Các mối đe dọa dai dẳng (APT) đã nổi lên là mối quan tâm chính đáng cho tất cả các tổ chức. APT là các tác nhân đe dọa vi phạm mạng lưới và cơ sở hạ tầng và lén lút ẩn nấp trong chúng trong khoảng thời gian dài.
Họ thường thực hiện các vụ hack phức tạp cho phép họ đánh cắp hoặc phá hủy dữ liệu và tài nguyên.
Theo Acckey, các APT đã tự tổ chức thành các nhóm cho phép họ chia sẻ các chiến thuật và công cụ để thực hiện các cuộc tấn công ở quy mô. Chẳng hạn, nhóm Silence APT của Nga đã được báo cáo là đang tích cực nhắm mục tiêu vào các tổ chức tài chính và đã đánh cắp thành công hàng triệu đô la từ các ngân hàng khác nhau trên toàn thế giới. Các tổ chức nhỏ hơn cũng cần cảnh giác với các mối đe dọa như vậy.
Các nhóm APT cũng sử dụng các công cụ và botnet tự động để có quyền truy cập vào mạng và các chiến thuật này không phân biệt đối xử dựa trên kích thước, ngành hoặc giá trị. Bất kỳ cơ sở hạ tầng dễ bị tổn thương có thể bị vi phạm. Điều quan trọng bây giờ là tất cả các tổ chức phải hiểu cách APT hoạt động và thực hiện các biện pháp bảo mật cần thiết để giảm thiểu chúng như các mối đe dọa.
Dấu hiệu cho thấy một APT có thể đang rình rập
Các APT hoạt động ngầm, vì vậy các tổ chức thậm chí có thể không nhận ra rằng họ đã bị vi phạm cho đến khi một cái gì đó thực sự trở nên tồi tệ. Chẳng hạn, Hệ thống InfoTrax chỉ có thể phát hiện vi phạm lâu năm sau khi lưu trữ tối đa của máy chủ.
Các đội CNTT phải xem xét các dấu hiệu cho thấy một APT có thể đang ẩn nấp trong mạng. Một vài dấu hiệu khác biệt bao gồm:
Excessive Logins (Đăng nhập quá mức) – APT thường dựa vào thông tin truy cập bị xâm phạm để có quyền truy cập thường xuyên vào mạng. Họ có thể sử dụng vũ lực bằng cách sử dụng tên đăng nhập và mật khẩu đăng nhập hoặc thông tin xác thực hợp pháp bị đánh cắp từ các cuộc tấn công lừa đảo và kỹ thuật xã hội. Các hoạt động đăng nhập quá mức hoặc đáng ngờ, đặc biệt là trong giờ lẻ, thường được quy cho các APT.
Explotion of Malware (Sự bùng nổ của phần mềm độc hại) – APT cũng sử dụng nhiều phần mềm độc hại khác nhau để thực hiện hack. Vì vậy, nếu các công cụ chống vi-rút thường phát hiện và loại bỏ phần mềm độc hại, có thể APT liên tục cấy trojan và các công cụ truy cập từ xa vào mạng.
Increase Usage of Computer Resources (Việc sử dụng tài nguyên máy tính ngày càng tăng) – Những tác nhân đe dọa này cũng sẽ phải sử dụng tài nguyên điện toán của mạng để thực hiện các vụ hack. Phần mềm độc hại hoạt động sẽ sử dụng sức mạnh tính toán và bộ nhớ trong các điểm cuối. Tin tặc cũng có thể tạm thời lưu trữ dữ liệu bị đánh cắp trong các máy chủ. Việc thực hiện khối lượng lớn dữ liệu cũng sẽ hiển thị dưới dạng lưu lượng truy cập đi quá mức.
Giám sát nâng cao
Việc phát hiện những dấu hiệu này không đơn giản, vì vậy các đội CNTT phải tích cực tìm kiếm những dấu hiệu này. May mắn thay, các giải pháp bảo mật hiện đại hiện cung cấp các khả năng cho phép các nhóm CNTT giám sát sự hiện diện của APT tiềm năng và các hoạt động của họ.
Log Analysis (Phân tích nhật ký) – Nhật ký có thể hiển thị chính xác các hoạt động, sự kiện và tác vụ khác nhau đã xảy ra trong các thiết bị, hệ thống và ứng dụng. Tuy nhiên, đi qua các bản ghi, thường ở định dạng văn bản thuần túy không được định dạng, có thể tẻ nhạt. Để giúp các nhóm CNTT sắp xếp thông tin, các công cụ phân tích nhật ký nâng cao hiện có các thuật toán có thể tìm kiếm các mẫu trên tất cả các thành phần cơ sở hạ tầng CNTT.
Chẳng hạn, giải pháp quản lý và phân tích nhật ký XpoLog có thể hợp nhất tất cả các bản ghi trên các thành phần cơ sở hạ tầng khác nhau. Xpolog có thể tự động phân tích cú pháp và gắn thẻ thông tin có trong các tệp nhật ký này. Sử dụng trí tuệ nhân tạo (AI), Xpolog sau đó có thể xác định các mô hình dị thường và tạo ra những hiểu biết, bao gồm cả những biểu hiện cho mối quan tâm bảo mật.
