Các phương pháp giảm thiểu thời gian phát hiện tấn công mạng

14:17 | 21/08/2019

Các nhà nghiên cứu tại Công ty An toàn mạng SafeBreach (trụ sở tại Mỹ và Israel) đã xây dựng danh sách các kỹ thuật chèn code vào tiến trình trên Windows được sử dụng phổ biến hiện nay. Bên cạnh đó, họ cũng phát hiện ra một phương pháp mới, có thể tàng hình và vượt qua mọi biện pháp bảo vệ của Microsoft.

Năm 2017, mã độc tống tiền hoành hành diện rộng trên toàn cầu, khiến hoạt động của một số tổ chức chính phủ và doanh nghiệp bị đình trệ. Hàng ngàn người dùng đã bị lây nhiễm mã độc và yêu cầu thanh toán tiền chuộc để giải mã các tập tin bị mã hóa. Trong thời gian này, tin tức về các cuộc tấn công mã độc tống tiền được lan truyền nhiều trên các phương tiện truyền thông.

Cho đến hiện tại, mã độc tống tiền vẫn còn là mối đe dọa nguy hiểm. Lý do tin tặc ưa thích sử dụng mã độc tống tiền là bởi chúng có thể sử dụng tiền mã hóa như Bitcoin. Bitcoin đã tạo cơ hội cho tin tặc kiếm lợi từ cuộc tấn công một cách dễ dàng, giúp chúng ẩn danh trong quá trình giao dịch tài chính. Do đó, tin tặc có thể tấn công, thu lợi bất chính rồi rút tiền với ít dấu vết để lại nhất có thể. Việc thông báo cho nạn nhân về việc thiết bị đã bị nhiễm độc là điều kiện cần để tin tặc có thể tống tiền, dù nó đi ngược lại với logic tấn công là phải giảm thiểu tương tác với nạn nhân, đề phòng trường hợp bị truy dấu vết ngược lại. Tuy nhiên, với mã độc tống tiền, người dùng lại có thể phát hiện ra từ khá sớm.

Trong thực tế, những mối đe dọa càng lâu không bị phát hiện ra, thì sẽ tỷ lệ thuận với mức độ thiệt hại càng lớn. Ví dụ, mã độc đào tiền ảo sử dụng trung bình 25% hiệu năng của CPU và để tạo ra một Bitcoin có thể tiêu tốn gần 10.000 USD tiền điện. Nếu bị lây nhiễm mã độc này, thì hóa đơn tiền điện có thể sẽ gia tăng và các thiết bị sẽ hoạt động chậm lại. Đây là một trong những điều khác biệt để có thể phát hiện ra mã độc, nhưng nhiều tổ chức không dễ dàng xác định và khắc phục mối đe dọa này.

Thông thường, phải mất trung bình 197 ngày để một doanh nghiệp phát hiện một cuộc tấn công. Trong khi đó, tin tặc chuyên nghiệp có thể che giấu các thông tin tín dụng của chúng tương đối dễ dàng. Đối với các tổ chức nhỏ hơn, việc phát hiện ra tấn công thậm chí còn khó khăn hơn với thời gian trung bình là mất gần 800 ngày.

Trước các mối đe dọa ngày càng tinh vi và phức tạp, các chuyên gia đã đưa ra những phương pháp có thể giúp giảm thời gian phát hiện và khắc phục mối đe dọa.

- Tìm kiếm những mối đe dọa chưa biết: Một phần mềm độc hại có thể chứa số lượng mã độc đáng kinh ngạc. Chỉ dựa vào phần mềm antivirus và bản vá của hệ điều hành hay tính năng lọc gói đơn giản là thực sự chưa đủ. Những mối đe dọa chưa biết có thể gây nguy hại lớn cho người dùng. Trong an toàn mạng, việc thu thập thông tin về mối đe dọa, cô lập các thiết bị đã bị lây nhiễm, thực thi các chính sách an toàn mạng và triển khai trí tuệ nhân tạo là việc rất quan trọng.

