Bên trong của bề mặt tấn công hiện đại

Đối với hầu hết các tổ chức, email là một phần thiết yếu trong hoạt động kinh doanh hàng ngày. Thật không may, email vẫn là đối tượng bị đe dọa hàng đầu. 35% sự cố mã độc tống tiền vào năm 2022 liên quan đến việc sử dụng email.⁴ Những kẻ tấn công đang thực hiện nhiều cuộc tấn công qua email hơn bao giờ hết – vào năm 2022, tỷ lệ tấn công lừa đảo qua mạng đã tăng 61% so với năm 2021.^.5

Hiện nay, kẻ tấn công cũng thường tận dụng các tài nguyên chính thống để thực hiện các cuộc tấn công lừa đảo qua mạng. Điều này khiến người dùng càng khó phân biệt giữa email thật và email độc hại, qua đó gia tăng khả năng thực hiện thành công của mối đe dọa. Một ví dụ về xu hướng này là các cuộc tấn công lừa đảo qua mạng nhằm thu thập thông tin đồng thuận, trong đó các tác nhân đe dọa tận dụng các nhà cung cấp dịch vụ đám mây hợp pháp để lừa người dùng cấp quyền truy cập vào dữ liệu bí mật.

Nếu không có khả năng liên kết dấu hiệu email với các sự cố rộng hơn để trực quan hóa các cuộc tấn công, có thể mất nhiều thời gian để phát hiện ra tác nhân đe dọa đã xâm nhập qua email. Đến lúc đó thì có thể đã quá muộn để ngăn chặn thiệt hại. Tính trung bình, kẻ tấn công chỉ cần 72 phút để truy nhập vào dữ liệu riêng tư của tổ chức.⁶ Điều này có thể dẫn đến tổn thất nghiêm trọng ở cấp độ doanh nghiệp. Vào năm 2021, hành vi xâm phạm email doanh nghiệp (BEC) đã gây ra mức thiệt hại ước tính sau khi điều chỉnh vào khoảng 2,4 tỷ USD.⁷

Trong thế giới hỗ trợ nền tảng điện toán đám mây ngày nay, việc bảo vệ quyền truy cập càng trở nên quan trọng hơn bao giờ hết. Do đó, cần phải hiểu rõ về danh tính trong toàn tổ chức của bạn – bao gồm quyền của tài khoản người dùng, danh tính khối lượng công việc và các lỗ hổng tiềm ẩn , đặc biệt là khi các cuộc tấn công ngày càng gia tăng về tần suất và tính sáng tạo.

Số vụ tấn công qua mật khẩu ước tính đã tăng lên 921 vụ mỗi giây vào năm 2022 – tăng 74% so với năm 2021.⁸ Tại Microsoft, chúng tôi cũng nhận thấy các tác nhân đe dọa ngày càng sáng tạo trong việc vượt qua bước xác thực đa yếu tố (MFA), thông qua các kỹ thuật như tấn công lừa đảo xen giữa qua mạng và lạm dụng mã thông báo để có quyền truy nhập vào dữ liệu của tổ chức. Bộ công cụ lừa đảo qua mạng đã giúp các tác nhân đe dọa đánh cắp thông tin xác thực dễ dàng hơn. Đơn vị Tội phạm kỹ thuật số của Microsoft nhận thấy có sự gia tăng về mức độ tinh vi của bộ công cụ lừa đảo qua mạng trong năm qua, cùng với rào cản gia nhập rất thấp: người bán cung cấp bộ công cụ lừa đảo qua mạng chỉ với giá 6 USD mỗi ngày.⁹

Quản lý bề mặt tấn công danh tính không chỉ đơn thuần là bảo mật tài khoản người dùng mà còn bao gồm cả bảo mật khả năng truy nhập vào nền tảng điện toán đám mây cũng như danh tính khối lượng công việc. Thông tin xác thực bị xâm phạm có thể là một công cụ mạnh mẽ được các tác nhân đe dọa sử dụng để tàn phá cơ sở hạ tầng đám mây của tổ chức.

Với số lượng thiết bị khổng lồ trong môi trường kết hợp ngày nay, việc bảo mật các điểm cuối trở nên khó khăn hơn nhiều. Điều không thay đổi là việc bảo mật các điểm cuối – đặc biệt là các thiết bị không được quản lý – rất quan trọng để đạt được vị thế bảo mật mạnh mẽ, vì ngay cả một lần bị xâm phạm cũng có thể khiến các tác nhân đe dọa xâm nhập vào tổ chức của bạn.

