Nhà cung cấp giải pháp bảo mật ExtraHop (trụ sở tại Mỹ) đã sử dụng các giải pháp phát hiện và phản hồi mạng (NDR) của họ để phân tích siêu dữ liệu ẩn danh từ một số lượng mạng khách hàng không xác định, nhằm hiểu rõ hơn về những mục tiêu có thể dễ bị tấn công nhắm vào các giao thức lỗi thời.
Nghiên cứu cho thấy, các tổ chức vẫn còn sử dụng giao thức Server Message Block phiên bản 1 (SMBv1), chứa lỗ hổng tràn bộ đệm có thể bị khai thác bởi công cụ EternalBlue của Cơ quan an ninh quốc gia Mỹ (NSA) phát triển và các công cụ tấn công liên quan.
Những công cụ này sau đó đã được tin tặc Triều Tiên sử dụng cho tấn công mã độc tống tiền WannaCry và tin tặc Nga sử dụng cho chiến dịch tấn công mã độc tống tiền NotPetya.
Đây không phải là giao thức không an toàn duy nhất mà các tổ chức vẫn sử dụng. ExtraHop phát hiện ra rằng, 81% tổ chức vẫn sử dụng giao thức xác thực đăng nhập HTTP dạng văn bản rõ và 34% tổ chức có ít nhất 10 máy khách sử dụng giao thức xác thực NTLMv1, có thể cho phép tin tặc thực hiện tấn công người đứng giữa (MITM) hoặc kiểm soát hoàn toàn một tên miền.
Báo cáo cũng cảnh báo rằng, 70% tổ chức cũng đang sử dụng giao thức phân giải tên luồng đa phát liên kết cục bộ (LLMNR), có thể bị lợi dụng để truy cập vào hàm băm của thông tin xác thực người dùng. Thông tin này có thể bị phá và sẽ để lộ lọt thông tin đăng nhập.
Ông Ted Driggs, trưởng bộ phận sản phẩm của ExtraHop cho rằng không phải lúc nào các tổ chức cũng dễ dàng nâng cấp lên các giao thức mới và an toàn hơn.
Ông Ted giải thích, nâng cấp SMBv1 và các giao thức lỗi thời khác có thể không phải là điều dễ thực hiện đối với các hệ thống cũ, ngay cả khi điều này có thể thực hiện, thì việc nâng cấp có thể gây ra sự cố gián đoạn. Nhiều tổ chức công nghệ thông tin và bảo mật sẽ lựa chọn việc tiếp tục sử dụng các giao thức lỗi thời thay vì chịu rủi ro gián đoạn hoạt động.
Ông cũng cho biết, các tổ chức cần kiểm kê chính xác và cập nhật về hành vi sử dụng tài sản công nghệ thông tin, để đánh giá được tình hình rủi ro liên quan đến các giao thức không an toàn. Chỉ khi đó, họ mới có thể quyết định cách khắc phục sự cố hoặc hạn chế phạm vi tiếp cận các hệ thống dễ bị tấn công trên mạng.
Đỗ Đoàn Kết
(theo Infosecurity)
14:00 | 29/06/2017
10:00 | 20/09/2017
08:12 | 15/06/2017
10:00 | 13/03/2024
Các nhà nghiên cứu của công ty bảo mật đám mây Zscaler (Hoa Kỳ) cho biết, kể từ tháng 12/2023 các tác nhân đe dọa đã tạo ra các trang web giả mạo phần mềm họp trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán Trojan truy cập từ xa (RAT), bao gồm SpyNote RAT cho nền tảng Android, NjRAT và DCRat trên Windows.
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
07:00 | 15/01/2024
Công ty bán dẫn toàn cầu Qualcomm của Mỹ tiết lộ một lỗ hổng nghiêm trọng mới cho phép các tác nhân đe dọa thực hiện tấn công từ xa thông qua các cuộc gọi thoại qua mạng LTE.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024
