TamcauchuY
Rìu Chiến Chấm
Ngày 02/10/22
Mỗi năm, hàng tỷ thông tin đăng nhập xuất hiện trực tuyến, có thể là trên web đen, web xóa, các trang web dán hoặc trong kho dữ liệu được chia sẻ bởi tin tặc. Những thông tin đăng nhập này thường được sử dụng cho các cuộc tấn công chiếm đoạt tài khoản, khiến (mạng) của các tổ chức bị phơi bày, bị mã hóa dữ liệu và đòi tiền chuộc (ransomware) và đánh cắp dữ liệu.
Trong khi các sếp quản lý mạng (CISOs) nhận thức được các mối đe dọa đánh cắp danh tính ngày càng tăng và có nhiều công cụ trong kho vũ khí của họ để giúp giảm nguy cơ tiềm ẩn, thực tế là các phương pháp chống chọi hiện tại đã được chứng minh là không hiệu quả. Theo Báo cáo điều tra vi phạm dữ liệu năm 2022 của Verizon, hơn 60% vi phạm liên quan đến tài khoản người dùng bị xâm phạm.
Những kẻ tấn công sử dụng các kỹ thuật như kỹ thuật xã hội (social engineering), kỹ thuật dò tìm mật khẩu bằng phần mềm chuyên dụng (brute force attack) và mua thông tin đăng nhập bị rò rỉ trên các website "đen" (dark web) để xâm phạm danh tính bất hợp pháp và truy cập trái phép vào hệ thống và tài nguyên của các tổ chức.
Các tin tặc thường lợi dụng thực tế là một số mật khẩu được chia sẻ giữa những người dùng khác nhau, khiến việc xâm phạm nhiều tài khoản trong cùng một tổ chức trở nên dễ dàng hơn. Một số nhân viên sử dụng lại mật khẩu. Những người khác sử dụng một mẫu được chia sẻ trong mật khẩu của họ giữa các trang web khác nhau. Tin tặc có thể sử dụng các kỹ thuật bẻ khóa và tấn công từ điển để vượt qua các hoán vị mật khẩu bằng cách tận dụng một mẫu chia sẻ, ngay cả khi mật khẩu đã được hàm băm (hash). Thách thức chính đối với tổ chức là tin tặc chỉ cần một mật khẩu trùng khớp để đột nhập.
Để giảm thiểu bị tấn công đánh cắp tài khoản của họ, cùng với thông tin tình báo về các mối đe dọa hiện tại, các tổ chức cần tập trung vào những gì có thể khai thác từ quan điểm của đối thủ.
Dưới đây là năm bước mà các tổ chức nên thực hiện để giảm thiểu bị tấn công đánh cắp tài khoản:
#Thu thập dữ liệu thông tin đăng nhập bị rò rỉ
Để bắt đầu giải quyết vấn đề, các nhóm bảo mật cần thu thập dữ liệu về thông tin tài khoản đã bị rò rỉ ra bên ngoài ở nhiều nơi khác nhau, từ web mở đến web tối. Điều này có thể cung cấp cho họ dấu hiệu ban đầu về rủi ro đối với tổ chức của họ, cũng các tài khoản cá nhân cần được cập nhật.
#Phân tích dữ liệu
Từ đó, các nhóm bảo mật cần xác định tài khoản nào có thể dẫn đến sự cố lộ bảo mật. Kẻ tấn công sẽ kết hợp tên người dùng và mật khẩu (cleartext hoặc hash), sau đó cố gắng sử dụng chúng để truy cập các dịch vụ hoặc hệ thống. Các đội bảo mật nên sử dụng các kỹ thuật tương tự để đánh giá rủi ro của họ. Điều này bao gồm:
Sau khi xác thực thông tin đăng nhập bị rò rỉ để xác định mức độ phơi bày thực tế, các tổ chức có thể thực hiện hành động có chủ đích để giảm thiểu nguy cơ bị kẻ tấn công làm điều tương tự. Ví dụ: họ có thể xóa các tài khoản bị rò rỉ không hoạt động trong Active Directory hoặc bắt đầu thay đổi mật khẩu cho người dùng đang hoạt động.
#Đánh giá lại các quy trình bảo mật
Sau bước trên, các nhóm bảo mật nên đánh giá xem các quy trình hiện tại của họ có an toàn hay không và thực hiện các cải tiến nếu có thể. Ví dụ: nếu họ đang xử lý nhiều thông tin đăng nhập chính xác bị rò rỉ, họ có thể đề nghị thay đổi toàn bộ chính sách mật khẩu trong toàn bộ tổ chức. Tương tự, nếu người dùng không hoạt động được tìm thấy trong Active Directory, nó sẽ có lợi nếu họ xem lại qui trình cho nhân viên đó (offboarding process) nghỉ việc có an toàn cho mạng của tổ chức hay không.
#Tự động lặp lại
Những kẻ tấn công liên tục áp dụng các kỹ thuật mới. Các chỗ bị tấn công luôn thay đổi, với các danh tính mới được thêm vào và xóa bỏ thường xuyên. Tương tự như vậy, con người sẽ luôn dễ mắc phải những sai lầm vô tình. Do đó, nỗ lực một lần để tìm, xác thực và giảm thiểu sự cố lộ thông tin xác thực là không đủ. Để đạt được an ninh bền vững trong bối cảnh mối đe dọa năng động cao, các tổ chức phải liên tục lặp lại quá trình này.
Tuy nhiên, các nhóm bảo mật hạn chế về tài nguyên không đủ khả năng để thực hiện thủ công tất cả các bước này như chúng ta chạy bộ. Cách duy nhất để quản lý hiệu quả các mối đe dọa là tự động hóa quá trình xác thực.
Pentera cung cấp một cách để các tổ chức tự động mô phỏng các kỹ thuật của kẻ tấn công, cố gắng khai thác thông tin đăng nhập bị rò rỉ cả bên ngoài và bên trong mạng. Để đóng vòng xác thực, Pentera cung cấp thông tin chi tiết về các đường dẫn tấn công đầy đủ, cùng với các bước khắc phục có thể hành động cho phép các tổ chức tối đa hóa hiệu quả sức mạnh nhận dạng của họ.
Nguồn: httpsss://thehackernews.com/2022/09/five-steps-to-mitigate-risk-of.html
Mỗi năm, hàng tỷ thông tin đăng nhập xuất hiện trực tuyến, có thể là trên web đen, web xóa, các trang web dán hoặc trong kho dữ liệu được chia sẻ bởi tin tặc. Những thông tin đăng nhập này thường được sử dụng cho các cuộc tấn công chiếm đoạt tài khoản, khiến (mạng) của các tổ chức bị phơi bày, bị mã hóa dữ liệu và đòi tiền chuộc (ransomware) và đánh cắp dữ liệu.
Trong khi các sếp quản lý mạng (CISOs) nhận thức được các mối đe dọa đánh cắp danh tính ngày càng tăng và có nhiều công cụ trong kho vũ khí của họ để giúp giảm nguy cơ tiềm ẩn, thực tế là các phương pháp chống chọi hiện tại đã được chứng minh là không hiệu quả. Theo Báo cáo điều tra vi phạm dữ liệu năm 2022 của Verizon, hơn 60% vi phạm liên quan đến tài khoản người dùng bị xâm phạm.
Những kẻ tấn công sử dụng các kỹ thuật như kỹ thuật xã hội (social engineering), kỹ thuật dò tìm mật khẩu bằng phần mềm chuyên dụng (brute force attack) và mua thông tin đăng nhập bị rò rỉ trên các website "đen" (dark web) để xâm phạm danh tính bất hợp pháp và truy cập trái phép vào hệ thống và tài nguyên của các tổ chức.
Các tin tặc thường lợi dụng thực tế là một số mật khẩu được chia sẻ giữa những người dùng khác nhau, khiến việc xâm phạm nhiều tài khoản trong cùng một tổ chức trở nên dễ dàng hơn. Một số nhân viên sử dụng lại mật khẩu. Những người khác sử dụng một mẫu được chia sẻ trong mật khẩu của họ giữa các trang web khác nhau. Tin tặc có thể sử dụng các kỹ thuật bẻ khóa và tấn công từ điển để vượt qua các hoán vị mật khẩu bằng cách tận dụng một mẫu chia sẻ, ngay cả khi mật khẩu đã được hàm băm (hash). Thách thức chính đối với tổ chức là tin tặc chỉ cần một mật khẩu trùng khớp để đột nhập.
Để giảm thiểu bị tấn công đánh cắp tài khoản của họ, cùng với thông tin tình báo về các mối đe dọa hiện tại, các tổ chức cần tập trung vào những gì có thể khai thác từ quan điểm của đối thủ.
