Theo thông tin từ TechRepublic, Công ty bảo mật Cybereason (có trụ sở tại chính tại Boston, Massachusetts) đã tạo nên một kiến trúc mạng rộng lớn, giả lập một phần mạng lưới của nhà cung cấp sản xuất và truyền tải điện. Honeypot này chứa môi trường công nghệ thông tin, môi trường công nghệ vận hành (Operational Technology - OT) và hệ thống quản lý giao diện người – máy (Human Machine Interface- HMI).
Israel Barak, Giám đốc an ninh thông tin tại Cybereason cho biết, sau khi honeypot chính thức đi vào hoạt động, chỉ mất ba ngày để những kẻ tấn công mạng xâm nhập vào mạng và cài đặt các phần mềm độc hại. Nhưng cuộc tấn công đã được thực hiện theo nhiều giai đoạn khác nhau, khi tội phạm mạng cẩn thận tìm cách đi từ tài nguyên này sang tài nguyên khác.
Trong giai đoạn đầu tiên, những kẻ tấn công đã có được quyền truy cập ban đầu bằng cách khai thác các giao diện quản trị từ xa có thể truy cập công khai. Các giao diện như vậy thường được thiết kế để cung cấp cho nhân viên hỗ trợ kỹ thuật khả năng kết nối từ xa với mạng. Để xâm nhập mạng, tội phạm mạng thực hiện tấn công vét cạn để dò quét mật khẩu tài khoản của quản trị viên và đăng nhập từ xa. Sau đó, tội phạm mạng đã tải và thực thi một script PowerShell để tạo cửa hậu, cho phép chúng có thể liên tục sử dụng và lạm dụng tài khoản quản trị mà không bị phát hiện.
Trong giai đoạn thứ hai, bọn tội phạm đã tải lên nhiều công cụ tấn công hơn thông qua PowerShell. Một trong số đó là Mimikatz, công cụ nguồn mở được sử dụng để đánh cắp thông tin đăng nhập của người dùng. Thông tin đăng nhập bị đánh cắp được sử dụng trong nỗ lực di chuyển tới máy chủ kiểm soát tên miền (domain). Tuy nhiên, nỗ lực này đã thất bại vì không tài khoản bị xâm phạm nào có quyền truy cập vào máy chủ kiểm soát domain.
Trong giai đoạn ba, kẻ tấn công tiếp tục cố gắng di chuyển trong mạng bằng cách tận dụng một máy quét mạng để khám phá thêm các điểm kết nối. Cuối cùng, trong giai đoạn thứ tư, mã độc tống tiền đã khởi chạy trên tất cả các thiết bị bị xâm nhập.
Cuộc tấn công mã độc tống tiền vào honeypot cho thấy tội phạm mạng sử dụng nhiều giai đoạn để lây nhiễm càng nhiều máy càng tốt, nhằm tối đa hóa lợi nhuận. Thay vì chỉ lây nhiễm mã độc tống tiền trên một hệ thống, chúng sẽ di chuyển ngang trong mạng để xâm nhập từ máy tính này đến máy tính khác trước khi phát tán mã độc tống tiền.
"Phát hiện này phù hợp với những gì chúng ta đã thấy về mã độc tống tiền nói riêng", Javvad Malik, chuyên gia phổ biến nhận thức bảo mật của công ty đào tạo bảo mật KnowBe4 (Mỹ) nói. "Ngày nay, tội phạm mạng không còn muốn lây nhiễm vào mọi máy càng sớm càng tốt. Thay vào đó, mã độc tống tiền một khi đã xâm nhập, sẽ liên hệ về máy chủ để có thể xác định chiến lược tốt nhất. Chiến lược này bao gồm những gì cần mã hóa, khả năng trả tiền của nạn nhân, làm hỏng các bản sao lưu và làm mất dữ liệu và thông tin đăng nhập".
Không chỉ mã hóa các tệp nhạy cảm và yêu cầu nạn nhân trả tiền chuộc dữ liệu, các mối đe dọa của những kẻ tấn công bằng mã độc tống tiền đang tiến xa hơn. "Trong toàn bộ quá trình này, mã độc tống tiền được triển khai cuối cùng vì nó cho phép tội phạm mạng không chỉ đòi tiền cho khóa giải mã, mà còn yêu cầu thanh toán để không phát hành công khai hoặc bán dữ liệu mà chúng đã đánh cắp. Đôi khi, chúng sẽ sử dụng thông tin bị đánh cắp để tấn công đối tác hoặc cố gắng tống tiền khách hàng", Malik nói.
