Đã một năm trôi qua kể từ khi cuộc tấn công nhằm vào chuỗi cung ứng phần mềm SolarWinds được công bố, các chuyên gia an ninh mạng vẫn đang cố gắng giải mã loại tấn công này. Tin tặc đã tiến hành các chiến dịch một cách âm thầm và chỉ bị phát hiện khi một trong những công ty bị ảnh hưởng như FireEye có khả năng để theo dõi và phát hiện các cuộc xâm nhập.
Qua đó, các tổ chức và doanh nghiệp cần tự xem xét hiện trạng trong những tình huống này, liệu doanh nghiệp có đủ công cụ và nguồn lực để nhận biết khi một cuộc tấn công như vậy có xảy ra hay không. Theo Microsoft, các tin tặc có khả năng giả mạo SAML (Security Assertion Markup Language) token để mạo danh bất kỳ người dùng và tài khoản hiện có nào của tổ chức, bao gồm cả các tài khoản có đặc quyền cao. Điều này buộc tất cả các tổ chức phải xem xét kỹ càng nguồn gốc của các phần mềm đã cài đặt và tự đặt ra câu hỏi liệu rằng có thể tin tưởng các nhà cung cấp phần mềm và các quy trình bảo mật của họ hay không.
Do đó, các tổ chức, doanh nghiệp cần kiểm tra và xem xét quy trình bảo mật của nhà cung cấp phần mềm bên thứ ba; Tìm kiếm các hành vi bất thường, đặc biệt là việc sử dụng các tài khoản có đặc quyền cao; Kiểm tra lại khi các liên kết mới được tạo hoặc thêm thông tin xác thực vào các tiến trình có thể thực hiện các hành động như mail. read hoặc mail.readwrite; Nên chủ động thực hiện chặn các IP, tên miền độc hại đã được công bố trên tường lửa của doanh nghiệp.
Tháng 3/2021, cuộc tấn công Exchange Server gây ra nhiều sự gián đoạn. Các máy chủ Exchange được cài đặt ở mạng nội bộ đã bị tấn công trực tiếp bằng cách khai thác một lỗ hổng zero-day. Microsoft ban đầu thông báo rằng các cuộc tấn công hướng đến một số mục tiêu cụ thể, nhưng những dấu hiệu sau đó cho thấy cuộc tấn công đã lan rộng hơn nhiều. Microsoft cũng nhận thấy rằng nhiều máy chủ email đã rất chậm trễ trong việc cập nhật bản vá khiến cho việc cập nhật nhanh chóng trở nên vô cùng khó khăn. Microsoft đã phải cung cấp bản vá cho các nền tảng cũ hơn để giữ an toàn cho người dùng.
Người dùng cần đảm bảo rằng mọi máy chủ cũ đều được bảo vệ, đặc biệt là đối với máy chủ Exchange tại chỗ, do chúng thường được nhắm mục tiêu hơn và đảm bảo rằng các nguồn lực thích hợp được chỉ định để vá các hệ thống cũ. Email là một điểm quan trọng để xâm nhập các hệ thống mạng, với những rủi ro mà các cuộc tấn công lừa đảo qua email đem lại cũng như thực tế là những kẻ tấn công hiểu được sự khó khăn trong việc vá lỗi cho các máy chủ này.
Ngoài ra, không nên tin tưởng hoàn toàn vào các bản đánh giá mối đe dọa và rủi ro mà các hãng cung cấp. Ban đầu, Microsoft chỉ ra rằng các cuộc tấn công này có giới hạn và có mục tiêu cụ thể, nhưng thực tế các cuộc tấn công đã diễn ra trên diện rộng và thậm chí ảnh hưởng đến cả những công ty nhỏ.
Vào tháng 7/2021, Microsoft đã phát hành một bản cập nhật cho lỗ hổng có tên PrintNightmare. Đối với các quản trị viên mạng, lỗ hổng này đã biến thành “cơn ác mộng quản lý in ấn”. Phần mềm bộ đệm in (print spooler software) là mã nguồn cũ từ Windows NT. Do tình hình dịch bệnh diễn biến phức tạp, người dùng có xu hướng chuyển dịch từ in trực tiếp sang các quy trình in từ xa, ngay cả máy in PDF cũng dựa vào bộ đệm in để triển khai và in PDF.
Hiện tại, các bản vá khác nhau liên quan đến bộ đệm in vẫn đang được theo dõi và xử lý. Bản vá cho một số lỗi liên quan đến thao tác in đã được bao gồm trong bản cập nhật cuối tháng 12/2021 của Microsoft. Bản vá khắc phục sự cố xảy ra khi máy tính Windows có thể gặp các lỗi sau khi kết nối với máy in từ xa được chia sẻ trên một máy chủ in Windows:
0x000006e4 (RPC_S_CANNOT_SUPPORT)
0x0000007c (ERROR_INVALID_LEVEL)
0x00000709 (ERROR_INVALID_PRINTER_NAME)
Một số quản trị viên cho biết họ chọn phương án không cài đặt bản vá để tránh một số rủi ro của bản cập nhật này.
