Chiến tranh mạng: tăng cường sức mạnh cho chiến lược phòng thủ với thông tin tình báo về mối đe dọa

09:05 | 12/09/2022

Đại dịch COVID-19 toàn cầu đã gây ra sự thay đổi trong kết nối mạng và làm tăng nguy cơ xâm phạm dữ liệu và tấn công mạng nghiêm trọng. Thế giới chưa bao giờ tiến gần đến bờ vực của một cuộc chiến tranh mạng toàn diện như ngày nay. Điều đó có ý nghĩa gì đối với các doanh nghiệp, quốc gia và các nhà lãnh đạo an ninh thông tin?

CHIẾN TRANH MẠNG, GIÁN ĐIỆP MẠNG VÀ CÁC MỐI ĐE DỌA LIÊN TỤC NÂNG CAO

Chiến tranh mạng nhắm mục tiêu vào hệ thống thông tin với mục đích gây gián đoạn hoặc thiệt hại. Gián điệp mạng là hành vi thu thập thông tin tình báo hoặc do thám đối thủ bằng việc sử dụng hệ thống máy tính và công nghệ thông tin (CNTT). Internet và cuộc Cách mạng Công nghiệp lần thứ 4 đã mở ra cánh cửa cho hai yếu tố này bùng phát.

Gián điệp mạng có thể bao gồm tống tiền, đột nhập thông tin tổ chức/doanh nghiệp, trộm cắp, đăng thông tin sai lệch… Trong khi đó, chiến tranh mạng có thể có nhiều tác động vật chất hơn đối với nạn nhân. Khi một quốc gia bị tấn công vào cơ sở hạ tầng hoặc tài nguyên quan trọng, đời sống của công dân quốc gia đó có thể chịu tác động trực tiếp. Tuy nhiên, chiến tranh mạng không nên được coi là hoạt động quân sự mà là hoạt động tình báo nhiều hơn.

TẤN CÔNG MẠNG DO NHÀ NƯỚC TÀI TRỢ

Đối với một quốc gia, các hoạt động trên không gian mạng tiết kiệm chi phí và rủi ro thấp hơn nhiều so với các hoạt động quân sự thực tế. Các quốc gia có thể tuyển dụng trực tiếp các đội nhóm tin tặc khác nhau hoặc tài trợ gián tiếp cho các tổ chức này. Khi nói về các tấn công mạng do nhà nước tài trợ, chúng ta thường nhắc đến Stuxnet. Sâu Stuxnet đã thay đổi hoàn toàn cách nhìn nhận tội phạm mạng và tấn công mạng. Stuxnet là phần mềm độc hại được thiết kế bởi hai người chưa rõ quốc tịch, được sử dụng trong một chiến dịch tấn công Iran và các cơ sở hạt nhân của nước này nhằm đáp trả thông tin tình báo và tin đồn rằng, Iran đang chế tạo vũ khí hạt nhân hủy diệt hàng loạt. Sâu này được thiết kế để nhắm mục tiêu vào cơ sở hạ tầng và hệ thống điều khiển quan trọng, được gọi là hệ thống SCADA - hệ thống kiểm soát hoạt động của các máy công nghiệp được sử dụng trong các nhà máy ở Iran.

MỐI ĐE DỌA LIÊN TỤC NÂNG CAO

Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) định nghĩa APT là “kẻ thù có trình độ chuyên môn phức tạp và nguồn lực đáng kể, sử dụng nhiều phương tiện tấn công khác nhau để đạt được các mục tiêu, thường là để thiết lập và mở rộng chỗ đứng bên trong cơ sở hạ tầng CNTT của các tổ chức nhằm liên tục lấy đi thông tin và/hoặc làm suy yếu, cản trở các khía cạnh quan trọng của một sứ mệnh, chương trình hoặc tổ chức; hơn nữa, các APT theo đuổi các mục tiêu liên tục trong một khoảng thời gian dài, thích ứng với nỗ lực của người bảo vệ và quyết tâm duy trì mức độ tương tác cần thiết để thực hiện các mục tiêu”.

Một số ví dụ đáng chú ý về các mối đe dọa này bao gồm do thám doanh nghiệp/công nghiệp, hoạt động gián điệp và phá hoại mạng do nhà nước bảo trợ và tội phạm mạng. Động cơ đằng sau các mối đe dọa này chủ yếu là để đạt được ưu thế hoặc lợi thế trong một ngành, xung đột chính trị và lợi ích tài chính.

