Vector tấn công

Cách tấn công thực sự diễn ra

Hollywood thường mô tả hacker gõ phím dữ liệu xanh lá cây vào terminal. Thực tế thì không hào nhoáng như vậy. Hầu hết các vụ xâm phạm bắt đầu từ một trong số ít các vector tấn công phổ biến:

Lừa đảo (Phishing): Lừa một người dùng nhấp vào liên kết, mở tệp đính kèm, hoặc nhập thông tin đăng nhập trên trang web giả mạo. Đây vẫn là phương pháp truy cập ban đầu phổ biến nhất. Spear phishing nhắm mục tiêu vào một người cụ thể với mồi nhử được tùy chỉnh.

Phần mềm độc hại (Malware): Phần mềm được thiết kế để gây thiệt hại hoặc truy cập trái phép: ransomware mã hóa tệp của bạn và yêu cầu thanh toán, trojan ngụy trang thành phần mềm hợp pháp, và worm lan truyền tự động qua mạng.

Tấn công chuỗi cung ứng (Supply Chain Attacks): Xâm phạm một nhà cung cấp đáng tin cậy hoặc phụ thuộc phần mềm. Cuộc tấn công SolarWinds năm 2020 đã chèn mã độc vào một bản cập nhật phần mềm thông thường được phân phối đến 18.000 tổ chức, bao gồm các cơ quan chính phủ Hoa Kỳ.

Tấn công thông tin xác thực (Credential Attacks): Dùng brute force để phá mật khẩu, credential stuffing (sử dụng mật khẩu rò rỉ từ các vụ rò rỉ khác),或利用从未更改的默认凭据。

Zero-Day Exploits: Tấn công lỗ hổng mà nhà cung cấp phần mềm chưa biết đến. Những cuộc tấn công này hiếm gặp nhưng rất nguy hiểm vì chưa có bản vá.

Threat Actors and MITRE

Ai đứng sau các cuộc tấn công?

Không phải ai cũng là kẻ tấn công giống nhau. Các chuyên gia an ninh mạng phân loại họ theo động cơ và khả năng:

Script Kiddies: Những kẻ tấn công có kỹ năng thấp, sử dụng các công cụ có sẵn. Họ gây ra thiệt hại thực sự nhưng không tinh vi.

Hacktivists: Động cơ chính trị hoặc xã hội. Họ phá hoại trang web, rò rỉ dữ liệu, hoặc tấn công từ chối dịch vụ để đưa ra quan điểm.

Cybercriminals: Động cơ lợi nhuận. Các băng đảng ransomware, các nhóm lừa đảo, và các nhà môi giới dữ liệu. Đây là tội phạm có tổ chức được thích nghi cho internet.

Nation-State Actors (APTs): Advanced Persistent Threats được chính phủ hậu thuẫn. Họ có ngân sách lớn, công cụ tùy biến, và kiên nhẫn được đo lường bằng năm. Nghĩ đến việc gián điệp, phá hoại hạ tầng, và trộm cắp sở hữu trí tuệ.

Insiders: Nhân viên hoặc nhà thầu có quyền truy cập hợp pháp nhưng misuses nó, dù là ác ý hoặc do sự bất cẩn.

Khung MITRE ATT&CK

MITRE ATT&CK là một kho kiến thức công khai ghi nhận các kỹ thuật tấn công thực tế, được tổ chức theo các giai đoạn: truy cập ban đầu, thực thi, duy trì sự hiện diện, leo thang đặc quyền, di chuyển ngang, khai thác dữ liệu, & nhiều hơn nữa. Các nhà bảo vệ sử dụng nó để hiểu hành vi của kẻ tấn công ở mỗi giai đoạn & xây dựng các phương pháp phát hiện phù hợp.

Tường lửa, VPN và IDS/IPS

Các Lớp Phòng thủ Mạng

Bảo mật mạng là về việc kiểm soát lưu lượng truy cập mạng nào đi vào, đi ra, và di chuyển trong mạng của bạn. Không có thiết bị nào làm điều này alone: defense in depth nghĩa là xếp chồng nhiều lớp kiểm soát.

Tường lửa: Hàng rào đầu tiên. Tường lửa kiểm tra lưu lượng truy cập mạng và cho phép hoặc chặn dựa trên các quy tắc. Tường lửa cơ bản lọc theo địa chỉ IP và số cổng. Tường lửa thế hệ tiếp theo (NGFW) kiểm tra nội dung thực tế của lưu lượng truy cập và có thể xác định các ứng dụng cụ thể.

VPNs (Virtual Private Networks): Mã hóa lưu lượng giữa hai điểm, tạo ra một đường hầm an toàn qua mạng không đáng tin cậy như internet công cộng. Nhân viên làm việc từ xa sử dụng VPN để truy cập tài nguyên nội bộ của công ty như thể họ đang ở văn phòng.

IDS/IPS (Intrusion Detection/Prevention Systems): IDS giám sát lưu lượng và cảnh báo khi phát hiện điều gì đó đáng ngờ. IPS làm tương tự nhưng có thể tự động chặn lưu lượng. IDS giống như camera an ninh, còn IPS giống như camera an ninh kèm theo nhân viên bảo vệ có thể khóa cửa.

Network Segmentation: Phân chia mạng thành các vùng cô lập để một vi phạm ở một khu vực không dễ dàng lây lan sang các khu vực khác. Một máy trạm bị xâm phạm trong phòng marketing không nên có thể truy cập vào máy chủ cơ sở dữ liệu trong phòng tài chính.

Zero Trust and DNS Security

Zero Trust Architecture

Mô hình bảo mật mạng truyền thống tuân theo mô hình lâu đài và hào nước: phòng thủ chu vi mạnh mẽ, nhưng một khi bạn đã ở bên trong, bạn được tin tưởng. Mô hình này thất bại thảm hại khi kẻ tấn công vượt qua chu vi: hoặc khi chu vi biến mất vì mọi người làm việc từ xa.

Zero Trust đảo ngược mô hình: không bao giờ tin tưởng, luôn xác minh. Mỗi yêu cầu: dù đến từ bên trong hay bên ngoài mạng: đều phải được xác thực, ủy quyền và mã hóa. Các nguyên tắc chính:

- Xác minh rõ ràng: Xác thực và ủy quyền dựa trên tất cả dữ liệu có sẵn: danh tính, vị trí, tình trạng thiết bị, dịch vụ hoặc khối lượng công việc, phân loại dữ liệu.

- Quyền truy cập tối thiểu: Cấp cho người dùng và hệ thống chỉ những quyền tối thiểu cần thiết, chỉ trong thời gian họ cần.

- Giả định bị xâm phạm: Thiết kế hệ thống như thể kẻ tấn công đã ở bên trong. Giảm thiểu bán kính thiệt hại của bất kỳ sự xâm phạm nào.

DNS Security

DNS dịch tên miền thành địa chỉ IP. Kẻ tấn công khai thác điều này theo nhiều cách: DNS spoofing chuyển hướng người dùng đến các trang web độc hại, DNS tunneling che giấu việc đánh cắp dữ liệu trong các truy vấn DNS, & domain hijacking chiếm quyền kiểm soát một tên miền hợp pháp. DNSSEC thêm chữ ký mật mã vào các phản hồi DNS để ngăn chặn việc giả mạo.

Tấn công Tiêm nhiễm

Khi Ứng dụng Trở thành Bề mặt Tấn công

Các biện pháp bảo vệ mạng có thể hoàn hảo, nhưng nếu ứng dụng có lỗ hổng, kẻ tấn công sẽ đi thẳng qua cửa trước.

SQL Injection: Kẻ tấn công chèn mã SQL độc hại vào trường nhập liệu. Nếu ứng dụng xây dựng truy vấn cơ sở dữ liệu bằng cách nối chuỗi dữ liệu người dùng, kẻ tấn công có thể đọc, sửa đổi hoặc xóa toàn bộ cơ sở dữ liệu. Ví dụ: nhập ' OR 1=1 -- vào biểu mẫu đăng nhập có thể bỏ qua xác thực hoàn toàn.

Cross-Site Scripting (XSS): Kẻ tấn công chèn JavaScript độc hại vào trang web mà người dùng khác sẽ xem. Khi nạn nhân tải trang, script chạy trong trình duyệt của họ và có thể ăn cắp cookie phiên, redirect họ đến các trang lừa đảo, hoặc sửa đổi những gì họ thấy trên trang.

OWASP Top 10: Open Web Application Security Project xuất bản danh sách các rủi ro bảo mật ứng dụng web quan trọng nhất được cập nhật thường xuyên. Injection và XSS đã có mặt trong danh sách hơn một thập kỷ. Các mục khác bao gồm kiểm soát truy cập bị hỏng, cấu hình bảo mật sai, và thiết kế không an toàn.

Giải pháp cho các cuộc tấn công injection không chỉ là lọc đầu vào: mà là các truy vấn tham số hóa (còn gọi là prepared statements). Thay vì xây dựng chuỗi SQL với đầu vào của người dùng, bạn truyền đầu vào như một tham số riêng biệt mà cơ sở dữ liệu xử lý như dữ liệu, không bao giờ như mã.

Xác thực và Phát triển An toàn

Xác thực Đúng cách

Xác thực là chứng minh bạn là người mà bạn tuyên bố. Ủy quyền là xác định những gì bạn được phép làm. Việc nhầm lẫn hai khái niệm này là nguồn gốc phổ biến của các lỗ hổng.

Xác thực đa yếu tố (MFA): Yêu cầu hai hoặc nhiều yếu tố: thứ bạn biết (mật khẩu), thứ bạn có (điện thoại hoặc khóa phần cứng), thứ bạn là (vân tay). MFA ngăn chặn phần lớn các cuộc tấn công dựa trên thông tin đăng nhập vì chỉ cần mật khẩu bị đánh cắp là không đủ.

OAuth 2.0 và OpenID Connect: Các tiêu chuẩn cho ủy quyền và xác thực ủy thác. Khi bạn click 'Sign in with Google,' OAuth cho phép ứng dụng xác minh danh tính của bạn thông qua Google mà không cần nhìn thấy mật khẩu Google của bạn.

Vòng đời phát triển phần mềm an toàn (SDLC)

Bảo mật không thể được thêm vào sau khi phát triển. Secure SDLC tích hợp bảo mật ở mọi giai đoạn:

- Thiết kế: Mô hình hóa mối đe dọa: điều gì có thể xảy ra?

- Phát triển: Tiêu chuẩn mã hóa an toàn, xem xét mã, công cụ phân tích tĩnh

- Kiểm thử: Phân tích động, kiểm thử xâm nhập, kiểm thử fuzz

- Triển khai: Cấu hình được gia cố, quản lý bí mật

- Bảo trì: Vá lỗi, quét lỗ hổng, cập nhật phụ thuộc

Vòng đời Phản ứng Sự cố

Khi Phòng ngừa Thất bại

Không có biện pháp phòng thủ nào là hoàn hảo. Khi xảy ra vi phạm, sự khác biệt giữa một sự cố nhỏ & một thảm họa là tốc độ & hiệu quả của phản ứng.

Vòng đời phản hồi sự cố tiêu chuẩn có sáu giai đoạn:

1. Chuẩn bị: Xây dựng đội ngũ, xác định vai trò, tạo playbook, thực hiện bài tập tabletop. Đây là giai đoạn diễn ra trước khi có bất kỳ sự cố nào. Một đội ngũ chưa được chuẩn bị sẽ lãng phí nhiều giờ quý giá để xác định ai làm gì.

2. Phát hiện và Phân tích: Nhận diện rằng một sự cố đang xảy ra và xác định phạm vi của nó. Đây là giai đoạn mà các hệ thống SIEM (Security Information and Event Management) tổng hợp nhật ký từ khắp môi trường và cảnh báo về các mẫu đáng ngờ. Các nhà phân tích SOC (Security Operations Center) phân loại các cảnh báo này 24/7.

3. Kiềm chế: Ngăn chặn sự lan rộng. Kiềm chế ngắn hạn có thể nghĩa là cô lập máy tính bị nhiễm khỏi mạng. Kiềm chế dài hạn có thể nghĩa là xây dựng một môi trường song song sạch trong khi bạn điều tra.

4. Xóa bỏ: Loại bỏ hoàn toàn sự hiện diện của kẻ tấn công: phần mềm độc hại, cửa hậu, tài khoản bị xâm phạm và các cơ chế duy trì sự tồn tại.

5. Khôi phục: Khôi phục hệ thống về hoạt động bình thường. Xác nhận môi trường đã sạch. Theo dõi chặt chẽ các dấu hiệu cho thấy kẻ tấn công vẫn còn hiện diện.

6. Bài học kinh nghiệm: Giai đoạn bị bỏ qua nhiều nhất. Tiến hành phân tích hậu sự cố không đổ lỗi: sự cố xảy ra như thế nào, được phát hiện ra như thế nào, điều gì đã hoạt động, điều gì không hoạt động,以及哪些改变将防止再次发生。

Kịch bản Ứng phó Sự cố

Kịch bản: Mã độc tống tiền lúc 2 giờ sáng

Bạn là chuyên viên phân tích an ninh trực ban. Lúc 2:14 sáng, SIEM của bạn kích hoạt cảnh báo: nhiều máy chủ tập tin đang hiển thị hoạt động mã hóa bất thường. Trong vòng vài phút, nhân viên tại văn phòng châu Âu báo cáo rằng các tập tin của họ đã bị thay thế bằng các thông báo đòi tiền chuộc yêu cầu 50 Bitcoin.

Kế hoạch ứng phó sự cố của bạn quy định phải báo cáo cho trưởng nhóm IR và tuân theo playbook ransomware. CEO đang gọi. Phòng pháp chế muốn biết về nghĩa vụ thông báo. Giám đốc IT muốn biết liệu các bản sao lưu có sạch hay không.

Bài học kinh nghiệm [BLOCK_TYPE ir/lessons]

Giai đoạn mà mọi người bỏ qua

Sau khi giải quyết xong cuộc khủng hoảng, giai đoạn rút ra bài học kinh nghiệm quyết định liệu tổ chức có thực sự cải thiện hay không. Một buổi họp rút kinh nghiệm không đổ lỗi sẽ hỏi: [BLOCK_TYPE ir/lessons]

- Vector truy cập ban đầu là gì? [BLOCK_TYPE ir/lessons]

- Kẻ tấn công đã ở trong môi trường bao lâu trước khi phát hiện (thời gian lưu trú)? [BLOCK_TYPE ir/lessons]

- Những biện pháp kiểm soát nào đã thất bại, và tại sao? [BLOCK_TYPE ir/lessons]

- Những biện pháp kiểm soát nào đã hoạt động?

- Những thay đổi cụ thể, có thể đo lường được nào sẽ ngăn chặn sự tái phát?

Từ blameless rất quan trọng. Nếu mọi người sợ bị trừng phạt, họ sẽ che giấu sai lầm. Nếu họ che giấu sai lầm, tổ chức sẽ không bao giờ học hỏi được. Mục tiêu là sửa chữa hệ thống, chứ không phải trừng phạt người cá nhân.

Thời gian lưu trú trung bình của các cuộc tấn công ransomware đã giảm trong những năm gần đây, nhưng đối với các loại tấn công khác, kẻ tấn công thường không bị phát hiện trong nhiều tuần hoặc nhiều tháng. Tốc độ phát hiện là một trong các chỉ số quan trọng nhất trong các hoạt động bảo mật.

Các lộ trình sự nghiệp trong An ninh mạng

Kiến thức này dẫn đến đâu

An ninh mạng đang gặp tình trạng thiếu hụt nhân sự nghiêm trọng: hàng trăm nghìn vị trí còn trống trên toàn cầu. Lĩnh vực này mang đến nhiều lộ trình sự nghiệp phù hợp với các tính cách và kỹ năng khác nhau:

Nhà phân tích SOC: Tuyến đầu. Các nhà phân tích SOC làm việc theo ca, giám sát cảnh báo, phân loại sự cố và chuyển giao mối đe dọa. Đây là điểm vào phổ biến nhất trong an ninh mạng. Công việc theo ca và dễ bị mệt mỏi vì cảnh báo là điều thường gặp, nhưng nó giúp xây dựng kiến thức thực tế sâu nhanh chóng.

Kiểm thử thâm nhập (Pentester): Bạn được trả tiền để đột nhập vào tổ chức với sự cho phép của họ. Bạn tìm ra lỗ hổng trước khi kẻ tấn công làm vậy. Yêu cầu kỹ năng kỹ thuật sâu về mạng, ứng dụng web và hệ điều hành. Kỹ năng giải quyết vấn đề sáng tạo là điều cần thiết.

Kỹ sư bảo mật: Thiết kế và xây dựng cơ sở hạ tầng phòng thủ: tường lửa, hệ thống SIEM, nền tảng danh tính, hệ thống mã hóa. Đây là vai trò người xây dựng. Có sự chồng chéo mạnh với DevOps và kỹ thuật đám mây.

Phân tích pháp y kỹ thuật số và Ứng phó sự cố (DFIR): Các nhà điều tra. Khi xảy ra vi phạm, các chuyên gia DFIR tái tạo lại những gì đã xảy ra, cách thức và thời điểm. Yêu cầu sự chú ý tỉ mỉ đến chi tiết và sự thoải mái khi xử lý quy trình pháp lý và chứng cứ.

Chứng chỉ

Chứng chỉ không bắt buộc, nhưng chúng mở ra nhiều cơ hội:

- CompTIA Security+: Chứng chỉ cấp nhập môn tiêu chuẩn ngành. Bao gồm các khái niệm bảo mật cơ bản. Một điểm khởi đầu tốt.

- OSCP (Offensive Security Certified Professional): Chứng chỉ kiểm thử xâm nhập thực hành. Bạn có 24 giờ để xâm nhập nhiều máy tính trong môi trường lab. Được đánh giá cao và thực sự khó.

- CISSP (Certified Information Systems Security Professional): Chứng chỉ cấp quản lý bao gồm chiến lược bảo mật, quản lý rủi ro và quản trị. Yêu cầu năm năm kinh nghiệm. Được yêu cầu rộng rãi cho các vai trò cấp cao và lãnh đạo.

Tư duy Bảo mật của Bạn

Kết thúc

Bạn đã học được rất nhiều: CIA triad, các tác nhân đe dọa & vector tấn công, bảo vệ mạng & zero trust, bảo mật ứng dụng & tấn công injection, ứng phó sự cố từ phát hiện đến rút ra bài học, & các lộ trình nghề nghiệp giúp áp dụng tất cả những kiến thức này.

Nguyên tắc cốt lõi của defense in depth là không có biện pháp kiểm soát nào đủ mạnh. Bạn cần xếp lớp tường lửa với phân đoạn mạng, phân đoạn mạng với giám sát, giám sát với ứng phó sự cố, & tất cả những điều này với đội ngũ nhân viên được đào tạo, biết phải làm gì khi một biện pháp thất bại.

Kẻ tấn công chỉ cần tìm ra một lỗ hổng. Người bảo vệ cần phải che chắn tất cả. Sự bất cân xứng này chính là điều làm cho lĩnh vực này vừa đầy thách thức vừa quan trọng.