Do vậy, ngay cả trong đại dịch, nhu cầu in ấn vẫn hiện hữu. Khi có bản cập nhật bao gồm vá lỗi cho dịch vụ bộ đệm in, người dùng cần phân bổ nguồn lực phù hợp để kiểm thử trước khi cập nhật. Sử dụng các tài nguyên của bên thứ ba như PatchManagement.org hay các forum Sysadmin để theo dõi và lên phương án khắc phục có thể thực hiện, thay vì để hệ thống không được bảo vệ. Dịch vụ bộ đệm in cần được vô hiệu hóa trên các máy chủ và máy trạm không có nhu cầu in ấn, chỉ bật dịch vụ này trên các thiết bị và máy chủ cần tới chức năng này.
Trong số các sự cố bảo mật mà chúng ta sẽ thấy vào năm 2022, mã độc tống tiền vẫn sẽ là một hiểm họa lớn. Hiện nó được tích hợp vào các chính sách bảo hiểm mạng và chính phủ Hoa Kỳ đã tổ chức các lực lượng đặc nhiệm để cung cấp nhiều biện pháp bảo vệ, thông tin và hướng dẫn hơn cho các doanh nghiệp đối mặt với rủi ro này.
Các cơ quan, tổ chức cần sử dụng tường lửa mạng và máy trạm để ngăn chặn giao tiếp gọi hàm từ xa (RPC) và khối thông điệp máy chủ (SMB). Điều này sẽ giúp hạn chế lây nhiễm ngang hàng cũng như các hoạt động tấn công khác. Cùng với đó, người dùng cần bật các tính năng bảo vệ chống phá hoại để ngăn những kẻ tấn công dừng các dịch vụ bảo mật. Sau đó, thực thi chính sách mật khẩu mạnh, ngẫu nhiên cho các tài khoản quản trị viên. Giải pháp Local Administrator Password Solution (LAPS) được khuyến nghị sử dụng để đảm bảo mật khẩu sử dụng là ngẫu nhiên.
Đồng thời, cần giám sát việc xóa nhật ký sự kiện. Cụ thể, Windows tạo ra sự kiện bảo mật ID 1102 khi điều này xảy ra. Cùng với đó, người dùng cần đảm bảo các tài nguyên cho phép kết nối từ Internet nhận được các cập nhật bảo mật mới nhất. Cuối cùng, xác định nơi các tài khoản có đặc quyền cao đang đăng nhập và có khả năng để lộ thông tin. Theo dõi và điều tra thuộc tính loại đăng nhập của các sự kiện đăng nhập (sự kiện có ID 4624). Các tài khoản có đặc quyền cao không được xuất hiện trên các máy trạm.
Minh Nguyệt
09:00 | 01/04/2021
11:00 | 07/05/2021
09:00 | 17/03/2022
14:00 | 20/03/2023
Phần I bài báo đã giới thiệu quá trình hình thành chính sách tách rời công nghệ của Hoa Kỳ với Trung Quốc và cách tiếp cận của Hoa Kỳ đối với việc tách rời công nghệ Trung Quốc. Trong phần II bài báo sẽ giới thiệu tới quý bạn đọc các biện pháp tách rời dưới thời tổng thống Joe Biden và tác động từ việc tách rời công nghệ Hoa Kỳ khỏi Trung Quốc.
10:00 | 23/02/2023
Trong những năm gần đây, tình hình mất an toàn thông tin trên mạng công nghệ thông tin ngày càng trở nên căng thẳng và diễn biến phức tạp trên toàn thế giới. Các cuộc tấn công vào hệ thống mạng công nghệ thông tin diễn ra không ngừng tăng nhanh cả về số lượng, cường độ và độ phức tạp. Các nhóm tội phạm mạng gia tăng với sự hỗ trợ của các tổ chức kinh tế, chính trị,... nguy cơ chiến tranh mạng đã hiện hữu. Điều này đã đặt ra yêu cầu cấp thiết về sự quan tâm đúng mức đối với các giải pháp nhằm đảm bảo an toàn thông tin trên hệ thống mạng công nghệ thông tin.
14:00 | 20/02/2023
Năm 2022 đã qua đi, một mùa xuân mới đang về trên mọi miền Tổ quốc. Một năm cũ với nhiều khó khăn thách thức và nhiều biến động trong mọi lĩnh vực của đời sống trong đó có lĩnh vực bảo mật và an toàn thông tin. Tình hình tội phạm mạng ngày càng gia tăng về số lượng cũng như cách thức, vấn nạn lừa đảo trực tuyến, lộ lọt thông tin cá nhân… trở nên nhức nhối hơn bao giờ hết. Trong bối cảnh đó, Việt Nam đã ban hành những chính sách, hành động quyết liệt, thu được nhiều kết quả nổi bật trong lĩnh vực bảo mật và an toàn thông tin. Bản tin video số đặc biệt chào xuân 2023 sẽ giới thiệu đến Quý độc giả 10 sự kiện an toàn, an ninh mạng Việt Nam nổi bật trong năm qua, dựa trên bình chọn, đánh giá của Tạp chí An toàn thông tin.
07:00 | 07/06/2022
Ngày 1/5, Tổng thống Nga đã ký Sắc lệnh số 250 “Về các biện pháp bổ sung để đảm bảo an ninh thông tin của Liên bang Nga”. Đáng lưu ý, sắc lệnh này có hiệu lực từ ngày công bố, có nghĩa là ngay lập tức các yêu cầu được đặt ra trong pháp lệnh cần phải được tuân thủ.
16:00 | 09/11/2022 | Tin tức sản phẩm
08:00 | 07/11/2022 | GP ATM
10:00 | 19/09/2022|An toàn thông tin
15:00 | 16/09/2022|Tin tức sản phẩm
