chiu-1495-cuoc-tan-cong-mang-tu-dau-nam-den- nay
[2] https://media.kasperskydaily.com/wp-content/uploads/sites/92/2020/01/27103216/International-Privacy-Day- 2020-Kaspersky-report.pdf
Hình 1.1 Tổng quan các cuộc tấn công mạng trong 5 tháng đầu năm 2020
Theo nghiên cứu, dự kiến chỉ trong 5 năm từ 2018 đến 2023, thế giới sẽ chịu hơn
Nghiên cứu cho thấy có tới 146 tỷ cuộc tấn công mạng được báo cáo, nhưng con số thực tế có thể cao hơn nhiều do nhiều vụ tấn công không được phát hiện và công bố, đặc biệt là từ các tổ chức tài chính Những tổ chức này thường giữ kín thông tin về các cuộc tấn công để không làm ảnh hưởng đến lòng tin của khách hàng vào dịch vụ của họ Do đó, số lượng cuộc tấn công mạng chưa được phát hiện vẫn là một ẩn số và có thể gây ra những hậu quả nghiêm trọng hơn.
Trước nguy cơ tấn công mạng ngày càng tăng, các doanh nghiệp và tổ chức đang chú trọng hơn đến việc bảo vệ hệ thống thông tin và tài sản số Tại Mỹ, ngành công nghiệp an ninh mạng đã huy động gần 30 tỷ USD trong suốt một thập kỷ qua, với vốn tài trợ cho an ninh mạng tăng 22% từ năm 2019 đến 2020, trong khi thị trường đầu tư mạo hiểm chung chỉ ghi nhận mức tăng 15% Dữ liệu từ Crunchbase cho thấy, vốn đầu tư mạo hiểm cho an ninh mạng đang có xu hướng gia tăng trong thập kỷ qua.
Trong năm 2019, có khoảng 1.500 công ty nhận được tài trợ, trong đó 58% là các công ty ở giai đoạn gọi vốn hạt giống và 32% là các công ty giai đoạn đầu.
Năm 2020, sự bùng phát của Covid-19 đã khiến nhiều doanh nghiệp và tổ chức chuyển sang làm việc từ xa, buộc họ phải mở hệ thống ra internet để nhân viên có thể làm việc tại nhà Sự gia tăng tìm kiếm và tải xuống phần mềm làm việc trực tuyến đã tạo cơ hội cho kẻ xấu khai thác lỗ hổng và tấn công, đánh cắp thông tin Do đó, các tổ chức cần thiết lập môi trường kết nối an toàn bằng các giải pháp như SSL, VPN và thường xuyên đánh giá an ninh hệ thống Việc đánh giá phần mềm trước khi công khai ra internet, cài đặt phần mềm diệt virus, tường lửa, cùng với hệ thống giám sát cũng rất quan trọng Ngoài ra, cập nhật bản vá hệ điều hành và trang bị phương thức xác thực người dùng mạnh như chữ ký số là những biện pháp cần thiết để bảo vệ thông tin.
[1] http://antoanthongtin.vn/chinh-sach -chien-luoc/von-dau-tu-mao-hiem-an-ninh-mang-dat-ky-luc-nam-2020-
Số vốn được đầu tư(tỷ USD) 0.8 2.4 4.9 7.8
Số công ty được đầu tư 154 468 706 665
Biểu đồ đầu tư vào ngành an ninh mạng
Số vốn được đầu tư(tỷ USD) Số công ty được đầu tư
Bảng 1.1 Biểu đồ đầu tư vào ngành an ninh mạng trong giai đoạn 2011-2020
1.1.2 Các hình thức và mục đích tấn công mạng hiện nay
Tấn công mạng là hành động nhắm đến hệ thống máy tính, cơ sở hạ tầng, mạng lưới máy tính hoặc thiết bị cá nhân với mục đích đánh cắp, thay đổi hoặc phá hủy dữ liệu và thông tin.
Có hai loại tấn công mạng chính: tấn công thụ động và tấn công chủ động Tấn công thụ động cho phép kẻ tấn công truy cập trái phép vào mạng để theo dõi và đánh cắp dữ liệu cá nhân mà không thay đổi thông tin Ngược lại, tấn công chủ động liên quan đến việc sửa đổi, mã hóa hoặc làm hỏng dữ liệu.
Tấn công mạng có rất nhiều hình thức tấn công khác nhau, bảng dưới đây so sánh một số loại hình tấn công phổ biến hiện nay
Bảng 1.2 Một số loại hình tấn công mạng
LOẠI TẤN CÔNG ĐẶC ĐIỂM
Tấn công bằng phần mềm độc hại
Malware, viết tắt của "malicious software", là phần mềm độc hại và là một trong những mối đe dọa mạng phổ biến nhất hiện nay Tội phạm mạng và hacker phát triển malware nhằm mục đích phá hoại hoặc làm hỏng máy tính của người dùng hợp pháp Thông thường, malware được sử dụng để kiếm tiền hoặc thực hiện các cuộc tấn công mạng có động cơ chính trị.
Phishing là một hình thức lừa đảo mà kẻ gian giả mạo thành một tổ chức hoặc cá nhân uy tín để đánh cắp lòng tin của người dùng Mục tiêu chính của phishing là chiếm đoạt dữ liệu cá nhân nhạy cảm, bao gồm thông tin thẻ tín dụng, mật khẩu và tài khoản đăng nhập Phương thức phổ biến để thực hiện phishing là thông qua email hoặc tin nhắn.
(Man-in-the-middle attack)
Tấn công nghe lén, hay còn gọi là tấn công trung gian, xảy ra khi kẻ tấn công mạng xâm nhập vào giao dịch giữa hai bên và có khả năng đánh cắp dữ liệu Các biến thể của loại tấn công này bao gồm việc đánh cắp mật khẩu và chuyển tiếp thông tin không xác thực Trong một số trường hợp, kẻ tấn công còn cài đặt ứng dụng độc hại nhằm thu thập thông tin từ nạn nhân.
Tấn công từ chối dịch vụ
Tin tặc thường sử dụng hình thức tấn công từ chối dịch vụ (DDoS) để làm sập một hệ thống hoặc máy chủ tạm thời bằng cách tạo ra lượng traffic khổng lồ trong cùng một thời điểm, dẫn đến tình trạng quá tải Khi xảy ra tấn công, người dùng không thể truy cập mạng, ảnh hưởng đến các mục tiêu như website, máy chủ trò chơi và máy chủ DNS, gây ra tình trạng chậm trễ, gián đoạn hoặc thậm chí đánh sập hệ thống.
