Các công nghệ mới giúp cải thiện tổ chức của chúng ta và thay đổi cách doanh nghiệp vận hành và giải quyết vấn đề. Tuy nhiên, càng tích hợp nhiều công nghệ mới vào tổ chức, chúng ta càng mở rộng bề mặt tấn công đối với các mối đe dọa mạng. Khi môi trường CNTT của các tổ chức phát triển và mở rộng, những kẻ tấn công cũng phát triển chiến thuật của chúng, vượt ra ngoài các cuộc tấn công phần mềm độc hại truyền thống để sử dụng các kỹ thuật tinh vi hơn như tấn công di chuyển ngang.
Tấn công di chuyển ngang là một chiến thuật phổ biến được kẻ tấn công sử dụng để di chuyển trong mạng lưới của tổ chức nhằm truy cập dữ liệu hoặc hệ thống nhạy cảm. Những cuộc tấn công này thường liên quan đến việc sử dụng thông tin đăng nhập bị đánh cắp hoặc khai thác các lỗ hổng để truy cập vào các hệ thống không thể truy cập trực tiếp từ điểm xâm nhập ban đầu. Các nghiên cứu cho thấy kẻ tấn công dành 80% thời gian tấn công để di chuyển ngang qua mạng đã bị xâm phạm [1].
Các tác nhân đe dọa mạng phát triển các kỹ thuật di chuyển ngang ngày càng tinh vi, lén lút và gây rối, trong khi các biện pháp kiểm soát an ninh lại gặp khó khăn trong việc bắt kịp những kỹ thuật mới này. Nghiên cứu cho thấy 96% hành vi di chuyển ngang không kích hoạt cảnh báo tương ứng trong các giải pháp SIEM [2]. Các tổ chức đang gần như chiến đấu trong bóng tối trước các cuộc tấn công di chuyển ngang, trong khi kẻ xâm nhập vẫn không bị phát hiện trong mạng đã bị xâm phạm trong thời gian dài.
Những thống kê đáng lo ngại này đặt ra câu hỏi: “Làm sao tổ chức của bạn có thể sẵn sàng cho một cuộc tấn công di chuyển ngang nếu các biện pháp kiểm soát an ninh không phát hiện ra nó?”. Trong bài viết này, chúng tôi giải thích lý do tại sao các tổ chức cần mô phỏng các cuộc tấn công di chuyển ngang.
Table of Contents
ToggleTại sao các tổ chức cần mô phỏng các cuộc tấn công di chuyển ngang?
Ngày nay, việc thấy hàng nghìn người dùng và máy tính trong cơ sở hạ tầng CNTT của một tổ chức không còn là điều ngạc nhiên. Những cơ sở hạ tầng này rất lớn, và các tổ chức sử dụng phân đoạn mạng và quản lý truy cập để quản lý các tài sản có giá trị của mình. Do đó, việc di chuyển ngang trong cơ sở hạ tầng của mục tiêu và nhảy từ phân đoạn mạng này sang phân đoạn khác trở nên phổ biến trong các cuộc tấn công mạng chống lại các tổ chức.
Kết quả là, những kẻ tấn công dành rất nhiều thời gian và công sức để di chuyển ngang từ phân đoạn mạng này sang phân đoạn mạng khác nhằm đạt được mục tiêu của mình. Vì các kỹ thuật di chuyển ngang phổ biến trong các chiến dịch tấn công, các tổ chức được khuyến nghị mô phỏng các cuộc tấn công di chuyển ngang trước khi các tác nhân đe dọa tinh vi thực hiện một cuộc tấn công thực sự.
Trong phần này, chúng tôi giải thích lý do tại sao việc thực hiện mô phỏng các cuộc tấn công di chuyển ngang cần trở thành một thực hành phổ biến và là một phần trong quy trình xác thực và giảm thiểu rủi ro an ninh của các tổ chức.
-
Các cuộc tấn công di chuyển ngang là cốt lõi của các con đường tấn công
Không phải mọi tài sản trong tổ chức của bạn đều quan trọng đối với hoạt động kinh doanh, và việc cố gắng bảo vệ mọi thứ trong tổ chức là một mục tiêu không thực tế. Bạn có thể nghĩ đến các tài sản của tổ chức như các quân cờ trong trò chơi cờ vua. Ngay cả đối với một kỳ thủ cờ vua giỏi, một điều chắc chắn là: không ai có thể bảo vệ mọi quân cờ trên bàn cờ. Một số quân cờ có giá trị hơn và do đó cần được bảo vệ kỹ càng hơn so với những quân cờ khác. Nói một cách đơn giản, một bức ảnh thông thường không nên được bảo vệ với cùng mức độ như thông tin cá nhân của nhân viên.
