- Nhân viên sử dụng internet và an ninh đầu cuối
- Làm việc từ xa làm tăng hay giảm mối đe dọa nội bộ?
- Cấu hình sai
- Cấu hình sai thiết bị đầu cuối là mối đe dọa như thế nào?
- Mối đe dọa nội bộ/hành vi người dùng vô tình
- Hành vi người dùng vô tình gây ra mối đe dọa nội bộ như thế nào?
- Thiết bị đầu cuối/phần mềm chưa được vá lỗi
- Thiết bị chưa được vá lỗi gây ra mối đe dọa nội bộ ra sao?
- Phần mềm lỗi thời
- Phần mềm lỗi thời gây ra mối đe dọa nội bộ như thế nào?
- Cài đặt phần mềm không được giám sát
- Cài đặt phần mềm không được giám sát là mối đe dọa như thế nào?
- Vô hiệu hóa tường lửa trên máy chủ
- Vô hiệu hóa tường lửa là mối đe dọa như thế nào?
- Tư duy và chính sách mật khẩu lỗi thời
- Chính sách mật khẩu lỗi thời là mối đe dọa như thế nào?
- Cuộc tấn công bằng “password spray”
- Tấn công “password spray” là gì?
Nhân viên sử dụng internet và an ninh đầu cuối
Làm việc từ xa làm tăng hay giảm mối đe dọa nội bộ?
Trong thời đại số, cho phép nhân viên truy cập internet đồng nghĩa với việc chấp nhận rủi ro bị xâm nhập. Tuy nhiên, truy cập từ xa an toàn với công nghệ phù hợp lại có thể mang lại lợi ích cho tổ chức. Xác thực đa yếu tố (MFA) là cần thiết, nhưng chưa đủ.
Cần một hệ thống bảo mật đa lớp, giống như một chiếc bánh kẹp, với nhiều lớp bảo vệ xếp chồng lên nhau. Khi một lớp bị phá vỡ, lớp khác sẽ tiếp tục bảo vệ. Do đó, cần các sản phẩm phức tạp hơn để kiểm tra vị trí, thiết bị và hành vi người dùng khi đăng nhập, xây dựng “dấu vân tay kỹ thuật số” bao gồm thông tin: ai, cái gì, khi nào, ở đâu và như thế nào. Bất kỳ sự bất thường nào, ví dụ đăng nhập từ múi giờ hoặc quốc gia lạ, đều được cảnh báo và đánh giá.
Mối đe dọa nội bộ/hành vi người dùng vô tình ảnh hưởng đến an ninh thiết bị đầu cuối
Ví dụ về hành vi người dùng vô tình tạo ra mối đe dọa nội bộ
Cấu hình sai
Cấu hình sai thiết bị đầu cuối là mối đe dọa như thế nào?
Thiết bị đầu cuối (endpoints) trong tổ chức thường nhiều hơn máy chủ và dịch vụ gấp hàng trăm, hàng nghìn lần. Điều này khiến cấu hình sai ở thiết bị đầu cuối trở thành mối đe dọa nội bộ phổ biến hơn so với cấu hình sai trên ứng dụng web hay SharePoint. Vấn đề cốt lõi là cấp quá nhiều quyền truy cập. Bộ phận IT thường cấp quyền vượt quá nhu cầu thực tế của người dùng. Khi áp dụng cho hàng ngàn tài khoản và thiết bị, điều này tạo ra lỗ hổng cho kẻ xấu lợi dụng.
Giải pháp là chỉ cung cấp cho nhân viên làm việc từ xa các dịch vụ cần thiết thông qua Office 365 hoặc Azure, thay vì VPN. Microsoft cung cấp các biểu mẫu để tạo giao diện web hoặc SharePoint thân thiện với người dùng. Hạn chế truy cập máy chủ nội bộ giúp giảm thiểu rủi ro cấu hình sai so với việc mở cổng và cấu hình tường lửa.
Mối đe dọa nội bộ/hành vi người dùng vô tình
Hành vi người dùng vô tình gây ra mối đe dọa nội bộ như thế nào?
Khi cấp quyền, bộ phận IT cần cân nhắc kỹ lưỡng. Hạn chế quá ít sẽ dễ bị xâm nhập, nhưng hạn chế quá nhiều sẽ khiến người dùng tìm cách khác (thường kém an toàn) để hoàn thành công việc, tạo ra mối đe dọa nội bộ vô tình. Ví dụ phổ biến là chia sẻ tài liệu nhạy cảm (như bảng lương) trên thư mục chia sẻ công khai vì người nhận làm việc từ xa không truy cập được thư mục nội bộ.
Cách duy nhất để giải quyết mối đe dọa này là đảm bảo người dùng không có lý do để tìm giải pháp thay thế kém an toàn, dù điều này rất khó khăn, đặc biệt khi phải cân nhắc cả yếu tố bảo mật.
Thiết bị đầu cuối/phần mềm chưa được vá lỗi
Thiết bị chưa được vá lỗi gây ra mối đe dọa nội bộ ra sao?
Đảm bảo tất cả thiết bị đầu cuối được cập nhật bản vá lỗi và an toàn là rất quan trọng, bao gồm cả việc nắm rõ phần mềm đang chạy trên thiết bị. Khi xuất hiện lỗ hổng zero-day, cần nhanh chóng xác định liệu mạng nội bộ có bị ảnh hưởng hay không. Điều này trở nên khó khăn khi nhiều người dùng làm việc từ xa.