Tấn công cơ sở dữ liệu
Hacker thực hiện tấn công SQL Injection bằng cách chèn mã độc vào server thông qua ngôn ngữ truy vấn có cấu trúc (SQL), nhằm lấy cắp thông tin nhạy cảm mà không được phép tiết lộ Những cuộc tấn công này thường xuất phát từ lỗ hổng bảo mật của website, và chỉ cần hacker chèn mã độc vào thanh công cụ "Tìm kiếm" là có thể dễ dàng tấn công các website có mức bảo mật yếu.
Khai thác lỗ hổng Zero-day
Lỗ hổng Zero-day (0-day) là những lỗ hổng phần mềm hoặc phần cứng chưa được phát hiện và chưa được sửa chữa Các hacker có thể lợi dụng những lỗ hổng này để xâm nhập vào hệ thống của doanh nghiệp, tổ chức, từ đó đánh cắp hoặc thay đổi dữ liệu quan trọng.
Tấn công có chủ đích
Chi tiết về loại hình tấn công này sẽ được đề cập chi tiết trong mục 1.2
Tổng quan tấn công có chủ đích APT
Các mối đe dọa tiên tiến liên tục (APT) là các cuộc tấn công mạng kéo dài nhằm vào một mục tiêu cụ thể, với mục đích xâm nhập và trích xuất dữ liệu giá trị mà không bị phát hiện APT không chỉ đơn thuần là một mối nguy hiểm an ninh mạng mà là một hoạt động kéo dài có thể kéo dài hàng tháng, gây thiệt hại nghiêm trọng cho doanh nghiệp thông qua việc đánh cắp dữ liệu và bí mật thương mại.
APT là những cuộc tấn công mạng có tổ chức, do các tác nhân đe dọa tinh vi thực hiện Khác với các mối đe dọa an ninh mạng thông thường, APT không chỉ đơn thuần là các cuộc tấn công ngắn hạn nhằm đánh phá hay lấy cắp dữ liệu Những đối tượng thực hiện APT thường lên kế hoạch tỉ mỉ cho chiến dịch của mình, nhằm nhắm đến các mục tiêu chiến lược và thực hiện các cuộc tấn công trong một khoảng thời gian dài.
APT là hình thức tấn công phức tạp, bao gồm nhiều giai đoạn và kỹ thuật tấn công đa dạng Chúng thường bắt đầu với các chiến dịch APT, khai thác lỗ hổng zero-day và malware, đánh cắp thông tin đăng nhập, và sử dụng công cụ để mở rộng kiểm soát Các chiến dịch này thường liên quan đến nhiều mô hình tấn công và điểm truy cập khác nhau.
1.2.2 Hiện trạng các cuộc tấn công APT trên thế giới
Tấn công mạng có chủ đích (APT) là hình thức tấn công phức tạp và nguy hiểm, khiến việc phát hiện hệ thống bị tấn công trở nên khó khăn Nhiều nạn nhân chỉ nhận ra sự cố sau một thời gian dài khi dữ liệu đã bị khai thác Những cuộc tấn công này thường được lên kế hoạch kỹ lưỡng, với kẻ tấn công có thể dành nhiều tháng hoặc thậm chí nhiều năm để nhắm vào một điểm yếu cụ thể của nạn nhân, dẫn đến việc kiểm soát và thống kê các cuộc tấn công trở nên khó khăn hơn.
Vào tháng 6/2015, SkyEye, thuộc công ty Trung Quốc Qihoo 360, đã báo cáo về nhóm tin tặc APT32 (còn gọi là OceanLotus, SeaLotus, Cobalt Kitty) có nguồn gốc từ Việt Nam, đã liên tục tấn công các mục tiêu tại Trung Quốc, bao gồm cơ quan chính phủ, viện nghiên cứu và doanh nghiệp ở Bắc Kinh và Thiên Tân trong suốt ba năm Đến đầu năm 2016, nhóm này mở rộng tấn công sang một tập đoàn thương mại và một hãng công nghệ tại Philippines, cùng với một số công ty tại Việt Nam Theo báo cáo của FireEye, một công ty an ninh mạng của Mỹ, nhóm tin tặc này đã liên tục nâng cấp công nghệ xâm nhập và khai thác thông tin để chiếm đoạt nhiều dữ liệu quan trọng hơn.
Vào ngày 10/06/2017, công ty lưu trữ web Nayana tại Hàn Quốc trở thành nạn nhân của ransomware Erebus, do nhóm APT37, nghi ngờ là cơ quan gián điệp Triều Tiên, phát triển Cuộc tấn công đã lây nhiễm 153 máy chủ Linux, ảnh hưởng đến khoảng 3.400 doanh nghiệp sử dụng dịch vụ của Nayana, làm gián đoạn các trang web, cơ sở dữ liệu và tệp đa phương tiện Bọn tội phạm mạng yêu cầu khoản thanh toán 550 bitcoin (hơn 1,6 triệu USD) để mở khóa các tệp bị mã hóa, và sau khi thương lượng, Nayana đã đồng ý trả 397,6 bitcoin (khoảng 1,01 triệu USD) trong ba đợt.
Vào ngày 21/05/2020, Air India, hãng hàng không hàng đầu của Ấn Độ, đã thông báo về một vụ vi phạm dữ liệu xảy ra vào tháng 2 tại nhà cung cấp dịch vụ CNTT của họ, nơi xử lý thông tin nhận dạng cá nhân (PII) của khách hàng Sau thông báo, cơ sở dữ liệu liên quan đã bị rao bán trên chợ đen với giá 3000 USD Nhóm Tình báo Đe dọa của Group-IB đã phát hiện vụ việc và quy trách nhiệm cho nhóm tội phạm quốc gia-nhà nước Trung Quốc APT41, thông qua chiến dịch mang tên “ColunmTK” Cuộc tấn công mạng này đã ảnh hưởng đến 4.500.000 đối tượng dữ liệu toàn cầu, bao gồm cả thông tin của khách hàng Air India.