Để bảo vệ tổ chức trước cuộc tấn công của mã độc tống tiền, Cybereason đưa ra các khuyến nghị sau:
- Thiết lập các công cụ và quy trình xử lý sự cố mạng trên cả mạng công nghệ thông tin (CNTT) và mạng vận hành kỹ thuật với mục tiêu giảm thiểu thời gian phản hồi trung bình, giảm thiểu thiệt hại và ngăn chặn việc mạng hệ thống điều khiển công nghiệp (ICS) bị ngoại tuyến. Để ngăn chặn các nhóm tin tặc, các tổ chức cần giảm thiểu thời gian cần thiết để đối phó với mối đe dọa. Điều này có thể đạt được bằng cách triển khai các dịch vụ săn lùng mối đe dọa suốt ngày đêm.
- Thiết lập trung tâm vận hành bảo mật thống nhất và quy trình công việc trên cả môi trường CNTT và vận hành kỹ thuật: Điều hành một trung tâm vận hành bảo mật (SOC) thống nhất có khả năng theo dõi môi trường CNTT và vận hành kỹ thuật vì những kẻ tấn công đang tìm cách sử dụng môi trường CNTT làm cổng xâm nhập vào môi trường vận hành kỹ thuật. Một số công ty có thể đã có một trung tâm điều hành mạng (NOC) giám sát môi trường vận hành kỹ thuật, nhưng một SOC kết hợp cho phép các nhà khai thác nhìn thấy tất cả các hoạt động di chuyển qua mạng.
- Thiết kế và hoạt động với khả năng phục hồi: Khả năng phục hồi và bảo mật không thể là một nhiêm vụ trong tương lai nữa. Khi các hệ thống cơ sở hạ tầng quan trọng mới được xây dựng và cài đặt, các mạng kế thừa sẽ bị loại bỏ. Thiết kế và khả năng hoạt động liên tục của hệ thống phải xem xét những mối đe dọa bảo mật sẽ trở nên phổ biến trong tương lai.
- Hợp tác với các chuyên gia: Hãy hợp tác với các chuyên gia có kiến thức rộng lớn về các mối đe dọa ICS. Khu vực công và tư nhân cần phối hợp chặt chẽ để bảo vệ ngành công nghiệp. Hợp tác với một công ty bảo mật có thể đi trước các mối đe dọa mới và giúp các nhà khai thác giải quyết các vấn đề trong thời gian thực.
- Kiểm tra liên tục: Kiểm tra thường xuyên phải là điều tối quan trọng trong lĩnh vực này. Các cuộc diễn tập để thực hành các kịch bản sự cố khác nhau và phản ứng thời gian thực với các kịch bản đó là rất quan trọng để có thể đối phó với mối đe dọa trong thời gian thực. Không bao giờ đánh giá thấp giá trị của các cuộc diễn tập trong việc chống lại những điểm yếu, lỗ hổng trong phòng thủ và giúp các giám đốc điều hành hiểu được tầm quan trọng của an ninh mạng.
Dựa trên các mối đe dọa về mã độc tống tiền mới nhất, Malik có một lời khuyên khác cho các tổ chức như sau: "Ngay cả việc có các bản sao lưu tin cậy và cập nhật cũng sẽ không giúp ích gì". Theo Malik, "đó là lý do tại sao việc ngăn chặn tội phạm mạng có được nơi ẩn náu là vô cùng quan trọng. Ba biện pháp kiểm soát hàng đầu có thể triển khai bao gồm: đào tạo nâng cao nhận thức an ninh để người dùng có thể xác định và ứng phó các cuộc tấn công lừa đảo: MFA (xác thực đa yếu tố) để ngăn chặn sự xâm phạm thông tin xác thực; và vá các hệ thống tiếp xúc với bên ngoài".
