Doanh nghiệp nên cẩn trọng với chiến thuật mới của tội phạm mạng

Đó là một trong những nội dung từ Tập đoàn Symantec trong bản Báo cáo hiện trạng các mối đe dọa bảo mật Internet (ISTR) lần thứ 20, tiết lộ sự thay đổi trong chiến lược tấn công mạng của những kẻ tội phạm.

 

 

Trong năm lập kỉ lục về những lỗ hổng bảo mật Zero-day (2014), nghiên cứu của Symantec tiết lộ rằng các công ty phần mềm đã mất trung bình 59 ngày để sửa chữa và phát hành các bản vá (patch) – thời gian này đã tăng nhiều hơn so với  4 ngày trong năm 2013. Do đó, những kẻ tấn công mạng đã tận dụng lợi thế của khoảng thời gian chậm trễ này, điển hình như với trường hợp lỗ hổng Hearbtleed, chúng đã nhảy vào và khai thác lỗ hổng này chỉ trong vòng 4 giờ. Trong năm 2014 đã có tổng cộng 24 lỗ hổng bảo mật zero-day được phát hiện, những lỗ hổng này đã tạo ra một sân chơi mở cho phép những tội phạm mạng nhanh chóng nhảy vào khai thác những kẽ hở bảo mật được phát hiện để thực hiện tấn công trước khi các kẽ hở này được vá lại.

 

 

Trong khi đó, tội phạm mạng chuyên nghiệp tiếp tục thâm nhập vào các mạng doanh nghiệp bằng các cuộc tấn công có chủ đích cao theo phương pháp spear-phishing – số lượng tấn công này đã tổng cộng tăng lên 8% trong năm 2014. Điều thú vị trong năm 2014 đó là tính chuẩn xác của những cuộc tấn công kiểu này – bọn tội phạm mạng chỉ sử dụng với lượng email ít hơn 20% để tiếp cận thành công mục tiêu của chúng, và đồng thời chúng kết hợp với nhiều kiểu tấn công tự động tải về phần mềm độc hại (drive-by malware downloads) cũng như các khai thác lỗ hổng trên trình duyệt web khác.

 

Ngoài ra, trong năm 2014, Symantec cũng đã quan sát thấy những hành vi sau của bọn tội phạm mạng: Sử dụng tài khoản email lấy cắp được từ một nạn nhân trong doanh nghiệp và phát tán tới các nạn nhân khác để tăng số lượng lây nhiễm; Lợi dụng các công cụ quản lý và các thủ tục của doanh nghiệp để di chuyển các tài sản thuộc sở hữu trí tuệ lấy cắp được đi lòng vòng trong mạng của doanh nghiệp trước khi trích xuất ra bên ngoài; Xây dựng phần mềm tấn công tùy chỉnh được bên trong mạng của các nạn nhân để ngụy trang cho các hoạt động của chúng sau đó.

 

 

Email vẫn là một phương thức tấn công quan trọng của tội phạm mạng, tuy nhiên, bên cạnh đó, tội phạm mạng cũng thử nghiệm những phương thức tấn công mới trên các thiết bị di động và các mạng xã hội nhằm hướng tới nhiều người dùng hơn và tốn ít công sức hơn.

 

Ông Jonghan Ong - Giám đốc Symantec Việt Nam chia sẻ: “Trong năm ngoái, 70% các tấn công lừa đảo trên các mạng xã hội được chia sẻ theo cách thủ công, khi tội phạm mạng lợi dụng sự tin tưởng có sẵn của người dùng về nội dung được chia sẻ từ bạn bè của họ.”

 

Những tấn công lừa đảo trên các mạng xã hội có thể mang lại nguồn thu tiền mặt nhanh chóng cho tội phạm mạng, tuy nhiên, một bộ phận khác vẫn sử dụng những phương thức tấn công sinh lời và mạnh mẽ hơn như phần mềm tống tiền (ransomware) – đã tăng 113% so với năm 2013. Điều đáng chú ý là tỉ lệ nạn nhân của phần mềm tống tiền dạng crypto đã tăng lên gấp 45 lần so với năm 2013. Thay vì giả dạng là đơn vị thực thi pháp luật đòi tiền phạt cho nội dung bị lấy cắp - như chúng ta thường thấy trong các phần mềm tống tiền truyền thống, thì phương thức tấn công kiểu crypto-ransomeware nguy hiểm hơn là giữ lại các tệp tin, hình ảnh và các nội dung số khác của nạn nhân để thực hiện tống tiền mà không cần che dấu ý đồ của những kẻ tấn công.

 

 

Tội phạm mạng luôn tồn tại và phát triển, tuy nhiên, doanh nghiệp và người dùng có nhiều cách để bảo vệ chính mình. Symantec khuyến cáo doanh nghiệp nên thực hiện các biện pháp phòng vệ như: Thứ 1, sử dụng các giải pháp phân tích dữ liệu mối đe dọa (threat intelligence solutions) tiên tiến để giúp doanh nghiệp sớm phát hiện những dấu hiệu của các lỗ hổng và phản ứng nhanh với các sự cố xảy ra; Thứ 2, sử dụng giải pháp bảo vệ thiết bị đầu cuối đa lớp, bảo mật mạng, mã hóa, giải pháp xác thực (authentication) mạnh và các công nghệ bảo mật dựa trên danh tiếng (reputation-based). Hợp tác với nhà cung cấp dịch vụ quản lý an ninh (managed security service provider) để mở rộng đội ngũ nhân lực an ninh CNTT có hạn của doanh nghiệp. Thứ 3, quản lý sự cố để đảm bảo khung nền tảng bảo mật (security framework) của doanh nghiệp được tối ưu hóa, có thể đo lường được và có thể lặp lại. Cân nhắc hợp tác lâu dài với một đơn vị chuyên gia thứ 3 để giúp doanh nghiệp quản lý và xử lý khủng hoảng. Thứ 4, xây dựng tài liệu hướng dẫn và những chính sách cùng những thủ tục của công ty để bảo vệ dữ liệu nhạy cảm trên các thiết bị cá nhân cũng như thiết bị của doanh nghiệp. Thường xuyên đánh giá các đội ngũ thanh tra/kiểm soát nội bộ và thực hành diễn tập nhằm đảm bảo nhân sự doanh nghiệp có đủ những kỹ năng cần thiết để chống lại các mối đe dọa bảo mật mạng.

 

Đối với người dùng cuối: Nên sử dụng các mật khẩu mạnh cho các tài khoản cũng như các thiết bị của bạn, thường xuyên thay đổi mật khẩu – lý tưởng nhất là 3 tháng thay mật khẩu 1 lần. Không nên sử dụng cùng 1 mật khẩu cho nhiều tài khoản khác nhau.

 

Không nên nhấn vào các đường link trong các email không rõ nguồn gốc hoặc trên các tin nhắn trên mạng xã hội, đặc biệt là từ một nguồn không quen biết. Những kẻ lừa đảo biết rõ người dùng hay nhấn vào liên kết được gửi đi từ bạn bè của họ, do vậy chúng tấn công các tài khoản và sử dụng những tài khoản đó để gửi đi các liên kết độc hại tới danh sách liên lạc trong tài khoản đó.

 

Khi cài đặt một thiết bị có kết nối mạng chẳng hạn như thiết bị định tuyến ở nhà hoặc máy điều nhiệt, hoặc tải về một ứng dụng mới, hãy xem xét lại những điều khoản về quyền truy cập những dữ liệu gì mà bạn sẽ chia sẻ. Hãy tắt truy nhập từ xa nếu không cần thiết.