Theo thống kê của Mandiant, một công ty con của FireEye, hiện đang có khoảng
Trên toàn cầu, đã phát hiện và đặt tên cho 128 nhóm hacker, trong đó có 41 nhóm APT vẫn đang hoạt động mạnh mẽ tại nhiều khu vực như Trung Quốc, Nga, Việt Nam và Iran.
Quy mô, đối tượng ảnh hưởng
Các nhóm APT hoạt động tại những khu vực và thời điểm khác nhau, với mục tiêu đa dạng Đa phần các nhóm hacker này nhận tài trợ từ các tổ chức và chính phủ, do đó họ thường nhắm đến các mục tiêu như đơn vị quân sự, công ty tài chính, cơ quan chính phủ và truyền thông, nhằm phục vụ lợi ích của tổ chức và nhà nước.
Nhóm APT37, ban đầu tập trung vào các công ty công và tư ở Hàn Quốc từ năm 2012, đã mở rộng mục tiêu ra ngoài bán đảo Triều Tiên vào năm 2017, nhắm đến Nhật Bản, Việt Nam và Trung Đông Họ đã chuyển sang tấn công nhiều ngành quan trọng như hóa chất, điện tử, sản xuất, hàng không vũ trụ, ô tô và y tế Sự thay đổi này cho thấy APT37 không chỉ nhằm phá hoại nền kinh tế của Nam bán đảo Triều Tiên, mà còn chuyển hướng sang thu thập thông tin và công nghệ để phục vụ cho phát triển trong nước.
Vào tháng 2 năm 2020, nhóm APT32 của Việt Nam đã tấn công các cơ quan chính phủ tại Vũ Hán và bộ Quản lý khẩn cấp Trung Quốc để thu thập thông tin về Covid-19 Gần đây, website tài chính Bloomberg đã cáo buộc nhóm này là thủ phạm đứng sau các cuộc tấn công nhằm vào các công ty sản xuất ô tô nước ngoài như Toyota và Hyundai, với mục tiêu khai thác thông tin để phục vụ lợi ích cho ngành công nghiệp ô tô Việt Nam.
Sự khác biệt của APT với các mối đe dọa truyền thống
Để đạt được mục tiêu, những kẻ tấn công APT thường sử dụng nhiều kỹ thuật, chủ yếu bắt đầu từ email qua việc giả mạo và lừa đảo Họ còn áp dụng các kỹ thuật khai thác vật lý và xã hội, tạo nên những đặc điểm riêng biệt mà không thấy ở các hình thức tấn công khác.
Các kẻ tấn công thường sở hữu thông tin tình báo nội bộ, cho phép họ xác định chính xác đối tượng và hệ thống mà nạn nhân đang sử dụng Nhờ vào những thông tin này, chúng có thể xây dựng kế hoạch tấn công một cách hiệu quả Thông tin được thu thập chủ yếu qua kỹ thuật xã hội, diễn đàn cộng đồng, và có khả năng đến từ các cơ quan an ninh quốc gia.
Kẻ tấn công thường áp dụng các kỹ thuật tinh vi để kéo dài thời gian tồn tại trong hệ thống nạn nhân, nhằm tối đa hóa lợi ích từ việc khai thác thông tin Thay vì chỉ thực hiện các cuộc tấn công ngắn hạn như đe dọa hay tống tiền, chúng cố gắng xóa dấu vết và thu thập dữ liệu trong thời gian nạn nhân không hoạt động Để duy trì quyền truy cập, kẻ tấn công luôn cài đặt backdoor trong hệ thống, cho phép chúng quay lại bất cứ khi nào cần thiết, từ đó tạo ra sự hiện diện lâu dài và liên tục trong môi trường mục tiêu.
Phần mềm độc hại nâng cao được sử dụng trong các cuộc tấn công có chủ đích, nơi hacker kết hợp các kỹ thuật xâm nhập đã biết và phương pháp đặc thù để đạt được mục tiêu Những kẻ tấn công APT thường sử dụng các công cụ xâm nhập có sẵn, nhưng cũng có những đối tượng có kỹ năng cao tự tạo ra phần mềm tấn công tùy chỉnh nhằm đối phó với các hệ thống chuyên biệt.
Tấn công APT thường bắt đầu bằng các kỹ thuật lừa đảo và khai thác trên internet, nhằm xâm phạm máy người dùng hoặc rò rỉ thông tin đăng nhập Khi đã xâm nhập thành công, kẻ tấn công sẽ nhanh chóng triển khai công cụ để theo dõi và lây lan qua các mạng, từ máy này sang máy khác, cho đến khi tìm thấy thông tin quan trọng liên quan đến mục tiêu, phục vụ cho quá trình tấn công nạn nhân.
Tấn công chủ động luôn có sự tham gia của yếu tố con người, khác với mã độc tự động gửi dữ liệu cho kẻ tấn công Kẻ tấn công trong trường hợp này thường là những đối tượng được tài trợ từ các cơ quan, tổ chức hoặc nhà nước, sở hữu mục đích rõ ràng, kỹ năng cao và khả năng phản ứng nhanh chóng trước các cuộc tấn công vào mục tiêu.
CÁC PHƯƠNG PHÁP TẤN CÔNG APT - CÁCH THỨC PHÁT HIỆN VÀ PHÒNG CHỐNG
Giới thiệu về mô hình nghiên cứu Cyber killchain và Mitre ATT&CK
2.1.1 Tổng quan về mô hình Cyber Kill Chain
Cyber Kill Chain là mô hình mô tả các giai đoạn của một cuộc tấn công mạng, bắt đầu từ việc thu thập thông tin cho đến khi thực hiện đánh cắp dữ liệu Mô hình này giúp quản trị viên nắm rõ hơn về các cuộc tấn công ransomware và APT, từ đó có thể áp dụng các biện pháp phòng ngừa hiệu quả.
Mỗi giai đoạn trong Cyber Kill Chain đều liên quan đến các hoạt động cụ thể trong một cuộc tấn công mạng, cho dù là tấn công nội bộ hay tấn công từ bên ngoài.
