SharePoint
Liên kết web
 
 

Chuyên gia bảo mật bày cách chống tấn công có chủ đích APT hiệu quả

01/11/2019 16:33
(TTCNTT) - Trước tình hình các cuộc tấn công có chủ đích APT ngày càng gia tăng, với tính chất tinh vi hơn cùng quy mô mở rộng, ông Nguyễn Minh Đức - CEO Công ty CyRadar vừa đưa ra 4 gợi ý giúp các cơ quan, tổ chức, doanh nghiệp nâng cao năng lực phòng chống tấn công APT.

Trao đổi với ICTnews, ông Nguyễn Minh Đức - CEO Công ty an toàn thông tin CyRadar cho biết, tấn công APT (Advanced Persistent Threat) tại Việt Nam đang ngày càng gia tăng về số lượng và mức độ tinh vi. Trong thời gian gần đây, CyRadar đã phát hiện ra nhiều chiến dịch tấn công mạnh mẽ vào các ngân hàng, tổ chức tài chính cũng như nhiều cơ quan khối Chính phủ.

Ông Đức cho biết thêm, từ thực tế hỗ trợ các cơ quan, doanh nghiệp phát hiện và ngăn chặn các cuộc tấn công mạng, CyRadar nhận thấy có doanh nghiệp dù hệ thống bị tấn công có chủ đích, bị kiểm soát trong một thời gian khá dài nhưng họ không hề biết.

Trước tình hình các cuộc tấn công APT ngày càng gia tăng, tính chất tinh vi hơn cùng quy mô mở rộng, điển hình là chiến dịch tấn công trên không gian mạng Việt Nam khiến hơn 400.000 IP lây nhiễm ngày 30/10 vừa qua, ông Nguyễn Minh Đức đã đưa ra 4 gợi ý về cách thức phòng tránh cho các cơ quan, tổ chức, doanh nghiệp, đó là: triển khai phòng thủ theo chiều sâu và bảo mật theo lớp, sử dụng các kỹ thuật phát hiện và giám sát; sử dụng dịch vụ đánh giá, phân tích mối đe dọa; và chú trọng đào tạo nâng cao nhận thức bảo mật và lập kế hoạch ứng phó sự cố.

Cụ thể, theo ông Đức, các doanh nghiệp, tổ chức cần chú ý kiểm soát các điểm ra vào mạng, trang bị tường lửa thế hệ mới, triển khai các hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS), hệ thống giám sát thông tin và sự cố bảo mật (SIEM), thường xuyên bổ sung và nâng cấp hệ thống quản lý lỗ hổng, sử dụng phương thức xác thực và quản lý danh tính, cập nhật các bản vá bảo mật và thực hiện bảo vệ đầu cuối.

Nhấn mạnh sự cần thiết của việc sử dụng các kỹ thuật phát hiện và giám sát, vị chuyên gia bảo mật đã có hơn 15 kinh nghiệm này phân tích, theo dõi lưu lượng truy cập ra và vào được xem là phương pháp tốt nhất để ngăn chặn việc cài cắm cửa hậu, trích xuất dữ liệu bị đánh cắp. “Việc giám sát liên tục không chỉ giúp phát hiện hoạt động đáng ngờ sớm nhất có thể mà còn làm giảm khả năng leo thang hoặc kéo dài của các cuộc xâm nhập. Kết quả giám sát còn có thể dùng làm chứng cứ pháp lý nếu cuộc tấn công xảy ra”, ông Đức cho hay.

Bên cạnh đó, các cơ quan, tổ chức, doanh nghiệp cũng được chuyên gia Nguyễn Minh Đức khuyến nghị nên sử dụng dịch vụ đánh giá, phân tích mối đe dọa: “Việc thu thập dữ liệu thô về các mối đe dọa mới xuất hiện từ nhiều nguồn khác nhau, sau đó phân tích và sàng lọc để tạo ra thông tin hữu ích, có ý nghĩa là nền tảng hành động khi có diễn biến bất thường trong mạng”.

Cho biết đào tạo nâng cao nhận thức bảo mật và lập kế hoạch ứng phó sự cố cũng là việc các cơ quan, tổ chức doanh nghiệp cần đặc biệt quan tâm, chuyên gia Nguyễn Minh Đức phân tích, máy móc đều do con người điều khiển vì vậy phải làm cho nhân viên thấu hiểu rủi ro của việc nhấn vào những liên kết không rõ ràng trong email, nhận biết những kỹ thuật lừa đảo sẽ biến họ thành đối tác của tin tặc và hậu quả khôn lường khi mắc bẫy là điều cực kỳ cần thiết.

