Ngày nay, AD vẫn được nhiều TC/DN sử dụng để quản lý quyền và truy cập mạng. Vì AD là trung tâm để cấp quyền cho người dùng, quyền truy cập và ứng dụng trong toàn tổ chức nên cũng chính là mục tiêu của các tin tặc. Theo các chuyên gia bảo mật tới từ công ty an ninh mạng Mandiant (Hoa Kỳ) ước tính rằng, trong khoảng 90% cuộc tấn công mạng mà họ phân tích thì đều có sự ảnh hưởng của AD.
Nếu tin tặc có thể dành quyền truy cập vào hệ thống AD, chúng có thể truy cập vào tất cả các tài khoản người dùng được kết nối, cơ sở dữ liệu, ứng dụng và tất cả kiểu dữ liệu thông tin, có thể gây nguy hiểm an ninh cho cả một rừng (forest) AD. Do đó, một thỏa hiệp bảo mật, đặc biệt là những lỗi không được phát hiện sớm, có thể dẫn đến nguy cơ rò rỉ dữ liệu và những mối đe dọa khác.
Có thể nhận thấy, việc bảo vệ AD là nhiệm vụ hết sức quan trọng mà các TC/DN cần phải lưu ý. Vì vậy, danh sách các hành động sau đây sẽ giúp các TC/DN có thể áp dụng để bảo vệ AD trước các cuộc tấn công mạng tiềm ẩn.
Đối với các TC/DN, dù lớn hay nhỏ thì việc thực hiện tạo, cấp quyền sử dụng tài khoản người dùng và thêm họ vào các nhóm công việc đều rất dễ thực hiện. Tuy nhiên về vấn đề xóa những tài khoản không sử dụng đến nữa thì lại là một câu chuyện khác. Các TC/ DN cần có một quy trình để phát hiện người dùng và tài khoản máy tính không hoạt động trong AD.
Theo đánh giá của Trung tâm An ninh Internet - CIS (Center for Internet Security), có nhiều cách để có được quyền truy cập vào tài khoản người dùng, bao gồm: mật khẩu yếu, tài khoản vẫn còn hiệu lực sau khi người dùng rời khỏi doanh nghiệp, tài khoản thử nghiệm không hoạt động hoặc tồn tại.
Với các tiện ích như PowerShell, các TC/DN có thể dễ dàng nhận dạng, xóa bỏ các tài khoản và thông tin không còn sử dụng. Việc thường xuyên kiểm tra những nhóm tài khoản có quyền ưu tiên sẽ rất hữu ích cho việc quản lý quyền truy cập quản trị được chặt chẽ và đảm bảo an toàn hơn. Với sự xuất hiện của hình thức tấn công Kerberoasting, việc thường xuyên cập nhật tài khoản dịch vụ bằng mật khẩu ngẫu nhiên đủ mạnh cũng sẽ giúp giảm thiểu nguy cơ tin tặc tiếp cận đến môi trường AD.
Forest Trust AD áp dụng cho các tên miền trong toàn bộ khu rừng và có thể là một chiều, hai chiều hoặc bắc cầu. Một Forest Trust kết nối hai miền AD để cho phép người dùng của miền này xác thực các tài nguyên của miền khác, cung cấp một quá trình ủy thác và xác thực thống nhất, liền mạch. Việc đảm bảo màng lọc SID (Security Identifier) luôn hoạt động trong mọi mối liên hệ giữa các miền AD sẽ ngăn cho nhóm đặc quyền không bị mạo danh. Với lọc SID, Domain Controller (DC) trong miền tin cậy (domain trust) sẽ xóa tất cả các SID không phải là thành viên của những miền này. Có nghĩa rằng, nếu người dùng trong miền tin cậy là thành viên của các nhóm miền khác trong rừng, miền tin cậy sẽ xóa SID của các nhóm đó khỏi mã thông báo truy cập của người dùng.
Việc bật xác thực có chọn lọc sẽ cung cấp một lớp bảo mật khác, bằng cách chỉ cho phép người dùng trong một bộ phận hay một nhóm nhất định được sử dụng tài nguyên trên toàn bộ thông tin mà tổ chức tin tưởng.
Ngay cả khi các TC/DN sao lưu lại tất cả dữ liệu các máy chủ DC và miền của họ nhưng khi không sao lưu miền gốc, nếu gặp sự cố thì vẫn sẽ không thể khôi phục lại dữ liệu được. Hơn nữa, việc sao lưu hai hay nhiều DC trên mỗi miền sẽ đảm bảo rằng, luôn có nhiều hơn một phiên bản mà TC/DN có thể dùng để khôi phục toàn bộ miền trong trường hợp DC gặp sự cố và không khả dụng. Khi tiến hành sao lưu, điều quan trọng nên sử dụng các phương pháp sao lưu có hỗ trợ và đảm bảo các bản sao lưu không có mã độc hại. Điều cuối cùng nên làm đó là giữ các bản sao lưu ngoại tuyến.
Sao lưu sẽ không hiệu quả nếu như TC/DN không thể (hoặc không biết cách) khôi phục chúng. Theo một nghiên cứu gần đây của công ty cung cấp giải pháp bảo mật Semperis (Hoa Kỳ), hơn 50% các TC/DN không có kế hoạch khôi phục sau thảm họa AD hoặc chưa từng thử nghiệm kế hoạch này. Nếu không có đánh giá thường xuyên, các quy trình khôi phục có thể có thông tin chưa được cập nhật về cấu trúc liên kết AD, điều này có thể gây khó khăn và cản trở thời gian khôi phục trong trường hợp gặp sự cố.
Mỗi khu rừng AD đều có một tài khoản KRBTGT (hoạt động như một tài khoản dịch vụ cho Trung tâm phân phối khóa - KDC) được liên kết để mã hóa và cho phép tất cả các vé Kerberos phân phối trong miền.
Khi người dùng xác thực với một miền, họ sẽ được cấp một “vé chấp thuận” - Ticket Granting Ticket (TGT) cho phép yêu cầu một vé dịch vụ từ KDC để truy cập vào dịch vụ (ví dụ như máy chủ tập tin). TGT hoạt động như bằng chứng nhận dạng khi một người dùng đăng nhập, nó sẽ cung cấp thông tin về người đó và nhóm của họ, cho phép người dùng lấy quyền truy cập vào các dịch vụ khác trong mạng. Mặc dù các TGT chỉ có hiệu lực trong một khoảng thời gian nhất định, nhưng nếu như tin tặc lấy được quyền kiểm soát tài khoản KRBTGT, chúng có thể tạo các vé TGT giả mạo để có thể truy cập vào mọi tài nguyên chúng mong muốn, còn được biết đến là tấn công Golden Ticket. Để ngăn chặn tấn công này, nên thiết lập lại mật khẩu của tài khoản KRBTGT của mỗi miền trong vòng từ 6 đến 12 tháng.
Chuyên gia trong lĩnh vực quản lý định danh và truy cập của Microsoft - Jorge de Almeida Pinto đã tạo ra một tập lệnh cài lại mật khẩu KRBTGT được công khai trên GitHub và liên tục được cập nhật sẽ giúp cho các TC/DN thiết lập lại mật khẩu tài khoản KRBTGT và các khóa liên quan, đồng thời giảm thiểu khả năng xảy ra sự cố xác thực Kerberos do hoạt động này gây ra.
Một trong những dấu hiệu nổi bật của các cuộc tấn công mạng ngày nay là sự di chuyển ngang trong mạng. Các tin tặc chỉ cần xâm nhập một hệ thống và lúc này sẽ có quyền quản trị cục bộ trên mọi máy tính tham gia miền. Sau đó, họ có thể sử dụng tài khoản này để chuyển sang một hệ thống khác với mục tiêu tìm kiếm những thông tin có giá trị.
Việc triển khai giải pháp mật khẩu quản trị cục bộ (Local Administrator Password Solution - LAPS) của Microsoft với mục đích ngăn chặn việc truy cập từ máy trạm này sang máy trạm khác với cùng một mật khẩu quản trị viên, bằng cách tạo một mật khẩu duy nhất, được tạo ngẫu nhiên cho mỗi tài khoản quản trị viên cục bộ trên từng máy trạm, ngăn chặn dùng chung một mật khẩu (Hình 1).
Hình 1. Cách thức LAPS hoạt động với AD
Các tính năng của LAPS được dựa trên Group Policy Client Side Extension (CSE) và một mô-đun nhỏ cài trên máy trạm. Mật khẩu ngẫu nhiên sẽ thay đổi tự động thường xuyên trong khoảng thời gian nhất định (mặc định 30 ngày sẽ thay đổi), được lưu trữ trong AD và giới hạn truy cập chỉ dành cho những người dùng có đặc quyền qua cơ chế kiểm soát ACL (Access Control List).
Đồng thời, vì LAPS được xây dựng dựa trên cơ sở hạ tầng AD nên không cần cài đặt thêm máy chủ, giải pháp thực hiện tất cả các tác vụ quản lý bằng cách sử dụng CSE. Đây là một công cụ hiệu quả mà các TC/DN có thể lưu ý để áp dụng.
Các thành viên trong các nhóm đặc quyền sẽ có rất nhiều thao tác trong miền AD. Họ có thể có quyền truy cập toàn bộ miền, hệ thống, tất cả dữ liệu… và gần như được phép thực hiện bất kỳ hành động nào trong AD. Trong TC/DN, cũng chỉ nên có một số ít quản trị viên miền chịu trách nhiệm cho việc quản lý dịch vụ của AD.
Hiện nay, việc bẻ khóa thông tin đăng nhập của người dùng đã trở nên dễ dàng hơn với tin tặc, các nhóm đặc quyền cũng vì thế là những gì tin tặc thường cố gắng tìm kiếm. Vì vậy, cần chú ý cẩn thận và giảm thiểu những thành viên, tài khoản người dùng thông thường trong các nhóm đặc quyền, ví dụ như nhóm Domain Admins (Hình 2).
Hình 2. Chỉ nên để tài khoản quản trị viên theo mặc định trong nhóm DA
Các tổ chức cần xem xét quyền truy cập đặc quyền với nhóm quản trị CNTT, thực hiện nguyên tắc đặc quyền tối thiểu và đưa ra danh sách chọn lọc những người dùng với các trường hợp sử dụng nên ở trong nhóm này. Bởi vì hầu hết các cuộc tấn công nâng cao dựa vào việc khai thác thông tin xác thực đặc quyền, việc cung cấp cho người dùng mức độ truy cập tối thiểu có thể làm giảm đáng kể bề mặt tấn công mạng.
Một khi đã giảm thiểu số tài khoản quản trị, điều cần làm tiếp theo là sử dụng các tài khoản quản trị được đặt tên riêng biệt. Điều này giúp đảm bảo mọi thứ hiển thị trong nhật ký kiểm tra sẽ được gửi đến một người dùng cụ thể, thay vì một tài khoản có thể bao gồm nhiều người dùng. Triển khai mô hình quản trị phân tầng là một cách khác để ngăn chặn sự lạm dụng đặc quyền bằng việc hạn chế những gì quản trị viên có thể kiểm soát và nơi họ có thể đăng nhập, ví dụ quản trị miền cấp 0 sẽ chỉ có quyền đăng nhập vào máy trạm cấp 0.
Với sự phổ biến gia tăng của các ứng dụng đám mây, điều quan trọng là phải hiểu rõ cơ sở hạ tầng cơ bản để hỗ trợ môi trường AD. Có thể nói rằng, phần lớn các TC/ DN đều có các hoạt động trên đám mây và do đó, AD sẽ được triển khai trên ít nhất một số hệ thống DC ảo. Quản trị viên Hypervisor có khả năng tắt, xóa, thay đổi hoặc can thiệp vào các DC đó, như vậy đồng nghĩa là các TC/DN cần phải chú ý tới những ai có quyền quản trị này.
Bảo vệ DC chính là yếu tố then chốt trong việc bảo vệ môi trường AD. Nếu DC không được bảo vệ an toàn, tin tặc sẽ có thể nắm bắt được những thông tin có giá trị để sử dụng cho các mục tiêu tấn công khác nhau.
Để kiểm soát DC được hiệu quả, có hai khía cạnh mà các TC/DN cần quan tâm, đó là bảo vệ cấp độ vật lý và bảo vệ cấp độ truy cập mạng. Cần phải đảm bảo rằng không có người lạ nào có thể truy cập vật lý trực tiếp vào hệ thống máy chủ DC. Nên giữ DC ở một địa điểm an toàn và có các lớp bảo mật vòng ngoài như sinh trắc học hoặc mật khẩu,… Đây là cách đơn giản để bảo vệ an toàn DC cũng như môi trường AD.
Bên cạnh đó, việc cung cấp các đặc quyền quản trị cho những cán bộ, kỹ thuật viên CNTT và quyền truy cập người dùng vào tài nguyên của AD cũng cần phải được cân nhắc kỹ càng, vì nó ảnh hưởng rất lớn đến dữ liệu của các TC/DN. Hơn nữa, thường xuyên sao lưu DC (như đã giới thiệu trước đó) cũng là những giải pháp cần thiết để tăng cường bảo vệ DC được an toàn.
Có nhiều sự kiện và đối tượng khác nhau có thể chỉ ra sự xâm phạm, đó là lý do tại sao các TC/DN nên liên tục theo dõi AD, đây chính là chìa khóa để có thể ngăn chặn vi phạm xảy ra hoặc ngăn chặn các cuộc tấn công ở giai đoạn đầu. Hành vi bất thường cho thấy một cuộc tấn công tiềm ẩn hoặc đang diễn ra. Một cách tiếp cận chủ động để phát hiện bất kỳ hành vi bất thường nào trên mạng, hoặc sự xâm nhập có thể giúp các TC/ DN tránh khỏi những tổn thất lớn.
Hiệu quả nhất là nên triển khai hệ thống quản lí sự kiện và thông tin bảo mật với phân tích hành vi của người dùng để tổng hợp, theo dõi hoạt động trên toàn bộ cơ sở hạ tầng CNTT của họ (ví dụ những thay đổi với các nhóm đặc quyền, vấn đề liên quan đến quản lý tài khoản, quyền truy cập đối tượng…). Hiện nay có một số công cụ phân tích nhật ký phổ biến như: ELK Stack, Splunk, Windows Event Forwarding, ManageEngine ADAudit Plus…
Một cách thức đơn giản là thiết lập chính sách kiểm tra thông qua Group Policy (Hình 3). Phương pháp này sẽ giúp giám sát tất cả các điểm được cấu hình, nhanh chóng phát hiện hoạt động đáng ngờ và tạo báo cáo để theo dõi các sự kiện.
Hình 3. Chính sách kiểm tra theo dõi sự kiện với Group Policy
Các cuộc tấn công đánh cắp thông tin xác thực hay tấn công mã độc là một số phương pháp giúp tin tặc có quyền truy cập vào các tài khoản đặc quyền vào một máy tính trên mạng. Các kỹ thuật này được sử dụng để truy cập vào các lỗ hổng trên hệ thống các TC/DN và AD là một trong những mục tiêu thường được các tin tặc chú ý đến bởi lượng thông tin dữ liệu lớn và có thể sử dụng vào những mục đích độc hại khác nhau. Do đó, để giảm bề mặt tấn công AD, bài báo đã cung cấp tới quý độc giả nội dung 11 bước trong nhiệm vụ bảo vệ dịch vụ AD, qua đó có thể giúp các TC/DN loại bỏ những điểm yếu cơ bản và từ đó xây dựng môi trường AD được an toàn hơn.
