Những câu hỏi hacker thường cân nhắc khi chọn mục tiêu tấn công

Thảo luận trong 'Thông tin quảng cáo' bắt đầu bởi watchguard, 5/2/21.

  1. watchguard

    watchguard New Member

    Những câu hỏi hacker thường cân nhắc khi chọn mục tiêu tấn công

    [​IMG]


    David “moose” Wolpoff, CTO đang làm việc tại Randori giải thích cách tin tặc chọn mục tiêu và hiểu “logic của hacker” có thể giúp ưu tiên phòng thủ như thế nào.

    Trong khoảng một thập kỷ qua, chúng ta đã thấy một sự thay đổi lớn đối với đám mây. Đại dịch COVID-19 và trục xoay liên quan đến công việc từ xa chỉ càng đẩy nhanh xu hướng đám mây này, buộc các blue-teamer (đội xanh) phải nhanh nhẹn hơn để bảo vệ các tài sản trên mạng. Trong khi những người bảo vệ đang thích nghi các môi trường dựa trên đám mây, các cuộc tấn công chống lại các hệ thống đám mây đã tăng 250 phần trăm trong năm ngoái.

    Nhiều nội dung hơn trên đám mây tạo ra thách thức cho những người bảo vệ, nhưng thật sai lầm khi cho rằng điều này khiến mọi thứ trở nên dễ dàng hơn đối với kẻ thù. Những kẻ tấn công không có thời gian để xem xét mọi tài sản chuyên sâu - số lượng tài sản có thể lên đến hàng chục nghìn đối với một doanh nghiệp lớn. Cũng giống như yêu cầu đối với đội bảo mật, đối thủ cũng có những ràng buộc. Thời gian của họ có giá, họ phải hoạt động trong phạm vi ngân sách hạn chế và khả năng kỹ thuật của họ có giới hạn.

    Là một người được hàng trăm CISO thuê để kiểm tra khả năng phòng thủ của họ với sự tham gia của đội đỏ (red-teamer), tôi biết rõ rằng những người bảo vệ đang bị chôn vùi trong các cảnh báo an ninh, phải vật lộn để tìm ra các tín hiệu phù hợp giữa muôn vàn dữ liệu. Các đội này có hàng tá ứng dụng bảo mật, danh sách kiểm tra và một đống quy trình để thực hiện các chiến lược phòng thủ. Tuy nhiên, tồn tại một khoảng cách lớn giữa cách phòng thủ của đội xanh và cách đội đỏ tấn công. Hiểu đối thủ - logic của hacker - là bước đầu tiên vững chắc để giải mã các tín hiệu quan trọng và thu hẹp khoảng cách đó. Quan điểm của đội đỏ về cách kẻ tấn công đánh giá tài sản để theo dõi và khai thác trên bề mặt bắt đầu bằng cách trả lời sáu câu hỏi. Và, nếu logic này được áp dụng trong doanh nghiệp, chiến lược bảo mật của nó sẽ thay đổi, dẫn đến hiệu quả hơn và rủi ro thấp hơn.

    1. Tôi có thể nhìn thấy thông tin hữu ích nào của mục tiêu từ bên ngoài?
    Mỗi mục tiêu đều có một câu chuyện, một số chi tiết hơn những mục tiêu khác. Cuối cùng, kẻ tấn công càng có thể thu thập nhiều thông tin về một phần công nghệ được sử dụng (hoặc về một người trong tổ chức), thì chúng càng tự tin lên kế hoạch cho giai đoạn tấn công tiếp theo, vì vậy chúng có thể tự tin hơn khi xâm nhập mạng. Việc làm sáng tỏ các chi tiết về mục tiêu mô tả khả năng liệt kê - kẻ tấn công có thể chi tiết hóa mục tiêu từ bên ngoài một cách tinh vi như thế nào. Ví dụ: tùy thuộc vào dịch vụ và việc triển khai của nó, mục tiêu máy chủ web có thể báo cáo bất kỳ điều gì từ không có mã định danh máy chủ đến tên máy chủ cụ thể - “Apache” hoặc “Apache 2.4.33”. Nếu những kẻ tấn công có thể thấy phiên bản chính xác của một dịch vụ đang được sử dụng và cấu hình của nó, chúng có thể thực hiện các cuộc khai thác và tấn công chính xác, tối đa hóa cơ hội thành công và giảm thiểu tỷ lệ bị phát hiện.

    2. Tài sản này có giá trị như thế nào đối với kẻ thù?
    Mỗi bước một hacker thực hiện đều là nỗ lực, thời gian, tiền bạc và rủi ro. Tốt hơn là nên chọn một mục tiêu nào đó hơn là mò mẫm vào các mục tiêu một cách ngẫu nhiên. Một số mục tiêu có nhiều khả năng dễ bị tấn công hơn những mục tiêu khác vì chính mục đích của chúng khiến chúng trở thành một mục tiêu ngon lành. Những kẻ tấn công đánh giá mức độ nghiêm trọng trước khi hành động, nhằm tập trung nỗ lực vào các mục tiêu có khả năng đưa chúng đến gần mục đích hơn. Các thiết bị bảo mật như VPN và tường lửa, hoặc các giải pháp hỗ trợ từ xa ngoại vi, là những chìa khóa quan trọng đối với tổ chức- khi đánh cắp một tài khoản có thể mở một đường dẫn đến hệ thống mạng và đến các thông tin xác thực sẽ cho phép truy cập nhiều tài nguyên hơn. Tương tự như vậy, các hệ thống xác thực có thể cung cấp cho kẻ tấn công nhiều thông tin xác thực hơn nếu bị xâm phạm. Những kẻ tấn công tìm kiếm các công cụ cung cấp khả năng định vị và truy cập tốt nhất. Các nội dung bị lộ ra ngoài không được bảo vệ và không dẫn đến dữ liệu hoặc quyền truy cập quan trọng sẽ ít có giá trị hơn đối với tin tặc.