- Giai đoạn 1: Reconnaissance (Thu thập thông tin)
- Giai đoạn 2: Intrusion (Xâm nhập)
- Giai đoạn 3: Exploitation (Khai thác)
- Giai đoạn 4: Privilege Escalation (Leo thang đặc quyền)
- Giai đoạn 5: Lateral Movement (Lây lan lân cận)
- Giai đoạn 6: Obfuscation / Anti-forensics
- Giai đoạn 7: Denial of Service (Từ chối dịch vụ)
- Giai đoạn 8: Exfiltration (Trích xuất dữ liệu)
Hình 2.1 Các giai đoạn của một cuộc tấn công bằng mô hình Cyber Kill Chain
Mô hình này giúp các chuyên gia an ninh mạng nắm bắt rõ ràng từng giai đoạn của cuộc tấn công ransomware hay APT, từ đó họ có khả năng xác định và ngăn chặn kẻ tấn công hiệu quả hơn tại mỗi giai đoạn.
Ngoài mô hình Cyber Kill Chain, mô hình Mitre ATT&CK đang ngày càng được các nhà phân tích nguy cơ và chuyên gia an ninh mạng áp dụng mạnh mẽ MITRE ATT&CK ghi lại và theo dõi các kỹ thuật mà kẻ tấn công sử dụng trong suốt các giai đoạn của một cuộc tấn công mạng, giúp nâng cao khả năng phòng ngừa và ứng phó với các mối đe dọa.
2.1.2 Tổng quan về mô hình Mitre ATT&CK
Mitre ATT&CK, viết tắt của Adversarial Tactics, Techniques và Common Knowledge, là một nền tảng kiến thức toàn cầu về các chiến thuật và kỹ thuật của đối thủ, dựa trên quan sát thực tế Cơ sở kiến thức này được sử dụng để phát triển các mô hình và phương pháp luận liên quan đến các mối đe dọa cụ thể trong khu vực tư nhân, chính phủ và cộng đồng an ninh mạng.
Năm 2010, MITRE đã tiến hành nghiên cứu nhằm phát hiện nhanh chóng các cuộc tấn công APT bằng cách dự đoán các vi phạm thông qua dữ liệu điểm cuối từ xa Nghiên cứu này tập trung vào phát hiện hậu xâm nhập, tức là các hành vi của tin tặc sau khi đã truy cập vào hệ thống Một yếu tố quan trọng trong phương pháp của MITRE là việc sử dụng thông tin công khai về các vụ tấn công mạng, cho thấy rằng đối thủ thường có những hành vi nhất quán khi tương tác với các hệ thống của nạn nhân.
❖ Phương pháp phát hiện xâm nhập mạng bằng cách phân tích hành vi của MITRE bao gồm 5 nguyên tắc:
- Nguyên tắc 1 : Phát hiện hậu xâm nhập (Include Post-Compromise Detection) -
Theo thời gian, các công cụ bảo mật truyền thống đã trở nên không đủ hiệu quả trước các mối đe dọa mạng hiện đại Khi các mối đe dọa có khả năng vượt qua các tính năng bảo mật của mạng hoặc áp dụng các phương thức mới để xâm nhập, việc phát hiện và phản ứng sau xâm nhập trở nên cực kỳ quan trọng.
Nguyên tắc 2: Tập trung vào hành vi nhấn mạnh rằng các dấu hiệu và thông số là thông tin quý giá để xác định công cụ của kẻ tấn công Tuy nhiên, các công cụ bảo mật dựa vào dấu hiệu đã biết có thể trở nên không đáng tin cậy do dấu hiệu lỗi thời hoặc sự phát triển của các mối đe dọa mới Do đó, một chính sách bảo mật hiệu quả cần bao gồm việc phát hiện và nghiên cứu hành vi độc hại sau khi xâm nhập.
Hình 2.2 Năm nguyên tắc bảo mật dựa trên mối đe dọa của MITRE
Nguyên tắc 3: Áp dụng mô hình dựa trên mối đe dọa là rất quan trọng, vì một mô hình mối đe dọa chính xác và đầy đủ sẽ giúp các hoạt động phát hiện hiệu quả trong việc ngăn chặn các hành vi độc hại thực tế.
Nguyên tắc 4: Lặp lại theo thiết kế (Iterate by Design) nhấn mạnh rằng công cụ và kỹ thuật bảo mật cần phải liên tục phát triển để đối phó với các hành vi độc hại ngày càng thay đổi Việc bảo vệ mạng không thể đứng yên mà phải luôn hoàn thiện và thích ứng trước các cuộc tấn công APT và các mối đe dọa mới.
- Nguyên tắc 5: Phát triển thử nghiệm trong môi trường thực (Develop and Test in a
Để đánh giá độ nhiễu của cảm biến trong quá trình sử dụng mạng tiêu chuẩn, cần mô phỏng hành vi người dùng một cách chân thực Việc kiểm tra khả năng phát hiện hành vi độc hại cũng cần được thực hiện thông qua việc tái tạo trong môi trường này.
❖ Ứng dụng của mô hình Mitre ATT&CK vào các giai đoạn tấn công và điều tra
ATT&CK là một khung kỹ thuật-chiến thuật-chiến lược (TTPs) mô tả hành vi tấn công của kẻ xâm nhập dựa trên các tình huống thực tế Khung này cung cấp cái nhìn tổng quan về các hành vi cụ thể của kẻ tấn công sau khi đã xâm nhập vào mạng, với thông tin chi tiết được rút ra từ quan sát hành vi của tin tặc Phương pháp ATT&CK chủ yếu tập trung vào các hệ thống sử dụng hệ điều hành Windows cho doanh nghiệp, do có nhiều báo cáo xâm nhập công khai chứa thông tin chi tiết và công cụ cảnh báo ATT&CK được phân chia thành các chiến thuật cấp cao và các phương pháp riêng lẻ mà kẻ tấn công có thể áp dụng cho từng chiến thuật cụ thể.
Các loại chiến thuật được đề cập bao gồm:
Duy trì truy cập là yếu tố quan trọng, vì bất kỳ thay đổi nào về quyền truy cập, hành động hoặc cấu hình trên hệ thống đều tạo cơ hội cho đối thủ có sự hiện diện lâu dài.
• Nâng cao đặc quyền (Privilege Escalation): Kết quả của các kỹ thuật mà từ đó kẻ tấn công được cấp quyền cao hơn trên hệ thống hoặc mạng
Lảng tránh hệ thống bảo vệ là một kỹ thuật mà tin tặc sử dụng nhằm mục đích lẩn tránh sự phát hiện và né tránh các biện pháp phòng vệ khác.
