Ứng phó và bảo vệ chống lại sự thỏa hiệp của nhà cung cấp danh tính IdP

16:38 | 14/11/2023

Dựa trên công bố của công ty quản lý định danh và truy cập Okta (Mỹ) vào ngày 20/10/2023 liên quan đến một vi phạm bảo mật gần đây, các nhà nghiên cứu đã xác định rằng các tác nhân đe dọa đã giành được quyền truy cập thành công vào hệ thống hỗ trợ khách hàng của Okta, kẻ tấn công có thể xem các tệp tải lên (upload) liên quan đến các trường hợp hỗ trợ mới bằng mã thông báo phiên hợp lệ, các tác nhân đe dọa sau đó đã có được quyền truy cập vào hệ thống của khách hàng. Trong bài viết này sẽ mô tả tác động của các hành vi vi phạm của nhà cung cấp danh tính (IdP) và cách các tổ chức có thể tự chủ động bảo vệ mình trước các cuộc tấn công này.

TÁC ĐỘNG TIỀM ẨN CỦA SỰ THỎA HIỆP CỦA IDP

Các mối đe dọa danh tính nhắm vào IdP đã nhanh chóng trở thành phương thức tấn công được nhiều tác nhân đe dọa lựa chọn. Sự xâm phạm gần đây của Okta không phải là lần đầu tiên các tác nhân đe dọa có được quyền truy cập vào thông tin quan trọng của khách hàng và cũng sẽ không phải là lần cuối cùng.

Khi IdP bị xâm phạm, hậu quả có thể rất nghiêm trọng. Việc truy cập trái phép vào tài khoản người dùng và thông tin nhạy cảm trở thành mối lo ngại đáng kể, dẫn đến khả năng vi phạm dữ liệu, tổn thất tài chính và hoạt động trái phép.

Các cuộc tấn công danh tính sử dụng kỹ nghệ xã hội để lấy mã xác thực 2 yếu tố (2FA) và chiếm quyền điều khiển phiên nhằm có được quyền truy cập đặc quyền. Việc đánh cắp thông tin xác thực của người dùng, chẳng hạn như tên người dùng và mật khẩu hoặc mã thông báo phiên, cho phép kẻ tấn công xâm nhập vào các hệ thống và dịch vụ khác, đồng thời cấp quyền truy cập vào các hệ thống và tài nguyên nhạy cảm.

Việc lộ, lọt thông tin cá nhân hoặc nhạy cảm có thể dẫn đến hành vi trộm cắp danh tính, tấn công lừa đảo và các hình thức tội phạm mạng khác. Vụ vi phạm gần đây đóng vai trò như một lời nhắc nhở rõ ràng về tầm quan trọng của các biện pháp bảo mật mạnh mẽ và giám sát liên tục để bảo vệ hệ thống nhà cung cấp danh tính và bảo vệ khỏi những tác động tiềm ẩn này.

Các biện pháp kiểm soát bảo mật truyền thống bị bỏ qua trong các cuộc tấn công như vậy, vì kẻ tấn công giả định danh tính của người dùng và hoạt động độc hại của họ không thể phân biệt được với hành vi thông thường.

TẦM QUAN TRỌNG CỦA KIẾN ​​TRÚC ZERO TRUST TRONG VIỆC BẢO VỆ CHỐNG LẠI SỰ THỎA HIỆP CỦA IDP

Zero Trust Network Access (ZTNA) là một phần của truy cập không tin cậy tập trung vào việc kiểm soát quyền truy cập vào các ứng dụng. ZTNA mở rộng các nguyên tắc của ZTA để xác minh người dùng và thiết bị trước mỗi phiên ứng dụng để xác nhận rằng họ đáp ứng chính sách của tổ chức để truy cập ứng dụng đó

Kiến trúc này thay thế quyền truy cập dựa trên cấp độ mạng và giảm độ tin cậy ngầm quá mức đối với quyền truy cập vào tài nguyên, chủ yếu từ các địa điểm ở xa, của nhân viên, nhà thầu và các bên thứ ba khác.

Trong lần vi phạm này, người dùng đã vô tình tải một tệp có thông tin nhạy cảm lên hệ thống quản lý hỗ trợ của Okta. Kẻ tấn công đã lợi dụng phiên cookie từ thông tin được tải lên để tiếp tục vi phạm. ZTNA có thể có hiệu quả trong việc ngăn chặn người dùng vô tình tải lên các tệp có dữ liệu nhạy cảm.

Bằng cách sử dụng tính năng kiểm soát hành vi, các tổ chức chỉ có thể giới hạn quyền truy cập vào các ứng dụng trên các thiết bị được quản lý. Nếu kẻ tấn công cố gắng truy cập vào các ứng dụng hoặc máy chủ quan trọng từ các thiết bị không được quản lý, quyền truy cập sẽ bị cấm. Điều quan trọng là phải thể hiện quyền truy cập của thiết bị không được quản lý trở thành một phần bắt buộc của kiến ​​trúc ZTNA.