Các quy kết lớn nhất đối với APT là dành cho các thực thể chính phủ cố gắng gây ra thiệt hại chính trị, làm gián đoạn hoạt động quân sự hoặc tình báo, phá hoại cơ sở hạ tầng quan trọng hoặc tiến hành các hoạt động tình báo để chống lại kẻ thù. Đương nhiên, các quốc gia có quyền truy cập vào nhiều vũ khí và công cụ mạng hơn các băng nhóm tội phạm mạng độc lập. Ví dụ về các cuộc tấn công do nhà nước tài trợ bao gồm Stuxnet, GhostNet và Titan Rain. Các tác nhân và nhóm đe dọa nhỏ hơn sử dụng các công cụ, kỹ thuật và thủ tục (TTP) ít phức tạp hơn nhưng vẫn có thể làm ảnh hưởng đến các tổ chức và doanh nghiệp.

NỖ LỰC PHÒNG THỦ TRONG THỜI KỲ CHIẾN TRANH MẠNG VÀ GIÁN ĐIỆP

Một chiến lược phòng thủ an ninh mạng hiệu quả đòi hỏi một cách tiếp cận đa tầng không chỉ tập trung vào công nghệ. Phương pháp này đòi hỏi sự kết hợp của tất cả các bộ phận để thực hiện.

Không chỉ dựa vào một công cụ hoặc công nghệ duy nhất. Một chiến lược phòng thủ hiệu quả đòi hỏi phải kiểm soát mọi khía cạnh của hệ sinh thái CNTT của tổ chức thông qua các công cụ bảo mật hiện đại, xác thực và quản lý truy cập, bảo mật điểm cuối, hệ thống quản lý sự kiện và bảo mật tập trung (SIEM), quản lý lỗ hổng và vá phần mềm.

Tập trung vào các biện pháp phòng bị sẽ giữ cho hệ thống được an toàn hơn và dễ dàng chống lại các APT.

Thiết lập danh sách trắng đảm bảo rằng mọi cài đặt phần mềm trái phép đều được chú ý.

Chủ động giám sát môi trường để tìm các yêu cầu truy cập và đăng nhập bất thường, các tiến trình độc hại tiềm ẩn trên các thiết bị đầu cuối, khả năng xâm nhập mạng và email độc hại.

Giáo dục và đào tạo cán bộ, nhân viên trong các tổ chức/doanh nghiệp nhận thức được các xu hướng tấn công khác nhau và cách phát hiện chúng - đây cũng là cách thức bổ sung thêm một lớp vào hệ thống bảo vệ.

Cuối cùng, cần có một phương pháp phản ứng phù hợp đối với các sự cố bảo mật và vi phạm dữ liệu khi tất cả các phương án khác đều thất bại. Cần có khả năng phản ứng cứng và mềm. Phản ứng cứng là quá trình ứng phó sự cố thực tế, đảm bảo rằng các hệ thống thông tin quan trọng được thiết lập và vận hành càng sớm càng tốt, quản lý khả năng mất dữ liệu, khôi phục mọi hệ thống bị ảnh hưởng nghiêm trọng và triển khai các bài học kinh nghiệm. Phản ứng mềm là chứng minh rằng mọi thứ đều nằm trong tầm kiểm soát.

TÌNH BÁO VỀ CÁC MỐI ĐE DỌA MẠNG

Tình báo về mối đe dọa mạng (CTI) là một thuật ngữ chỉ việc thu thập và phân tích dữ liệu, cũng như việc sử dụng các công cụ và kỹ thuật để tạo ra thông tin về các mối đe dọa hiện có hoặc mới trong bối cảnh mạng. Trong không gian mạng, tình báo được sử dụng để hiểu toàn cảnh mối đe dọa, xác định mối đe dọa nào và các TTP được sử dụng để có thể nhanh chóng phát hiện khi chúng ở trong mạng.

SỬ DỤNG TÌNH BÁO VỀ MỐI ĐE DỌA

Có nhiều cách để một tổ chức hoặc bộ phận bảo mật có thể sử dụng thông tin tình báo về mối đe dọa. Đầu tư hoặc xây dựng Nền tảng Tình báo về Mối đe dọa (TIP) luôn là lựa chọn đầu tiên và tốt nhất. Thông tin tình báo về mối đe dọa có thể và nên được thu thập từ các nguồn nội bộ (nhật ký tường lửa, hệ thống phát hiện và ngăn chặn xâm nhập, nhật ký hệ thống…) và các nguồn bên ngoài (trao đổi thông tin tình báo về mối đe dọa mở, nguồn cấp dữ liệu về mối đe dọa thương mại, các tổ chức chính phủ…).

Mọi thông tin thu thập được tổng hợp bởi SIEM và/hoặc nền tảng Điều phối Bảo mật, Tự động hóa và Phản hồi (SOAR). Một phương pháp tiêu chuẩn để thu thập thông tin tình báo là thông qua việc săn tìm mối đe dọa. Bằng cách rà soát các mạng nội bộ và mạng Internet lớn hơn, các nhà phân tích có thể thu thập và phân tích các mối đe dọa có thể ảnh hưởng đến tổ chức.

