Báo cáo cho biết, số lượng mã độc được tạo ra chỉ trong vài giờ của năm 2017 đã nhiều hơn số lượng mã độc trong cả thế kỷ 20. Các mục tiêu tấn công đã thay đổi, kỹ thuật trở nên phức tạp hơn, hướng tấn công đa dạng hơn và công cụ tấn công được thiết kế chuẩn xác hơn. Những kẻ tấn công đã nghiên cứu kỹ các nạn nhân để có những chiến lược tấn công phù hợp, nhằm tạo ra những ảnh hưởng lớn nhất có thể.
Tình hình an ninh mạng năm 2017
Tài chính là mục tiêu lớn nhất thúc đẩy tin tặc hành động, với 73% số lượng các cuộc tấn công mạng; chính trị, tình báo là mục tiêu lớn thứ hai, với 21% các cuộc tấn công. Tin tặc thường hướng đến những mục tiêu mang tới nhiều lợi ích kinh tế và chúng ngày càng có nhiều nguồn dữ liệu hơn và tốt hơn. Điều này cho phép chúng có thể tiến hành các cuộc tấn công vô cùng tinh vi. Hầu hết, khi một cuộc tấn công trở nên phức tạp và kẻ tấn công không đến được mục tiêu cuối cùng, chúng sẽ chọn một mục tiêu khác có thể mang đến những lợi ích kinh tế tốt hơn.
Tấn công ẩn (stealth attacks) với hành vi chuyển động biên (lateral movement) trở nên rất phổ biến. Trên thực tế, thiết bị của nạn nhân không cần phải truy cập trực tiếp vào dữ liệu hoặc tài nguyên mà tin tặc muốn, thiết bị này chỉ cần đóng vai trò là nơi xuất phát. Từ đây, tin tặc sẽ sử dụng kỹ thuật chuyển động biên - thông qua mạng lưới của tổ chức/doanh nghiệp (TC/DN) để tiếp cận được dữ liệu mà chúng quan tâm, hoặc hệ thống mà chúng muốn phá hoại. Những kỹ thuật mới để xâm nhập vào hệ thống phòng thủ và che giấu mã độc của tin tặc đang khiến TC/DN đối mặt với rủi ro mất ATTT trong một thời gian dài, mà không phát hiện được.
Biểu đồ thời gian xử lý các cuộc tấn công mạng
Tấn công không dùng mã độc ngày càng được sử dụng rộng rãi - với 49%, khiến các TC/DN không có công cụ để ngăn chặn; 51% số lượng các vụ tấn công là tin tặc sử dụng mã độc. Với phương thức tấn công không dùng mã độc, tin tặc có khả năng ẩn danh trước các mô hình bảo vệ truyền thống mà không đòi hỏi tương tác của nạn nhân. Các cuộc tấn công này còn có thể giúp tin tặc tăng gấp đôi lợi nhuận, bằng cách tạo các lưu lượng trực tuyến để bán cho bên thứ 3, hoặc đấu giá quyền truy cập tới các thiết bị ảnh hưởng.
Các công cụ khai thác lỗ hổng được phát triển thêm các hướng tấn công mới mà không đòi hỏi tương tác của người dùng. Các công cụ này có thể do tin tặc thiết kế, hoặc đã được phát triển sẵn. Để hành động theo các hướng tấn công mới, tin tặc nghiên cứu kỹ về hành vi của nạn nhân, trang bị đầy đủ các công cụ kỹ thuật để khai thác các lỗ hổng bảo mật đã định và tạo ra phương thức phát tán mã độc tự động mà không cần sự can thiệp của con người. Chúng tương tác thời gian thực với mạng lưới và các giải pháp bảo mật, thích nghi với môi trường của nạn nhân.
Mục tiêu là thiết bị đầu cuối. Các nhà cung cấp giải pháp an toàn mạng thường dành rất nhiều thời gian để nói về vành đai (perimeter), IoT và các hướng tấn công khác, nhưng điều quan trọng nhất thường bị bỏ qua, đó là thiết bị đầu cuối. Nếu kẻ tấn công không thể tiếp cận được thiết bị đầu cuối, chúng sẽ không thể xâm nhập được vào các mục tiêu khác. Tuy nhiên, đa số kinh phí chi cho bảo đảm ATTT của các TC/DN tập trung vào việc bảo vệ vành đai, mà bỏ qua thiết bị đầu cuối. Trong khi đó, hiện nay, vành đai ảnh hưởng ngày càng bị xóa mờ, tính lưu động là tiêu chuẩn của bất kỳ TC/DN nào. Do đó, mạng lưới của các TC/DN dễ bị phơi bày hơn rất nhiều.