Truy cập thông tin xác thực là một kỹ thuật quan trọng trong lĩnh vực an ninh mạng, cho phép kẻ tấn công tiếp cận hoặc kiểm soát thông tin đăng nhập của hệ thống, tên miền hoặc dịch vụ trong môi trường mạng Việc bảo vệ thông tin xác thực là cần thiết để ngăn chặn các mối đe dọa từ bên ngoài và đảm bảo an toàn cho dữ liệu.
• Phát hiện (Discovery): Kỹ thuật cho phép tin tặc có kiến thức về hệ thống và mạng nội bộ
• Mở rộng khai thác (Lateral Movement): Kỹ thuật cho phép tin tặc truy cập và kiểm soát các hệ thống từ xa trên mạng
• Thực thi (Execution): Kỹ thuật dẫn đến việc thực thi mã do tin tặc kiểm soát trên hệ thống cục bộ hoặc từ xa
• Sưu tập (Collection): Kỹ thuật được sử dụng để xác định và thu thập thông tin, chẳng hạn như các tệp nhạy cảm từ mạng đích trước khi lọc
• Trích xuất dữ liệu (Exfiltration): Kỹ thuật cho phép trích xuất file hoặc thông tin khỏi mạng đích
Các giai đoạn của cuộc tấn công APT dựa theo mô hình Cyber Kill Chain
Cuộc tấn công APT hiện nay là một quy trình phức tạp, bao gồm nhiều lớp và hành vi, với thời gian thực hiện có thể kéo dài hàng tháng Các giai đoạn điển hình của một cuộc tấn công APT thường được xác định theo mô hình Cyber Kill Chain.
Giai đoạn 1: Reconnaissance (Thu thập thông tin)
Giai đoạn quan sát và thu thập thông tin là bước đầu tiên trong các cuộc tấn công của hacker, khi họ đánh giá tình hình từ ngoài vào trong để xác định mục tiêu và chiến thuật Trong giai đoạn này, hacker tìm kiếm thông tin có thể tiết lộ lỗ hổng bảo mật hoặc điểm yếu trong hệ thống Hiện nay, các công cụ như firewall, hệ thống IPS và tài khoản mạng xã hội thường được nhắm đến để thu thập thông tin Các công cụ phục vụ cho giai đoạn reconnaissance có khả năng quét mạng công ty để phát hiện những lỗ hổng và điểm có thể bị xâm nhập và khai thác.
Giai đoạn 2: Delivery (Phân phối) là giai đoạn quan trọng trong việc đưa mã độc hại vào hệ thống mục tiêu Kẻ tấn công thường sử dụng các phương thức như ứng dụng web, tài nguyên mạng và sự bất cẩn của nhân viên để phát tán mã độc Họ có thể tải lên các tệp tin độc hại thông qua lỗ hổng web hoặc ứng dụng mạng, cũng như sử dụng kỹ thuật tấn công lừa đảo Ngoài ra, một cuộc tấn công DDOS có thể được thực hiện đồng thời để đánh lạc hướng nhân viên quản trị, khiến họ mất cảnh giác hơn.
Giai đoạn 3: Installation (Cài đặt)
Giai đoạn này nhằm kiểm soát hệ thống mục tiêu để kẻ tấn công thực hiện lệnh Sau khi thâm nhập vào mạng, kẻ tấn công cài đặt cửa hậu (backdoor) hoặc mã độc ẩn để truy cập từ xa Phần mềm độc hại này thiết lập kết nối giữa máy nạn nhân và máy chủ điều khiển, đồng thời có thể cài đặt thêm các loại mã độc khác như dropper và keylogger Các nhóm APT thường khai thác lỗ hổng trên máy tính của người nhận hoặc lừa người dùng chạy các file, phần mềm độc hại chứa macro và script để cài đặt mã độc.
Giai đoạn 4: Lateral Movement (Mở rộng phạm vi)
Khi các tấn công xâm nhập vào hệ thống, chúng có khả năng bắt đầu giai đoạn lây lan lân cận, nhằm gia tăng quyền truy cập vào hệ thống.
Giai đoạn 5: Exfiltration (Trích xuất dữ liệu)
Hacker xâm nhập vào hệ thống và trích xuất dữ liệu nhạy cảm bằng cách sao chép hoặc di chuyển chúng đến một vị trí mà chúng kiểm soát Tại đó, họ có thể tự do thao tác với dữ liệu theo ý muốn Sau khi hoàn tất quá trình trích xuất, hacker có thể bán dữ liệu trên các sàn thương mại điện tử hoặc gửi đến Wikileaks Quá trình này thường kéo dài vài ngày, và khi hoàn tất, toàn bộ dữ liệu sẽ nằm trong tầm kiểm soát của hacker.
Giai đoạn 6: Erase Evidence (Xóa bằng chứng)
Sau khi hoàn tất việc cài đặt và khai thác, các nhóm APT thường xóa bỏ dấu vết để tránh bị phát hiện Mặc dù không phải lúc nào cũng xóa hết dấu vết khi kết thúc hoạt động, nhưng những kẻ tấn công sẽ nhanh chóng loại bỏ các công cụ khi không còn cần thiết.
Khi phân phối phần mềm độc hại theo nhiều giai đoạn, các thành phần của dropper sẽ bị xóa sau khi phần mềm độc hại được cài đặt thành công.
Hình 2.3 Các giai đoạn của một cuộc tấn công APT theo mô hình Cyber Kill Chain
Hiểu rõ từng giai đoạn của tấn công giúp các chuyên gia an ninh mạng xác định và ngăn chặn kẻ tấn công hiệu quả hơn Hiện nay, mô hình Mitre ATT&CK được các nhà phân tích và chuyên gia an ninh mạng áp dụng để theo dõi các kỹ thuật tấn công, mã độc và công cụ mà nhóm tấn công sử dụng Điều này cho phép phản ứng nhanh chóng với các nguy cơ an ninh mạng trong hệ thống Mục 2.2 dưới đây sẽ liệt kê các kỹ thuật có thể xuất hiện trong các giai đoạn của tấn công APT theo framework Mitre ATT&CK.
