Lần theo và sửa bug trên môi trường kinh doanh kỹ thuật số luôn là vấn đề khó khăn và ngày càng vất vả hơn. Các nhà nghiên cứu đe dọa an ninh mạng đã ghi nhận con số kỷ lục về danh sách các lỗi bảo mật máy tính công khai (Common Vulnerabilities and Exposures – CVE) vào năm 2021, trung bình phát hiện hơn 50 lỗi mỗi ngày. Đó là theo phân tích gần đây của Cơ sở dữ liệu dễ bị tổn thương quốc gia (NVD), một kho lưu trữ trung tâm quản lý lỗ hổng do Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) thành lập. Chúng ta nên bắt đầu từ đâu? Khi có quá nhiều lỗ hổng và quá ít thời gian, các nhóm bảo mật cần tập trung vào điều trước mắt – ngăn chặn hành vi đánh cắp thông tin đăng nhập ở điểm cuối nhằm chống lại nhiều lỗ hổng dựa trên danh tính, cả những lỗ hỏng đã được công bố và chưa phát hiện.
Tại sao lại là SeriousSAM? Khi đó chỉ là một trong nhiều kẻ trộm cắp thông tin mà ta cần giải quyết
Rất khó để biết hết mọi lỗ hổng bảo mật vừa được tiết lộ. Và thậm chí còn vá tất cả? Bỏ ý định đó đi. Thay vào đó, hầu hết các nhóm quản lý lỗ hổng bảo mật làm việc để đánh giá mức độ rủi ro mà một lỗ hổng cụ thể gây ra cho hoạt động kinh doanh của họ và thực hiện các bước khắc phục sao cho phù hợp.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra phương án xử lý tạm thời và trong số những thứ khác, thúc giục các tổ chức gán mã lỗi và vá CVE-2021-36934, hay còn gọi là “SeriousSAM” hoặc “HiveNightmare,” dựa trên bằng chứng về việc hoạt động khai thác lỗ hỏng từ các tin tặc.
SeriousSAM đã gây chú ý sau khi nó được tiết lộ vào tháng 7 năm 2021 như một lỗ hổng Zero-day (loại lỗ hỏng chưa được biết đến và chưa khắc phục được), cho phép những kẻ tấn công lấy được các băm mật khẩu tài khoản, bao gồm cả những người dùng đặc quyền, từ Shadow Copy của Trình quản lý Tài khoản Bảo mật Windows (SAM) – tệp đăng ký cơ sở dữ liệu lưu trữ thông tin đăng nhập của người dùng cục bộ và từ xa. Kẻ tấn công có thể tiếp tục di chuyển sâu hơn vào mạng, tiếp cận các tài khoản loại 0 và có khả năng xâm phạm toàn bộ miền bằng cách sử dụng thông tin đăng nhập của danh tính đặc quyền hợp pháp,. Nói tóm lại, đó là một thiếu sót nghiêm trọng.
Đó là lý do tại sao khá ngạc nhiên khi đã gần 8 tháng sau mà nhiều tổ chức vẫn cần giải quyết SeriousSAM. Nó cũng làm nổi bật một vấn đề lớn hơn: SeriousSAM chỉ là một trong vô số cách mà các tin tặc có thể lấy cắp thông tin đăng nhập được lưu trữ và sử dụng chúng như bước khởi đầu.
Ví dụ: những kẻ tấn công biết rằng hầu hết mọi người không thường xuyên xóa cookie trình duyệt web của họ, mặc dù đó là một phương pháp bảo mật quan trọng. Khi bị xâm nhập, những cookie này có thể cung cấp cho kẻ tấn công các thứ cần thiết để vượt qua hệ thống xác thực đa yếu tố (MFA) và kiểm soát dịch vụ Đăng nhập một lần (SSO), cho phép chúng dễ dàng truy cập vào các ứng dụng kinh doanh quan trọng như Salesforce, Jira hoặc Slack.
