Các mối đe dọa danh tính nhắm vào IdP đã nhanh chóng trở thành phương thức tấn công được nhiều tác nhân đe dọa lựa chọn. Sự xâm phạm gần đây của Okta không phải là lần đầu tiên các tác nhân đe dọa có được quyền truy cập vào thông tin quan trọng của khách hàng và cũng sẽ không phải là lần cuối cùng.
Khi IdP bị xâm phạm, hậu quả có thể rất nghiêm trọng. Việc truy cập trái phép vào tài khoản người dùng và thông tin nhạy cảm trở thành mối lo ngại đáng kể, dẫn đến khả năng vi phạm dữ liệu, tổn thất tài chính và hoạt động trái phép.
Các cuộc tấn công danh tính sử dụng kỹ nghệ xã hội để lấy mã xác thực 2 yếu tố (2FA) và chiếm quyền điều khiển phiên nhằm có được quyền truy cập đặc quyền. Việc đánh cắp thông tin xác thực của người dùng, chẳng hạn như tên người dùng và mật khẩu hoặc mã thông báo phiên, cho phép kẻ tấn công xâm nhập vào các hệ thống và dịch vụ khác, đồng thời cấp quyền truy cập vào các hệ thống và tài nguyên nhạy cảm.
Việc lộ, lọt thông tin cá nhân hoặc nhạy cảm có thể dẫn đến hành vi trộm cắp danh tính, tấn công lừa đảo và các hình thức tội phạm mạng khác. Vụ vi phạm gần đây đóng vai trò như một lời nhắc nhở rõ ràng về tầm quan trọng của các biện pháp bảo mật mạnh mẽ và giám sát liên tục để bảo vệ hệ thống nhà cung cấp danh tính và bảo vệ khỏi những tác động tiềm ẩn này.
Các biện pháp kiểm soát bảo mật truyền thống bị bỏ qua trong các cuộc tấn công như vậy, vì kẻ tấn công giả định danh tính của người dùng và hoạt động độc hại của họ không thể phân biệt được với hành vi thông thường.
Zero Trust Network Access (ZTNA) là một phần của truy cập không tin cậy tập trung vào việc kiểm soát quyền truy cập vào các ứng dụng. ZTNA mở rộng các nguyên tắc của ZTA để xác minh người dùng và thiết bị trước mỗi phiên ứng dụng để xác nhận rằng họ đáp ứng chính sách của tổ chức để truy cập ứng dụng đó
Kiến trúc này thay thế quyền truy cập dựa trên cấp độ mạng và giảm độ tin cậy ngầm quá mức đối với quyền truy cập vào tài nguyên, chủ yếu từ các địa điểm ở xa, của nhân viên, nhà thầu và các bên thứ ba khác.
Trong lần vi phạm này, người dùng đã vô tình tải một tệp có thông tin nhạy cảm lên hệ thống quản lý hỗ trợ của Okta. Kẻ tấn công đã lợi dụng phiên cookie từ thông tin được tải lên để tiếp tục vi phạm. ZTNA có thể có hiệu quả trong việc ngăn chặn người dùng vô tình tải lên các tệp có dữ liệu nhạy cảm.
Bằng cách sử dụng tính năng kiểm soát hành vi, các tổ chức chỉ có thể giới hạn quyền truy cập vào các ứng dụng trên các thiết bị được quản lý. Nếu kẻ tấn công cố gắng truy cập vào các ứng dụng hoặc máy chủ quan trọng từ các thiết bị không được quản lý, quyền truy cập sẽ bị cấm. Điều quan trọng là phải thể hiện quyền truy cập của thiết bị không được quản lý trở thành một phần bắt buộc của kiến trúc ZTNA.
Phạm vi tấn công có thể được giảm mức tối thiểu bằng cách thực thi các chính sách phân đoạn nghiêm ngặt. Quản trị viên nên xác định các chính sách để kết hợp các thuộc tính và dịch vụ của người dùng để thực thi ai có quyền truy cập vào nội dung gì. Điều quan trọng là xác định xem liệu có cần chính sách truy cập chung khi người dùng ở trong và ngoài hệ thống hay không.