Do đó, các tổ chức nên bảo vệ các tài sản quan trọng bằng cách quản lý con đường tấn công hiệu quả thay vì cố gắng bảo vệ tất cả mọi thứ. Con đường tấn công là hình ảnh hóa lộ trình mà kẻ tấn công có thể thực hiện để khai thác một lỗ hổng, cấu hình sai hoặc điểm yếu trong cơ sở hạ tầng an ninh của tổ chức. Tổ chức của bạn có thể có hàng nghìn hoặc hàng triệu con đường tấn công bao gồm các lỗ hổng cô lập và không quan trọng, đặc biệt nếu bạn sử dụng các dịch vụ thư mục. Vì các lỗ hổng này không phản ánh đúng thực trạng an ninh của tổ chức, việc ưu tiên các con đường tấn công quan trọng có thể dẫn đến xâm phạm tài sản có giá trị là điều cần thiết.
Việc ưu tiên các con đường tấn công quan trọng trở nên dễ dàng hơn nhiều thông qua hình ảnh hóa và quản lý các con đường tấn công có thể có. Bước đầu tiên trong việc hình ảnh hóa các con đường tấn công là xác định các tài sản có giá trị của tổ chức. Sau đó, tổ chức có thể hình ảnh hóa các con đường tấn công có thể giúp kẻ tấn công tìm ra tài sản có giá trị. Việc hình ảnh hóa con đường tấn công cho phép các tổ chức bảo vệ tài sản quan trọng của mình một cách dễ dàng hơn.
Thông qua việc mô phỏng các cuộc tấn công di chuyển ngang, các nhóm phòng thủ có thể tập trung vào 5% rủi ro an ninh có ảnh hưởng đến tổ chức thay vì 95% rủi ro không đòi hỏi sự chú ý ngay lập tức.
2. Các cuộc tấn công di chuyển ngang gây tốn kém
Di chuyển ngang phổ biến trong các chiến dịch tấn công như gián điệp mạng có mục tiêu, tấn công ransomware và đánh cắp dữ liệu. Một phân tích định lượng được thực hiện bởi VMware, *Lateral Movement in the Real World (2022)*, cho thấy 45% các cuộc xâm nhập có chứa sự kiện di chuyển ngang. Như đã thảo luận trong blog *Lateral Movement Attacks 101*, thay vì chỉ xâm nhập một máy duy nhất hoặc ở lại trên một phân đoạn mạng có quyền hạn thấp, kẻ tấn công mở rộng quyền truy cập của mình thông qua các kỹ thuật di chuyển ngang để tìm kiếm các tài sản quan trọng chứa thông tin nhạy cảm của tổ chức.
Các kỹ thuật di chuyển ngang chiếm 80% thời gian tấn công của kẻ xấu, và những kỹ thuật này đòi hỏi kỹ năng, công sức và kinh nghiệm kỹ thuật phức tạp để thực hiện thành công chiến dịch tấn công. Mặc dù di chuyển ngang không phải là mục tiêu cuối cùng của kẻ tấn công, nhưng nó làm tăng đáng kể tác động tổng thể của cuộc tấn công mạng. Theo báo cáo *Cost of a Data Breach Report* của IBM, “chi phí trung bình của một cuộc vi phạm dữ liệu đã tăng 2.6%, từ 4.24 triệu USD năm 2021 lên 4.35 triệu USD năm 2022”. Hơn nữa, báo cáo này còn tiết lộ rằng 83% các doanh nghiệp phải chịu ít nhất một cuộc tấn công vi phạm dữ liệu trong suốt thời gian hoạt động, và 60% các cuộc vi phạm khiến giá cả tăng lên, đẩy chi phí sang khách hàng. Do đó, các tổ chức bị ảnh hưởng tài chính, và khách hàng phải chịu gánh nặng tài chính từ những cuộc vi phạm dữ liệu.
3. Các cuộc tấn công di chuyển ngang khó bị phát hiện
Việc phát hiện các cuộc tấn công di chuyển ngang rất khó khăn vì khó phân biệt được giữa lưu lượng mạng hợp pháp và hành vi của kẻ tấn công. Theo *Security Effectiveness Report (2021)*, 54% các kỹ thuật và chiến thuật được sử dụng để kiểm tra di chuyển ngang đã bị bỏ sót. Thêm vào đó, báo cáo này cũng cho biết 96% hành vi di chuyển ngang không kích hoạt cảnh báo tương ứng trong các giải pháp SIEM. Nói cách khác, các tổ chức gần như đang chiến đấu trong tình trạng “mù lòa” trước các cuộc tấn công di chuyển ngang.