Phần mềm lỗi thời ảnh hưởng đến an ninh thiết bị đầu cuối
Phần mềm lỗi thời là một mối đe dọa an ninh
Công cụ quản lý an ninh thiết bị đầu cuối hợp nhất có thể giúp ích bằng cách lưu trữ danh sách thiết bị kết nối vào mạng, vị trí, phần mềm đang chạy và phiên bản. Nếu lỗ hổng chỉ ảnh hưởng đến một khu vực cụ thể, có thể thông báo cho nhóm vận hành để quyết định cách ly.
Phần mềm lỗi thời
Phần mềm lỗi thời gây ra mối đe dọa nội bộ như thế nào?
Phần mềm lỗi thời cũng là một vấn đề đáng lo ngại. Hệ điều hành là mục tiêu phổ biến vì số lượng hạn chế. Ví dụ, sử dụng Windows Server 2008 sẽ tăng nguy cơ bị tấn công. Duy trì ứng dụng lỗi thời cũng rất nguy hiểm. Bảo vệ hệ điều hành là vô nghĩa nếu hệ thống ERP chứa dữ liệu tài chính đã 15 năm tuổi và dễ bị tấn công. Cần xem xét bảo trì như một phần của chi phí tổng thể và giám sát mọi hoạt động trong công ty.
Cài đặt phần mềm không được giám sát
Cài đặt phần mềm không được giám sát là mối đe dọa như thế nào?
Giám sát hành vi là rất quan trọng trong an ninh hiện đại, bao gồm giám sát đăng nhập (SSO) và giám sát nỗ lực cài đặt phần mềm độc hại (EDR). Hệ thống EDR giám sát hoạt động hệ thống và phát hiện các quy trình lạ, ví dụ như ransomware. EDR có thể phát hiện hành vi bất thường như mã hóa tệp tin bất ngờ, sideloading DLL, hoặc truy cập trái phép vào hệ thống không liên quan đến công việc.
EDR tự động phát hiện và cảnh báo hành vi bất thường. Có thể cách ly hệ thống nghi ngờ bị tấn công bằng cách chặn tường lửa, chỉ cho phép giao tiếp với Defender và Office. EDR cũng có thể tự động cách ly hệ thống bất thường. Viết mã (scripting) là công cụ hữu ích để đối phó với mối đe dọa nội bộ và đảm bảo an ninh thiết bị đầu cuối, ví dụ như săn lùng mối đe dọa.
Vô hiệu hóa tường lửa trên máy chủ
Vô hiệu hóa tường lửa là mối đe dọa như thế nào?
Kích hoạt tường lửa trên máy chủ và chỉ mở các cổng cần thiết là rất quan trọng. Nhiều kỹ thuật viên thường tắt tường lửa khi xây dựng máy chủ. Nên ghi lại các cổng dịch vụ cần thiết cho từng máy chủ và kích hoạt tường lửa, chỉ loại trừ các cổng đó. Nên cô lập từng máy chủ nếu có thể. Nếu sử dụng IIS, nên truy cập thông qua proxy như Azure AD Proxy.
Ví dụ về cách thức hoạt động của tấn công bằng password spray
Minh họa tấn công bằng password spray
Proxy server bỏ qua tường lửa và cung cấp MFA cho ứng dụng web, ngay cả những ứng dụng không hỗ trợ MFA trước đây. Sau đó, kích hoạt tường lửa để chỉ proxy mới truy cập được máy chủ web.
Tư duy và chính sách mật khẩu lỗi thời
Chính sách mật khẩu lỗi thời là mối đe dọa như thế nào?
Mật khẩu gây phiền hà nhưng vẫn cần thiết. Chính sách yêu cầu thay đổi mật khẩu thường xuyên khiến người dùng chọn mật khẩu dễ đoán, ví dụ như tăng số đếm (“Password1”, “Password2”) hoặc dựa trên mùa/năm (“Winter2023!”). Kẻ tấn công biết những thủ thuật này và sử dụng công cụ để đoán mật khẩu. Ngay cả Microsoft cũng xác nhận không cần thay đổi mật khẩu thường xuyên.
Một số ý tưởng về mật khẩu hiện đại bao gồm: mật khẩu không bao giờ hết hạn, cụm từ mật khẩu (passphrase), xác thực mật khẩu thời gian thực so sánh với danh sách mật khẩu bị rò rỉ, và kho mật khẩu an toàn như Bitwarden hoặc LastPass. Cần liên tục cập nhật chính sách bảo mật để tránh trở thành mục tiêu tấn công.
Cuộc tấn công bằng “password spray”
Tấn công “password spray” là gì?
Tấn công “password spray” là mối đe dọa từ bên ngoài, kẻ tấn công gửi hàng loạt mật khẩu khác nhau để tìm ra mật khẩu hợp lệ. Công cụ như Hydra tự động hóa quá trình này. Kẻ tấn công thu thập mật khẩu từ các vụ rò rỉ dữ liệu, phân tích và chọn ra những mật khẩu phổ biến nhất. Sau đó, chúng thử các mật khẩu này với danh sách tên người dùng của công ty bạn. Nhiều hệ thống không được thiết lập để phát hiện loại tấn công này.
Công cụ xác thực đóng vai trò quan trọng trong việc phát hiện và chặn các nỗ lực đăng nhập không thành công liên tiếp từ cùng một nguồn (ví dụ, chặn địa chỉ IP).
Ý kiến bạn đọc (0)