Các kỹ thuật phổ biến trong các cuộc tấn công APT dựa trên mô hình MITRE ATT&CK
2.3.1 Thu thập thông tin Ở giai đoạn này, kẻ tấn công đang cố gắng thu thập thông tin mà họ có thể sử dụng để lập kế hoạch hoạt động trong tương lai Thông tin đó có thể bao gồm các chi tiết về tổ chức nạn nhân, cơ sở hạ tầng hoặc nhân viên / nhân viên Thông tin này có thể được các tác nhân, kẻ tấn công tận dụng để sử dụng trong các giai đoạn khác, chẳng hạn như sử dụng thông tin thu thập được để lập kế hoạch và thực hiện khởi tạo truy cập ban đầu, để xác định phạm vi và ưu tiên các mục tiêu sau thỏa hiệp, hoặc thúc đẩy và dẫn dắt các nỗ lực trinh sát hơn nữa
T1592 Thu thập thông tin máy chủ nạn nhân
Kẻ tấn công có khả năng thu thập thông tin chi tiết về máy chủ của nạn nhân, điều này có thể hỗ trợ cho quá trình nhắm mục tiêu Thông tin này bao gồm dữ liệu quản trị như tên, địa chỉ IP, và chức năng, cùng với các thông tin cấu hình cụ thể của máy như hệ điều hành và ngôn ngữ sử dụng.
Thu thập thông tin nhận dạng nạn nhân:
Kẻ tấn công có thể thu thập thông tin danh tính của nạn nhân để phục vụ cho mục đích nhắm mục tiêu Những thông tin này bao gồm dữ liệu cá nhân như tên nhân viên, địa chỉ email, và cả các chi tiết nhạy cảm như thông tin xác thực.
- Các thiết bị trong mạng
Kẻ tấn công có thể thu thập thông tin chi tiết về các thiết bị an ninh mạng của nạn nhân, bao gồm tường lửa, bộ lọc nội dung và proxy Những thông tin này giúp kẻ tấn công nhắm mục tiêu hiệu quả hơn Ngoài ra, thông tin về hệ thống phát hiện xâm nhập dựa trên mạng (NIDS) và các thiết bị phòng thủ khác cũng có thể bị khai thác để tăng cường khả năng tấn công.
Thu thập thông tin về tổ chức của nạn nhân:
- Xác định vị trí thực tế
Kẻ tấn công có thể thu thập thông tin chi tiết về tổ chức của nạn nhân để phục vụ cho việc nhắm mục tiêu Những thông tin này bao gồm tên các bộ phận, chi tiết hoạt động kinh doanh, cùng với vai trò và trách nhiệm của từng cá nhân trong tổ chức.
- Xác định vai trò viên chủ chốt
Lừa đảo để lấy thông tin thông qua liên kết, phần đính kèm hoặc các dịch vụ của bên thứ ba
Kẻ tấn công có thể sử dụng tin nhắn lừa đảo để thu thập thông tin nhạy cảm từ nạn nhân, nhằm mục đích nhắm mục tiêu hiệu quả hơn Hình thức lừa đảo này, gọi là lừa đảo lấy thông tin, nhằm lừa nạn nhân tiết lộ thông tin đăng nhập hoặc dữ liệu có thể hành động khác Khác với các hình thức lừa đảo khác, lừa đảo lấy thông tin tập trung vào việc thu thập dữ liệu từ nạn nhân thay vì thực thi mã độc.
T1597 Tìm kiếm các nguồn đã đóng
Kẻ tấn công có thể thu thập thông tin về nạn nhân từ các nguồn đóng và cơ sở dữ liệu tư nhân uy tín, điều này có thể hỗ trợ trong quá trình nhắm mục tiêu Thông tin này thường có sẵn để mua, bao gồm cả đăng ký trả phí cho các nguồn cấp dữ liệu tình báo kỹ thuật và mối đe dọa.
Kẻ tấn công cũng có thể mua thông tin từ các nguồn kém uy tín hơn như web đen hoặc chợ đen tội phạm mạng
Tìm kiếm thông qua cơ sở dữ liệu mở( DNS, whois, chứng chỉ số…)
Kẻ tấn công có thể dễ dàng truy cập vào các cơ sở dữ liệu kỹ thuật miễn phí để thu thập thông tin về nạn nhân, điều này hỗ trợ cho quá trình nhắm mục tiêu Thông tin này có thể được tìm thấy trong các cơ sở dữ liệu trực tuyến và kho lưu trữ, bao gồm đăng ký tên miền, chứng chỉ, cùng với các bộ sưu tập dữ liệu công khai từ lưu lượng truy cập và các hoạt động quét mạng.
Tìm kiếm trang web / tên miền đang mở
Kẻ tấn công có thể dễ dàng tìm kiếm thông tin về nạn nhân trên các trang web và miền miễn phí Những thông tin này thường xuất hiện trên các nền tảng trực tuyến như mạng xã hội, trang tin tức, hoặc các trang web chứa dữ liệu về hoạt động kinh doanh như tuyển dụng và hợp đồng Việc thu thập thông tin này giúp kẻ tấn công nhắm mục tiêu chính xác hơn.
Tìm kiếm các trang web do nạn nhân sở hữu
Kẻ tấn công có thể tìm kiếm thông tin từ các trang web của nạn nhân để phục vụ cho việc nhắm mục tiêu Những trang web này thường chứa nhiều thông tin chi tiết như tên các phòng ban, vị trí thực tế và dữ liệu về nhân viên chủ chốt, bao gồm tên, vai trò và thông tin liên hệ như địa chỉ email Ngoài ra, các trang web này cũng có thể cung cấp thông tin về các hoạt động kinh doanh và mối quan hệ của tổ chức.
2.3.2 Khởi tạo truy cập ban đầu Để có thể tấn công và khai thác được từ các giai đoạn tiếp theo, thì việc đạt được việc truy cập ban đầu vào hệ thống của nạn nhân là việc rất cần thiết Các kỹ thuật để đạt được điều đó có thể là:
T1189 Thỏa hiệp theo từng ổ đĩa
Kẻ tấn công có thể xâm nhập vào hệ thống thông qua người dùng khi họ truy cập vào một trang web trong quá trình duyệt web thông thường Kỹ thuật này thường nhắm vào trình duyệt web của người dùng để khai thác, nhưng cũng có thể sử dụng các trang web bị xâm phạm để thực hiện các hành vi không khai thác, như thu thập mã truy cập ứng dụng.