Các tin tặc tiếp tục đổi mới và sử dụng nhiều kỹ thuật đánh cắp thông tin đăng nhập đến chóng mặt, chẳng hạn như đánh cắp thông tin đăng nhập miền từ bộ nhớ cache cục bộ và thu thập các tài khoản dịch vụ được mã hóa. Khi cố gắng vá từng điểm yếu của bảo mật thông tin khách hàng, các nhóm quản lý lỗ hổng bảo mật nhanh chóng thấy mình không thể kết thúc được trò chơi mà hacker tung ra.
Cách Bảo vệ máy chủ toàn diện khỏi mối đe dọa, ngăn được vòng lặp vá lỗi
Dù mục tiêu chính của chúng là gì, những hacker hầu như luôn bắt đầu bằng cách xâm phạm danh tính, sau đó nâng cao đặc quyền theo chiều ngang và dọc nhằm tìm kiếm mục tiêu của chúng. Trên thực tế, xâm phạm danh tính thông qua đánh cắp thông tin đăng nhập là phương thức tấn công ban đầu phổ biến nhất hiện nay, theo thống kê Chi phí vi phạm dữ liệu từ IBM mới nhất – thiệt hại trung bình 4,37 triệu đô la cho mỗi lần vi phạm.
Với suy nghĩ này, nhiều đội an ninh đang mở rộng cách tiếp cận của họ để bảo vệ chống trộm thông tin đăng nhập. Thay vì vá từng lỗ hổng một, họ đang giải quyết vấn đề gốc rễ: chặn tất cả nỗ lực đánh cắp thông tin xác thực ngay từ đầu – và hạn chế quyền truy cập đặc quyền thông qua tự động hóa thông minh. Điều này thường liên quan đến ba hành động chính:
Áp dụng các biện pháp tự động kiểm soát để phát hiện và chặn các nỗ lực đánh cắp trên trình duyệt, hệ điều hành và kho lưu trữ thông tin đăng nhập thông qua việc lạm dụng phần mềm, quét bộ nhớ và các kỹ thuật tấn công khác.
Đặt “bẫy” đăng nhập tại các điểm dọc theo các hướng tấn công phổ biến. Những cái bẫy này được thiết kế để tương đối dễ dàn xếp. Một khi kẻ tấn công cố gắng sử dụng thông tin đăng nhập có vẻ hợp pháp, nó sẽ đặt báo động, nhắc các nhóm bảo mật bắt đầu điều tra, phát hiện các mối đe dọa nhanh hơn và giảm việc dậm chân tại chỗ.
Biện pháp bảo mật danh tính phân lớp (Layering Identity Security) bảo vệ các biện pháp ít được thực thi đặc quyền và kiểm soát ứng dụng đối với công cụ kiểm tra và vá lỗ hổng nhằm phát hiện và vô hiệu hóa các mối đe dọa tại hệ thống điểm cuối trước khi hacker có cơ hội gây ra thiệt hại lớn.
Tương tự như “vá ảo” lỗ hỏng – trong đó các chính sách bảo mật được thực hiện để đóng các đường dẫn khai thác lỗ hổng bảo mật trong thời gian tạm thời để chống lại việc khai thác cho đến khi có bản vá lỗi từ nhà cung cấp. Cách tiếp cận này giúp các nhóm bảo mật tận dụng biện pháp bảo vệ chống trộm thông tin đăng nhập để giảm thiểu rủi ro. Nếu khi nào các bản vá riêng lẻ có sẵn và chúng khả thi để áp dụng, các nhóm có thể đưa ra các bản sửa lỗi theo cách dễ quản lý hơn, tập trung mọi nỗ lực vào các khu vực rủi ro cao và cuối cùng, tạo ra tác động tích cực hơn.
Vina Aspire là đơn vị tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn: https://www.cyberark.com/resources/blog/endpoint-credential-theft-how-to-block-and-tackle-at-scale
