Một chủ đề phổ biến mà chúng tôi đang quan sát là sự trốn tránh: những phương pháp tinh vi được những kẻ tấn công sử dụng để tránh bị phát hiện. Điều này bao gồm việc trốn tránh phần mềm phát hiện được thiết kế để gắn cờ các hoạt động độc hại, nhắm mục tiêu vào các hệ thống không được giám sát chặt chẽ, sử dụng phần mềm hợp pháp để tránh gây nghi ngờ và khai thác môi trường đám mây với khả năng ghi nhật ký hạn chế. Phân tích của chúng tôi, dựa trên các mối đe dọa hiện tại và được tăng cường nhờ công việc phân tích báo cáo mối đe dọa và trường hợp khách hàng hàng ngày, đã giúp chúng tôi xác định được bốn xu hướng chính. Những điều này sẽ được trình bày chi tiết trong các phần sau của bài viết này.
1. Tấn công chuỗi cung ứng
Các cuộc tấn công chuỗi cung ứng gây ra mối đe dọa nghiêm trọng cho tất cả các tổ chức, ngay cả những tổ chức có biện pháp bảo mật tiên tiến. Những cuộc tấn công này nhắm vào các nhà cung cấp dịch vụ hoặc phần mềm đáng tin cậy, khiến chúng khó có thể chống lại được. Họ khai thác sự tích hợp sâu sắc và niềm tin đặt vào các dịch vụ này trong cơ sở hạ tầng CNTT của tổ chức.
Điều khiến các cuộc tấn công chuỗi cung ứng trở nên đặc biệt thách thức là khả năng vượt qua các biện pháp phòng thủ tiêu chuẩn như tường lửa và chương trình chống vi-rút. Họ lợi dụng sự tin tưởng vào các thành phần phần mềm, ứng dụng hoặc tài khoản của nhà cung cấp dịch vụ. Để phát hiện hiệu quả các cuộc tấn công này, các tổ chức phải áp dụng tư duy ‘giả định là thỏa hiệp’ và lập chiến lược phù hợp.
2. Lạm dụng API Token và Cloud API
Trong bối cảnh kỹ thuật số ngày nay, mã thông báo phiên đã trở thành một yếu tố quan trọng trong việc duy trì quyền truy cập an toàn vào các ứng dụng và dịch vụ trực tuyến khác nhau. Các mã thông báo này hoạt động như thẻ truy cập tạm thời, cho phép người dùng duy trì trạng thái xác thực trong hệ thống mà không cần nhập lại thông tin xác thực của họ. Tuy nhiên, sự tiện lợi này cũng khiến chúng trở thành mục tiêu hấp dẫn của những kẻ tấn công mạng. Không giống như thông tin xác thực của người dùng truyền thống, mã thông báo có thể dễ bị đánh cắp hơn và có thể cung cấp quyền truy cập vào các phiên bảo mật, ngay cả những phiên được bảo vệ bằng xác thực đa yếu tố (MFA). Hành vi trộm cắp của họ có thể dẫn đến truy cập trái phép vào dữ liệu và hệ thống nhạy cảm, khiến bảo mật của họ trở thành ưu tiên hàng đầu của các tổ chức.
Khi những kẻ tấn công tìm kiếm những cách mới để xâm nhập vào hệ thống và mạng, việc lạm dụng mã thông báo và API đám mây đã trở nên phổ biến hơn. Mã thông báo, thường dễ bị đánh cắp hơn thông tin xác thực của người dùng, có thể cấp quyền truy cập vào các phiên được thiết lập bằng xác thực đa yếu tố (MFA). Điều này làm cho chúng trở thành mục tiêu có giá trị cho những kẻ tấn công.
Hơn nữa, sự thiếu rõ ràng về nơi có thể tìm thấy mã thông báo trong các hệ sinh thái tích hợp, chẳng hạn như các ứng dụng Windows như Office 365, càng làm tăng thêm thách thức trong việc ngăn chặn truy cập trái phép. Sự tối nghĩa này gây khó khăn cho việc xác định các quy trình có thể trích xuất mã thông báo, khiến các cơ chế bảo vệ truyền thống kém hiệu quả hơn.
Khi xử lý rủi ro lạm dụng mã thông báo và API đám mây, ban quản lý phải thực thi các chính sách bảo mật mạnh mẽ xung quanh các dịch vụ này. Điều này bao gồm việc giám sát chặt chẽ mọi hoạt động bất thường bằng cách sử dụng các tính năng ghi nhật ký của nhà cung cấp dịch vụ. Hãy để ý những kiểu đăng nhập kỳ lạ hoặc bất kỳ hành động kỳ lạ nào trong việc quản lý người dùng và thiết bị.
