Các cuộc tấn công ngang hàng (Lateral attack)

Kiểu tấn công phức tạp này được nhắc đến khá nhiều vào năm 2020 với điển hình là tấn công Sunburst. Nó liên quan đến tính năng di chuyển ngang mà không bị phát hiện trên đám mây. Để thực hiện được kiểu tấn công này đòi hỏi phải có nhiều kiến thức và kỹ thuật, vì kẻ tấn công thường xâm nhập sâu vào hệ thống để đánh cắp dữ liệu nhạy cảm và những tài sản có giá trị cao.

Thông thường, với các cuộc tấn công ngang hàng thì đầu tiên kẻ tấn công sẽ chiếm quyền truy nhập vào các cặp khóa và thiết lập thông tin xác thực tạm thời bằng các lệnh riêng biệt. Sau đó, chúng sẽ thực hiện các cuộc tấn công chiếm các đặc quyền truy nhập cấp thấp vào tài khoản rồi tiến hành tìm kiếm những hoạt động di chuyển ngang, để thực hiện các lệnh tương tự khi di chuyển trong toàn hệ thống với mục đích nâng cao các đặc quyền và vai trò chức năng của mình. kẻ tấn công sẽ lặp lại điều này cho đến khi có được quyền truy xuất các cơ sở dữ liệu và thông tin khác.

Để giảm tính khả thi của những kiểu tấn công này thì điều quan trọng là phải hạn chế các quyền đối với những vai trò và nội dung của người dùng, chỉ cho phép những hoạt động cần thiết. Điều này giúp giảm rủi ro trong vấn đề có thể leo thang các đặc quyền của tin tặc. Ngoài ra, nên tạo các cảnh báo về những hành vi bất thường để thể cho thực hiện hành động nhanh hơn và có thể sự dụng tính tự động hóa để ngăn chặn tấn công.

Những cuộc tấn công cài cắm mã độc

Các cuộc tấn công như chèn SQL, cài lệnh và cài cắm mã độc vào hệ điều hành vẫn là những rủi ro cho các tổ chức, cho dù các môi trường dịch vụ là truyền thống hay hiện đại. Thách thức của việc ngăn chặn các cuộc tấn công cài cắm mã độc ngày càng gia tăng do những vùng chứa phức tạp và các chức năng mô hình thực thi điện toán đám mây trong đó nhà cung cấp đám mây tự động quản lý việc phân bổ và cung cấp máy chủ (serverless) được bổ sung vào một môi trường.

Phương pháp của các cuộc tấn công thường như nhau, đều là một ứng dụng xử lý dữ liệu đầu vào từ một nguồn không đáng tin cậy. Tuy nhiên, với các dịch vụ nhỏ, tách biệt (microservices), đầu vào được kích hoạt thông qua nhiều sự kiện và đây là một thách thức cho quản lý thủ công. Điều này có nghĩa là người dùng không được chỉ dựa vào các biện pháp kiểm soát bảo mật và lớp ứng dụng nguyên khối, mà phải đảm bảo mã được an toàn và không dễ bị tấn công cài cắm mã độc (injection).

Với những lỗ hổng dễ bị tấn công đã được công khai, tin tặc có thể dễ dàng lợi dụng chúng để khai thác hệ thống của nạn nhân. Ví dụ, bằng cách truy nhập vào hệ thống máy tính của nạn nhân, tin tặc có thể thao túng mã hàm bằng cách sử dụng injection để thực hiện tấn công. Để giảm thiểu kiểu tấn công này, ít nhất phải có những đặc quyền đối với mã để đảm bảo không ai có thể thực hiện hoặc truy nhập ngoài phạm vi cho phép. Điều quan trọng nữa là tiến hành quét mã tự động để xác định các lỗ hổng trong bất kỳ vùng chứa hoặc thư viện nào mà người dùng sử dụng.

Phá vỡ xác thực

Với các dịch vụ nhỏ, tách biệt, người dùng sẽ có hàng trăm chức năng khác nhau chạy riêng biệt, mỗi chức năng có mục đích riêng và được kích hoạt từ các sự kiện khác nhau. Mỗi chức này này yêu cầu giao thức xác thực riêng nên dễ xảy ra lỗi.

Những kẻ tấn công sẽ tìm kiếm những tài nguyên bị quên lãng, mã dư thừa hay mở các API có những lỗ hổng bảo mật đã biết để chiếm quyền truy nhập vào môi trường. Điều này cho phép chúng chiếm quyền truy nhập vào trang web có nội dung hoặc tính năng nhạy cảm mà không cần xác thực hợp lệ.

