Trace Id is missing
Bỏ qua để tới nội dung chính
Người dùng nội bộ bảo mật

Danh tính chính là chiến trường mới

Tải xuống
Chia sẻ
Một người đàn ông và một người phụ nữ đang ngồi ở bàn và sử dụng máy tính xách tay.

Cyber Signals Số 1: Thu thập thông tin chuyên sâu về các mối đe dọa trên mạng đang nổi lên và các bước cần thực hiện để bảo vệ tổ chức tốt hơn.

Có một sự tréo ngoe nguy hiểm giữa các giao thức bảo mật của hầu hết mọi tổ chức và mối đe dọa mà họ gặp phải. Trong khi những kẻ tấn công luôn cố gắng xâm nhập vào mạng lưới, thì chiến thuật ưa thích của chúng lại đơn giản hơn: đoán mật khẩu đăng nhập yếu. Các biện pháp cơ bản như xác thực đa yếu tố có hiệu quả chống lại 98% các cuộc tấn công, nhưng chỉ có 20% tổ chức sử dụng đầy đủ biện pháp này (Báo cáo Phòng vệ số Microsoft, 2021).

Trong số 1, bạn sẽ tìm hiểu về các xu hướng bảo mật hiện tại và đề xuất từ các nhà nghiên cứu và chuyên gia của Microsoft, bao gồm:

  • Ai  đang dựa vào các cuộc tấn công dựa trên mật khẩu và danh tính.
  • Phải làm gì để chống lại các cuộc tấn công, bao gồm các chiến lược điểm cuối, email và danh tính.
  • Khi nào  cần ưu tiên các biện pháp bảo mật khác nhau.
  • Nơi nào  các chủng mã độc tống tiền được đưa vào và sinh sôi nảy nở trong mạng lưới, cũng như cách ngăn chặn chúng.
  • Tại sao  bảo vệ danh tính vẫn là nguyên nhân lớn nhất cần quan tâm, nhưng cũng là cơ hội lớn nhất để cải thiện tình trạng bảo mật của bạn.

Tác nhân cấp nhà nước tăng gấp đôi nỗ lực đơn giản chỉ để nắm bắt các khối xây dựng danh tính

Các cuộc tấn công mạng từ tác nhân cấp nhà nước đang gia tăng. Bất chấp nguồn tài nguyên khổng lồ, những kẻ thù này thường dựa vào các chiến thuật đơn giản để đánh cắp mật khẩu dễ đoán. Bằng cách đó, chúng có thể truy cập nhanh chóng và dễ dàng vào tài khoản khách hàng. Trong trường hợp tấn công doanh nghiệp, việc thâm nhập mạng lưới của tổ chức cho phép các tác nhân cấp nhà nước có được chỗ đứng mà họ có thể sử dụng để di chuyển theo chiều dọc, đi qua những người dùng và tài nguyên tương tự, hoặc theo chiều ngang, giành quyền truy cập vào các thông tin đăng nhập và tài nguyên có giá trị hơn.

Tấn công lừa đảo qua mạng, lừa đảo phi kỹ thuật, và dò mật khẩu quy mô lớn là những chiến thuật cơ bản mà các tác nhân cấp nhà nước sử dụng để đánh cắp hoặc đoán mật khẩu. Microsoft thu được thông tin chuyên sâu về thủ đoạn và thành công của những kẻ tấn công bằng cách quan sát chiến thuật và kỹ thuật mà chúng đầu tư vào để đạt được thành công. Nếu thông tin xác thực người dùng bị quản lý kém hoặc dễ bị tấn công khi không có biện pháp bảo vệ quan trọng như xác thực đa yếu tố (MFA) và các tính năng không cần mật khẩu, thì các quốc gia sẽ tiếp tục sử dụng các chiến thuật đơn giản tương tự.

Nhu cầu thực thi việc áp dụng MFA hoặc không cần mật khẩu không thể bị phóng đại, vì tính đơn giản và chi phí thấp của các cuộc tấn công tập trung vào danh tính khiến các biện pháp này trở nên thuận tiện và hiệu quả đối với người thực hiện. Mặc dù MFA không phải là công cụ quản lý truy cập và danh tính duy nhất mà các tổ chức nên sử dụng, nhưng nó có thể mang lại khả năng ngăn chặn mạnh mẽ các cuộc tấn công.

