Thực hiện các bước đi lan ra mạng nội bộ (lateral movement) là một trong những loại hoạt động mạng để lại nhiều hậu quả nhất mà các tổ chức cần phải đề phòng. Sau khi truy cập vào mạng, kẻ tấn công duy trì quyền truy cập liên tục thông qua môi trường bị xâm phạm và chiếm được đặc quyền cao hơn (được gọi là “leo thang đặc quyền”) bằng cách sử dụng các công cụ và kỹ thuật khác nhau. Sau đó, những kẻ tấn công sử dụng các đặc quyền đó để tiến sâu hơn vào mạng nhằm tìm kiếm dữ liệu đáng giá và các tài sản có giá trị khác.
Lateral movement là một cách tiếp cận quan trọng giúp phân biệt các mối đe dọa liên tục nâng cao (APT – advanced persistent threats) ngày nay với các cuộc tấn công mạng truyền thống. Đó là dấu hiệu của những kẻ tấn công đủ tinh vi để tránh bị phát hiện và duy trì quyền truy cập ngay cả khi sự hiện diện của họ bị phát hiện trên máy bị lây nhiễm đầu tiên. Với thời gian tồn tại kéo dài này, kẻ tấn công có thể không bắt đầu ăn cắp dữ liệu sau vài tuần hoặc thậm chí vài tháng kể từ khi vi phạm ban đầu xảy ra.
Kiến thức mạng: Chìa khóa để đánh bại Lateral Movement
Để bảo vệ mạng khỏi lateral movement, điều quan trọng là phải hiểu được môi trường mạng trông như thế nào, được quản lý ra sao và cách thiết lập môi trường để có các hoạt động tối ưu.
Có chính sách bảo mật chuẩn (security baseline) gắn liền với các biện pháp kiểm soát bảo mật thông tin then chốt là điều tối quan trọng trong nỗ lực đó. Khi phần cứng, phần mềm và các nội dung khác lệch khỏi chính sách bảo mật chuẩn của chúng, những thay đổi này trở thành dấu hiệu rõ ràng về việc liệu có điều gì đó không tuân thủ chính sách bảo mật chuẩn hay không. Tuy nhiên, quy trình nào nên được sử dụng để duy trì cấu hình? Quá trình sẽ diễn ra để theo dõi liên tục sự thay đổi trong các thiết bị này là gì?
Ví dụ, hãy tưởng tượng rằng bộ định tuyến lệch khỏi cấu hình chuẩn của nó. Việc cần làm là xác định những thay đổi đó là gì để tìm hiểu xem chúng có phải là một phần của hoạt động đáng ngờ hay không. Bất kể chúng độc hại hay là không, cần phải hiểu rằng những thay đổi đó ảnh hưởng như thế nào đến phần còn lại của môi trường nói chung và liệu những sự kiện đó có ảnh hưởng đến thời gian hoạt động hay không.
Kiểm soát dựa trên thăm dò
Khi tổng hợp lại tất cả những điều này, nhu cầu trở nên rõ ràng hơn là phải có các biện pháp kiểm soát dựa trên phát hiện gắn liền với hoạt động của môi trường. Điều bắt buộc đối với việc kiểm soát thăm dò này là có thể cho chúng ta biết điều gì đang diễn ra trong môi trường cụ thể một cách “kịp thời”.
Kiểm soát thăm dò phục vụ để phát hiện và báo cáo các sự kiện không mong muốn đang diễn ra.
Ví dụ điển hình về kiểm soát thăm dò có thể được tìm thấy trong các hệ thống báo trộm thương mại hoặc hộ gia đình (hệ thống phát hiện xâm nhập). Các giải pháp như vậy thường theo dõi các chỉ số về hoạt động trái phép, chẳng hạn như cửa ra vào hoặc cửa sổ bị mở, hoặc kính bị vỡ. Họ cũng có thể theo dõi chuyển động đáng ngờ, mất điện, thay đổi nhiệt độ và các điều kiện môi trường không mong muốn như lũ lụt, khói, lửa và quá nhiều carbon dioxide trong không khí.
Giám sát tính toàn vẹn của tệp
Giám sát tính toàn vẹn của tệp (FIM) là một quy trình hoặc việc kiểm soát thăm dò nội bộ thực hiện hành động xác thực hệ điều hành và phần mềm ứng dụng bằng cách so sánh trạng thái hiện tại với chính sách bảo mật chuẩn đã được biết.
Phương pháp so sánh này thường liên quan đến việc tính toán mã checksum đã biết của chính sách bảo mật chuẩn ban đầu của tệp và so sánh với checksum được tính toán của trạng thái hiện tại của tệp. Các thuộc tính tệp khác cũng có thể được sử dụng để giám sát tính toàn vẹn.
Nói chung, hành động thực hiện giám sát tính toàn vẹn của tệp được tự động hóa bằng cách sử dụng kiểm soát nội bộ. Việc giám sát như vậy có thể được thực hiện ngẫu nhiên, tại một khoảng thời gian thăm dò xác định hoặc trong thời gian thực. Các tùy chọn này cung cấp cho tổ chức một lợi thế khi phát hiện các cuộc tấn công và xác định rủi ro.
Cách thức hoạt động
FIM phát hiện sự thay đổi bằng cách thiết lập trước tiên một phiên bản chính sách chuẩn chi tiết cao của từng tệp hoặc cấu hình được giám sát ở trạng thái đã biết và đáng tin cậy. Sử dụng giám sát thời gian thực, FIM phát hiện bất kỳ thay đổi ảnh hưởng đến bất kỳ khía cạnh nào của tệp hoặc cấu hình và ghi lại những thay đổi này trong các phiên bản tiếp theo. Các phiên bản này lần lượt cung cấp các chế độ xem quan trọng “trước” và “sau” hiển thị chính xác ai đã thực hiện thay đổi, điều gì đã thay đổi và hơn thế nữa.
Ngoài ra, một giải pháp FIM thực sự áp dụng thông tin thay đổi cho mỗi sửa đổi để xác định xem nó có ảnh hưởng đến các quy tắc toàn vẹn hay không. Điều này giúp xác định xem thay đổi có đưa cấu hình ra khỏi chính sách hay đó là cài đặt liên quan đến một cuộc tấn công. Điều này thực sự quan trọng khi bạn đang cố gắng hiểu những gì đang xảy ra với môi trường của bạn một cách “kịp thời”. Hãy nhớ rằng, lateral movement là những gì kẻ tấn công có thể thực hiện thông qua một lượng lớn thời gian “lưu trú lại” trên mạng của bạn khi họ chuẩn bị leo thang đặc quyền.
Thăm dò thay đổi bằng Kiểm soát Thăm dò
Bằng cách áp dụng các biện pháp kiểm soát thăm dò trong môi trường của bạn trên các máy chủ quan trọng, tường lửa, hệ thống tệp, thiết bị mạng, cơ sở dữ liệu, ứng dụng, cơ sở hạ tầng bảo mật, Tripwire có thể dễ dàng giúp các công ty tập trung hơn nhiều vào việc phát hiện thay đổi trong các hệ thống này một cách toàn diện. Do đó, nó có thể cung cấp một bức tranh phân tích giúp giữ rủi ro ở cấp độ chức năng và hoạt động trong một tổ chức.