Chuỗi tấn công qua mạng là gì?

Vào năm 2011, Lockheed Martin đã áp dụng một khái niệm quân sự có tên là chuỗi tấn công cho ngành an ninh mạng và đặt tên là chuỗi tấn công qua mạng. Giống như chuỗi tấn công, chuỗi tấn công qua mạng xác định các giai đoạn của cuộc tấn công và cung cấp cho đội ngũ bảo vệ thông tin chuyên sâu về chiến thuật và kỹ thuật điển hình của đối thủ trong mỗi giai đoạn. Cả hai mô hình cũng đều tương ứng với kỳ vọng rằng những kẻ tấn công sẽ tuân theo từng giai đoạn tuần tự.

Kể từ khi chuỗi tấn công qua mạng được giới thiệu lần đầu tiên, người thực hiện mối đe dọa trên mạng đã phát triển chiến thuật của chúng và không phải lúc nào cũng tuân theo từng giai đoạn của chuỗi tấn công qua mạng. Để phản hồi, ngành bảo mật đã cập nhật cách tiếp cận và phát triển các mô hình mới. Ma trận MITRE ATT&CK® là một danh sách chi tiết bao gồm các chiến thuật và kỹ thuật dựa trên cuộc tấn công thực. Ma trận này sử dụng các giai đoạn tương tự như chuỗi tấn công qua mạng nhưng không tuân theo thứ tự tuyến tính.

Năm 2017, Paul Pols cộng tác với Fox-IT và Đại học Leiden đã phát triển một khuôn khổ khác, chuỗi tấn công hợp nhất kết hợp các thành phần của cả ma trận MITRE ATT&CK và chuỗi tấn công qua mạng thành một mô hình với 18 giai đoạn.

Do thám

Chuỗi tấn công qua mạng xác định một trình tự của các giai đoạn tấn công qua mạng với mục tiêu hiểu được tư duy của những kẻ tấn công qua mạng, bao gồm động cơ, công cụ, phương pháp và kỹ thuật của chúng, cách chúng đưa ra quyết định và cách thức chúng tránh bị phát hiện. Việc hiểu rõ cách thức hoạt động của chuỗi tấn công qua mạng sẽ giúp đội ngũ bảo vệ dừng các cuộc tấn công qua mạng trong giai đoạn sớm nhất.

Trong giai đoạn vũ khí hóa, những người thực hiện có ý đồ xấu sẽ sử dụng thông tin phát hiện được trong giai đoạn do thám để tạo hoặc sửa đổi phần mềm xấu sao cho khai thác tối đa các điểm yếu của tổ chức bị nhắm mục tiêu.

Sau khi xây dựng phần mềm xấu, những kẻ tấn công qua mạng sẽ tìm cách cho chạy cuộc tấn công. Một trong những phương pháp phổ biến nhất là sử dụng các kỹ thuật lừa đảo phi kỹ thuật như lừa đảo qua mạng để lừa nhân viên giao thông tin xác thực đăng nhập của họ. Người thực hiện có ý đồ xấu cũng có thể tiếp cận được bằng cách tận dụng kết nối không dây công cộng không an toàn lắm hoặc khai thác lỗ hổng phần mềm hoặc phần cứng phát hiện được trong quá trình do thám.

Sau khi người thực hiện mối đe dọa trên mạng xâm nhập tổ chức, chúng sử dụng quyền truy nhập của mình để tiến hành mở rộng từ hệ thống này sang hệ thống khác. Mục tiêu của chúng là tìm dữ liệu nhạy cảm, các lỗ hổng khác, tài khoản quản trị hoặc máy chủ email mà chúng có thể sử dụng để gây thiệt hại cho tổ chức.

Trong giai đoạn cài đặt, những người thực hiện có ý đồ xấu sẽ cài đặt phần mềm xấu cấp cho chúng quyền kiểm soát nhiều hệ thống và tài khoản hơn.

Sau khi kẻ tấn công qua mạng giành được quyền kiểm soát một số lượng lớn hệ thống, chúng sẽ tạo ra một trung tâm điều khiển cho phép chúng hoạt động từ xa. Trong giai đoạn này, chúng sử dụng phương thức làm rối để che dấu vết và tránh bị phát hiện. Chúng cũng sử dụng các cuộc tấn công từ chối dịch vụ để làm các chuyên gia bảo mật phân tâm khỏi mục tiêu thực sự của mình.

Trong giai đoạn này, kẻ tấn công qua mạng sẽ thực hiện các bước để đạt được mục đích chính, có thể bao gồm các cuộc tấn công chuỗi cung ứng, trích rút dữ liệu, mã hóa dữ liệu hoặc hủy dữ liệu.

Tuy chuỗi tấn công qua mạng ban đầu của Lockhead Martin chỉ gồm bảy bước, nhiều chuyên gia an ninh mạng đã mở rộng chuỗi lên tám bước để tính đến những hoạt động mà người thực hiện có ý đồ xấu thực hiện để kiếm thu nhập từ cuộc tấn công, chẳng hạn như sử dụng mã độc tống tiền để lấy tiền từ nạn nhân hoặc bán dữ liệu nhạy cảm trên web tối.

Việc hiểu được cách người thực hiện mối đe dọa trên mạng lập kế hoạch và tiến hành cuộc tấn công sẽ giúp các chuyên gia an ninh mạng tìm và giảm thiểu các lỗ hổng trong tổ chức. Điều này cũng giúp họ xác định các chỉ báo xâm phạm trong những giai đoạn đầu của cuộc tấn công qua mạng. Nhiều tổ chức sử dụng mô hình chuỗi tấn công qua mạng để chủ động áp dụng các biện pháp bảo mật và hướng dẫn phản hồi sự cố.

Thông tin về mối đe dọa

Một trong những công cụ quan trọng nhất để bảo vệ tổ chức khỏi mối đe dọa trên mạng là thông tin về mối đe dọa. Các giải pháp thông tin về mối đe dọa hiệu quả sẽ tổng hợp dữ liệu từ trong môi trường của tổ chức và gửi thông tin chuyên sâu hữu ích giúp các chuyên gia bảo mật phát hiện sớm những cuộc tấn công qua mạng.

Thông thường, người thực hiện có ý đồ xấu xâm nhập vào tổ chức bằng cách đoán hoặc lấy cắp mật khẩu. Sau khi truy nhập, chúng tìm cách tăng cấp đặc quyền để có quyền truy nhập vào dữ liệu và hệ thống nhạy cảm. Các giải pháp quản lý quyền truy nhập và danh tính sẽ giúp phát hiện hoạt động bất thường có thể là chỉ báo cho biết một người dùng trái phép đã có quyền truy nhập. Các giải pháp này cũng có những chế độ kiểm soát và biện pháp bảo mật, chẳng hạn như xác thực 2 bước, gây khó khăn hơn cho một người đăng nhập bằng thông tin xác thực bị lấy cắp.

Nhiều tổ chức luôn đón đầu những mối đe dọa trên mạng mới nhất với sự trợ giúp của một giải pháp quản lý sự kiện và thông tin bảo mật (SIEM). Các giải pháp SIEM tổng hợp dữ liệu từ khắp tổ chức và từ các nguồn bên thứ ba để hiển thị các mối đe dọa trên mạng quan trọng cho đội ngũ bảo mật phân loại và giải quyết. Nhiều giải pháp SIEM cũng tự động phản hồi với một số mối đe dọa đã biết, giúp giảm số lượng sự cố mà một đội ngũ cần điều tra.

Trong một tổ chức bất kỳ, có hàng trăm hoặc hàng nghìn điểm cuối. Giữa các máy chủ, máy tính, thiết bị di động và các thiết bị Vật dụng kết nối Internet (IoT) mà các công ty sử dụng để tiến hành hoạt đồng kinh doanh, việc đảm bảo tất cả các thiết bị đó luôn cập nhật là điều gần như không thể thực hiện được. Những người thực hiện có ý đồ xấu biết điều này, đó là lý do nhiều cuộc tấn công qua mạng bắt đầu từ một điểm cuối bị xâm phạm. Các giải pháp phát hiện điểm cuối và phản hồi sẽ giúp đội ngũ bảo mật giám sát những điểm cuối này để tìm mối đe dọa và phản hồi nhanh khi họ phát hiện sự cố bảo mật với một thiết bị.