T1190 Khai thác ứng dụng trực tiếp công khai
Kẻ tấn công có thể khai thác các điểm yếu của máy tính hoặc chương trình kết nối Internet thông qua phần mềm, dữ liệu hoặc lệnh, dẫn đến hành vi không mong muốn Những điểm yếu này có thể là lỗi, trục trặc hoặc lỗ hổng thiết kế trong hệ thống Các ứng dụng dễ bị tấn công thường là trang web, cơ sở dữ liệu (như SQL), dịch vụ tiêu chuẩn (như SMB hoặc SSH), cũng như các giao thức quản lý thiết bị mạng (như SNMP và Smart Install) Bất kỳ ứng dụng nào có ổ cắm mở truy cập Internet, chẳng hạn như máy chủ web và các dịch vụ liên quan, cũng có thể trở thành mục tiêu Tùy thuộc vào lỗ hổng được khai thác, kẻ tấn công có thể thực hiện các biện pháp để né tránh các hệ thống phòng thủ.
T1133 Dịch vụ từ xa bên ngoài
Kẻ tấn công có thể khai thác các dịch vụ từ xa như VPN và Citrix để truy cập và duy trì sự hiện diện trong mạng doanh nghiệp Những dịch vụ này cho phép người dùng kết nối với tài nguyên mạng nội bộ từ xa thông qua các cổng dịch vụ, nơi quản lý kết nối và xác thực thông tin Ngoài ra, các dịch vụ quản lý từ xa của Windows cũng có thể bị lợi dụng từ bên ngoài.
Kẻ tấn công có thể sử dụng phụ kiện máy tính hoặc phần cứng mạng để xâm nhập vào hệ thống hoặc mạng, qua đó giành quyền truy cập Mặc dù thông tin công khai về việc sử dụng các nhóm APT còn hạn chế, nhiều cuộc kiểm tra thâm nhập đã khai thác phần cứng để đạt được quyền truy cập ban đầu Các sản phẩm thương mại và mã nguồn mở được sử dụng để thực hiện các hoạt động như khai thác mạng thụ động, phá vỡ mã hóa man-in-the-middle, ghi lại tổ hợp phím, đọc bộ nhớ hạt nhân qua DMA, và thêm truy cập không dây mới vào mạng hiện có.
Cách thức phát hiện các cuộc tấn công APT
Để phát hiện mã độc từ cuộc tấn công APT, cần phân tích các mẫu để hiểu hành vi, đối tượng bị ảnh hưởng và kỹ thuật (TTPs) của nhóm tấn công Từ đó, chúng ta có thể xây dựng danh sách các IOC (dấu hiệu nhận biết) và viết các quy tắc để lọc, phát hiện và săn tìm các nguy cơ trên không gian mạng.
2.4.1.1 Xây dựng môi trường phân tích tĩnh
Mã độc có nguy cơ lây lan cao và thường có hành vi đáng ngờ, do đó việc thiết lập môi trường phân tích mã độc là rất quan trọng Để đảm bảo an toàn trong quá trình phân tích mã độc hại, phương pháp phân tích tĩnh được sử dụng với hai cách tiếp cận chính.
Để phân tích mã độc hiệu quả, việc xây dựng môi trường ảo là rất quan trọng Sử dụng máy ảo giúp tạo ra không gian an toàn để phân tích mà không ảnh hưởng đến hệ thống mạng xung quanh Đồng thời, thiết lập mạng cách ly với mạng thật sẽ bảo vệ hệ thống khỏi những rủi ro tiềm ẩn từ mã độc.
• Xây dựng môi trường thật để phân tích mã độc
Sau khi hoàn thành việc xây dựng môi trường phân tích, bước tiếp theo là cài đặt các công cụ và phần mềm cần thiết Đối với phân tích tĩnh, các công cụ hữu ích cần được cài đặt bao gồm Pestudio, Strings, CFF Explorer, Peframe, Detect It Easy, HxD, cùng với nhóm công cụ decompile phục vụ phân tích mã nguồn như IDA, x32dbg, OllyDumpEx, jmp2it và Scylla.
Các hacker thường sử dụng kỹ thuật packed và obfuscated để làm cho mã độc khó phân tích Mã nguồn của chương trình bị làm rối gây khó khăn trong việc phân tích tĩnh, trong khi chương trình được đóng gói là chương trình đã được nén và không thể phân tích tĩnh Cả hai kỹ thuật này tạo ra trở ngại lớn cho việc phân tích mã độc Để xác định xem file có bị pack hay không, các công cụ hữu ích như Peid và Detect It Easy có thể được sử dụng để kiểm tra dạng pack và thông tin khác về PE của file.
Hình 2.15 Hình minh hoạ công cụ PEid
Hình 2.16 Hình minh hoạ công cụ Detect It Easy
Ngoài ra còn có công cụ nữa là Xvolkolak vừa có thể phát hiện loại pack, và cũng có thể dùng unpack một số loại pack đơn giản
Hình 2.17 Hình minh hoạ công cụ Xvolkolak
Không chỉ dừng lại ở các công cụ, mà ngày nay còn có trang web hỗ trợ việc unpack như https://www.unpac.me/#/
Chúng ta có thể upload mẫu lên trang và trang này sẽ có các API giúp unpack file
Hình 2.18 Hình ảnh mô tả quá trình unpack file
Các mẫu mã độc APT hiện nay ngày càng tinh vi và khó phát hiện, sử dụng các kỹ thuật đóng gói nâng cao Điều này yêu cầu các nhà nghiên cứu và phân tích phải thực hiện các bước phân tích thủ công, khắc phục các IAT và thực hiện dump file bằng tay.
2.4.1.3 Nhóm các công cụ để phân tích PE và chỉnh sửa mã hex
PE tool groups include PE Bear, PE Studio, Exeinfo PE, PE Tools, and CFF Explorer, which are utilized to analyze the structure of PE files and can also be employed to correct any formatting issues within these files.
Hình 2.19 Hình ảnh công cụ Exeinfo PE
Hình 2.20 Hình ảnh công cụ PE bear
Hình 2.21 Hình ảnh công cụ CFF explorer
IDA Pro là công cụ phân tích phần mềm độc hại phổ biến nhất, cho phép dịch ngược mã độc về ngôn ngữ assembly Mặc dù IDA Pro rất trực quan và dễ sử dụng với nhiều chức năng, việc sử dụng công cụ này có thể khá phức tạp Ngoài ra, người dùng có thể cài đặt các plugin như Bindiff và Hex-Rays Decompiler để hỗ trợ việc so sánh các biến thể phần mềm độc hại, xác định các chức năng mới và phát hiện các chức năng tương tự bị mất.