WannaCry và GoldenEye/Petya là hai mã độc gây ra nhiều ảnh hưởng nhất. Mã độc WannaCry xuất hiện vào tháng 5/2017, tàn phá mạng lưới các TC/DN và phát tán ra toàn thế giới. Có thể coi đây là một trong những vụ tấn công mạng nghiêm trọng nhất trong lịch sử. Dù số lượng nạn nhân và tốc độ lây nhiễm không bằng các cuộc tấn công khác trong quá khứ (như Blaster hay SQLSlammer), nhưng thiệt hại mà WannaCry gây ra là rất lớn. Với tính năng worm, mã độc tống tiền WannaCry khóa và mã hóa dữ liệu của các thiết bị mà nó lây nhiễm. GoldenEye/Petya là mã độc có sức ảnh hưởng lớn thứ hai, như một cơn dư chấn hậu WannaCry. Dù ban đầu, mục tiêu của mã độc này chỉ giới hạn phạm vi bên trong quốc gia Ukraine, nhưng cuối cùng, nó ảnh hưởng tới hơn 60 quốc gia và vùng lãnh thổ trên thế giới.
Các cuộc tấn công từ nội bộ chiếm 25% các cuộc tấn công toàn cầu và nhân viên cũ lợi dụng các TC/DN mà họ đã từng làm việc để đánh cắp thông. Điểm chung của những trường hợp này là các chính sách an toàn còn lỏng lẻo và kẻ tấn công có quyền truy cập vào tài nguyên của TC/DN. 81% truy cập trái phép xảy ra do mật khẩu không an toàn, hoặc đánh cắp trực tiếp mật khẩu. Một khi xâm nhập được vào hệ thống từ bên trong, nhân viên áp dụng các chiến thuật mở rộng và kiểm soát để vượt hệ thống an ninh và gây ảnh hưởng đến danh tiếng, tài chính của TC/DN.
Các nhóm tội phạm mạng có tổ chức xuất hiện nhiều hơn. Ví dụ như nhóm Lazarus tấn công vào ngành truyền thông, hàng không, tài chính và các cơ sở hạ tầng quan trọng tại Hoa Kỳ và các quốc gia khác. Thực tế, cũng tìm được mối liên hệ của nhóm tội phạm mạng này với mã độc WannaCry.
Chiến tranh mạng và đội quân tác chiến mạng được chú trọng hơn. Trong cuộc chạy đua vũ trang trên không gian mạng toàn cầu, các quốc gia đang xây dựng các trung tâm chỉ huy không gian mạng, nhằm củng cố hệ thống phòng thủ chống lại các cuộc tấn công mạng vào các TC/DN và cơ sở hạ tầng. Ví dụ, đội quân tác chiến mạng của Đức có hơn 13.000 quân lính, của Triều Tiên là 6.000 quân lính.
Số liệu thống kê mã độc của PandaLabs
Trong năm 2017, PandaLabs đã phân tích và vô hiệu hóa tổng cộng 75 triệu tệp tin có chứa mã độc, tức là khoảng 285.000 mẫu mã độc mới mỗi ngày. Thực tế, tất cả các mẫu mã độc mới dưới dạng các tệp tin PE chưa bao giờ xuất hiện trước năm 2017 lên tới 15.107.232 mẫu mã độc, đó là chưa kể số lượng mẫu mã độc dưới các dạng tệp tin khác như script, tài liệu,… và các mẫu mã độc chưa được phát tán.
Theo báo cáo, vẫn còn rất nhiều mẫu mã độc khác chưa được công bố. Các mẫu mã độc này sẽ tiến hành tấn công số lượng thiết bị ít nhất, để giảm nguy cơ bị phát hiện, nhằm đạt được mục tiêu cuối cùng của nó. Có tới 99.10% mẫu mã độc chỉ xuất hiện một lần rồi biến mất hoàn toàn (14.972.010 mẫu mã độc). Chỉ một số lượng mẫu mã độc không đáng kể (0,01% - 989 mẫu mã độc hại) là thực sự được phát tán tới hơn 1.000 máy tính. Điều này khẳng định rằng, hầu hết các mã độc đều thay đổi mỗi lần nó lây nhiễm; do đó, mỗi mẫu mã độc sẽ có lượng phát tán rất hạn chế. Tuy nhiên, vẫn có một số ngoại lệ như mã độc tống tiền WannaCry hoặc HackCCleaner.
10 mẫu mã độc xuất hiện nhiều nhất theo PandaLabs
Dự đoán xu hướng an ninh mạng năm 2018
Chiến tranh mạng và hậu quả của nó: Thay vì mở các cuộc chiến tranh công khai, nơi các bên đối lập có thể được nhận diện rõ ràng, ngày nay không gian mạng đang đối mặt với các cuộc tấn công độc lập, với chiến thuật du kích mà kẻ tấn công không bao giờ được xác định rõ. Trong số các quân lính tác chiến mạng đã được huấn luyện với hiểu biết và năng lực chuyên môn cao, một số sẽ trở thành những người lao động tự do trong tương lai. Họ có thể sẽ làm việc cho những tổ chức, cá nhân trả giá cao, hay các tổ chức cờ giả. Do đó, sự gia tăng của các cuộc tấn công tinh vi và tiên tiến, hoặc của tổ chức cờ giả là những vấn đề có thể dự báo cho năm 2018.
Các cuộc tấn công không dùng mã độc sẽ gia tăng. Các cuộc tấn công sử dụng công cụ, ứng dụng không chứa mã độc sẽ dần thay thế cho các cuộc tấn công sử dụng mã độc.