Nguyễn Ngọc Vĩnh Hảo
09:00 | 28/10/2021
10:00 | 13/01/2020
20:00 | 30/06/2021
09:00 | 01/04/2024
Trong thời đại số ngày nay, việc quản lý truy cập và chia sẻ thông tin cá nhân trên các thiết bị di động thông minh đã trở thành vấn đề đáng quan tâm đối với mọi người dùng. Việc không kiểm soát quyền truy cập và sự phổ biến của dữ liệu cá nhân có thể gây ra các rủi ro về quyền riêng tư và lạm dụng thông tin. Bài viết này sẽ giới thiệu đến độc giả về Safety Check - một tính năng mới trên iOS 16 cho phép người dùng quản lý, kiểm tra và cập nhật các quyền và thông tin được chia sẻ với người và ứng dụng khác ngay trên điện thoại của chính mình, giúp đảm bảo an toàn và bảo mật khi sử dụng ứng dụng và truy cập dữ liệu cá nhân.
18:00 | 22/09/2023
Do lưu giữ những thông tin quan trọng nên cơ sở dữ liệu thường nằm trong tầm ngắm của nhiều tin tặc. Ngày nay, các cuộc tấn công liên quan đến cơ sở dữ liệu để đánh cắp hay sửa đổi thông tin càng trở nên khó lường và tinh vi hơn, vì vậy việc quản lý cơ sở dữ liệu đặt ra những yêu cầu mới với các tổ chức, doanh nghiệp. Trong hệ thống phân tán, khi dữ liệu được phân mảnh và phân phối trên các vị trí khác nhau có thể dẫn đến khả năng mất toàn vẹn của dữ liệu. Thông qua sử dụng cây Merkle và công nghệ Blockchain ta có thể xác minh tính toàn vẹn của dữ liệu. Trong bài viết này, nhóm tác giả sẽ trình bày các nghiên cứu về ứng dụng cây Merkle và công nghệ Blockchain để bảo đảm tính toàn vẹn dữ liệu cho cơ sở dữ liệu phân tán, đồng thời đảm bảo hiệu năng của hệ thống.
09:00 | 05/06/2023
Tấn công tiêm lỗi (Fault Injection Attack - FIA) là loại tấn công chủ động, giúp tin tặc xâm nhập vào các thiết bị điện tử, mạch tích hợp cũng như các thiết bị mật mã nhằm thu được khóa bí mật và đánh cắp thông tin. Tiêm lỗi có thể được thực hiện trong cả phần cứng và phần mềm. Bài báo này nhóm tác giả sẽ trình bày về các kỹ thuật, công cụ được thực hiện trong FIA.
11:00 | 27/01/2023
Các tổ chức/doanh nghiệp nên thực hiện quản lý rủi ro trong suốt chu trình phát triển phần mềm thay vì quay trở về các xu hướng phát triển trước đó. Tần suất xuất hiện rủi ro sẽ tiếp tục tăng nhanh khi các tác động tiêu cực của các lỗi xuất hiện trong chu trình phát triển phần mềm ngày càng nghiêm trọng. Các phương pháp và cách thực hành trước đây về thực hiện quản trị, rủi ro và tuân thủ (GRC) đều xoay quanh các quy trình thủ công, sử dụng bảng tính hoặc nhận dạng hồi tố,… đã quá lỗi thời, không thể bắt kịp với sự phát triển nhanh chóng của công nghệ. Kết quả là, các doanh nghiệp đã đưa quản lý rủi ro vào thời đại kỹ thuật số, biến GRC thành quản lý rủi ro kỹ thuật số (DRM). Những DRM được áp dụng đó đưa ra các quyết định bảo mật tốt hơn, bảo vệ dữ liệu khách hàng và đảm bảo sự hài lòng của các bên liên quan. Việc thực hiện DRM cũng dẫn đến hiệu quả cao hơn thông qua tự động hóa.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024