- Kiểm soát đầu vào: Các hệ thống an toàn mạng được triển khai tốt sẽ quản lý một lượng dữ liệu khổng lồ. Nên kiểm soát chặt chẽ các đầu vào từ nhiều biện pháp cùng một lúc. Từ đó, nếu thiết bị an toàn mạng phát hiện người dùng đang cố gắng kết nối với một trang web độc hại và có sự thay đổi kết nối đột ngột trong tệp host, thì có thể nghi ngờ thiết bị đang nhiễm botnet.

- Truy xuất tận gốc: Các mối đe dọa có thể ẩn trong các kết nối được mã hóa. Hiện nay, có tới 90% lưu lượng mạng được mã hóa. Tin tặc có thể che giấu và đính kèm thông tin tới mã độc thông qua HTTPS. Việc kiểm tra lưu lượng truy cập dạng này không phải là một điều tối ưu, nhưng đây là một trong những biện pháp tốt nhất hiện nay mà mọi doanh nghiệp nên thực hiện.

- Tập trung vào công nghệ đám mây: Đám mây là một nền tảng đảm bảo an toàn mạnh mẽ. Thông qua đám mây, có thể xử lý nhiều dữ liệu về mối đe dọa hơn một cách nhanh hơn. Ngoài ra, có thể tích hợp nhiều công nghệ với nhau để tạo nên một biện pháp toàn diện. Hơn nữa, có thể mở rộng nhanh chóng các biện pháp bảo vệ, ngoài các biện pháp vành đai truyền thống.

- Cẩn thận với tấn công lừa đảo: Tin tặc đang lợi dụng sự mất cảnh giác của người dùng để làm mục tiêu tấn công ban đầu. Trên thực tế, 90% các cuộc tấn công mạng ngày nay được bắt đầu bằng một cuộc tấn công lừa đảo. Việc chặn các kết nối đến các trang web độc hại có thể ngăn chặn các tiến trình nguy hiểm gây ra rủi ro lớn. Đào tạo nhận thức cho người dùng những phương pháp phát hiện sớm mã độc là điều thực sự cần thiết.

Hãng công nghệ WatchGuard (Mỹ) được biết đến là một trong những công ty hàng đầu về thiết bị đảm bảo an toàn cho doanh nghiệp. WatchGuard đã triển khai hàng triệu thiết bị an toàn mạng trên toàn cầu cho các doanh nghiệp nhỏ, vừa đến các doanh nghiệp lớn và các trung tâm dữ liệu. WatchGuard biết được các nhu cầu và biện pháp đảm bảo an toàn cần thiết của các doanh nghiệp trong thời đại công nghệ thông tin phát triển nhanh chóng, cũng như các mối đe dọa đang phát triển.

Thiết bị tường lửa WatchGuard có khả bảo vệ với tốc độ cao và khả năng tương thích tốt, với hệ điều hành nhân Fireware. Thiết bị này cung cấp hiệu năng tốt nhất với mức giá thấp hơn so với các hãng khác trong cùng một môi trường doanh nghiệp cần yêu cầu đảm bảo an toàn cao. Được trang bị những tính năng đảm bảo an toàn căn bản như: GAV, IPS, URL Filtering, App control, Spamblocker... cho đến các tính năng toàn diện như: chống mã độc tống tiền TDR, APT, trí tuệ nhân tạo, chống tấn công lừa đảo, chống thất thoát dữ liệu... giúp cung cấp một giải pháp toàn diện cho bất kỳ hạ tầng công nghệ thông tin nào.

Thông tin liên hệ

Công ty Itmap Asia - nhà phân phối thiết bị Tường Lửa WatchGuard tại Việt Nam.

Địa chỉ: 555 Trần Hưng Đạo, P. Cầu Kho, Q.1, TP.HCM

Website: www.itmapasia.com, www.watchguard.itmapasia.com

Email: info@itmapasia.com

ĐT: 028 5404 0717 - 5404 0799