Mã độc tấn công các thiết bị di động và IoT sẽ tiếp tục gia tăng. Nhìn chung, các thiết bị IoT không phải là mục tiêu cuối cùng của tội phạm mạng. Nhưng một khi đã bị xâm phạm, các thiết bị này sẽ làm gia tăng bề mặt tấn công và được coi như cánh cửa để đi vào mạng lưới của TC/DN.
Tấn công APT và mã độc tống tiền được dự báo sẽ tiếp tục phát triển trong năm 2018. Những cuộc tấn công này hứa hẹn mang lại lợi nhuận cao, với mức rủi ro thấp cho tin tặc. Các cuộc tấn công sẽ trở nên chuyên nghiệp, đặc biệt là khi lợi nhuận tiềm năng cao hơn.
Các TC/DN sẽ có những kế hoạch để củng cố về nhận biết tấn công mạng đối với công chúng: Với Quy định Bảo vệ dữ liệu chung của châu Âu (GDPR) sẽ có hiệu lực từ tháng 5/2018, lần đầu tiên trong lịch sử, công chúng sẽ có quyền nhận biết các cuộc tấn công mạng đã xảy ra với các TC/DN, thậm chí các cuộc tấn công đã bị che giấu.
Lược đồ về Quy định Bảo vệ dữ liệu chung của EU
Mạng xã hội và tuyên truyền: Tin tức giả mạo sẽ gia tăng bởi khả năng ảnh hưởng dư luận của các nền tảng này. Facebook – mạng xã hội lớn nhất trên thế giới đã có hành động để giải quyết vấn đề này. Nếu một trang Facebook bị phát hiện liên tục đưa các tin tức giả mạo, trang này sẽ không được công khai nữa.
Tiền ảo: Tiền ảo và các hành vi tội phạm liên quan đến tiền ảo sẽ tiếp tục phát triển, bao gồm lây nhiễm phần mềm độc hại đào tiền ảo tới máy tính, máy chủ; lây nhiễm mã độc đào tiền ảo tới một trang web, sử dụng tài nguyên thiết bị của người tải trang web; đánh cắp tiền từ giao dịch tiền ảo; hoặc đánh cắp ví tiền ảo của người dùng.
Những vấn đề về an toàn mạng mà TC/DN cần quan tâm
Các giao thức cập nhật bảo mật cần được ưu tiên tại tất cả các TC/DN. Các trường hợp như WannaCry hoặc Equifax đã khẳng định điều này. Nếu một hệ thống không được vá lỗi hàng ngày, TC/DN đó sẽ đối mặt với nhiều rủi ro về an ninh mạng, cũng như về tính toàn vẹn dữ liệu của cả khách hàng và nhà cung cấp; công việc sản xuất của TC/DN có thể gặp nguy hiểm và phải chịu nhiều tổn thất.
Các quốc gia đang đầu tư ngày càng nhiều vào phòng thủ và tấn công không gian mạng với trọng tâm là các cơ sở hạ tầng quan trọng. Ví dụ, kế hoạch an ninh mạng của chính quyền Hoa Kỳ là đến năm 2020 sẽ đào tạo 100.000 chuyên gia an ninh mạng mới; mục tiêu của năm 2018 là đạt 133 đội quân phục vụ Lực lượng Tác chiến Mạng.
Đầu tư vào lực lượng tác chiến mạng của một số quốc gia
Năm 2018 sẽ là một năm có bối cảnh an ninh mạng phức tạp và nguy hiểm hơn. Đối với nhiều chuyên gia, cần có sự thay đổi về trí lực (và chiến lược) để đạt được mức độ an ninh, an toàn cao nhất, bảo vệ tài sản của mạng lưới TC/DN.
Đào tạo và nhận thức về an ninh mạng là rất quan trọng, cả trong TC/DN và gia đình. Trước đây an ninh mạng thường bị coi nhẹ, thì giờ đây sẽ cần được đầu tư nhiều hơn.
Có kiến thức sâu rộng về tấn công mạng sẽ là nền tảng cho một chiến lược phòng thủ tốt. Các công cụ học máy và các điều tra của nhóm Thợ săn Mã độc (Threat Hunting) là rất cần thiết để các TC/DN có thể đưa ra chiến lược phòng thủ tấn công mạng trong tương lai.
Biện pháp phát hiện dựa trên dấu hiệu không còn nhiều hiệu quả, bởi số liệu đã thể hiện rõ ràng rằng hơn 99% mã độc không xuất hiện lại tại bất cứ nơi nào khác.
Có vấn đề sự tập trung của các giải pháp an toàn mạng. Các giải pháp an toàn mạng vẫn tập trung vào việc chống lại mã độc (phần lớn các sản phẩm trên thị trường) sẽ bị đào thải nếu không thay đổi chiến lược.
Hợp tác quốc tế và tạo các khuôn khổ pháp lý chung như GDPR cần tiếp tục được phát triển. Những ủng hộ về chính trị và kinh tế, cùng một kế hoạch thực hiện sẽ giúp ứng dụng được những tiến bộ công nghệ mới nhất một cách an toàn nhất.