Thông thường, sau khi những kẻ tấn công đã thiết lập được chỗ đứng trên mạng, chúng sẽ di chuyển ngang hàng trong hệ thống, xác định các hệ thống quan trọng để thực hiện các cuộc tấn công tiếp theo, bao gồm cả việc đánh cắp dữ liệu.
Nguyên tắc phòng thủ chiều sâu (DiD) đóng vai trò rất quan trọng trong việc phá vỡ chuỗi tấn công. Phương pháp bảo mật theo lớp thực thi khả năng phòng thủ mạnh mẽ trước các cuộc tấn công phức tạp, sao cho nếu một lớp không phát hiện được bước tiến của tác nhân đe dọa trong chuỗi tấn công thì lớp tiếp theo vẫn có thể phát hiện hành vi bất thường và từ đó vô hiệu hóa chúng.
Deception cũng như Phát hiện và ứng phó với mối đe dọa danh tính (ITDR) là hai công cụ bổ sung có thể giúp các tổ chức có thể phát hiện và ngăn chặn các cuộc tấn công dựa trên danh tính.
Công nghệ Deception
Deception một loại giải pháp an ninh mạng giúp phát hiện sớm các mối đe dọa với tỷ lệ dương tính giả thấp. Công nghệ này triển khai các mồi nhử thực tế (ví dụ: tên miền, cơ sở dữ liệu, thư mục, máy chủ, ứng dụng, tệp, thông tin xác thực, đường dẫn) trong mạng cùng với các tài sản thực để hoạt động như mồi nhử.
Ngay khi kẻ tấn công tương tác với mồi nhử, công nghệ này sẽ bắt đầu thu thập thông tin mà nó sử dụng để tạo ra các cảnh báo có độ chính xác cao giúp giảm thời gian dừng và tăng tốc độ phản hồi sự cố.
Công nghệ Deception hiện đại sử dụng các kỹ thuật phòng thủ tích cực để có thể thiết lập hệ thống mạng của các tổ chức trở thành môi trường khó khăn đối với những kẻ tấn công.
Các nền tảng Deception ngày nay tuân theo mô hình phát hiện dương tính giả chủ động, thấp. Phân tích sâu nhắm vào mục đích của con người đằng sau một cuộc tấn công, thích ứng với các mối đe dọa mới trước khi chúng xảy ra và cung cấp khả năng điều phối và tự động hóa các hành động ứng phó.
Bởi các biện pháp phòng vệ Deception không phụ thuộc vào dấu hiệu hoặc phương pháp phỏng đoán để phát hiện nên chúng có thể bao phủ gần như mọi vectơ tấn công và phát hiện các cuộc tấn công, bao gồm các mối đe dọa liên tục nâng cao (APT), các mối đe dọa zero-day, trinh sát mạng, chuyển động ngang, kỹ nghệ xã hội, các cuộc tấn công xen giữa (MiTM) và mã độc tống tiền trong thời gian thực.
Việc sử dụng Deception không phải lúc nào cũng ngăn chặn được một cuộc tấn công danh tính, thế nhưng nó sẽ đóng vai trò là tuyến phòng thủ cuối cùng để phát hiện sự hiện diện của kẻ tấn công sau vi phạm. Điều này có thể giúp ngăn chặn sự thỏa hiệp.
Công nghệ ITDR
ITDR là một nguyên tắc bảo mật mới nổi nằm ở điểm giữa của việc phát hiện mối đe dọa cũng như quản lý danh tính và quyền truy cập. Nó đang trở thành ưu tiên bảo mật hàng đầu của các tổ chức do sự gia tăng của các cuộc tấn công danh tính và khả năng của ITDR trong việc cung cấp khả năng hiển thị về trạng thái nhận dạng của tổ chức, triển khai các phương pháp hay nhất về bảo vệ hệ thống mạng và phát hiện các cuộc tấn công danh tính.
Tăng cường triển khai Zero Trust thông qua ITDR để ngăn chặn và phát hiện các cuộc tấn công danh tính bằng các nguyên tắc sau:
- Quản lý hành vi: Liên tục đánh giá các kho lưu trữ danh tính trong doanh nghiệp như Active Directory, AzureAD,… để có được khả năng hiển thị các cấu hình sai, quyền truy cập quá mức và các chỉ báo mối đe dọa có thể cung cấp cho kẻ tấn công quyền truy cập vào các đặc quyền cao hơn và đường dẫn di chuyển ngang. Thu hồi quyền và cấu hình các chính sách mặc định nhằm giảm thiểu các đường dẫn và đặc quyền tấn công.