Anh Tuấn
13:00 | 15/03/2021
08:00 | 16/06/2020
10:00 | 22/09/2023
14:00 | 04/06/2020
14:00 | 31/01/2018
10:00 | 28/12/2020
14:00 | 30/09/2022
10:00 | 13/12/2023
Meta đã chính thức triển khai hỗ trợ mã hóa đầu cuối - End-to-end encryption (E2EE) trong ứng dụng Messenger cho các cuộc gọi và tin nhắn cá nhân theo mặc định trong bản cập nhật mới lần này, bên cạnh một số bộ tính năng mới cho phép người dùng có thể kiểm soát và thao tác dễ dàng và hiệu quả hơn trong các cuộc trò chuyện.
10:00 | 20/09/2023
ChatGPT và các mô hình ngôn ngữ lớn (LLM) tương tự đã làm tăng thêm độ phức tạp trong bối cảnh mối đe dọa trực tuyến ngày càng gia tăng. Tội phạm mạng không còn cần các kỹ năng mã hóa nâng cao để thực hiện gian lận và các cuộc tấn công gây thiệt hại khác chống lại các doanh nghiệp và khách hàng trực tuyến nhờ vào bot dưới dạng dịch vụ, residential proxy, CAPTCHA và các công cụ dễ tiếp cận khác. Giờ đây, ChatGPT, OpenAI và các LLM khác không chỉ đặt ra các vấn đề đạo đức bằng cách đào tạo các mô hình của họ về dữ liệu thu thập trên Internet mà LLM còn đang tác động tiêu cực đến lưu lượng truy cập web của doanh nghiệp, điều này có thể gây tổn hại lớn đến doanh nghiệp đó.
09:00 | 04/05/2023
Những năm gần đây, các ứng dụng sử dụng hệ thống IoT đang ngày càng phát triển bởi khả năng mềm dẻo trong thiết kế phần cứng và thu thập dữ liệu. Đồng hành cùng với sự thay đổi của các công nghệ mạng truyền dẫn, tín hiệu, Wifi Mesh đang trở thành một lựa chọn thực tế và phù hợp đối với các hệ thống IoT công nghiệp, thương mại điện tử. Thông qua bài báo này, nhóm tác giả sẽ giới thiệu về nền tảng công nghệ mạng Wifi Mesh, từ đó làm cơ sở cho việc ứng dụng để thiết kế hệ thống giám sát đo độ nghiêng sẽ được trình bày trong kỳ tới.
09:00 | 28/02/2023
Hiện nay, việc nghiên cứu, ứng dụng các giải pháp trí tuệ nhân tạo để khai phá thông tin từ dữ liệu và hỗ trợ ra quyết định đang phát triển mạnh mẽ. Văn phòng Trung ương Đảng (TƯ Đảng) đã và đang triển khai hiệu quả hai hệ thống phần mềm tìm kiếm, tổng hợp thông tin dùng chung cho các cơ quan Đảng trong mạng thông tin diện rộng của Đảng và Phần mềm hệ thống thu thập, tổng hợp thông tin trên Internet hỗ trợ công tác tham mưu, thẩm định các đề án. Bài báo này sẽ mô tả các bước xây dựng, triển khai việc ứng dụng mô hình QAC (Query Auto Completion) cho việc tìm kiếm thông tin trong hai hệ thống nói trên, đồng thời đánh giá tính hiệu quả khi áp dụng hệ thống cho các phần mềm.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Trong lĩnh vực chữ ký số, lược đồ ký số dựa trên đường cong Elliptic (ECDSA) được đánh giá là một trong những lược đồ chữ ký số có độ an toàn cao, dù ra đời sau nhưng ECDSA đang dần được thay thế cho lược đồ ký số RSA. Bài báo này tập trung giới thiệu lược đồ ECDSA, ứng dụng của ECDSA trong thực tế và các tham số an toàn được khuyến nghị dùng cho ECDSA.
11:00 | 13/05/2024
Cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. Nhiều giải pháp để bảo vệ phần cứng được đưa ra, trong đó, hàm không thể sao chép vật lý PUF (Physically Unclonable Functions) đang nổi lên như là một trong số những giải pháp bảo mật phần cứng rất triển vọng mạnh mẽ. RO-PUF (Ring Oscillator Physically Unclonable Function) là một kỹ thuật thiết kế PUF nội tại điển hình trong xác thực hay định danh chính xác thiết bị. Bài báo sẽ trình bày một mô hình ứng dụng RO-PUF và chứng minh tính năng xác thực của PUF trong bảo vệ phần cứng FPGA.
10:00 | 13/05/2024