Hình 2.22 Hình minh họa IDA
Ngoài IDA, x32dbg và x64dbg cũng là những công cụ decompile hiệu quả, cho phép người dùng dễ dàng debug và theo dõi sự thay đổi của các giá trị trong các thanh ghi.
Hình 2.23 Hình minh họa công cụ x32dbg/x64dbg
2.4.2.1 Kỹ thuật phân tích động sử dụng Sandbox
Nhiều công ty trên thế giới đã phát triển hệ thống tự động phân tích mã độc hại, áp dụng nhiều công nghệ khác nhau trong quá trình này.
- Threat Expert: www.threatexpert.com
- Anubis http://analysis.seclab.tuwien.ac.at/
- CWSandbox http://research.sunbelt-software.com/ViewMalware.aspx
- Norman Sandbox http://www.norman.com/microsites/nsic/en-us
- Joebox http://www.joebox.com
2.4.2.2 Kỹ thuật phân tích hành vi sử dụng môi trường máy ảo
To effectively analyze malware on a virtual machine, it is essential to have pre-installed tools such as Sysanalyzer, Process Explorer, Regshot, TCPView, Wireshark, HijackThis, Autoruns, fakedns, and TcpLogView One of these key tools, Regshot, allows users to capture and compare registry snapshots, making it easier to identify changes made by malicious software.
Regshot cho phép người dùng so sánh nội dung Registry thông qua các bản ảnh đã ghi lại Việc xác định các điểm khác biệt trong Registry sẽ giúp phát hiện thông tin bị thêm, sửa đổi hoặc xóa trong quá trình thực thi mã độc.
Hình 2.24 Hình ảnh minh họa cho Regshot b) Autoruns
AutoRuns là công cụ giúp bạn quản lý hiệu quả các chương trình khởi động cùng Windows, cho phép bạn kiểm soát hoàn toàn chúng Công cụ này cung cấp thông tin chi tiết về các chương trình, được sắp xếp theo các danh mục như Registry Key, Logon, Explorer, Services và Schedule Tasks Ngoài việc hiển thị tên và vị trí của chương trình, AutoRuns còn cho phép bạn xem từng module DLL mà chương trình nạp vào bộ nhớ.
Autoruns giúp phát hiện virus, trojan và spyware ẩn nấp trong máy tính, đồng thời cho phép người dùng tắt các chương trình không cần thiết khi khởi động.
Hình 2.25 Hình minh họa công cụ Autoruns c) TCPView
TCPView là công cụ hữu ích giúp liệt kê các tiến trình đang giao tiếp với bên ngoài, tương tự như netstat nhưng hiệu quả hơn Nó cho phép người dùng xác định rõ ràng ứng dụng nào đang thực hiện tiến trình đó.
Phát hiện và ngăn chặn tấn công APT
Để phát hiện và ngăn chặn hiệu quả các cuộc tấn công APT, cần có sự hợp tác đa dạng từ các nhà quản trị mạng, nhà cung cấp bảo mật và người dùng cá nhân.
Theo dõi lưu lượng truy cập mạng là phương pháp hiệu quả để ngăn chặn việc cài cắm cửa hậu và bảo vệ dữ liệu khỏi bị đánh cắp Việc kiểm tra lưu lượng cũng giúp cảnh báo nhân viên an ninh về những hành vi bất thường có thể liên quan đến các cuộc tấn công mạng.
Tường lửa ứng dụng web triển khai tại gateway là giải pháp hiệu quả để bảo vệ các ứng dụng web khỏi các cuộc tấn công như RFI và SQL injection, thường được sử dụng bởi kẻ tấn công để xâm nhập vào mạng của tổ chức.
Giám sát lưu lượng nội bộ thông qua tường lửa cho phép quản trị viên phân tích cách người dùng tương tác trong mạng công ty, đồng thời phát hiện các bất thường trong lưu lượng này.
❖ Whitelist các ứng dụng và tên miền
Whitelist là phương pháp kiểm soát tên miền và ứng dụng có thể truy cập hoặc cài đặt trong mạng công ty Phương pháp này giúp giảm thiểu bề mặt tấn công, từ đó làm giảm tỷ lệ thành công của các cuộc tấn công APT.
Biện pháp bảo mật whitelist không dễ thực hiện, vì cả những tên miền và ứng dụng đáng tin cậy cũng có thể bị xâm nhập Để đảm bảo whitelist hiệu quả, cần thực thi chính sách cập nhật nghiêm ngặt, giúp người dùng luôn sử dụng phiên bản mới nhất của các ứng dụng trong danh sách.
❖ Kiểm soát truy cập Đối với kẻ tấn công, các nhân viên thường là điểm yếu nhất và dễ bị tấn công nhất vì:
- Những nhân viên bất cẩn bỏ qua các chính sách an ninh mạng và vô tình cấp quyền truy cập vào các mối đe dọa tiềm ẩn
- Những nhân viên xấu cố ý lạm dụng thông tin người dùng của họ để cấp quyền truy cập vào thủ phạm
- Người dùng bị mất các thông tin mật và các thông tin này được sử dụng bởi các kẻ tấn công
Để phát triển chính sách kiểm soát hiệu quả, cần tiến hành đánh giá toàn diện về tất cả nhân viên trong tổ chức, đặc biệt là thông tin mà họ có quyền truy cập Việc áp dụng xác thực hai yếu tố (2FA) cho các thông tin quan trọng là cần thiết, giúp tăng cường mức độ bảo mật và đảm bảo an toàn cho dữ liệu nhạy cảm.
❖ Các biện pháp khuyến cáo khác
Ngoài các biện pháp trên, đây là những biện pháp thực hành tốt nhất để đảm bảo an toàn mạng của bạn:
- Vá các phần mềm và hệ điều hành nhanh nhất có thể
- Mã hóa các kết nối từ xa để tránh việc bị nghe lén đường truyền
- Có các bộ lọc thư rác và quét virus cho hệ thống mail
- Thực hiện cơ chế ghi nhật ký để giám sát và điều tra.