- Phát hiện mối đe dọa: Giám sát các điểm cuối cho các hoạt động cụ thể như DCSync, DCShadow, Kerberoasting, LDAP và các thay đổi tương tự có liên quan đến hành vi độc hại.
Kịch bản xử lý sự cố Playbook của Trung tâm điều hành an ninh mạng (SOC) trong các tổ chức đóng một vai trò quan trọng trong việc chủ động xác định và giảm thiểu các vectơ tấn công IdP tiềm ẩn. Bằng cách triển khai chiến lược giám sát và phát hiện toàn diện, các tổ chức có thể nhanh chóng ứng phó với các nỗ lực tấn công của IdP, bảo vệ danh tính người dùng và bảo vệ các tài nguyên quan trọng.
Việc sử dụng các biện pháp bảo mật tốt nhất trong việc quản lý danh tính và cấu hình xác thực đa yếu tố (MFA) là điều tối quan trọng trong việc thiết lập một trạng thái bảo mật mạnh mẽ và giảm thiểu hiệu quả các rủi ro liên quan đến truy cập trái phép và vi phạm dữ liệu.
Với việc thực hiện các biện pháp dưới đây, các tổ chức có thể tăng cường đáng kể việc bảo vệ danh tính và nâng cao hiệu quả triển khai MFA của họ.
Bảo vệ danh tính người dùng
- Sử dụng mật khẩu mạnh: Khuyến khích người dùng tạo mật khẩu mạnh, nhiều ký tự, phức tạp và duy nhất cho tài khoản của họ. Triển khai các chính sách mật khẩu như thời hạn của mật khẩu, không được thiết lập các mật khẩu đã được sử dụng và thay đổi mật khẩu thường xuyên.
- Triển khai đặc quyền tối thiểu: Tuân theo nguyên tắc đặc quyền tối thiểu, chỉ cấp cho người dùng quyền truy cập tối thiểu cần thiết để thực hiện nhiệm vụ của họ. Bằng cách giới hạn đặc quyền của người dùng, tổ chức có thể giảm tác động tiềm tàng của thông tin xác thực bị xâm phạm.
- Giáo dục người dùng: Nhận thức và giáo dục người dùng đóng một vai trò quan trọng trong việc duy trì bảo mật. Đào tạo người dùng về tầm quan trọng của mật khẩu mạnh, cách nhận biết các nỗ lực lừa đảo và cách sử dụng đúng phương pháp xác thực MFA. Thường xuyên nhắc nhở người dùng tuân theo các phương pháp bảo mật tốt nhất và báo cáo mọi hoạt động đáng ngờ.
Bảo vệ chống lại các cuộc tấn công MFA
Các phương pháp MFA truyền thống, chẳng hạn như mã SMS hoặc mật khẩu một lần (OTP), có thể dễ bị tấn công lừa đảo. Những kẻ tấn công có thể chặn các mã này hoặc đánh lừa người dùng nhập chúng vào các trang đăng nhập giả mạo, từ đó bỏ qua lớp bảo mật bổ sung do MFA cung cấp.
Để giải quyết rủi ro này, các phương pháp MFA chống lừa đảo đã được phát triển. Các phương pháp này nhằm mục đích đảm bảo rằng ngay cả khi người dùng bị đánh lừa nhập thông tin xác thực của họ trên một trang web lừa đảo, kẻ tấn công cũng không thể có quyền truy cập nếu không có yếu tố xác thực bổ sung.
Sử dụng MFA dựa trên FIDO2: FIDO2 là một tập hợp các tiêu chuẩn mới do Liên minh xác thực trực tuyến thế giới định nghĩa, đây là một tiêu chuẩn xác thực mạnh cung cấp xác thực an toàn và không cần mật khẩu. Các tổ chức nên triển khai MFA dựa trên FIDO2, sử dụng mật mã khóa công khai để tăng cường bảo mật và bảo vệ khỏi các cuộc tấn công lừa đảo.
