Trước tình hình các cuộc tấn công APT ngày càng gia tăng, tính chất tinh vi hơn cùng quy mô mở rộng, điển hình là chiến dịch tấn công trên không gian mạng Việt Nam khiến hơn 400,000 IP lây nhiễm ngày 30/10/2019 vừa qua (theo số liệu từ Cục An toàn thông tin), ông Nguyễn Minh Đức – CEO của CyRadar đã đưa ra một số gợi ý về cách thức phòng tránh cho các tổ chức, doanh nghiệp.

APT (Advanced Persistent Threat) là hình thức tấn công mạng có mục tiêu cụ thể do tin tặc sử dụng các công nghệ tiên tiến và kỹ thuật lừa đảo để đột nhập mạng mục tiêu và dai dẳng tập trung vào mục tiêu đó trong thời gian dài cho đến khi cuộc tấn công diễn ra thành công (hoặc bị chặn đứng). Các kỹ thuật tấn công phổ biến như: RFI, SQL injection, XSS, lừa đảo thường được hackers sử dụng để thiết lập một chỗ đứng trong mạng mục tiêu. Tiếp theo, mã độc thường được sử dụng để mở rộng phạm vi, duy trì sự hiện diện tại mạng sau đó khai thác và truy xuất dữ liệu cho các mục đích xấu.

Hậu quả của các cuộc tấn công này là vô cùng nặng nề: tài sản trí tuệ bị đánh cắp (bí mật thương mại hoặc bằng sáng chế…); thông tin nhạy cảm bị xâm nhập (dữ liệu cá nhân, hồ sơ nhân viên…); cơ sở hạ tầng quan trọng của tổ chức bị phá hủy (cơ sở dữ liệu, máy chủ quản trị…) hay toàn bộ tên miền của tổ chức bị chiếm đoạt.

Cục An toàn thông tin cho biết, đây là chiến dịch tấn công có chủ đích từ một nhóm tin tặc nước ngoài có tổ chức. Mã độc được nhóm tin tặc sử dụng trong chiến dịch tấn công APT lần này rất nguy hiểm, đã tấn công vào các cơ quan của Chính phủ, các hạ tầng thông tin trọng yếu quốc gia và người dùng trên mạng Internet Việt Nam thông qua email đính kèm dạng file (.doc).

Trước diễn biến phức tạp của cuộc tấn công, Công ty Cổ phần An toàn thông tin CyRadar đã nhanh chóng phối hợp với Cục An toàn thông tin, đưa ra công cụ gỡ bỏ mã độc cho các máy tính tình nghi lây nhiễm. Các doanh nghiệp, tổ chức và người dùng có thể tải công cụ rà quét, diệt các mã độc của chiến dịch APT theo đường dẫn: http://remove-apt.vnpt.vn/download/tools/incident-response-v1.0.exe

Giao diện công cụ gỡ bỏ mã độc trong chiến dịch tấn công APT ngày 30/10/2019 do CyRadar phát triển

Với kinh nghiệm hơn 15 năm trong ngành An toàn thông tin, ông Nguyễn Minh Đức, cũng đưa ra 4 gợi ý giúp nâng cao năng lực phòng chống tấn công APT:

1. Triển khai phòng thủ theo chiều sâu và bảo mật theo lớp:

Các doanh nghiệp, tổ chức cần chú ý kiểm soát các điểm ra vào mạng, trang bị tường lửa thế hệ mới, triển khai các hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS), hệ thống giám sát thông tin và sự cố bảo mật (SIEM), thường xuyên bổ sung và nâng cấp hệ thống quản lý lỗ hổng, sử dụng phương thức xác thực và quản lý danh tính, cập nhật các bản vá bảo mật và thực hiện bảo vệ đầu cuối.

2. Sử dụng các kỹ thuật phát hiện và giám sát

Theo dõi lưu lượng truy cập ra và vào được xem là phương pháp tốt nhất để ngăn chặn việc cài cắm cửa hậu, trích xuất dữ liệu bị đánh cắp. Việc giám sát liên tục không chỉ giúp phát hiện hoạt động đáng ngờ sớm nhất có thể mà còn làm giảm khả năng leo thang hoặc kéo dài của các cuộc xâm nhập. Kết quả giám sát còn có thể dùng làm chứng cứ pháp lý nếu cuộc tấn công xảy ra.

3. Sử dụng dịch vụ đánh giá, phân tích mối đe dọa

Việc thu thập dữ liệu thô về các mối đe dọa mới xuất hiện từ nhiều nguồn khác nhau, sau đó phân tích và sàng lọc để tạo ra thông tin hữu ích, có ý nghĩa là nền tảng hành động khi có diễn biến bất thường trong mạng.

4. Đào tạo nâng cao nhận thức bảo mật và lập kế hoạch ứng phó sự cố

Máy móc đều do con người điều khiển vì vậy phải làm cho nhân viên thấu hiểu rủi ro của việc nhấn vào những liên kết không rõ ràng trong email, nhận biết những kỹ thuật lừa đảo sẽ biến họ thành đối tác của tin tặc và hậu quả khôn lường khi mắc bẫy là điều cực kỳ cần thiết.

Dù nhân sự cảnh giác cao đến đâu và công nghệ đắt tiền đến như thế nào thì việc bảo mật của tổ chức hay doanh nghiệp vẫn sẽ tồn tại một yếu điểm nào đó, điều đáng băn khoăn ở đây là “khi nào” xảy ra tấn công chứ không phải “có xảy ra hay không”. Vậy nên theo ông Đức, việc trang bị một giải pháp giám sát và phân tích sâu lưu lượng mạng chính là liều thuốc vắc-xin hữu hiệu nhất để đối phó với loại hình tấn công APT này.

Chiến dịch tấn công APT gồm nhiều giai đoạn, nhóm hackers thông thường phải nghiên cứu rất kỹ mục tiêu (cả con người và hệ thống CNTT) sau đó chế tạo công cụ và kỹ thuật tấn công phù hợp. Tin tặc ở trong tối nên các bước chuẩn bị sẽ rất khó bị phát hiện. Nhưng cũng chính nhờ vòng đời của cuộc tấn công APT khá dài, chỉ cần trong chuỗi thao tác tấn công có 1 thao tác bị phát hiện và chặn đứng thì cả cuộc tấn công coi như thất bại.

Nếu doanh nghiệp và tổ chức không thể đảm bảo thông tin mục tiêu của đơn vị mình an toàn, không dám chắc về các lỗ hổng đang tồn tại (lỗi trên hệ điều hành, lỗi trên ứng dụng, lỗi do các phần mềm của bên thứ 3) thì cách đơn giản nhất chính là giám sát dữ liệu và lưu lượng mạng bất thường để từ đó phát hiện sớm các vụ tấn công tinh vi, các loại mã độc, phần mềm gián điệp nguy hiểm trong hệ thống.

Đại diện của CyRadar cho hay đây cũng là cách mà các giải pháp tấn công APT hàng đầu trên thế giới hướng đến để giải quyết và cũng chính là phương thức hoạt động của CyRadar Advanced Threat Detection – giải pháp phòng chống tấn công APT đầu tiên của Việt Nam.

Được cập nhập cơ sở dữ liệu từ hệ thống Cloud trên nền tảng Malware Graph – Thuật toán đánh giá các mối nguy hại hiện hữu và tiềm ẩn giúp giám sát tất cả các chiến dịch, tài nguyên mạng trên toàn thế giới để đánh điểm và trích xuất dữ liệu cho toàn bộ hệ sinh thái sản phẩm của CyRadar, từ đó cung cấp nền tảng nhằm thu thập thông tin tình báo an ninh mở giúp kiểm soát các cuộc tấn công APT hiệu quả.

Giao diện giải pháp CyRadar Advanced Threat Detection.

Tấn công APT vốn là một sản phấm “may đo” vậy nên kế hoạch đối phó với chúng cũng cần phải linh hoạt và biến chuyển phù hợp với nguồn gốc lây lan mối nguy hại, môi trường phát tán và quy mô hệ thống CNTT, tuy nhiên trên đây là những gợi ý mang tính định hướng để giúp hệ thống máy tính của tổ chức, doanh nghiệp an toàn trước các cuộc tấn công APT dai dẳng, có chủ đích.

Theo CyRadar

Tin liên quan: