Kaspersky: Tại sao phản ứng đúng thời điểm là cần thiết

Theo một nghiên cứu, 84% doanh nghiệp trên toàn cầu thừa nhận rằng các cuộc tấn công mạng ngày càng tinh vi hơn. Họ lo lắng về các lỗ hổng, bề mặt tấn công, chiến thuật đe dọa, phần mềm độc hại, bảo mật thiết bị di động và việc nhân viên sử dụng các dịch vụ đám mây của người tiêu dùng.

May mắn thay, có rất nhiều công cụ, nguồn thông tin và hướng dẫn (chẳng hạn như  NIST, SANS hoặc Sơ đồ tri thức MITRE D3FEND), giúp tinh chỉnh phản ứng trước các cuộc tấn công tinh vi. Chúng hiểu rõ về cách săn lùng các mối đe dọa và xử lý các hệ thống CNTT. Trong phần này, tôi muốn tập trung vào một câu hỏi cụ thể liên quan đến ứng phó sự cố: khi nào thì nên chuyển từ giai đoạn điều tra sang giai đoạn ứng phó?.

Sandra Lee, Giám đốc Điều hành Kaspersky khu vực Châu Á – Thái Bình Dương, tác giả bài viết

Theo báo cáo của Kaspersky Incident Response, cuộc tấn công cao điểm trung bình kéo dài 1,5 ngày. Thời gian như thế là rất nhanh. Với một kẻ tấn công có kinh nghiệm, đội an ninh cần phản ứng nhanh chóng. Nhưng phản hồi kịp thời không nhất thiết có nghĩa là các hành động ác ý sẽ bị chặn ngay lập tức. Như Gandalf the Grey đã nói “Một phù thủy không bao giờ đến muộn. Anh ta cũng không đến sớm. Anh ta đến đúng thời điểm khi anh ta muốn.

Điều quan trọng là phải hiểu đúng thời điểm để bắt đầu các giai đoạn ứng phó ngăn chặn, tiêu diệt và phục hồi. Một phản ứng không đúng thời điểm có thể báo hiệu cho những kẻ tấn công rằng hành động của chúng không còn bí mật nữa. Ví dụ: nếu nhóm ứng phó sự cố ngăn chặn phần mềm bị nhiễm, địa chỉ IP hoặc URL độc hại ngay khi phát hiện dấu hiệu đầu tiên của mối đe dọa, thì những kẻ tấn công có thể ẩn trong mạng hoặc thay đổi chiến thuật của chúng. Sau đó, việc này sẽ yêu cầu chu trình điều tra phải được bắt đầu lại lần nữa. Những kẻ tấn công có thể ẩn náu rất kỹ và lâu, việc phát hiện ra sau đó gần như không thể cho đến khi hoạt động tiếp theo của chúng được tiết lộ

Các cuộc tấn công APT sử dụng kỹ thuật mở rộng địa bàn khai thác (lateral movement) để không bị chú ý trong nhiều ngày, vài tháng hoặc thậm chí nhiều năm. Họ có thể tìm kiếm những tài sản quan trọng trong môi trường của nạn nhân. Ví dụ, trong một cuộc tấn công Lazarus, kẻ xấu đã vượt qua được phân đoạn mạng và tiếp cận mạng bị hạn chế nhờ vào việc tìm cách xâm nhập máy quản trị kết nối cả phân đoạn công ty và phân đoạn bị hạn chế. Phân tích về hoạt động APT của Tunnel Snake, được xuất bản vào năm 2020, đã tiết lộ một trường hợp ở Nam Á có kẻ đã ẩn nấu trong mạng từ đầu năm 2018.

Một vấn đề khác đối với việc phản ứng sớm là nó có thể gây ra tình huống không phát hiện ra một số dấu vết tấn công trong giai đoạn tiêu diệt vì nhóm bảo mật CNTT không phát hiện ra hoặc không liên hệ chúng với cuộc tấn công trong giai đoạn điều tra.

Hơn nữa, điểm vào có thể vẫn chưa rõ ràng. Điều này có thể bao gồm một lỗ hổng, một điểm cuối không được bảo vệ hoặc bất kỳ vectơ nào khác. Trong trường hợp này, ngay cả khi cuộc tấn công đã dừng lại và tất cả các phần tử độc hại đã bị xóa sổ, nguy cơ những kẻ xâm nhập thực hiện một nỗ lực khác thông qua các cổng tương tự nhưng với các chiến thuật, kỹ thuật và quy trình mới sẽ vẫn còn.

Sau đây là một số bước có thể được thực hiện để tránh hậu quả này:

1. Tìm chuỗi tiêu diệt tấn công

Ngay khi một nhóm bảo mật CNTT phát hiện ra tổ chức của họ bị xâm nhập và có một người ở phía bên kia, không chỉ phần mềm độc hại, họ cần theo dõi cuộc tấn công và tìm ra càng nhiều dấu vết càng tốt. Các hành động của kẻ tấn công phải được theo dõi trên toàn bộ mạng, không chỉ ở phạm vi gần kề. Cuộc tấn công càng đi xa, dấu vết để lại càng nhiều, mà “thợ săn” có thể quy cho một nhóm APT hoặc ít nhất là đoán được mục tiêu của chúng và sau đó truy lùng chúng một cách hiệu quả nhất. Điều cực kỳ quan trọng là phải tìm ra điểm tấn công để tránh lặp lại sự cố như thế này.

Từ đó rút ra được một lý thuyết cho rằng điều tra là cốt lõi của ứng phó sự cố. Mô tả thêm bởi Jason T. Luttgens, Matthew Pepe và Kevin Mandia2: Mục tiêu cuối cùng của ứng phó sự cố được thực hiện thông qua hai hoạt động - điều tra và khắc phục. Điều tra liên quan đến việc xác định vectơ tấn công, công cụ, hệ thống bị ảnh hưởng, thiệt hại, khung thời gian xâm nhập, v.v. Nói cách khác, phân tích toàn diện là điều bắt buộc trước khi chuyển sang việc khắc phục. Các phương pháp tiếp cận thông tin mối đe dọa và đánh giá tấn công, chẳng hạn như MITER ATT & CK, là chìa khóa ở giai đoạn này.

2. Biết khi nào nên dừng cuộc tấn công

Tất nhiên, điều quan trọng là nhóm vẫn có thể ngăn chặn kẻ xâm nhập trước khi chúng tiếp cận các dịch vụ kinh doanh quan trọng hoặc chuyển đến một tổ chức khác mà công ty kết nối. Đây là nơi các kỹ năng của nhóm được phát huy - thu thập lượng dữ liệu tối đa về cuộc tấn công để cho phép lập kế hoạch phản ứng hiệu quả nhất trong khi vẫn hành động trước khi kẻ xâm nhập có thể ảnh hưởng đến doanh nghiệp.

Điều này dẫn chúng ta đến điểm tiếp theo - và có lẽ là điểm quan trọng nhất.

3. Tìm hiểu và giám sát mạng

Các đội bảo mật CNTT nên có một bức tranh rõ ràng về toàn bộ mạng lưới doanh nghiệp, bao gồm các thiết bị biên, điểm cuối, phân đoạn mạng và thiết bị được kết nối. Điều này có thể đạt được thông qua giám sát mạng, kiểm tra thường xuyên, quét các kết nối, v.v. Các doanh nghiệp lớn với nhiều đơn vị, chuỗi cung ứng và các công ty con cần phải xem đây là điều bắt buộc.

Thực hiện kiểm tra và giám sát mạng cùng với các biện pháp như chính sách và phân đoạn mạng, giúp giảm số lượng điểm vào tiềm năng.

Biết và quen thuộc với mạng cũng rất quan trọng để hiểu khi nào cần ngăn chặn và loại bỏ một cuộc tấn công trước khi nó tiếp cận các quy trình kinh doanh quan trọng. Ở giai đoạn xóa và khắc phục, tất cả các công cụ và dấu vết phần mềm độc hại phải được xóa khỏi tất cả các điểm cuối và tất cả các hệ thống bị xâm phạm phải được cài đặt lại và đặt lại thông tin đăng nhập. Việc bỏ sót bất kỳ phần mềm độc hại nào trong phần hỗ trợ bên trong (backend) của mạng có thể cho phép một đợt tấn công khác trong tương lai.

May mắn thay, càng dành nhiều thời gian đối phó với những cuộc tấn công này, chúng ta càng biết nhiều hơn về tội phạm mạng. Tình báo về mối đe dọa và các công cụ cụ thể đã được thiết kế để giúp doanh nghiệp phát hiện các hành động độc hại. Nhưng cách hiệu quả nhất để bảo vệ chống lại các cuộc tấn công và tránh lặp lại là các tổ chức nên phát triển nội bộ hoặc thu hút chuyên gia từ bên ngoài để nâng cao kế hoạch ứng phó sự cố, biết khi nào cần phản ứng và có thể loại bỏ hoàn toàn tất cả phần mềm độc hại.