Thông tin như sử dụng băng thông, phiên đăng nhập, phân phối địa lý lưu lượng mạng, tất cả đều có thể được sử dụng để tiết lộ sự hiện diện của các mối đe dọa. Tất cả các dữ liệu thậm chí có thể được trực quan hóa để trình bày và xem xét dễ dàng hơn.
Thông qua những phát hiện này, nền tảng có thể dễ dàng cảnh báo các nhóm CNTT về các cuộc tấn công APT tiềm năng để có thể thực hiện hành động ngay lập tức.
Breach And Attack Simulations (Mô phỏng vi phạm và tấn công) – Các nền tảng mô phỏng vi phạm và tấn công (BAS) có thể chạy các thử nghiệm thông thường bắt chước các cuộc tấn công mạng thực tế để kiểm tra xem các biện pháp bảo mật có hoạt động như dự định hay không. Chúng phục vụ như là lựa chọn thay thế cho thử nghiệm thâm nhập truyền thống, là thách thức để thực hiện trên cơ sở thường xuyên.
Ví dụ, nền tảng BAS Cymulation cung cấp nhiều loại thử nghiệm bao gồm các vectơ tấn công tiềm năng cho cơ sở hạ tầng. Nó có thể kiểm tra các cổng web và tường lửa ứng dụng web để tìm lỗ hổng. Nó cũng có thể triển khai phần mềm độc hại giả vào các điểm cuối để kiểm tra xem phần mềm chống phần mềm độc hại hoặc phần mềm chống vi-rút có thể phát hiện các tệp và quy trình độc hại hay không. Nó cũng có các mô phỏng tấn công lừa đảo có thể xác định người dùng nào dễ bị tấn công kỹ thuật xã hội.
Cymulation cho phép chạy thử nghiệm theo lịch trình và thường xuyên để xem liệu các công cụ và biện pháp bảo mật được triển khai của một tổ chức có hoạt động như dự định hay không. Các APT tắt các giải pháp bảo mật như chống vi-rút và tường lửa, vì vậy các kiểm tra thường xuyên sẽ dễ dàng chỉ ra liệu có thứ gì đó đang can thiệp vào các giải pháp này hay không.
Phòng thủ phải được cải thiện
Giám sát và phát hiện sớm là chìa khóa để giữ vành đai phòng thủ an toàn. Các tổ chức phải tích hợp những nỗ lực này như là một phần của chiến lược bảo mật rộng lớn hơn.
Increase Vigilance (Tăng cường cảnh giác) – Phân tích tích cực nhật ký và thực hiện các bài kiểm tra định kỳ về các biện pháp bảo mật có thể thông báo cho các nhóm CNTT về sự hiện diện tiềm năng của APT, cho phép họ xử lý các mối đe dọa này ngay lập tức.
Adopt Enterprise-Grade Security (Áp dụng bảo mật cấp doanh nghiệp) – Các tổ chức cũng phải sử dụng các giải pháp bảo mật có khả năng. Phần mềm độc hại được sử dụng bởi các APT có thể có mã đa hình cho phép chúng trốn tránh các giải pháp chống phần mềm độc hại miễn phí hoặc rẻ tiền phổ biến.
Keep Systems and Apps Updated (Luôn cập nhật hệ thống và ứng dụng) – APT khai thác lỗ hổng của thiết bị và hệ thống cho nhiều chiến thuật của chúng. Các nhà phát triển thường xuyên phát hành các bản vá và sửa lỗi để đảm bảo rằng các lỗ hổng nghiêm trọng được giải quyết.
Các tổ chức phải đảm bảo rằng những cập nhật này nhanh chóng được áp dụng khi chúng có sẵn.
Train people (Huấn luyện người) – APT cũng có thể cố gắng khai thác điểm yếu của con người thông qua các cuộc tấn công kỹ thuật xã hội. Các tổ chức phải đào tạo nhân viên về các thực tiễn bảo mật tốt nhất, bao gồm xác định chính xác email và các nỗ lực lừa đảo, sử dụng cụm mật khẩu mạnh và tránh sử dụng lại mật khẩu.
Bảo mật là một khoản đầu tư
Các tổ chức phải nhận ra rằng bảo mật là một khoản đầu tư quan trọng khi hoạt động trong môi trường ngày nay. APT có thể gây ra thiệt hại không thể khắc phục cho các công ty. Nạn nhân của một cuộc tấn công có thể gây ra thời gian chết, mất doanh nghiệp và làm xói mòn lòng tin của khách hàng.
Vi phạm bảo mật trung bình được ước tính bởi các tổ chức của IBM trị giá 3,92 triệu đô la. Do đó, điều quan trọng đối với các công ty là áp dụng các biện pháp bảo mật có khả năng phát hiện và giảm thiểu các mối đe dọa đó trước khi chúng có thể gây ra bất kỳ thiệt hại đáng kể nào. Như vậy, các tổ chức hiện phải sẵn sàng chuyển nhiều tài nguyên hơn để tăng cường bảo mật.