Phạm vi tấn công có thể được giảm mức tối thiểu bằng cách thực thi các chính sách phân đoạn nghiêm ngặt. Quản trị viên nên xác định các chính sách để kết hợp các thuộc tính và dịch vụ của người dùng để thực thi ai có quyền truy cập vào nội dung gì. Điều quan trọng là xác định xem liệu có cần chính sách truy cập chung khi người dùng ở trong và ngoài hệ thống hay không.

Thông thường, sau khi những kẻ tấn công đã thiết lập được chỗ đứng trên mạng, chúng sẽ di chuyển ngang hàng trong hệ thống, xác định các hệ thống quan trọng để thực hiện các cuộc tấn công tiếp theo, bao gồm cả việc đánh cắp dữ liệu.

Nguyên tắc phòng thủ chiều sâu (DiD) đóng vai trò rất quan trọng trong việc phá vỡ chuỗi tấn công. Phương pháp bảo mật theo lớp thực thi khả năng phòng thủ mạnh mẽ trước các cuộc tấn công phức tạp, sao cho nếu một lớp không phát hiện được bước tiến của tác nhân đe dọa trong chuỗi tấn công thì lớp tiếp theo vẫn có thể phát hiện hành vi bất thường và từ đó vô hiệu hóa chúng.

SỬ DỤNG CÔNG NGHỆ DECEPTION VÀ ITDR

Deception cũng như Phát hiện và ứng phó với mối đe dọa danh tính (ITDR) là hai công cụ bổ sung có thể giúp các tổ chức có thể phát hiện và ngăn chặn các cuộc tấn công dựa trên danh tính.

Công nghệ Deception

Deception một loại giải pháp an ninh mạng giúp phát hiện sớm các mối đe dọa với tỷ lệ dương tính giả thấp. Công nghệ này triển khai các mồi nhử thực tế (ví dụ: tên miền, cơ sở dữ liệu, thư mục, máy chủ, ứng dụng, tệp, thông tin xác thực, đường dẫn) trong mạng cùng với các tài sản thực để hoạt động như mồi nhử.

Ngay khi kẻ tấn công tương tác với mồi nhử, công nghệ này sẽ bắt đầu thu thập thông tin mà nó sử dụng để tạo ra các cảnh báo có độ chính xác cao giúp giảm thời gian dừng và tăng tốc độ phản hồi sự cố.

Công nghệ Deception hiện đại sử dụng các kỹ thuật phòng thủ tích cực để có thể thiết lập hệ thống mạng của các tổ chức trở thành môi trường khó khăn đối với những kẻ tấn công.

Các nền tảng Deception ngày nay tuân theo mô hình phát hiện dương tính giả chủ động, thấp. Phân tích sâu nhắm vào mục đích của con người đằng sau một cuộc tấn công, thích ứng với các mối đe dọa mới trước khi chúng xảy ra và cung cấp khả năng điều phối và tự động hóa các hành động ứng phó.

Bởi các biện pháp phòng vệ Deception không phụ thuộc vào dấu hiệu hoặc phương pháp phỏng đoán để phát hiện nên chúng có thể bao phủ gần như mọi vectơ tấn công và phát hiện các cuộc tấn công, bao gồm các mối đe dọa liên tục nâng cao (APT), các mối đe dọa zero-day, trinh sát mạng, chuyển động ngang, kỹ nghệ xã hội, các cuộc tấn công xen giữa (MiTM) và mã độc tống tiền trong thời gian thực.

Việc sử dụng Deception không phải lúc nào cũng ngăn chặn được một cuộc tấn công danh tính, thế nhưng nó sẽ đóng vai trò là tuyến phòng thủ cuối cùng để phát hiện sự hiện diện của kẻ tấn công sau vi phạm. Điều này có thể giúp ngăn chặn sự thỏa hiệp.

Công nghệ ITDR

ITDR là một nguyên tắc bảo mật mới nổi nằm ở điểm giữa của việc phát hiện mối đe dọa cũng như quản lý danh tính và quyền truy cập. Nó đang trở thành ưu tiên bảo mật hàng đầu của các tổ chức do sự gia tăng của các cuộc tấn công danh tính và khả năng của ITDR trong việc cung cấp khả năng hiển thị về trạng thái nhận dạng của tổ chức, triển khai các phương pháp hay nhất về bảo vệ hệ thống mạng và phát hiện các cuộc tấn công danh tính.

Tăng cường triển khai Zero Trust thông qua ITDR để ngăn chặn và phát hiện các cuộc tấn công danh tính bằng các nguyên tắc sau:

- Quản lý hành vi: Liên tục đánh giá các kho lưu trữ danh tính trong doanh nghiệp như Active Directory, AzureAD,… để có được khả năng hiển thị các cấu hình sai, quyền truy cập quá mức và các chỉ báo mối đe dọa có thể cung cấp cho kẻ tấn công quyền truy cập vào các đặc quyền cao hơn và đường dẫn di chuyển ngang. Thu hồi quyền và cấu hình các chính sách mặc định nhằm giảm thiểu các đường dẫn và đặc quyền tấn công.

- Phát hiện mối đe dọa: Giám sát các điểm cuối cho các hoạt động cụ thể như DCSync, DCShadow, Kerberoasting, LDAP và các thay đổi tương tự có liên quan đến hành vi độc hại.

Kịch bản xử lý sự cố Playbook của Trung tâm điều hành an ninh mạng (SOC) trong các tổ chức đóng một vai trò quan trọng trong việc chủ động xác định và giảm thiểu các vectơ tấn công IdP tiềm ẩn. Bằng cách triển khai chiến lược giám sát và phát hiện toàn diện, các tổ chức có thể nhanh chóng ứng phó với các nỗ lực tấn công của IdP, bảo vệ danh tính người dùng và bảo vệ các tài nguyên quan trọng.

THỰC TIỄN TỐT NHẤT VỀ DANH TÍNH VÀ MFA

Việc sử dụng các biện pháp bảo mật tốt nhất trong việc quản lý danh tính và cấu hình xác thực đa yếu tố (MFA) là điều tối quan trọng trong việc thiết lập một trạng thái bảo mật mạnh mẽ và giảm thiểu hiệu quả các rủi ro liên quan đến truy cập trái phép và vi phạm dữ liệu.

Với việc thực hiện các biện pháp dưới đây, các tổ chức có thể tăng cường đáng kể việc bảo vệ danh tính và nâng cao hiệu quả triển khai MFA của họ.

Bảo vệ danh tính người dùng

- Sử dụng mật khẩu mạnh: Khuyến khích người dùng tạo mật khẩu mạnh, nhiều ký tự, phức tạp và duy nhất cho tài khoản của họ. Triển khai các chính sách mật khẩu như thời hạn của mật khẩu, không được thiết lập các mật khẩu đã được sử dụng và thay đổi mật khẩu thường xuyên.

- Triển khai đặc quyền tối thiểu: Tuân theo nguyên tắc đặc quyền tối thiểu, chỉ cấp cho người dùng quyền truy cập tối thiểu cần thiết để thực hiện nhiệm vụ của họ. Bằng cách giới hạn đặc quyền của người dùng, tổ chức có thể giảm tác động tiềm tàng của thông tin xác thực bị xâm phạm.

- Giáo dục người dùng: Nhận thức và giáo dục người dùng đóng một vai trò quan trọng trong việc duy trì bảo mật. Đào tạo người dùng về tầm quan trọng của mật khẩu mạnh, cách nhận biết các nỗ lực lừa đảo và cách sử dụng đúng phương pháp xác thực MFA. Thường xuyên nhắc nhở người dùng tuân theo các phương pháp bảo mật tốt nhất và báo cáo mọi hoạt động đáng ngờ.

Bảo vệ chống lại các cuộc tấn công MFA

Các phương pháp MFA truyền thống, chẳng hạn như mã SMS hoặc mật khẩu một lần (OTP), có thể dễ bị tấn công lừa đảo. Những kẻ tấn công có thể chặn các mã này hoặc đánh lừa người dùng nhập chúng vào các trang đăng nhập giả mạo, từ đó bỏ qua lớp bảo mật bổ sung do MFA cung cấp.

Để giải quyết rủi ro này, các phương pháp MFA chống lừa đảo đã được phát triển. Các phương pháp này nhằm mục đích đảm bảo rằng ngay cả khi người dùng bị đánh lừa nhập thông tin xác thực của họ trên một trang web lừa đảo, kẻ tấn công cũng không thể có quyền truy cập nếu không có yếu tố xác thực bổ sung.

Sử dụng MFA dựa trên FIDO2: FIDO2 là một tập hợp các tiêu chuẩn mới do Liên minh xác thực trực tuyến thế giới định nghĩa, đây là một tiêu chuẩn xác thực mạnh cung cấp xác thực an toàn và không cần mật khẩu. Các tổ chức nên triển khai MFA dựa trên FIDO2, sử dụng mật mã khóa công khai để tăng cường bảo mật và bảo vệ khỏi các cuộc tấn công lừa đảo.

Sử dụng Hard Token: Có thể được hiểu đơn giản như khóa bảo mật USB hoặc thẻ thông minh, có thể cung cấp mức bảo mật bổ sung cho MFA. Các thiết bị vật lý này tạo mật khẩu một lần hoặc sử dụng mật mã khóa công khai để xác thực, khiến kẻ tấn công khó xâm phạm.

TÀI LIỆU THAM KHẢO

https://www.zscaler.com/blogs/security-research/responding-and-defending-against-idp-vendor-compromise

https://www.zscaler.com/resources/security-terms-glossary/what-is-deception-technology

https://metallic.io/knowledge-center/glossary/cyber-deception#:~:text=Cyber%20deception%20is%20a%20proactive,unknown%20and%20zero%2Dday%20threats