Xét rằng kẻ tấn công nhảy từ điểm này sang điểm khác trong mạng, việc ngăn chặn tấn công càng trở nên khó khăn hơn. Ngay cả khi nhóm bảo mật nhận ra điểm xâm nhập ban đầu, việc ngắt kết nối thiết bị bị nhiễm cũng không còn tác dụng, vì kẻ tấn công có thể đã xâm nhập sâu hơn và đang tiếp tục khai thác các phân đoạn mạng và miền khác, thu thập thông tin đăng nhập của người dùng miền.
4. Phát hiện có thể được cải thiện thông qua mô phỏng tấn công
Các kỹ thuật di chuyển ngang là một trong những điểm khác biệt chính giữa một cuộc tấn công *Advanced Persistent Threat* (APT) tinh vi và một cuộc tấn công mạng đơn giản vào một thiết bị duy nhất. Những kẻ tấn công có kỹ năng thường nhắm vào các tổ chức có dữ liệu nhạy cảm có giá trị trên thị trường chợ đen hoặc đòi tiền chuộc. Do đó, các tác nhân đe dọa có động cơ và kỹ năng cao nhắm đến việc xâm phạm càng nhiều thiết bị trong mạng của tổ chức càng tốt.
Các tổ chức có thể xử lý các cuộc tấn công di chuyển ngang như thế nào?
Trong phần trước, chúng ta đã thảo luận lý do tại sao việc phát hiện tấn công di chuyển ngang rất khó khăn và cách các sản phẩm SIEM hoạt động kém trong việc kích hoạt cảnh báo tương ứng. Tuy nhiên, các công nghệ SIEM có thể được cấu hình rất linh hoạt, và hiệu suất của chúng có thể được cải thiện đáng kể với phương pháp tiếp cận đúng đắn.
Hãng Bảo mật Picus Security khuyến nghị các tổ chức tuân theo quy trình bốn bước của Picus: **Phát hiện – Xác thực – Ưu tiên – Tối ưu hóa** để xác định các con đường tấn công tiềm năng trong môi trường tổ chức của mình và ưu tiên giảm thiểu các con đường tấn công quan trọng nhắm vào tài sản giá trị.
– **Phát hiện** toàn bộ bề mặt tấn công của bạn, bao gồm mạng bên ngoài, mạng nội bộ và môi trường đám mây.
– **Xác thực** tư thế an ninh hiện tại của bạn với tư duy của hacker và phát hiện các lỗ hổng an ninh quan trọng.
– **Ưu tiên** giảm thiểu các con đường tấn công quan trọng nhất để tối đa hóa hiệu quả của cơ sở hạ tầng an ninh.
– **Tối ưu hóa** chương trình an ninh một cách liên tục để cải thiện khả năng phục hồi và giảm thiểu rủi ro kinh doanh quan trọng.
Để cải thiện liên tục, các tổ chức được khuyến nghị lặp lại quy trình và xác thực hiệu quả của các biện pháp đã áp dụng.
Kết luận
Các cuộc tấn công di chuyển ngang là một chiến thuật phổ biến mà các kẻ tấn công sử dụng để xâm nhập và di chuyển trong mạng lưới. Bằng cách mô phỏng các loại tấn công này, các tổ chức có thể kiểm tra hiệu quả của các biện pháp an ninh, xác định các điểm yếu trong phòng thủ mạng và thực hiện các bước khắc phục trước khi một cuộc tấn công thực sự xảy ra. Điều này giúp tổ chức cải thiện khả năng phòng thủ và ngăn chặn kẻ tấn công thành công.
Thêm vào đó, việc mô phỏng các cuộc tấn công di chuyển ngang giúp các tổ chức hiểu rõ hơn về chiến thuật, kỹ thuật và quy trình (TTPs) mà các kẻ tấn công sử dụng. Kiến thức này rất có giá trị trong việc phát triển các chiến lược an ninh hiệu quả hơn và cải thiện khả năng phát hiện, phản ứng với các cuộc tấn công của tổ chức. Nhờ vậy, các cuộc mô phỏng tấn công di chuyển ngang giúp tăng cường khả năng giám sát an ninh mạng và củng cố hệ thống phòng thủ của tổ chức trước các tác nhân APT, nhóm ransomware, các mối đe dọa được nhà nước bảo trợ và nhiều mối đe dọa khác.
Hiện MVTech là đơn vị phân phối các giải pháp bảo mật của Picus tại Việt Nam. Để được tư vấn và hỗ trợ trực tiếp vui lòng liên hệ qua số Hotline của MVTech.