Lạm dụng thông tin xác thực là một hành vi cố định của NOBELIUM, một đối thủ nhà nước có liên kết với Nga. Tuy nhiên, các đối thủ khác như IDEV 0343 có liên kết với Iran cũng dựa vào chiến thuật dò mật khẩu. Hoạt động từ DEV-0343 đã được quan sát thấy ở các công ty quốc phòng sản xuất radar cấp quân sự, công nghệ máy bay không người lái, hệ thống vệ tinh và hệ thống liên lạc ứng phó khẩn cấp. Hoạt động tiếp theo nhằm vào các cảng nhập cảnh khu vực ở Vịnh Ba Tư, và một số công ty vận tải hàng hải và hàng hóa tập trung kinh doanh ở Trung Đông.
Phân tích các cuộc tấn công mạng dựa trên danh tính do Iran khởi xướng
Các quốc gia bị Iran nhắm tới nhiều nhất trong khoảng thời gian từ tháng 7 năm 2020 đến tháng 6 năm 2021 là Hoa Kỳ (49%), Israel (24%) và Ả Rập Saudi (15%). Tìm hiểu thêm về hình ảnh này ở trang 4 trong báo cáo đầy đủ

Tổ chức nên:

Kích hoạt xác thực đa yếu tố: Bằng cách đó, giảm thiểu nguy cơ mật khẩu rơi vào tay kẻ xấu. Thậm chí tốt hơn, hãy loại bỏ hoàn toàn mật khẩu bằng cách sử dụng xác thực đa yếu tố không mật khẩu.
Kiểm tra đặc quyền của tài khoản: Các tài khoản có quyền truy cập đặc quyền, nếu bị chiếm đoạt, sẽ trở thành vũ khí mạnh mẽ mà kẻ tấn công có thể sử dụng để lấy quyền truy cập lớn hơn vào mạng lưới và tài nguyên. Các nhóm bảo mật nên kiểm tra các đặc quyền truy cập thường xuyên, sử dụng nguyên tắc đặc quyền tối thiểu được cấp để cho phép nhân viên hoàn thành công việc.
Đánh giá, củng cố và giám sát tất cả các tài khoản quản trị đối tượng thuê: Các nhóm bảo mật nên xem xét kỹ lưỡng mọi người dùng hoặc tài khoản quản trị đối tượng thuê được liên kết với đặc quyền quản trị được ủy quyền để xác minh tính xác thực của người dùng và hoạt động. Họ nên vô hiệu hóa hoặc xóa mọi đặc quyền quản trị được ủy quyền chưa sử dụng sau đó.
Thiết lập và thực thi đường cơ sở bảo mật để giảm thiểu rủi ro: Các quốc gia kiên trì và có nguồn vốn, ý chí, và quy mô để phát triển các chiến lược và kỹ thuật tấn công mới. Mọi sáng kiến củng cố mạng bị trì hoãn do băng thông hoặc thói quan liêu đều có lợi cho họ. Các nhóm bảo mật nên ưu tiên triển khai các biện pháp không tin cậy như MFA và nâng cấp không cần mật khẩu . Họ có thể bắt đầu bằng các tài khoản đặc quyền để nhanh chóng được bảo vệ, sau đó mở rộng theo từng giai đoạn tăng dần và liên tục.

Mã độc tống tiền thống trị nhận thức, nhưng chỉ một số chủng chiếm ưu thế

Câu chuyện thống trị dường như xoay quanh việc có một số lượng lớn các mối đe dọa bằng mã độc tống tiền nằm ngoài khả năng phòng thủ. Tuy nhiên, phân tích của Microsoft cho thấy điều này là không chính xác. Ngoài ra còn có quan điểm cho rằng một số nhóm mã độc tống tiền nhất định là một thực thể nguyên khối duy nhất, điều này cũng không chính xác. Những gì tồn tại là một nền kinh tế tội phạm mạng, nơi những người chơi khác nhau trong chuỗi tấn công hàng hóa đưa ra những lựa chọn có chủ ý. Họ được thúc đẩy bởi một mô hình kinh tế tối đa hóa lợi nhuận dựa trên cách họ khai thác thông tin mà họ có quyền truy cập. Đồ họa bên dưới cho thấy các nhóm khác nhau thu lợi nhuận như thế nào từ các chiến lược tấn công mạng khác nhau và thông tin từ các vụ vi phạm dữ liệu.

Chi phí trung bình cho các dịch vụ tội phạm mạng khác nhau
Chi phí trung bình của các dịch vụ tội phạm mạng được rao bán. Những kẻ tấn công được thuê có giá khởi điểm là 250 USD cho mỗi nhiệm vụ. Bộ công cụ mã độc tống tiền có giá 66 USD hoặc 30% lợi nhuận. Các thiết bị bị xâm phạm có giá khởi điểm là 13 xu cho mỗi PC và 82 xu cho mỗi thiết bị di động. Cho thuê tấn công lừa đảo có phạm vi từ 100 USD đến 1.000 USD. Các cặp tên người dùng và mật khẩu bị đánh cắp trung bình bắt đầu ở mức 97 xu trên 1000. Tìm hiểu thêm về hình ảnh này ở trang 5 trong báo cáo đầy đủ  

Điều đó nói lên rằng, cho dù có bao nhiêu mã độc tống tiền ngoài kia hoặc có liên quan đến chủng nào, thì nó thực sự có ba hướng dẫn vào: giao thức máy tính từ xa (RDP) brute force, hệ thống truy cập Internet dễ bị tấn công và lừa đảo. Tất cả các vec-tơ này đều có thể được giảm thiểu bằng cách bảo vệ mật khẩu, quản lý danh tính và cập nhật phần mềm thích hợp bên cạnh bộ công cụ bảo mật và tuân thủ toàn diện. Một loại mã độc tống tiền chỉ có thể phát triển mạnh khi có được quyền truy cập vào thông tin xác thực và khả năng lây lan. Từ đó, ngay cả khi là một chủng đã biết, nó cũng có thể gây ra rất nhiều thiệt hại.

Lập biểu đồ các tác nhân đe dọa từ quyền truy cập ban đầu đến chuyển động ngang qua hệ thống
Đường dẫn của hành vi tác nhân đe dọa khi hệ thống bị xâm phạm từ điểm truy cập ban đầu đến hành vi trộm cắp thông tin xác thực và chuyển động ngang qua hệ thống. Theo dõi đường dẫn liên tục để chụp tài khoản và thu được tải trọng của mã độc tống tiền. Tìm hiểu thêm về hình ảnh này ở trang 5 trong báo cáo đầy đủ

Đội bảo mật nên:

Hiểu rằng mã độc tống tiền phát triển mạnh dựa trên thông tin xác thực mặc định hoặc bị xâm phạm: Do đó, các nhóm bảo mật nên tăng cường các biện pháp bảo vệ như triển khai MFA không cần mật khẩu trên tất cả tài khoản người dùng và ưu tiên vai trò điều hành, quản trị viên cũng như các vai trò đặc quyền khác.
Xác định cách phát hiện những điểm bất thường để kịp thời hành động: Đăng nhập sớm, di chuyển tệp và các hành vi khác dẫn đến mã độc tống tiền có vẻ khó phân biệt. Tuy nhiên, các nhóm cần theo dõi những điểm bất thường và hành động nhanh chóng.
Có kế hoạch ứng phó với mã độc tống tiền và tiến hành rèn luyện cách khôi phục: Chúng ta đang sống trong kỷ nguyên đồng bộ hóa và chia sẻ trên đám mây, nhưng các bản sao dữ liệu khác với toàn bộ hệ thống CNTT và cơ sở dữ liệu. Các nhóm nên trực quan hóa và thực hành xem quá trình khôi phục hoàn toàn trông như thế nào.
Quản lý cảnh báo và nhanh chóng giảm thiểu: Trong khi mọi người đều lo ngại cuộc tấn công bằng mã độc tống tiền, trọng tâm chính của các nhóm bảo mật là tăng cường những cấu hình bảo mật yếu mà có thể khiến cuộc tấn công thành công. Họ nên quản lý các cấu hình bảo mật để phản hồi cảnh báo và việc phát hiện đúng cách.
Đường cong phân phối bảo vệ cho thấy cách duy trì bảo mật cơ bản giúp bảo vệ trước 98% các cuộc tấn công
Bảo vệ chống lại 98% các cuộc tấn công bằng cách sử dụng phần mềm chống phần mềm độc hại, áp dụng quyền truy cập đặc quyền tối thiểu, kích hoạt xác thực đa yếu tố, cập nhật phiên bản mới nhất và bảo vệ dữ liệu. 2% còn lại của đường cong chuông đề cập đến các cuộc tấn công ngoại lệ. Tìm hiểu thêm về hình ảnh này ở trang 5 trong báo cáo đầy đủ
Nhận hướng dẫn bổ sung từ Trưởng nhóm thông tin về mối đe dọa chính của Microsoft Christopher Glyer về cách bảo mật danh tính.