Ngoài ra, điều quan trọng là phải suy nghĩ cẩn thận về những rủi ro khi di chuyển dịch vụ nội bộ lên đám mây. Hãy tự hỏi: ‘Điều gì sẽ xảy ra nếu mã thông báo phiên bị đánh cắp và ai đó có quyền truy cập vào dữ liệu từng an toàn trong mạng của công ty chúng ta?’ Nhận thức được những rủi ro này là rất quan trọng trong việc bảo vệ tổ chức của bạn.
3. Trốn tránh EDR bằng cách sử dụng các hệ thống và thiết bị không được giám sát
Những kẻ tấn công đang ngày càng tập trung vào các hệ thống thường không được hỗ trợ bởi các công cụ bảo mật phổ biến như Phát hiện và phản hồi điểm cuối (EDR) hoặc phần mềm Chống vi-rút. Điều này bao gồm các thiết bị hàng ngày như thiết bị, bộ định tuyến và hệ thống IoT (Internet of Things). Vì các thiết bị này thường không được giám sát bởi phần mềm bảo mật tiêu chuẩn nên chúng trở thành mục tiêu dễ dàng cho những kẻ tấn công muốn lẻn vào mạng mà không bị chú ý. Thực tế là các hệ thống này thường không lưu giữ nhật ký bảo mật chi tiết khiến việc phát hiện và khắc phục các vi phạm bảo mật càng khó khăn hơn.
Để theo kịp xu hướng này, dự kiến những kẻ tấn công sẽ bắt đầu sử dụng các công cụ đa dạng hơn. Điều này bao gồm các công cụ được thiết kế cho hệ thống Linux, các công cụ tạo đường dẫn ẩn trong mạng, các công cụ dành cho kiến trúc ARM (phổ biến trong nhiều thiết bị hiện đại) và các công cụ hoạt động trên nhiều nền tảng.
4. Lạm dụng phần mềm hợp pháp
Trojan truy cập từ xa thường được phát hiện bởi phần mềm Antivirus, khiến những kẻ tấn công chuyển sang sử dụng phần mềm truy cập từ xa hợp pháp để thay thế.
Các ứng dụng này, bao gồm ConnectWise Control, Anydesk, NetSupport, TeamViewer, Atera, LogMeIn và Splashtop, thường không được các giải pháp bảo mật phân loại là các ứng dụng có thể không mong muốn (PUA). Kết quả là, việc những kẻ tấn công sử dụng chúng thường không được chú ý, cho phép chúng thiết lập sự kiên trì mà không gây nghi ngờ.
Nhưng việc sử dụng phần mềm truy cập từ xa hợp pháp cho đến nay không phải là cách duy nhất mà các tác nhân đe dọa đang cố gắng trốn tránh các giải pháp phát hiện mối đe dọa truyền thống. Họ cũng sử dụng phần mềm hợp pháp để khám phá và di chuyển ngang cũng như cấu hình các cửa hậu để thiết lập chỗ đứng trên hệ thống mà không sử dụng phần mềm độc hại. Cái gọi là các cuộc tấn công “không có phần mềm độc hại” rất khó phát hiện và gây ra mối đe dọa nghiêm trọng cho các tổ chức không có đội giám sát bảo mật chuyên nghiệp thường xuyên tìm kiếm các phần mềm không phổ biến và các phát hiện cơ bản để có thể phát hiện những bất thường này và phản ứng với chúng một cách kịp thời. kịp thời.
Giải pháp tăng cường an ninh mạng của Nextron
Nextron bước vào nơi mà các biện pháp an ninh truyền thống có thể bỏ sót các mối đe dọa. Các công cụ điều tra kỹ thuật số của chúng tôi tiến hành phân tích kỹ lưỡng các hệ thống có dấu hiệu hoạt động bất thường. Họ xác định một cách hiệu quả phần mềm rủi ro và phát hiện một loạt mối đe dọa mà các phương pháp tiêu chuẩn có thể không phát hiện được.
Bộ sưu tập chữ ký của chúng tôi được điều chỉnh để phát hiện nhiều mối lo ngại về bảo mật. Điều này bao gồm các công cụ của hacker, tàn tích của chúng, hoạt động bất thường của người dùng, cài đặt cấu hình ẩn và phần mềm hợp pháp có thể bị lạm dụng để tấn công. Cách tiếp cận của chúng tôi đặc biệt hữu ích trong việc phát hiện các chiến thuật được sử dụng trong các cuộc tấn công chuỗi cung ứng và xác định các công cụ trốn tránh hệ thống Chống vi-rút và EDR.
Tính linh hoạt là một khía cạnh quan trọng trong các giải pháp của chúng tôi. Chúng cho phép kiểm tra chi tiết các thiết bị và hệ thống không có trong EDR thông thường, bao gồm các thiết bị, thiết bị mạng cũng như hệ thống IoT và OT như máy in hoặc hệ thống PBX. Các công cụ của Nextron cung cấp cái nhìn bảo mật toàn diện, cho phép các tổ chức giải quyết những thách thức phức tạp của môi trường an ninh mạng ngày nay.