SĂN TÌM TÌNH BÁO VỀ CÁC MỐI ĐE DỌA

Một cách hữu hiệu để thu thập thông tin tình báo về mối đe dọa là thiết lập và triển khai các hệ thống mồi nhử bên trong và bên ngoài tổ chức. Chúng được gọi là honeytoken và honeypot. Cách thức triển khai hệ thống mồi nhử như sau:

Thứ nhất, tạo địa chỉ email giả trong miền của tổ chức, giám sát các địa chỉ này xem có bất kỳ nỗ lực đăng nhập đáng ngờ hoặc độc hại nào và các cuộc tấn công lừa đảo hay không. Có thể tạo danh sách đen các địa chỉ email và IP với thông tin này, đồng thời nâng cao nhận thức về các dạng tấn công lừa đảo khác nhau và cách phát hiện chúng.

Thứ hai, triển khai máy chủ honeypot trên Internet. Các hệ thống này đơn giản được hiển thị như máy chủ bình thường đang chạy các dịch vụ nhưng không chứa dữ liệu hoặc thông tin nhạy cảm. Khi do thám chuẩn bị cho một cuộc tấn công, tin tặc sẽ phát hiện các máy chủ dễ tấn công và nhắm mục tiêu chúng trước. Điều này sẽ cho phép thu thập thông tin tình báo về mối đe dọa về các tác nhân đe dọa này và ngăn chặn các cuộc tấn công xảy ra. Các hệ thống này có thể được triển khai nội bộ, trên phần cứng riêng và/hoặc được lưu trữ trên đám mây công cộng hoặc riêng tư.

Thứ ba, sử dụng cookie của trình duyệt trên máy chủ web để thu thập thông tin về mọi dấu hiệu nào truy cập trang web và có khả năng ngăn chặn bất kỳ cuộc tấn công Từ chối Dịch vụ (DoS/DDoS) nào.

Thứ tư, triển khai dữ liệu và ứng dụng giả mạo. Bằng cách chèn dữ liệu giả vào cơ sở dữ liệu hiện có, có thể giảm thiểu nguy cơ dữ liệu nhạy cảm bị đánh cắp. Mục đích là để đánh lừa tin tặc lấy cắp dữ liệu giả chứ không phải dữ liệu thật. Khi đó, có thể thu thập thông tin về máy của tin tặc, chẳng hạn như địa chỉ IP và chi tiết hệ thống. Điều này thường được gọi là “tấn công ngược lại”.

THÁCH THỨC CỦA TÌNH BÁO VỀ CÁC MỐI ĐE DỌA

Hầu hết các thông tin tình báo về mối đe dọa hiện có được hình thành xung quanh các TTP của các tin tặc đến từ phương Đông, chẳng hạn như Nga, Trung Quốc, Triều Tiên và Iran. Trong khi đó, các quốc gia phương Tây cũng có khả năng và nguồn lực để được xếp vào dạng mối đe dọa đối với các quốc gia, đối thủ nhưng khó có thể biết họ tiến hành các hoạt động tấn công mạng như thế nào. Lần gần nhất các chuyên gia bảo mật phát hiện ra các chiến thuật của phương Tây là với Stuxnet. Tuy nhiên, ngay cả khi đó, không có bên nào đứng ra nhận trách nhiệm. Không thể cho rằng mọi nhóm tin tặc đều nhắm vào phương Tây; còn các mối đe dọa mà các quốc gia châu Phi và phương Đông phải đối mặt thì sao?

Cần tìm hiểu thông tin tình báo về mối đe dọa cụ thể cho từng khu vực, ngành và lĩnh vực. Thông tin về bất kỳ mối đe dọa nào khác đều đáng giá, nhưng hãy biết điều gì đang nhắm đến mình trước.

SẴN SÀNG ỨNG PHÓ

An ninh mạng đã trở thành một phần không thể thiếu trong cuộc sống của mọi người. Chiến tranh mạng đang rình rập và các mối đe dọa mạng tiên tiến gây ra các rủi ro nguy hại đối với cơ sở hạ tầng và hệ sinh thái CNTT ở tất cả các trạng thái, cấp độ, quy mô và mức độ phức tạp.

Để giảm thiểu các rủi ro cần chống lại các mối đe dọa tiên tiến này bằng cách bảo vệ hệ thống thông tin của mình và cập nhật bản vá, sửa lỗi cơ sở hạ tầng dễ bị tấn công. Trong một thế giới mà mọi thứ đều được kết nối với nhau, không có gì là an toàn. Vấn đề không phải là nếu bị tấn công; mà là khi nào bị tấn công. Các cá nhân, tổ chức và doanh nghiệp (nhỏ hoặc lớn) đều cần chuẩn bị và có khả năng ứng phó với các mối đe dọa nâng cao.

TÀI LIỆU THAM KHẢO

1. https://www.securitymagazine.com/articles/97432-cyber-warfare-how-to-empower-your-defense-strategy-with-threat-intelligence