#Thu thập dữ liệu thông tin đăng nhập bị rò rỉ
Để bắt đầu giải quyết vấn đề, các nhóm bảo mật cần thu thập dữ liệu về thông tin tài khoản đã bị rò rỉ ra bên ngoài ở nhiều nơi khác nhau, từ web mở đến web tối. Điều này có thể cung cấp cho họ dấu hiệu ban đầu về rủi ro đối với tổ chức của họ, cũng các tài khoản cá nhân cần được cập nhật.
#Phân tích dữ liệu
Từ đó, các nhóm bảo mật cần xác định tài khoản nào có thể dẫn đến sự cố lộ bảo mật. Kẻ tấn công sẽ kết hợp tên người dùng và mật khẩu (cleartext hoặc hash), sau đó cố gắng sử dụng chúng để truy cập các dịch vụ hoặc hệ thống. Các đội bảo mật nên sử dụng các kỹ thuật tương tự để đánh giá rủi ro của họ. Điều này bao gồm:
- Kiểm tra xem thông tin đăng nhập có cho phép truy cập vào các tài sản được tiếp xúc bên ngoài của tổ chức, chẳng hạn như các dịch vụ web và cơ sở dữ liệu hay không
- Cố gắng bẻ khóa các giá trị sau khi băm của mật khẩu đã chụp được.
- Xác thực các kết quả phù hợp giữa các tài khoản bị rò rỉ và các công cụ quản lý tài khoản của tổ chức, chẳng hạn như Active Directory
- Thao tác các dữ liệu thô để gia tăng nhận dạng các tài khoản đã bị lộ. Ngay cả khi thông tin đăng nhập bị rò rỉ không cho phép truy cập vào các nội dung bên ngoài hoặc khớp với các mục nhập Active Directory, vẫn có thể tìm thấy các kết quả phù hợp bổ sung bằng cách thử nghiệm các cách khác nhau
Sau khi xác thực thông tin đăng nhập bị rò rỉ để xác định mức độ phơi bày thực tế, các tổ chức có thể thực hiện hành động có chủ đích để giảm thiểu nguy cơ bị kẻ tấn công làm điều tương tự. Ví dụ: họ có thể xóa các tài khoản bị rò rỉ không hoạt động trong Active Directory hoặc bắt đầu thay đổi mật khẩu cho người dùng đang hoạt động.
#Đánh giá lại các quy trình bảo mật
Sau bước trên, các nhóm bảo mật nên đánh giá xem các quy trình hiện tại của họ có an toàn hay không và thực hiện các cải tiến nếu có thể. Ví dụ: nếu họ đang xử lý nhiều thông tin đăng nhập chính xác bị rò rỉ, họ có thể đề nghị thay đổi toàn bộ chính sách mật khẩu trong toàn bộ tổ chức. Tương tự, nếu người dùng không hoạt động được tìm thấy trong Active Directory, nó sẽ có lợi nếu họ xem lại qui trình cho nhân viên đó (offboarding process) nghỉ việc có an toàn cho mạng của tổ chức hay không.
#Tự động lặp lại
Những kẻ tấn công liên tục áp dụng các kỹ thuật mới. Các chỗ bị tấn công luôn thay đổi, với các danh tính mới được thêm vào và xóa bỏ thường xuyên. Tương tự như vậy, con người sẽ luôn dễ mắc phải những sai lầm vô tình. Do đó, nỗ lực một lần để tìm, xác thực và giảm thiểu sự cố lộ thông tin xác thực là không đủ. Để đạt được an ninh bền vững trong bối cảnh mối đe dọa năng động cao, các tổ chức phải liên tục lặp lại quá trình này.
Tuy nhiên, các nhóm bảo mật hạn chế về tài nguyên không đủ khả năng để thực hiện thủ công tất cả các bước này như chúng ta chạy bộ. Cách duy nhất để quản lý hiệu quả các mối đe dọa là tự động hóa quá trình xác thực.
Pentera cung cấp một cách để các tổ chức tự động mô phỏng các kỹ thuật của kẻ tấn công, cố gắng khai thác thông tin đăng nhập bị rò rỉ cả bên ngoài và bên trong mạng. Để đóng vòng xác thực, Pentera cung cấp thông tin chi tiết về các đường dẫn tấn công đầy đủ, cùng với các bước khắc phục có thể hành động cho phép các tổ chức tối đa hóa hiệu quả sức mạnh nhận dạng của họ.
Nguồn: httpsss://thehackernews.com/2022/09/five-steps-to-mitigate-risk-of.html
Sửa lần cuối:
