Báo cáo Phòng vệ số Microsoft 2022
Thông tin chuyên sâu từ hàng nghìn tỷ tín hiệu bảo mật hàng ngày
Điểm lợi thế độc đáo
Mục tiêu của Báo cáo Phòng vệ số Microsoft, hiện đã bước sang năm thứ ba (trước đây được gọi là Báo cáo thông tin bảo mật của Microsoft với hơn 22 báo cáo được lưu trữ), là làm sáng tỏ bối cảnh mối đe dọa kỹ thuật số đang phát triển trên bốn lĩnh vực trọng tâm chính: tội phạm mạng, mối đe dọa cấp quốc gia, thiết bị và hạ tầng, cùng các hoạt động gây ảnh hưởng trên mạng, đồng thời cung cấp thông tin chuyên sâu và hướng dẫn về cách cải thiện khả năng phục hồi trên mạng.
Microsoft phục vụ hàng tỷ khách hàng trên toàn cầu nên có thể tổng hợp dữ liệu bảo mật từ phạm vi tổ chức và người tiêu dùng rộng lớn và đa dạng. Báo cáo này sử dụng cả chiều rộng lẫn chiều sâu của thông tin tín hiệu trên khắp Microsoft, bao gồm cả đám mây, điểm cuối và biên thông minh. Điểm lợi thế độc đáo này đem đến cho chúng tôi bức tranh có độ trung thực cao về bối cảnh mối đe dọa và tình hình an ninh mạng hiện tại, trong đó có các chỉ báo giúp chúng tôi dự đoán hành động tiếp theo của kẻ tấn công. Chúng tôi coi tính minh bạch và việc chia sẻ thông tin là điều thiết yếu trong việc giúp khách hàng tăng cường khả năng phục hồi trên mạng, cũng như bảo vệ hệ sinh thái.
Trong bản tóm tắt báo cáo cấp cao này, bạn sẽ tìm hiểu về tình hình tội phạm mạng, cách mà thiết bị Vật dụng kết nối Internet (IoT) ngày càng trở thành mục tiêu phổ biến, chiến thuật mới cấp quốc gia và tình trạng gia tăng lính đánh thuê trên mạng, các hoạt động gây ảnh hưởng trên mạng và quan trọng nhất là làm sao để phục hồi trong thời gian này.
- 43 nghìn tỷ tín hiệu được tổng hợp hàng ngày, sử dụng thuật toán AI và kỹ thuật phân tích dữ liệu tinh vi để hiểu và chống lại các mối đe dọa kỹ thuật số, cũng như hoạt động của tội phạm mạng
- Hơn 8.500 kỹ sư, nhà nghiên cứu, nhà khoa học dữ liệu, chuyên gia an ninh mạng, người săn tìm mối đe dọa, phân tích viên địa chính trị, nhà điều tra và nhân viên ứng phó tuyến đầu ở khắp 77 quốc gia
- Hơn 15.000 đối tác trong hệ sinh thái bảo mật của chúng tôi giúp tăng cường khả năng phục hồi mạng cho khách hàng
Tội phạm mạng tiếp tục phát triển, do sự gia tăng đáng kể về cả số cuộc tấn công ngẫu nhiên lẫn tấn công nhắm mục tiêu. Theo quan sát của chúng tôi, các mối đe dọa đang ngày càng đa dạng trong bối cảnh kỹ thuật số, cùng với đó là sự phát triển về phương pháp tấn công qua mạng và hạ tầng tội phạm dùng để tăng cường cuộc chiến tranh tiếp xúc trong thời kỳ Nga xâm lược Ukraina.
Cuộc tấn công bằng mã độc tống tiền khiến mọi cá nhân đều gặp nhiều nguy hiểm bởi tội phạm lợi dụng hệ sinh thái tội phạm mạng đang lớn mạnh để nhắm mục tiêu vào các hạ tầng quan trọng, doanh nghiệp thuộc mọi quy mô cũng như chính quyền nhà nước và địa phương. Khi phạm vi của các cuộc tấn công bằng mã độc tống tiền trở nên táo bạo hơn thì tầm ảnh hưởng của chúng cũng mở rộng. Để có thể nỗ lực một cách bền vững và thành công chống lại mối đe dọa này, toàn thể chính phủ cần chung tay thực hiện một chiến lược với sự hợp tác chặt chẽ của khu vực tư.
Sau khi phân tích cam kết ứng phó và phục hồi, chúng tôi liên tục phát hiện ra các biện pháp kiểm soát danh tính yếu kém, hoạt động bảo mật thiếu hiệu quả và chiến lược bảo vệ dữ liệu không toàn vẹn giữa các tổ chức bị ảnh hưởng.
Năm nay chứng kiến sự gia tăng đáng kể của hành vi lừa đảo bừa bãi qua mạng cũng như trộm cắp thông tin xác thực để lấy thông tin đi bán và dùng trong các cuộc tấn công có chủ đích như mã độc tống tiền, trích rút dữ liệu và tống tiền, cũng như xâm phạm email doanh nghiệp.
Tội phạm mạng dưới dạng dịch vụ (CaaS) là một mối đe dọa ngày càng phát triển đối với khách hàng trên toàn thế giới. Theo quan sát của Đơn vị Chống tội phạm số (DCU) của Microsoft, hệ sinh thái CaaS đang không ngừng phát triển, cùng với đó là sự gia tăng của các dịch vụ trực tuyến tạo điều kiện thuận lợi cho tội phạm mạng, trong đó có xâm phạm email doanh nghiệp (BEC) và mã độc tống tiền do con người điều khiển. Bên cung cấp CaaS có xu hướng đưa ra thông tin xác thực bị xâm phạm để bán. Chúng tôi phát hiện ra rằng nhiều dịch vụ và sản phẩm CaaS có tính năng nâng cao để tránh bị phát hiện.
Kẻ tấn công đang tìm những cách mới để triển khai kỹ thuật và lưu trữ hạ tầng hoạt động, như xâm phạm doanh nghiệp để lưu trữ các chiến dịch lừa đảo qua mạng, phần mềm xấu hoặc sử dụng năng lực điện toán để khai thác tiền ảo. Các thiết bị Vật dụng kết nối Internet (IoT) đang dần trở thành mục tiêu phổ biến của tội phạm mạng sử dụng các botnet tràn lan. Những bộ định tuyến chưa được vá và tiếp xúc trực tiếp với Internet có thể bị tác nhân đe dọa lợi dụng để truy nhập vào mạng, thực thi các cuộc tấn công độc hại và thậm chí củng cố cho hoạt động của chúng.
Chủ nghĩa tin tặc đã gia tăng trong năm qua, cùng với đó là việc các công dân tư nhân tiến hành tấn công qua mạng nhằm đẩy mạnh mục tiêu xã hội hoặc chính trị. Hàng nghìn người đã được huy động để tiến hành các cuộc tấn công trong cuộc chiến tranh Nga – Ukraina. Dù vẫn cần phải xem liệu xu hướng này có tiếp tục hay không nhưng ngành công nghệ phải cùng nhau xây dựng một cách ứng phó toàn diện trước mối đe dọa mới này.
Việc tăng tốc chuyển đổi kỹ thuật số đã làm tăng rủi ro an ninh mạng đối với hạ tầng quan trọng và các hệ thống thực – ảo. Khi các tổ chức khai thác bước tiến trong chức năng điện toán và các thực thể số hóa để phát triển, bề mặt tấn công của thế giới ảo đang gia tăng theo cấp số nhân.
Việc nhanh chóng áp dụng các giải pháp IoT đã làm tăng số lượng véc-tơ tấn công và mức độ rủi ro của tổ chức. Quá trình di chuyển này đã vượt xa khả năng theo kịp của hầu hết các tổ chức do phần mềm xấu dưới dạng dịch vụ đã chuyển sang hoạt động có quy mô lớn chống lại hạ tầng dân dụng và mạng lưới doanh nghiệp.
Theo quan sát của chúng tôi, mối đe dọa đang ngày càng tăng trong việc khai thác thiết bị thuộc mọi bộ phận của tổ chức, từ thiết bị CNTT truyền thống đến bộ điều khiển công nghệ vận hành (OT) hoặc cảm biến IoT đơn giản. Chúng tôi đã chứng kiến các cuộc tấn công vào lưới điện, cuộc tấn công bằng mã độc tống tiền làm gián đoạn hoạt động của OT và các bộ định tuyến IoT được tận dụng để tăng cường tính dai dẳng. Đồng thời, ngày càng có nhiều mục tiêu nhắm vào lỗ hổng ở vi chương trình – phần mềm nhúng trong phần cứng hoặc bảng mạch của thiết bị – để tiến hành các cuộc tấn công tàn khốc.
Để chống lại các cuộc tấn công này cũng như các mối đe dọa khác, chính phủ trên toàn thế giới đang xây dựng và phát triển chính sách để quản lý mức độ rủi ro an ninh mạng của hạ tầng thiết yếu. Nhiều nước cũng ban hành chính sách để cải thiện bảo mật thiết bị IoT và OT. Làn sóng sáng kiến chính sách đang phát triển mạnh trên toàn cầu tạo ra cơ hội to lớn để tăng cường an ninh mạng, nhưng cũng đặt ra thách thức cho các bên liên quan trong toàn hệ sinh thái. Khi người ta đồng thời tiến hành hoạt động chính sách giữa các vùng, khu vực, công nghệ và lĩnh vực quản lý rủi ro hoạt động, sẽ có khả năng xảy ra sự chồng chéo và thiếu nhất quán về phạm vi, yêu cầu và tính phức tạp của yêu cầu. Các tổ chức thuộc khu vực công và tư cần nắm bắt cơ hội này để tăng cường an ninh mạng bằng cách cam kết và nỗ lực hơn nữa nhằm hướng tới sự nhất quán.
- 68% người phản hồi cho rằng việc áp dụng IoT/OT giữ vai trò thiết yếu đối với quá trình chuyển đổi kỹ thuật số mang tính chiến lược của họ
- 60% công nhận rằng bảo mật IoT/OT là một trong những khía cạnh có tính bảo mật thấp nhất trong hạ tầng của họ
Trong năm qua, đã có một bước chuyển dịch giữa các nhóm mối đe dọa trên mạng cấp quốc gia từ khai thác chuỗi cung ứng phần mềm sang khai thác chuỗi cung ứng dịch vụ CNTT, nhắm mục tiêu vào các giải pháp đám mây và nhà cung cấp dịch vụ được quản lý để tiếp cận khách hàng hạ nguồn thuộc các khu vực chính phủ, chính sách và hạ tầng quan trọng.
Khi các tổ chức tăng cường vị thế an ninh mạng, tác nhân nhà nước đã phản ứng bằng cách áp dụng các chiến thuật mới và độc đáo nhằm thực thi các cuộc tấn công và tránh bị phát hiện. Nhận dạng và khai thác các lỗ hổng ngày 0 là một chiến thuật quan trọng trong quá trình thực hiện nỗ lực này. Số lượng lỗ hổng ngày 0 được tiết lộ công khai trong năm qua tương đương với năm trước đó, tức là mức cao nhất được ghi nhận. Nhiều tổ chức cho rằng họ ít có khả năng trở thành nạn nhân của các cuộc tấn công khai thác lỗ hổng ngày 0 nếu công tác quản lý lỗ hổng bảo mật giữ vai trò quan trọng trong quá trình bảo mật mạng. Tuy nhiên, việc thương mại hóa hoạt động khai thác đang khiến điều đó diễn ra với tốc độ nhanh hơn rất nhiều. Hoạt động khai thác lỗ hổng ngày 0 thường được các tác nhân khác phát hiện và tái sử dụng trên phạm vi rộng trong một khoảng thời gian ngắn, gây nguy hiểm cho các hệ thống chưa được vá.
Chúng tôi đã phát hiện ra một ngành công nghiệp đang ngày càng nổi, trong đó, tác nhân tấn công thuộc khu vực tư hoặc lính đánh thuê trên mạng phát triển và bán các công cụ, kỹ thuật và dịch vụ cho khách hàng – thường là chính phủ – để đột nhập vào mạng, máy tính, điện thoại và thiết bị kết nối Internet. Mặc dù là tài sản của tác nhân nhà nước, những thực thể này thường gây nguy hiểm cho người bất đồng chính kiến, người bảo vệ nhân quyền, nhà báo, người ủng hộ xã hội dân sự và các công dân tư nhân khác. Những tên lính đánh thuê trên mạng này cung cấp các chức năng tiên tiến “giám sát dưới dạng dịch vụ” mà nhiều quốc gia không thể tự phát triển.
Nền dân chủ cần thông tin đáng tin cậy để phát triển. Lĩnh vực trọng tâm chính của Microsoft là các hoạt động gây ảnh hưởng đang được các quốc gia phát triển và duy trì. Những chiến dịch này làm đánh mất niềm tin, gia tăng sự chia rẽ và đe dọa các quy trình dân chủ.