Khi các tổ chức áp dụng chính sách BYOD (“Mang theo thiết bị riêng”), các thiết bị không được quản lý đã phát triển nhanh chóng. Do đó, bề mặt tấn công điểm cuối giờ đây rộng lớn hơn và dễ bị lộ hơn. Trung bình, có 3.500 thiết bị được kết nối trong một doanh nghiệp không được tác nhân phát hiện và phản hồi điểm cuối bảo vệ.¹¹

Các thiết bị không được quản lý (là một phần của bối cảnh "CNTT ngoài luồng") đặc biệt thu hút tác nhân đe dọa vì các nhóm bảo mật thiếu khả năng quan sát cần thiết để bảo mật những thiết bị này. Tại Microsoft, chúng tôi nhận thấy rằng người dùng có nguy cơ bị lây nhiễm cao hơn 71% khi sử dụng thiết bị không được quản lý.¹² Vì được kết nối với mạng công ty nên các thiết bị không được quản lý cũng tạo cơ hội cho kẻ tấn công thực hiện các cuộc tấn công rộng hơn vào máy chủ và hạ tầng khác.

Máy chủ không được quản lý cũng là đối tượng tiềm năng cho các cuộc tấn công điểm cuối. Vào năm 2021, Microsoft Security quan sát thấy có một cuộc tấn công trong đó tác nhân đe dọa đã lợi dụng một máy chủ chưa được vá lỗi, điều hướng qua các thư mục và phát hiện ra một thư mục mật khẩu cung cấp quyền truy cập vào thông tin xác thực tài khoản.

Một trong những phương thức tấn công điểm cuối bị bỏ qua nhiều nhất là Vật dụng kết nối Internet (IoT) – bao gồm hàng tỷ thiết bị từ lớn đến nhỏ. Bảo mật IoT bao gồm các thiết bị vật lý kết nối và trao đổi dữ liệu với mạng như bộ định tuyến, máy in, máy ảnh và các thiết bị tương tự khác. Bảo mật IoT cũng có thể bao gồm các thiết bị vận hành và cảm biến (công nghệ vận hành hoặc “CNVH”) như thiết bị thông minh trên dây chuyền sản xuất.

Khi số lượng thiết bị IoT tăng lên thì số lượng lỗ hổng cũng tăng theo. Đến năm 2025, IDC dự đoán rằng 41 tỷ thiết bị IoT sẽ có mặt trong môi trường doanh nghiệp và môi trường người tiêu dùng.¹⁵ Vì nhiều tổ chức đang củng cố bộ định tuyến và mạng để khiến tác nhân đe dọa khó xâm phạm hơn nên thiết bị IoT lại đang trở thành mục tiêu dễ dàng và hấp dẫn hơn. Chúng tôi thường thấy các tác nhân đe dọa khai thác lỗ hổng để biến thiết bị IoT thành proxy, bằng cách sử dụng thiết bị bị lộ làm điểm tiếp cận để truy nhập mạng. Khi có được quyền truy nhập vào thiết bị IoT, tác nhân đe dọa có thể theo dõi lưu lượng truy cập đối với các tài sản không được bảo vệ khác, mở rộng địa bàn khai thác để xâm nhập vào các phần khác trong hạ tầng của mục tiêu hoặc do thám để lên kế hoạch tấn công quy mô lớn vào các trang thiết bị nhạy cảm. Trong một nghiên cứu, 35% người làm trong lĩnh vực bảo mật báo cáo rằng trong 2 năm qua, đã có một thiết bị IoT được sử dụng để tiến hành một cuộc tấn công quy mô lớn hơn vào tổ chức của họ.¹⁶

Thật không may, dù IoT thường là điểm mù của các tổ chức nhưng nhiều tổ chức lại thiếu các biện pháp bảo mật IoT thích hợp. 60% người làm trong lĩnh vực bảo mật cho rằng bảo mật IoT và OT là một trong những khía cạnh kém an toàn nhất trong hạ tầng CNTT và OT của họ.¹⁷

Ngày nay, bề mặt tấn công bên ngoài của tổ chức trải rộng trên nhiều đám mây, chuỗi cung ứng kỹ thuật số phức tạp và hệ sinh thái bên thứ ba khổng lồ. Internet hiện là một phần của mạng và mặc dù có quy mô gần như không thể đo lường được, các nhóm bảo mật phải bảo vệ sự hiện diện của tổ chức của họ trên Internet ở mức độ tương tự như mọi thứ đằng sau tường lửa của họ. Khi ngày càng có nhiều tổ chức áp dụng nguyên tắc  Zero Trust, việc bảo vệ cả bề mặt tấn công nội bộ lẫn bên ngoài đã trở thành một thách thức ở quy mô Internet.