Sử dụng Hard Token: Có thể được hiểu đơn giản như khóa bảo mật USB hoặc thẻ thông minh, có thể cung cấp mức bảo mật bổ sung cho MFA. Các thiết bị vật lý này tạo mật khẩu một lần hoặc sử dụng mật mã khóa công khai để xác thực, khiến kẻ tấn công khó xâm phạm.
TÀI LIỆU THAM KHẢO https://www.zscaler.com/resources/security-terms-glossary/what-is-deception-technology |
Hồng Đạt
(Tổng hợp)
07:00 | 30/10/2023
10:00 | 22/11/2021
11:00 | 22/03/2021
13:00 | 30/09/2024
Bộ nhớ RAM là một trong những nơi chứa các thông tin quý báu như mật khẩu, khóa mã, khóa phiên và nhiều dữ liệu quan trọng khác khiến nó trở thành một trong những mục tiêu quan trọng đối với tin tặc. Tấn công phân tích RAM có thể gây tiết lộ thông tin, thay đổi dữ liệu hoặc khai thác các lỗ hổng bảo mật trong hệ thống, đây đang là một hình thức tấn công bảo mật nguy hiểm đối với dữ liệu, chúng tập trung vào việc truy cập, sửa đổi hoặc đánh cắp thông tin người dùng. Bài báo sau đây sẽ trình bày về các nguy cơ, phương pháp tấn công phân tích RAM và những biện pháp bảo vệ để ngăn chặn hoạt động tấn công này.
13:00 | 30/07/2024
Trong thế giới số hiện nay, việc nhận thức về cách các công ty thu thập và sử dụng dữ liệu của người dùng trở nên quan trọng hơn bao giờ hết. Nếu dữ liệu cá nhân rơi vào tay kẻ xấu, người dùng có thể trở thành nạn nhân của việc gian lận và bị đánh cắp danh tính. Dưới đây là năm lời khuyên để bảo vệ quyền riêng tư dữ liệu cho người dùng.
14:00 | 01/03/2024
Giấu tin (steganography) là một kỹ thuật nhúng thông tin vào một nguồn đa phương tiện nào đó, ví dụ như tệp âm thanh, tệp hình ảnh,... Việc này giúp thông tin được giấu trở nên khó phát hiện và gây ra nhiều thách thức trong lĩnh vực bảo mật và an toàn thông tin, đặc biệt là quá trình điều tra số. Thời gian gần đây, số lượng các cuộc tấn công mạng có sử dụng kỹ thuật giấu tin đang tăng lên, tin tặc lợi dụng việc giấu các câu lệnh vào trong bức ảnh và khi xâm nhập được vào máy tính nạn nhân, các câu lệnh chứa mã độc sẽ được trích xuất từ ảnh và thực thi. Nhằm mục đích cung cấp cái nhìn tổng quan về phương thức ẩn giấu mã độc nguy hiểm, bài báo sẽ giới thiệu về kỹ thuật giấu tin trong ảnh và phân tích một cuộc tấn công cụ thể để làm rõ về kỹ thuật này.
15:00 | 19/02/2024
SoftEther là phần mềm xây dựng mạng riêng ảo (Virtual Private Network - VPN ) cho phép hoạt động ở lớp 2 trong mô hình OSI (lớp liên kết dữ liệu). SoftEther tích hợp nhiều giao thức VPN mà có thể hoạt động ở các lớp khác nhau, trong đó có giao thức SE-VPN hoạt động ở lớp 2. Bài viết này giới thiệu về giải pháp máy chủ VPN tích hợp SoftEther, cũng như trình bày về cách xử lý, đóng gói gói tin của giao thức SE-VPN được sử dụng trong máy chủ SoftEther.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Trong bối cảnh mua sắm trực tuyến ngày càng trở nên phổ biến, các thủ đoạn lừa đảo cũng đang ngày càng tinh vi và thường nhắm vào những người tiêu dùng bất cẩn. Những nạn nhân này thường có thói quen mua sắm trực tuyến thường xuyên, nhưng lại thiếu chú ý đến các phương thức thanh toán trước khi hoàn tất giao dịch. Cục An toàn thông tin (Bộ TT&TT) vừa đưa ra cảnh báo về các chiêu trò lừa đảo phổ biến, đặc biệt trong dịp cuối năm khi nhu cầu mua sắm tăng cao.
08:00 | 12/12/2024