Đặc biệt, chúng tôi nhận thấy một số chế độ độc tài đang cấu kết, làm ô uế hệ sinh thái thông tin nhằm đạt được lợi ích chung. Các chiến dịch tìm cách che giấu nguồn gốc của vi-rút COVID-19 là một ví dụ điển hình. Kể từ khi đại dịch bắt đầu, cơ quan tuyên truyền về COVID-19 của Nga, Iran và Trung Quốc đã tăng cường đưa tin để thổi phồng các chủ đề trọng tâm này.
Kể từ năm 2019, mức độ lan rộng của công nghệ deepfake tăng 900% so với cùng kỳ năm trước
Chúng ta cũng đang bước vào một kỷ nguyên được mong đợi là kỷ nguyên vàng cho khả năng tạo và điều khiển nội dung đa phương tiện do AI hỗ trợ. Trong thời kỳ này, công cụ và dịch vụ để tạo hình ảnh, video, âm thanh và văn bản tổng hợp có độ chân thực cao theo cách nhân tạo đang lan rộng. Nhờ đó, ta có thể nhanh chóng phát tán nội dung được tối ưu hóa cho một số đối tượng cụ thể. Một mối đe dọa lâu dài và nguy hiểm hơn là đối với cách chúng ta nhận biết sự thật khi mà chúng ta không còn tin vào những gì mắt thấy, tai nghe.
Bản chất thay đổi nhanh chóng của hệ sinh thái thông tin, cùng với các hoạt động gây ảnh hưởng cấp quốc gia – bao gồm cả việc kết hợp cuộc tấn công qua mạng truyền thống với hoạt động gây ảnh hưởng và sự can thiệp vào các cuộc bầu cử dân chủ – đòi hỏi cách tiếp cận trên toàn xã hội. Cần tăng cường phối hợp và chia sẻ thông tin giữa chính phủ, khu vực tư và xã hội dân sự để tăng tính minh bạch của các chiến dịch gây ảnh hưởng này, cũng như để vạch trần và triệt phá các chiến dịch.
Việc ứng phó với các mối đe dọa không ngừng gia tăng trong hệ sinh thái kỹ thuật số đang dần trở nên cấp bách. Động cơ địa chính trị của tác nhân đe dọa chứng minh rằng các quốc gia đã tăng cường sử dụng các hoạt động tấn công qua mạng để gây bất ổn cho chính phủ đồng thời tác động đến hoạt động thương mại toàn cầu. Khi những mối đe dọa này gia tăng và phát triển, điều quan trọng là phải xây dựng khả năng phục hồi mạng cho cơ cấu của tổ chức.
Như chúng ta thấy, phần lớn các cuộc tấn công qua mạng diễn ra thành công là bởi biện pháp bảo mật cơ bản không được tuân thủ. Các tiêu chuẩn tối thiểu mà mọi tổ chức nên áp dụng là:
- Xác minh rõ ràng: Đảm bảo người dùng và thiết bị đều ở trạng thái tốt trước khi cho phép truy nhập vào tài nguyên.
- Sử dụng quyền truy nhập đặc quyền tối thiểu: Chỉ nên cấp đặc quyền cần thiết để truy nhập vào từng tài nguyên.
- Giả định vi phạm: Giả định hệ thống phòng thủ đã bị vi phạm và các hệ thống có thể bị xâm phạm. Điều này nghĩa là liên tục giám sát môi trường để phát hiện các cuộc tấn công có thể xảy ra.
Sử dụng tính năng chống phần mềm xấu hiện đại
Triển khai phần mềm để giúp phát hiện và tự động chặn các cuộc tấn công, cũng như cung cấp thông tin chuyên sâu cho các hoạt động bảo mật. Việc giám sát thông tin chuyên sâu từ hệ thống phát hiện mối đe dọa là điều thiết yếu để có thể ứng phó kịp thời trước các mối đe dọa.
Luôn cập nhật
Các hệ thống chưa được vá và lỗi thời là nguyên nhân chính khiến nhiều tổ chức trở thành nạn nhân của các cuộc tấn công. Đảm bảo mọi hệ thống luôn cập nhật, trong đó có vi chương trình, hệ điều hành và ứng dụng.
Bảo vệ dữ liệu
Để triển khai biện pháp bảo vệ thích hợp, bạn cần nắm rõ dữ liệu quan trọng của mình, vị trí của dữ liệu đó và liệu các hệ thống phù hợp đã được triển khai hay chưa.
Nguồn: Báo cáo Phòng vệ số Microsoft, tháng 11 2022