Bề mặt tấn công toàn cầu phát triển cùng với Internet và đang mở rộng mỗi ngày. Tại Microsoft, chúng tôi đã thấy bằng chứng về sự gia tăng này của nhiều loại mối đe dọa, chẳng hạn như các cuộc tấn công lừa đảo qua mạng. Vào năm 2021, Đơn vị Tội phạm kỹ thuật số của Microsoft đã chỉ đạo xóa hơn 96.000 URL lừa đảo qua mạng không trùng lặp và 7.700 bộ công cụ lừa đảo qua mạng, dẫn đến việc xác định và đóng hơn 2.200 tài khoản email độc hại dùng để thu thập thông tin xác thực đánh cắp từ khách hàng.²⁴

Bề mặt tấn công bên ngoài không chỉ giới hạn ở tài sản riêng của tổ chức. Bề mặt này thường bao gồm các nhà cung cấp, đối tác, thiết bị không được quản lý của riêng nhân viên được kết nối với mạng hoặc tài sản của công ty cũng như tổ chức mới được mua lại. Do đó, cần phải nhận thức được các loại kết nối và khả năng tiếp xúc bên ngoài thì mới có thể giảm thiểu các mối đe dọa tiềm ẩn. Báo cáo của Ponemon năm 2020 tiết lộ rằng 53% tổ chức đã gặp phải ít nhất một vụ vi phạm dữ liệu do bên thứ ba gây ra trong 2 năm qua, chi phí khắc phục trung bình là 7,5 triệu USD.²⁵

Khi cơ sở hạ tầng đằng sau các cuộc tấn công mạng tăng lên, việc có được khả năng giám sát cơ sở hạ tầng của mối đe dọa và kiểm kê các tài sản tiếp xúc với Internet đã trở nên cấp bách hơn bao giờ hết. Chúng tôi nhận thấy rằng các tổ chức thường gặp khó khăn để hiểu được phạm vi tiếp xúc với bên ngoài của họ, dẫn đến những điểm mù đáng kể. Những điểm mù này có thể gây ra hậu quả tàn khốc. Vào năm 2021, 61% doanh nghiệp đã bị mã độc tống tiền tấn công khiến hoạt động kinh doanh bị gián đoạn ít nhất một phần.²⁶

Tại Microsoft, chúng tôi thường yêu cầu khách hàng xem xét tổ chức của họ từ ngoài vào trong khi đánh giá vị thế bảo mật. Ngoài VAPT (Đánh giá lỗ hổng và kiểm tra thâm nhập), điều quan trọng là phải có được khả năng giám sát sâu sắc về bề mặt tấn công bên ngoài để bạn có thể xác định các lỗ hổng trong toàn bộ môi trường và hệ sinh thái mở rộng của mình. Nếu bạn là kẻ tấn công đang cố gắng xâm nhập, bạn có thể khai thác gì? Hiểu được toàn bộ bề mặt tấn công bên ngoài của tổ chức là nền tảng cơ bản để bảo vệ nó.

Microsoft có thể trợ giúp như thế nào

Bối cảnh mối đe dọa ngày nay liên tục thay đổi và các tổ chức cần một chiến lược bảo mật có thể theo kịp. Sự phức tạp và nguy cơ lộ diện của tổ chức ngày càng tăng, cùng với số lượng lớn mối đe dọa và rào cản thâm nhập thấp vào nền kinh tế tội phạm mạng khiến việc bảo vệ mọi đường nối bên trong và giữa mỗi bề mặt tấn công trở nên cấp bách hơn bao giờ hết.

Các nhóm bảo mật cần có thông tin hữu hiệu về mối đe dọa để bảo vệ trước vô số mối đe dọa ngày càng gia tăng. Thông tin đúng đắn về mối đe dọa sẽ có sự tương đồng với các tín hiệu từ nhiều nơi khác nhau – qua đó cung cấp bối cảnh kịp thời và phù hợp về hành vi và xu hướng tấn công hiện tại để các nhóm bảo mật có thể xác định thành công các lỗ hổng, ưu tiên cảnh báo và làm gián đoạn các cuộc tấn công. Nếu có vi phạm xảy ra, thông tin về mối đe dọa đóng vai trò rất quan trọng để ngăn chặn thêm tổn thất và cải thiện khả năng phòng thủ để một cuộc tấn công tương tự không thể xảy ra lần nữa. Nói một cách đơn giản, các tổ chức tận dụng nhiều thông tin về mối đe dọa hơn sẽ an toàn và thành công hơn.

Microsoft có góc nhìn tuyệt vời về bối cảnh mối đe dọa đang gia tăng, với 65 nghìn tỷ tín hiệu được phân tích hàng ngày. Bằng cách liên kết các tín hiệu này trong thời gian thực trên các bề mặt tấn công, thông tin về mối đe dọa được tích hợp trong các giải pháp của Microsoft Security cung cấp thông tin chuyên sâu về môi trường của mã độc tống tiền và mối đe dọa đang gia tăng, để bạn có thể phát hiện và ngăn chặn nhiều cuộc tấn công hơn. Cùng với các khả năng AI tân tiến như  Microsoft Security Copilot, bạn có thể đón đầu trước các mối đe dọa ngày càng gia tăng và bảo vệ tổ chức của mình ở tốc độ của người máy – cho phép nhóm bảo mật của bạn đơn giản hóa sự phức tạp, nắm bắt những gì bị bỏ sót và bảo vệ tất cả mọi thứ.