Mặc dù nhà cung cấp dịch vụ sẽ xử lý phần lớn quy trình quản lý và khôi phục mật khẩu, nhưng các khách hàng phải đảm bảo rằng những tài nguyên của họ phải được cấu hình đúng cách. Tuy nhiên, mọi thứ trở nên phức tạp hơn khi tính năng không được kích hoạt từ yêu cầu của người dùng cuối mà lại là từ quy trình ứng dụng theo cách bỏ qua lược đồ xác thực.

Để xử lý vấn đề này, điều quan trọng là phải theo dõi liên tục ứng dụng của người dùng, bao gồm cả luồng ứng dụng để xác định những sự kích hoạt ứng dụng. Từ đó, người dùng sẽ muốn tạo và phân loại các cảnh báo khi những tài nguyên không có các quyền thích hợp, có các quyền dư thừa hoặc hành vi kích hoạt bất thường hay không tuân thủ.

Cấu hình bảo mật sai

Trong các ứng dụng truyền thống, lỗi cấu hình bảo mật (misconfiguration) có thể xảy ra ở mọi cấp độ: mạng, máy chủ web, các máy chủ ứng dụng, vùng chứa… Đối với đám mây, bộ nhớ và cơ sở dữ liệu được mã hóa theo mặc định. Tuy nhiên, để tăng cường bảo mật, các khách hàng có thể cung cấp các khóa mã hóa riêng hoặc tạo sự phân chia trong kiến trúc nhiều người thuê.

Để giảm thiểu điều này, hãy đảm bảo tận dụng các dịch vụ tích hợp sẵn từ nhà cung cấp đám mây cũng như các dịch vụ bên thứ ba để quét các tài khoản đám mây, nhằm xác định những tài nguyên công cộng. Cần kiểm tra  các tài nguyên này và xác minh chúng đã được kiểm soát truy nhập và tuân thủ những hướng dẫn thực hiện tối ưu. Ngoài ra cũng cần tạo các cảnh báo và thiết lập các cách để giám sát liên tục môi trường đám mây để nếu phát hiện hành vi bất thường hoặc sai cấu hình thì vấn đề có thể nhanh chóng được giải quyết. Đối với microservices, hãy tìm các trình kích hoạt không liên kết và các tài nguyên không kết nối tới các chức năng, đảm bảo cũng thiết lập thời gian chờ ở mức thấp nhất theo yêu cầu của tính năng và luôn luôn tuân thủ cấu hình tối ưu nhất.

Những lỗ hổng của bên thứ ba

Với việc thực thi microservices đang ngày một tăng cao, các nhà phát triển có nhiều quyền kiểm soát hơn đối với cơ sở hạ tầng đám mây, do đó phải chịu thêm nhiều trách nhiệm liên quan tới bảo mật.

Các ứng dụng và chức năng trên đám mây có thể được khởi chạy chỉ bằng một cú nhấp chuột, điều này thường có nghĩa là mã và các API đang được sao chép. Nếu tiềm ẩn lỗ hổng bên trong, các quyền chính hay dự phòng được xây dựng trong các kho mã có thể dễ dàng được tích hợp vào môi trường ứng dụng đám mây.

Tuy nhiên, nó không dễ dàng như thiết lập một cổng an ninh hay kiểm tra QA. Điều đó sẽ chỉ làm chậm lại sự phát triển và mất đi tính linh hoạt của đám mây. Đây là nơi mà tích hợp hệ thống và tự động hóa đóng một vai trò quan trọng. Các nhóm bảo mật cần phải sớm thiết lập các giải pháp tự động vào CI/CD. Họ phải đảm bảo các chuẩn tốt nhất và các biện pháp tuân thủ được tích hợp vào tài nguyên trước khi triển khai.

Hệ thống cũng phải đảm bảo rằng mã được quét lỗ hổng trước khi khởi chạy. Sau đó, trong thời gian chạy, điều quan trọng là phải liên tục quét môi trường theo thời gian thực để nhanh chóng xác định các lỗ hổng bất cứ khi nào có thể và tự động khắc phục vấn đề.

Kết luận

Theo 451 Research, 90% khối lượng công việc ngày nay diễn ra trên đám mây và những cách thức triển khai cơ sở hạ tầng đám mây sẽ tiếp tục được phát triển và mở rộng. Điều quan trọng là các nhóm bảo mật phải hiểu được bối cảnh mối đe dọa sẽ phát triển như thế nào với các mô hình triển khai mới xuất hiện và các bề mặt tấn công đang thay đổi. Cùng với đó, cần phải tích hợp các nhóm chức năng chéo của mình để tối ưu hóa các quy trình và công cụ bảo mật. Điều này sẽ đảm bảo bảo mật không ngừng phát triển và tiến trình phát triển đó không gây nguy hiểm cho an ninh mạng.