Dù nhân sự cảnh giác cao đến đâu và công nghệ đắt tiền như thế nào thì việc bảo mật của tổ chức hay doanh nghiệp vẫn sẽ tồn tại một yếu điểm nào đó, điều đáng băn khoăn ở đây là “khi nào” xảy ra tấn công chứ không phải “có xảy ra hay không". Vậy nên theo ông Đức, việc trang bị một giải pháp giám sát và phân tích sâu lưu lượng mạng chính là liều vắc-xin hữu hiệu nhất để đối phó với loại hình tấn công APT.

Cũng theo chuyên gia CyRadar, chiến dịch tấn công APT gồm nhiều giai đoạn, nhóm hacker thông thường phải nghiên cứu rất kỹ mục tiêu, bao gồm cả con người và hệ thống CNTT, sau đó chế tạo công cụ và kỹ thuật tấn công phù hợp. Hacker ở trong tối nên các bước chuẩn bị sẽ rất khó bị phát hiện. Nhưng cũng chính nhờ vòng đời của cuộc tấn công APT khá dài, chỉ cần trong chuỗi thao tác tấn công có một thao tác bị phát hiện và chặn đứng thì cả cuộc tấn công coi như thất bại.

Nếu doanh nghiệp và tổ chức không thể đảm bảo thông tin mục tiêu của đơn vị mình an toàn, không dám chắc về các lỗ hổng đang tồn tại (lỗi trên hệ điều hành, lỗi trên ứng dụng, lỗi do các phần mềm của bên thứ ba) thì cách đơn giản nhất chính là giám sát dữ liệu và lưu lượng mạng bất thường để từ đó phát hiện sớm các vụ tấn công tinh vi, các loại mã độc, phần mềm gián điệp nguy hiểm trong hệ thống.

Đại diện CyRadar chia sẻ thêm, đây cũng là cách mà các giải pháp tấn công APT hàng đầu trên thế giới hướng đến để giải quyết và cũng chính là phương thức hoạt động của “CyRadar Advanced Threat Detection” - giải pháp phòng chống tấn công APT đầu tiên của Việt Nam.

Được cập nhập cơ sở dữ liệu từ hệ thống Cloud trên nền tảng Malware Graph – thuật toán đánh giá những mối nguy hại hiện hữu và tiềm ẩn giúp giám sát tất cả các chiến dịch, tài nguyên mạng trên toàn thế giới để đánh điểm và trích xuất dữ liệu cho toàn bộ hệ sinh thái sản phẩm của CyRadar, từ đó cung cấp nền tảng nhằm thu thập thông tin tình báo an ninh mở giúp kiểm soát các cuộc tấn công APT hiệu quả.

“Tấn công APT vốn là một sản phấm “may đo” vậy nên kế hoạch đối phó với chúng cũng phải linh hoạt và biến chuyển phù hợp với nguồn gốc lây lan mối nguy hại, môi trường phát tán và quy mô hệ thống CNTT, tuy nhiên trên đây là những gợi ý mang tính định hướng để giúp hệ thống máy tính của tổ chức, doanh nghiệp an toàn trước các cuộc tấn công APT dai dẳng, có chủ đích”, chuyên gia Nguyễn Minh Đức nói.

APT (Advanced Persistent Threat) là hình thức tấn công mạng có mục tiêu cụ thể do tin tặc sử dụng các công nghệ tiên tiến và kỹ thuật lừa đảo để đột nhập mạng mục tiêu và dai dẳng tập trung vào mục tiêu đó trong thời gian dài cho đến khi cuộc tấn công diễn ra thành công (hoặc bị chặn đứng). Các kỹ thuật tấn công phổ biến như: RFI, SQL injection, XSS, lừa đảo thường được hackers sử dụng để thiết lập một chỗ đứng trong mạng mục tiêu. Tiếp theo, mã độc thường được sử dụng để mở rộng phạm vi, duy trì sự hiện diện tại mạng sau đó khai thác và truy xuất dữ liệu cho các mục đích xấu.

Hậu quả của các cuộc tấn công này là vô cùng nặng nề: tài sản trí tuệ bị đánh cắp (bí mật thương mại hoặc bằng sáng chế…); thông tin nhạy cảm bị xâm nhập (dữ liệu cá nhân, hồ sơ nhân viên…); cơ sở hạ tầng quan trọng của tổ chức bị phá hủy (cơ sở dữ liệu, máy chủ quản trị…) hay toàn bộ tên miền của tổ chức bị chiếm đoạt.

 (Nguồn: ictnews.vn)

 

Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây