Trace Id is missing

Hồ sơ chuyên gia: Dustin Duran

Chia sẻ
Một người đứng trước nền xanh và trắng

Cách tư duy như một tác nhân đe dọa

Nhóm của tôi kể câu chuyện  tấn công từ đầu đến cuối . Chúng tôi kết nối các điểm thông tin giữa các giai đoạn khác nhau trong chuỗi tấn công của kẻ tấn công để nhanh chóng hiểu rõ hơn về nguyên nhân gốc rễ của một cuộc tấn công trong khi nó đang diễn ra.

Chúng tôi cũng sao chép kỹ thuật và tư duy của kẻ tấn công.

Những kẻ tấn công tiếp cận thế giới theo mục tiêu và trình tự hoạt động. Chúng xâu chuỗi các kỹ thuật khác nhau lại với nhau - đó là lý do tại sao chúng tôi gọi những câu chuyện tấn công này là “chuỗi tấn công” - và di chuyển theo những con đường có lợi nhất cho chúng. Đó không phải là một quy trình tuyến tính. Chúng tôi gọi đó là tư duy bằng đồ thị.

Là những người bảo vệ, chúng ta phải có cùng tư duy. Chúng ta không thể buộc mình phải suy nghĩ theo các danh sách, trong đó chúng ta cố gắng lắp ráp lại toàn bộ trò chơi ghép hình khi một cuộc tấn công đang diễn ra. Chúng ta phải nhanh chóng biết kẻ tấn công giành được quyền truy cập bằng cách nào, chúng di chuyển xâm nhập mạng như thế nào, chúng đang hướng tới mục tiêu gì.

Người bảo vệ sẽ nhận diện hoạt động độc hại chính xác hơn khi họ hiểu rõ trình tự của hoạt động đó chứ không chỉ các kỹ thuật riêng lẻ.

Một ví dụ điển hình là khi chúng tôi phân tích một chuỗi các cuộc tấn công gian lận tài chính gần đây và nhận thấy cách những kẻ tấn công sử dụng thiết lập proxy ngược để vượt qua xác thực đa yếu tố (MFA). Chúng tôi đã ghi nhận các tín hiệu vượt qua MFA và chuyển thông tin giao tiếp thành các phiên bản khác có thể áp dụng kỹ thuật mới. Những gì chúng tôi đã học được về việc thu thập thông tin xác thực từ khả năng kết nối các điểm thông tin đó cho phép chúng tôi có thể ứng phó sớm hơn trong cuộc tấn công. Điều đó giúp chúng tôi trở thành những người bảo vệ tốt hơn.

Khi được hỏi có thể làm gì để bảo vệ tổ chức tốt hơn, tôi luôn đưa ra cùng một câu trả lời: Cần tận dụng MFA một cách nhất quán. Đó là một trong những đề xuất quan trọng nhất mà chúng tôi đưa ra. Đó là một trong những điều thiết yếu nhất mà các doanh nghiệp có thể làm để tự bảo vệ mình tốt hơn, nhằm cố gắng xây dựng môi trường không cần mật khẩu vì điều đó vô hiệu hóa tất cả các kỹ thuật tấn công mới nổi. Sử dụng MFA đúng cách khiến kẻ tấn công gặp khó khăn hơn. Nếu kẻ tấn công không thể truy cập vào danh tính và tổ chức của bạn thì việc phát động một cuộc tấn công sẽ phức tạp hơn nhiều.

Trở thành người bảo vệ

Để tìm hiểu thêm về chuỗi tấn công, xâm phạm email doanh nghiệp và bề mặt tấn công hiện đại, vui lòng xem tài nguyên của Microsoft bên dưới.

Bài viết liên quan

Phân tích chi tiết bề mặt tấn công bên ngoài

Thế giới an ninh mạng ngày càng trở nên phức tạp hơn vì các tổ chức chuyển dịch lên đám mây và chuyển sang làm việc phi tập trung. Ngày này, bề mặt tấn công bên ngoài đã mở rộng lên nhiều đám mây, chuỗi cung ứng kỹ thuật số phức tạp và hệ sinh thái bên thứ ba rộng lớn.
Tìm hiểu thêm

Cyber Signals Số 4: Chuyển đổi những chiến thuật thúc đẩy nguy cơ xâm phạm email doanh nghiệp

Ngày này, hành vi xâm phạm email doanh nghiệp (BEC) đang gia tăng khi tội phạm mạng có thể che giấu nguồn gốc các cuộc tấn công để trở nên bất chính hơn. Tìm hiểu về tội phạm mạng dưới dạng dịch vụ (CaaS) và cách giúp bảo vệ tổ chức bạn.
Tìm hiểu thêm

Cyber Signals Số 1: Danh tính chính là chiến trường mới

Danh tính chính là chiến trường mới. Thu thập thông tin chuyên sâu về các mối đe dọa trên mạng đang phát triển và các bước cần thực hiện để bảo vệ tổ chức tốt hơn.
Tìm hiểu thêm

Theo dõi Microsoft Security