Thông tin chuyên sâu thu được và các mối đe dọa bị chặn bằng hơn 24 nghìn tỷ tín hiệu hàng ngày

Mối đe dọa điểm cuối:
Microsoft Defender cho Điểm cuối đã chặn hơn 9,6 tỷ các mối đe dọa phần mềm độc hại nhắm vào thiết bị doanh nghiệp và khách hàng tiêu dùng, từ tháng 1 đến tháng 12 năm 2021.
Mối đe dọa email:
Microsoft Defender cho Office 365 đã chặn hơn 35,7 tỷ vụ lừa đảo qua mạng và email độc hại khác nhắm vào khách hàng doanh nghiệp và người tiêu dùng, từ tháng 1 đến tháng 12 năm 2021.
Mối đe dọa danh tính:
Microsoft (Azure Active Directory) đã phát hiện và chặn hơn 25,6 tỷ nỗ lực chiếm đoạt tài khoản khách hàng doanh nghiệp bằng cách dùng brute-forcing đánh cắp mật khẩu, từ tháng 1 đến tháng 12 năm 2021.

Phương pháp: Đối với dữ liệu hình chụp nhanh các nền tảng của Microsoft bao gồm Defender và Azure Active Directory đã cung cấp dữ liệu ẩn danh về hoạt động đe dọa, chẳng hạn như các nỗ lực đăng nhập brute force, lừa đảo qua mạng và các email độc hại khác nhắm mục tiêu vào doanh nghiệp và người tiêu dùng cũng như các cuộc tấn công bằng phần mềm độc hại từ tháng 1 đến tháng 12 năm 2021. Thông tin chuyên sâu bổ sung đến từ 24 nghìn tỷ tín hiệu bảo mật hàng ngày thu được trên Microsoft, bao gồm đám mây, điểm cuối và biên thông minh. Dữ liệu xác thực mạnh kết hợp MFA và bảo vệ không cần mật khẩu.

Danh tính Mã độc tống tiền Cấp quốc gia

Bài viết liên quan

Cyber Signals Số 2: Tống tiền kinh tế

Lắng nghe ý kiến từ các chuyên gia làm việc trực tiếp với khách hàng về việc phát triển mã độc tống tiền dưới dạng dịch vụ. Từ các chương trình và tải trọng để tiếp cận với các nhà môi giới và chi nhánh, hãy tìm hiểu về các công cụ, chiến thuật và mục tiêu mà kẻ phạm tội trên mạng ưa thích cũng như nhận hướng dẫn để giúp bảo vệ tổ chức của bạn.
Tìm hiểu thêm

Bảo vệ Ukraina: Những bài học đầu tiên từ Chiến tranh mạng

Những phát hiện mới nhất trong các nỗ lực tình báo mối đe dọa đang diễn ra của chúng tôi trong cuộc chiến giữa Nga và Ukraine, cùng một loạt kết luận từ bốn tháng đầu tiên tăng cường nhu cầu đầu tư mới và liên tục vào công nghệ, dữ liệu, và quan hệ đối tác để hỗ trợ các chính phủ, công ty, tổ chức phi chính phủ, và các trường đại học.
Tìm hiểu thêm

Hồ sơ chuyên gia: Christopher Glyer

Với tư cách là Trưởng nhóm thông tin về mối đe dọa chính, tập trung vào phần mềm mã độc tống tiền tại Trung tâm Hoạt động Phòng chống Tội phạm mạng của Microsoft (MSTIC), Christopher Glyer là thành viên của nhóm điều tra cách các tác nhân đe dọa tiên tiến nhất truy cập và khai thác hệ thống..
Tìm hiểu thêm