Các giải pháp phát hiện và phản hồi mở rộng (XDR) sẽ nâng tầm khả năng phát hiện điểm cuối và phản hồi với một giải pháp duy nhất giúp bảo vệ điểm cuối, danh tính, ứng dụng trên đám mây và email.

Không phải công ty nào cũng có sẵn tài nguyên nội bộ để phát hiện và phản hồi hiệu quả với các mối đe dọa. Để tăng cường cho đội ngũ bảo mật hiện tại của mình, những tổ chức này đã nhờ cậy đến các nhà cung cấp dịch vụ hỗ trợ giải pháp phát hiện và phản hồi được quản lý. Những nhà cung cấp dịch vụ này chịu trách nhiệm giám sát môi trường của tổ chức và phản hồi với các mối đe dọa.

Mặc dù việc hiểu rõ chuỗi tấn công qua mạng có thể giúp các công ty và chính phủ chủ động chuẩn bị cũng như phản hồi với các mối đe dọa trên mạng phức tạp, nhiều giai đoạn, nhưng nếu chỉ dựa vào chuỗi này có thể khiến tổ chức dễ bị tấn công bởi các hình thức tấn công qua mạng khác. Một vài trong số những nhận định phổ biến về chuỗi tấn công qua mạng là:

• Tập trung vào phần mềm xấu. Khuôn khổ chuỗi tấn công qua mạng ban đầu được thiết kế để phát hiện và phản hồi phần mềm xấu mà không hiệu quả đối với các hình thức tấn công khác, chẳng hạn như người dùng trái phép lấy quyền truy nhập bằng thông tin xác thực bị xâm phạm.

• Lý tưởng cho bảo mật vành đai. Với trọng tâm là bảo vệ các điểm cuối, mô hình chuỗi tấn công qua mạng hoạt động hiệu quả khi có một vành đai mạng duy nhất cần bảo vệ. Giờ đây, với rất nhiều nhân viên làm việc từ xa, đám mây và số lượng thiết bị ngày một mở rộng đang truy nhập vào tài sản của công ty, bạn gần như không thể giải quyết mọi lỗ hổng điểm cuối.

• Không được trang bị cho các mối đe dọa từ người dùng nội bộ. Người dùng nội bộ – những người đã có quyền truy nhập vào một số hệ thống – là đối tượng khó phát hiện hơn bằng mô hình chuỗi tấn công qua mạng. Thay vào đó, các tổ chức cần giám sát và phát hiện các thay đổi trong hoạt động của người dùng.

• Quá tuyến tính. Mặc dù nhiều cuộc tấn công qua mạng tuân theo tám giai đoạn được nêu trong chuỗi tấn công qua mạng, nhưng cũng có nhiều cuộc tấn công không hoặc có kết hợp một số bước thành một hành động duy nhất. Các tổ chức quá tập trung vào từng giai đoạn có thể bỏ lỡ những mối đe dọa trên mạng này.

Kể từ năm 2011, khi Lockhead Martin lần đầu giới thiệu chuỗi tấn công qua mạng, đã có rất nhiều thay đổi về công nghệ và bối cảnh của mối đe dọa trên mạng. Điện toán đám mây, thiết bị di động và thiết bị IoT đã chuyển đổi cách làm việc của mọi người và cách vận hành của doanh nghiệp. Người thực hiện mối đe dọa trên mạng đã phản hồi các công nghệ mới này bằng những cải tiến của riêng chúng, bao gồm việc sử dụng phương thức tự động hóa và AI để tăng tốc và cải thiện các cuộc tấn công qua mạng. Chuỗi tấn công qua mạng là điểm khởi đầu tuyệt vời để phát triển chiến lược bảo mật chủ động tính đến tư duy và mục tiêu của kẻ tấn công qua mạng. Microsoft Security cung cấp nền tảng SecOps hợp nhất kết hợp XDR và SIEM thành một giải pháp thích ứng để giúp các tổ chức phát triển khả năng bảo vệ đa lớp, giúp bảo vệ trước mọi giai đoạn trong chuỗi tấn công qua mạng. Ngoài ra, các tổ chức cũng đang chuẩn bị cho các mối đe dọa trên mạng mới nổi, hoạt động trên nền tảng AI bằng cách đầu tư vào AI dành cho giải pháp an ninh mạng như Microsoft Security Copilot.