Trace Id is missing

Cấu trúc bề mặt tấn công từ bên ngoài

Tải xuống
Chia sẻ
Hiểu cấu trúc của một cuộc tấn công bề từ mặt bên ngoài

Năm yếu tố các tổ chức nên giám sát

Thế giới an ninh mạng tiếp tục trở nên phức tạp hơn khi các tổ chức chuyển lên đám mây và chuyển sang làm việc phân quyền. Ngày nay, bề mặt tấn công bên ngoài trải rộng trên nhiều đám mây, chuỗi cung ứng kỹ thuật số phức tạp, và hệ sinh thái bên thứ ba khổng lồ. Do đó, quy mô rộng lớn của các vấn đề an ninh toàn cầu phổ biến hiện nay đã làm thay đổi hoàn toàn nhận thức của chúng ta về an ninh toàn diện.

Internet bây giờ là một phần của mạng lưới. Bất chấp quy mô gần như không thể đo lường được, các nhóm bảo mật phải bảo vệ sự hiện diện của tổ chức của họ trên internet ở mức độ tương tự như mọi thứ đằng sau tường lửa. Khi ngày càng có nhiều tổ chức áp dụng các nguyên tắc của Zero Trust thì việc bảo vệ cả bề mặt bên trong và bên ngoài trở thành một thách thức trên quy mô internet. Do đó, việc các tổ chức hiểu được toàn bộ phạm vi bề mặt tấn công của mình ngày càng trở nên quan trọng.

Microsoft giành được Risk IQ vào năm 2021 để giúp các tổ chức đánh giá tính bảo mật của toàn bộ doanh nghiệp kỹ thuật số của họ. Hoạt động trên nền tảng RiskIQ Internet Intelligence Graph, các tổ chức có thể khám phá và điều tra các mối đe dọa trên các thành phần, kết nối, dịch vụ, thiết bị kết nối IP và hạ tầng tạo nên bề mặt tấn công của họ để tạo ra khả năng phòng thủ linh hoạt, có thể mở rộng.

Đối với các đội bảo mật, chiều sâu và chiều rộng tuyệt đối của những gì họ cần bảo vệ có vẻ là thách thức. Tuy nhiên, một cách để xem xét phạm vi bề mặt tấn công của tổ chức là nghĩ về Internet từ quan điểm của kẻ tấn công. Bài viết này nêu bật năm lĩnh vực giúp hệ thống tốt hơn những thách thức trong việc quản lý bề mặt tấn công bên ngoài hiệu quả.

Bề mặt tấn công toàn cầu phát triển cùng với internet

Và nó đang phát triển mỗi ngày. Năm 2020, lượng dữ liệu trên internet đạt 40 zettabyte, tương đương với 40 nghìn tỷ gigabyte.1 RiskIQ nhận thấy rằng mỗi phút có 117.298 máy chủ và 613 tên miền2 thêm vào rất nhiều luồng đan xen tạo nên kết cấu phức tạp của bề mặt tấn công toàn cầu. Mỗi yếu tố trong kết cấu này chứa một tập hợp các thành phần, chẳng hạn như hệ điều hành cơ bản, khung, ứng dụng của bên thứ ba, plugin và mã theo dõi. Với mỗi địa điểm phát triển nhanh chóng có chứa chi tiết này, phạm vi của bề mặt tấn công toàn cầu sẽ tăng theo cấp số nhân.

Bề mặt tấn công toàn bộ phát triển mỗi phút

  • máy chủ được tạo ra mỗi phút.
  • tên miền được tạo ra mỗi phút.
  • 375 mối đe dọa mới mỗi phút.2

Cả các tổ chức hợp pháp và các tác nhân đe dọa đều góp phần vào sự tăng trưởng này, điều đó có nghĩa là các mối đe dọa trên mạng sẽ gia tăng trên quy mô lớn cùng với phần còn lại của Internet. Các mối đe dọa liên tục nâng cao sự tinh vi (APT) và tội phạm mạng nhỏ đều đe dọa sự an toàn của doanh nghiệp, nhắm mục tiêu vào dữ liệu, thương hiệu, sở hữu trí tuệ, hệ thống và con người của họ.

Trong quý đầu tiên của năm 2021, CISCO đã phát hiện 611.877 trang web lừa đảo khác nhau,3 với 32 sự kiện vi phạm tên miền và tổng cộng 375 mối đe dọa mới xuất hiện mỗi phút.2 Những mối đe dọa này nhắm vào nhân viên và khách hàng của tổ chức bằng tài sản giả mạo, tìm cách đánh lừa họ bấm vào các liên kết độc hại và lừa đảo để lấy dữ liệu nhạy cảm, tất cả đều có thể làm xói mòn sự tự tin của thương hiệu và niềm tin của người tiêu dùng.

Sự gia tăng các lỗ hổng từ lực lượng lao động làm việc từ xa

Sự tăng trưởng nhanh chóng của các tài sản tiếp xúc với internet đã mở rộng đáng kể phạm vi các mối đe dọa và lỗ hổng ảnh hưởng đến tổ chức trung bình. Với sự ra đời của COVID-19, tốc độ tăng trưởng kỹ thuật số một lần nữa lại tăng tốc, với việc hầu hết mọi tổ chức đều mở rộng dấu chân kỹ thuật số để đáp ứng mô hình kinh doanh và lực lượng lao động từ xa vô cùng linh hoạt. Kết quả: những kẻ tấn công hiện có nhiều cách tiếp cập hơn để thăm dò hoặc khai thác.

Việc sử dụng các công nghệ truy cập từ xa như RDP (Giao thức máy tính từ xa) và VPN (Mạng riêng ảo) tăng vọt lần lượt 41% và 33%4, với việc hầu như cả thế giới áp dụng chính sách làm việc tại nhà. Quy mô thị trường phần mềm máy tính từ xa toàn cầu trị giá 1,53 tỷ USD vào năm 2019, sẽ đạt 4,69 tỷ USD vào năm 2027.5

Hàng chục lỗ hổng mới trong phần mềm và thiết bị truy cập từ xa đã tạo cho kẻ tấn công những chỗ đứng mà chúng chưa từng có trước đây. RiskIQ đã phát hiện ra nhiều trường hợp dễ bị tổn thương của các thiết bị ngoại vi và truy cập từ xa phổ biến nhất, đồng thời tốc độ gia tăng nhanh chóng của các lỗ hổng vẫn chưa hề chậm lại. Nhìn chung, có 18.378 lỗ hổng được báo cáo vào năm 2021.6

Bối cảnh mới về lỗ hổng

  • tăng trưởng trong việc sử dụng RDP.
  • tăng trưởng trong việc sử dụng VPN.
  • các lỗ hổng được báo cáo vào năm 2021.

Với sự gia tăng của các cuộc tấn công quy mô toàn cầu do nhiều nhóm đe dọa dàn dựng và được thiết kế riêng cho các doanh nghiệp số, các nhóm bảo mật cần giảm thiểu lỗ hổng cho chính họ, bên thứ ba, đối tác, ứng dụng và dịch vụ được kiểm soát và không kiểm soát trong và giữa các mối quan hệ trong chuỗi cung ứng kỹ thuật số.

Chuỗi cung ứng kỹ thuật số, M&A, và CNTT ngoài luồng tạo ra một bề mặt tấn công ẩn

Hầu hết các cuộc tấn công mạng đều có nguồn gốc cách xa mạng lưới hàng dặm; các ứng dụng web tích hợp danh mục vec-tơ được khai thác phổ biến nhất trong các vi phạm liên quan đến hack. Thật không may, hầu hết các tổ chức đều thiếu cái nhìn đầy đủ về tài sản internet của họ và cách những tài sản đó kết nối với bề mặt tấn công toàn cầu. Ba tác nhân đóng góp đáng kể vào tình trạng thiếu khả năng quan sát này là CNTT ngoài luồng, sáp nhập và mua lại (M&A), và chuỗi cung ứng kỹ thuật số.

Có nguy cơ phụ thuộc

  • dịch vụ đã hết hạn mỗi phút.2
  • trong số các giao dịch có sự thẩm định về an ninh mạng.7
  • trong số các tổ chức đã gặp phải ít nhất một lần vi phạm dữ liệu do bên thứ ba gây ra.8

CNTT ngoài luồng

 

Khi CNTT không thể theo kịp các yêu cầu kinh doanh, doanh nghiệp sẽ tìm kiếm sự hỗ trợ ở nơi khác trong việc phát triển và triển khai tài sản web mới. Nhóm bảo mật thường không biết gì về các hoạt động CNTT ngoài luồng này và do đó, không thể đưa các tài sản đã tạo vào phạm vi chương trình bảo mật của họ. Các tài sản không được quản lý và bị bỏ rơi có thể trở thành khoản nợ trên bề mặt tấn công của tổ chức theo thời gian.

Sự gia tăng nhanh chóng của tài sản kỹ thuật số bên ngoài tường lửa hiện đã trở thành lẽ thường. Những khách hàng mới của RiskIQ thường tìm thấy nhiều tài sản hơn khoảng 30% so với những gì họ nghĩ và RiskIQ phát hiện 15 dịch vụ đã hết hạn (dễ bị tiếp quản tên miền con) và 143 cổng mở mỗi phút.2

Sáp nhập và mua lại

 

Hoạt động hàng ngày và các sáng kiến kinh doanh quan trọng như M&A, quan hệ đối tác chiến lược và thuê ngoài sẽ tạo ra và mở rộng các bề mặt tấn công bên ngoài. Ngày nay, chưa đến 10% giao dịch trên toàn cầu có thẩm định về an ninh mạng.

Có một số lý do phổ biến khiến các tổ chức không có được cái nhìn đầy đủ về các rủi ro mạng tiềm ẩn trong quá trình thẩm định. Đầu tiên là quy mô tuyệt đối về sự hiện diện kỹ thuật số của công ty mà họ đang mua lại. Không có gì lạ khi một tổ chức lớn có hàng nghìn hoặc thậm chí hàng chục nghìn trang web đang hoạt động và các tài sản được khai khác công khai. Mặc dù đội ngũ CNTT và bảo mật trong công ty sắp được mua lại sẽ có sổ đăng ký tài sản của các trang web, nhưng hầu như nó luôn chỉ cung cấp một phần thông tin về những gì đang tồn tại. Các hoạt động CNTT của tổ chức càng phân quyền thì khoảng cách càng lớn.

Chuỗi cung ứng

 

Doanh nghiệp ngày càng phụ thuộc vào các liên minh kỹ thuật số hình thành nên chuỗi cung ứng hiện đại. Mặc dù những sự phụ thuộc này rất cần thiết để hoạt động trong thế kỷ 21, nhưng chúng cũng tạo ra một mạng lưới các mối quan hệ bên thứ ba lộn xộn, nhiều lớp và rất phức tạp, nhiều mối quan hệ trong số đó nằm ngoài tầm kiểm soát của các nhóm bảo mật và rủi ro để bảo vệ và phòng thủ một cách chủ động. Do đó, việc nhanh chóng xác định các tài sản kỹ thuật số dễ bị tổn thương báo hiệu rủi ro là một thách thức lớn.

Việc thiếu hiểu biết và khả năng quan sát các phần phụ thuộc này đã khiến các cuộc tấn công của bên thứ ba trở thành một trong những vec-tơ thường xuyên và hiệu quả nhất dành cho tác nhân đe dọa. Một số lượng đáng kể các cuộc tấn công hiện nay xảy ra thông qua chuỗi cung ứng số. Ngày nay, 70% các chuyên gia CNTT cho thấy mức độ phụ thuộc từ trung bình đến cao vào các tổ chức bên ngoài có thể kể đến bên thứ ba, thứ tư hoặc thứ năm.9 Đồng thời, 53% tổ chức đã trải qua ít nhất một lần vi phạm dữ liệu do bên thứ ba gây ra.10

Trong khi các cuộc tấn công chuỗi cung ứng quy mô lớn trở nên phổ biến hơn thì các tổ chức lại phải đối mặt với những cuộc tấn công nhỏ hơn hàng ngày. Phần mềm gây hại đánh cắp thẻ tín dụng kỹ thuật số như Magecart ảnh hưởng đến các plugin thương mại điện tử của bên thứ ba. Vào tháng 2 năm 2022, RiskIQ đã phát hiện hơn 300 miền bị ảnh hưởng bởi phần mềm gây hại đánh cắp thẻ tín dụng kỹ thuật số Magecart.11

Mỗi năm, các doanh nghiệp đầu tư nhiều hơn vào thiết bị di động khi lối sống của người tiêu dùng bình thường ngày càng tập trung vào thiết bị di động. Người Mỹ hiện dành nhiều thời gian trên thiết bị di động hơn là xem truyền hình trực tiếp, và sự xa cách xã hội khiến họ chuyển nhiều nhu cầu vật chất sang thiết bị di động, chẳng hạn như mua sắm và giáo dục. App Annie cho thấy rằng chi tiêu trên thiết bị di động đã tăng lên mức đáng kinh ngạc 170 tỷ USD vào năm 2021, mức tăng trưởng 19% so với cùng kỳ năm trước.12

Nhu cầu về thiết bị di động này tạo ra sự phát triển mạnh mẽ của các ứng dụng dành cho thiết bị di động. Người dùng đã tải xuống 218 tỷ ứng dụng vào năm 2020. Trong khi đó, RiskIQ ghi nhận mức tăng trưởng tổng thể 33% về các ứng dụng dành cho thiết bị di động có mặt vào năm 2020, với 23 ứng dụng xuất hiện mỗi phút.2

App Store là một bề mặt tấn công đang phát triển

  • tăng trưởng trong ứng dụng di động.
  • ứng dụng di động xuất hiện mỗi phút.
  • ứng dụng bị chặn cứ năm phút một lần.2

Đối với các tổ chức, những ứng dụng này thúc đẩy kết quả kinh doanh. Tuy nhiên, chúng có thể là con dao hai lưỡi. Bối cảnh ứng dụng là một phần quan trọng trong bề mặt tấn công tổng thể của doanh nghiệp tồn tại bên ngoài tường lửa, nơi các nhóm bảo mật thường gặp phải tình trạng thiếu khả năng quan sát nghiêm trọng. Những tác nhân đe dọa đã kiếm sống bằng cách lợi dụng sự mù mờ này để tạo ra “các ứng dụng giả mạo” bắt chước các thương hiệu nổi tiếng hoặc có ý định trở thành thứ gì đó không phải là họ, được xây dựng nhằm mục đích đánh lừa khách hàng tải chúng xuống. Sau khi người dùng không nghi ngờ tải xuống các ứng dụng độc hại này, các tác nhân đe dọa có thể thực hiện hành vi của mình, lừa đảo để lấy thông tin nhạy cảm hoặc tải phần mềm gây hại lên thiết bị. RiskIQ chặn một ứng dụng di động độc hại cứ sau 5 phút.

Những ứng dụng giả mạo này hiếm khi xuất hiện trong các cửa hàng chính thức, thậm chí còn vi phạm hệ thống phòng thủ vững chắc của các cửa hàng ứng dụng lớn. Tuy nhiên, hàng trăm cửa hàng ứng dụng kém uy tín hơn đại diện cho một thế giới di động ngầm tối tăm bên ngoài sự an toàn tương đối của các cửa hàng có uy tín. Ứng dụng trong các cửa hàng này ít được quản lý hơn nhiều so với các cửa hàng ứng dụng chính thức và một số ứng dụng tràn ngập ứng dụng gây hại đến mức vượt xa số lượng ứng dụng an toàn mà chúng cung cấp.

Bề mặt tấn công toàn cầu cũng là một phần của bề mặt tấn công của tổ chức

Bề mặt tấn công internet toàn cầu ngày nay đã chuyển đổi đáng kể thành một hệ sinh thái năng động, toàn diện và hoàn toàn gắn kết mà tất cả chúng ta đều là một phần trong đó. Nếu bạn hiện diện trên Internet, bạn sẽ kết nối với mọi người khác, bao gồm cả những người muốn làm hại bạn. Vì lý do này, việc theo dõi hạ tầng của mối đe dọa cũng quan trọng như theo dõi hạ tầng của chính bạn.

Bề mặt tấn công toàn bộ là một phần của bề mặt tấn công của tổ chức

  • phần mềm gây hại mới được phát hiện mỗi ngày.2
  • sự gia tăng các biến thể phần mềm gây hại.13
  • Máy chủ Cobalt Strike cứ sau 49 phút.2

Các nhóm mối đe dọa khác nhau sẽ khôi phục và chia sẻ hạ tầng như IP, miền và chứng chỉ, đồng thời sử dụng các công cụ hàng hóa nguồn mở như phần mềm gây hại, bộ công cụ lừa đảo và các thành phần C2 để tránh bị phân bổ dễ dàng, điều chỉnh và cải thiện chúng sao cho phù hợp với nhu cầu riêng của họ.

Hơn 560.000 phần mềm gây hại mới được phát hiện mỗi ngày và số lượng bộ công cụ lừa đảo được quảng cáo trên các thị trường tội phạm mạng ngầm đã tăng gấp đôi từ năm 2018 đến năm 2019. Vào năm 2020, số lượng biến thể phần mềm gây hại được phát hiện đã tăng 74%.14 RiskIQ hiện phát hiện máy chủ Cobalt Strike C2 cứ sau 49 phút.

Theo truyền thống, chiến lược bảo mật của hầu hết các tổ chức là cách tiếp cận phòng thủ chuyên sâu, bắt đầu từ vành đai và phân lớp trở lại các tài sản cần được bảo vệ. Tuy nhiên, có những điểm không liên kết giữa loại chiến lược đó và bề mặt tấn công, như được trình bày trong báo cáo này. Trong thế giới tương tác kỹ thuật số ngày nay, người dùng đứng ngoài phạm vi, cũng như ngày càng có nhiều tài sản kỹ thuật số của công ty bị lộ và tác nhân gây hại xuất hiện. Việc áp dụng nguyên tắc Zero Trust trên các tài nguyên của công ty có thể giúp đảm bảo an toàn năng lượng lao động ngày nay - bảo vệ con người, thiết bị, ứng dụng và dữ liệu bất kể vị trí của họ hay quy mô của các mối đe dọa phải đối mặt. Microsoft Security cung cấp một loạt công cụ đánh giá có mục tiêu để giúp bạn đánh giá giai đoạn trưởng thành Zero Trust của tổ chức của bạn.

Bài viết liên quan

Biên bản về Mối đe dọa trên mạng

Trong một cuộc tấn công mạng, mỗi giây đều có giá trị. Để minh họa quy mô và phạm vi của tội phạm mạng trên toàn thế giới, chúng tôi đã cô đọng nghiên cứu về an ninh mạng trong một năm trong khoảng thời gian 60 giây.
Tìm hiểu thêm

Mã độc tống tiền dưới dạng dịch vụ

Mô hình kinh doanh mới nhất của tội phạm mạng, các cuộc tấn công do con người điều hành, khuyến khích tội phạm có khả năng khác nhau.
Tìm hiểu thêm

Phát triển IoT và rủi ro đối với CNVH

Sự lưu thông ngày càng tăng của IoT đang khiến CNVH gặp rủi ro, với hàng loạt lỗ hổng tiềm ẩn và nguy cơ bị các tác nhân đe dọa tấn công. Tìm hiểu cách duy trì bảo vệ cho tổ chức của bạn.
Tìm hiểu thêm