    3. Các lổ hổng đã biết có thể khai thác được không?
    Trái với suy nghĩ của nhiều người, việc có xếp hạng CVSS mức độ nghiêm trọng cao trong danh sách CVE không có nghĩa là một mục tiêu được kẻ tấn công quan tâm nhiều. Đã có nhiều lỗ hổng nghiêm trọng, không thực sự có thể khai thác được. Thậm chí nhiều lỗi có thể khai thác được, nhưng chỉ trong những trường hợp thực sự cụ thể. Trên lý thuyết, một số có thể khai thác được, nhưng chưa ai thực sự làm được công việc đó. Những kẻ tấn công phải xem xét chi phí và khả năng thực sự khi tấn công một tài sản. Nếu một bằng chứng hữu ích về khái niệm (POC) tồn tại, đó là một chỉ báo tốt. Nếu có nhiều nghiên cứu và phân tích về một lỗ hổng cụ thể, thì việc khai thác có thể không phải là một câu hỏi, mà có thể chỉ là công việc. Thời gian là tiền bạc, và việc khai thác cần có thời gian, do đó, một hacker phải xem xét các công cụ có sẵn ở nơi công cộng, các công cụ họ đủ khả năng để xây dựng hoặc các công cụ họ có thể mua (hãy nghĩ đến Canvas hoặc Zerodium). Đối với một tài sản cụ thể, trong một số trường hợp nhất định, đối thủ mua các công cụ khai thác đã xây dựng trước đó. Điều này xảy ra nhiều hơn nhiều người nhận ra.

    4. “Môi trường hiếu khách” sẽ như thế nào nếu tôi xâm nhập nó? (Tiềm năng sau khai thác)
    Định nghĩa của những kẻ tấn công về “môi trường hiếu khách” là định nghĩa giúp bạn có thể sinh sống và đi lại mà không bị phát hiện. Đây là một tài sản nơi phần mềm độc hại và các công cụ xoay vòng hoạt động và nơi có ít biện pháp bảo vệ. Mục tiêu này là mục tiêu mà các đội xanh không cài đặt bất kỳ hệ thống phòng thủ nào, vì vậy kẻ tấn công biết rằng họ có thể hoạt động mà không lo bị phát hiện. Bất kỳ công nghệ nào được bảo vệ và giám sát đầy đủ - nhưng thiết bị đầu cuối - đều không có lợi. Điện thoại để bàn và các thiết bị VPN cũng như các thiết bị phần cứng không được bảo vệ khác được cắm vật lý vào mạng và có môi trường thực thi quen thuộc, tạo thành một máy chủ lưu trữ tuyệt vời. Nhiều thiết bị được xây dựng bằng Linux và đi kèm với một không gian người dùng hoàn chỉnh và các công cụ quen thuộc được cài đặt sẵn, khiến chúng trở thành mục tiêu có tiềm năng sau khai thác cao.

    5. Mất bao lâu để phát triển một khai thác? (Nghiên cứu tiềm năng)
    Biết rằng bạn muốn tấn công một mục tiêu cụ thể và thực sự có một số khai thác hoặc kỹ thuật để làm như vậy, không giống nhau. Khi xem xét một mục tiêu cụ thể, một hacker phải đánh giá xem họ có khả năng thành công trong việc phát triển một cách khai thác mới hay không và với chi phí nào. Nghiên cứu lỗ hổng bảo mật (VR) không chỉ để tìm nội dung để vá. Tin tặc thực hiện VR trên các mục tiêu vì chúng muốn khai thác. Chi phí của nghiên cứu đó, cùng với chi phí thử nghiệm và xây dựng bất kỳ công cụ nào tạo ra, là một phần của việc đánh giá xem mục tiêu có đáng bị tấn công hay không. Các công cụ mã nguồn mở, được nghiên cứu kỹ lưỡng hoặc có tài liệu để có thể dễ dàng lấy và kiểm tra là những mục tiêu dễ dàng hơn. Các nền tảng đắt tiền và thương hiệu (thường là phần cứng như hệ thống VoIP hoặc các thiết bị bảo mật đắt tiền) yêu cầu các kỹ năng và tài nguyên đặc biệt để tấn công (mặc dù chúng hấp dẫn vì giá trị dữ liệu được lưu trữ và mức độ truy cập được cấp). Bất kỳ rào cản nào đối với việc xâm nhập đều hạn chế động cơ của đối thủ nhắm mục tiêu vào các nền tảng, công cụ hoặc dịch vụ cụ thể.

    6. Có thể tái lặp ROI khi đang phát triển khai thác không? (Khả năng áp dụng)
    Một trong những thay đổi lớn nhất từ tư duy phòng thủ sang logic của hacker là hiểu mô hình kinh doanh của kẻ tấn công. Những kẻ tấn công đầu tư thời gian, nghiên cứu và nhân lực để tạo ra các kỳ tích và xây dựng các công cụ. Họ muốn ROI cao nhất có thể. Tổ chức của bạn rất có thể là một trong số nhiều mục tiêu mà hacker quan tâm, bởi vì kẻ thù của bạn muốn chia sẻ chi phí của chúng cho nhiều nạn nhân cùng một lúc. Những kẻ tấn công đánh giá khả năng áp dụng để hiểu tiềm năng tạo và sử dụng một khai thác cho nhiều hơn một trường hợp. Với nguồn lực hạn chế, những kẻ tấn công tạo ra các khai thác cho các công nghệ được sử dụng rộng rãi để tạo ra tiềm năng kiếm tiền cao trên nhiều mục tiêu. Hãy nhớ khi Mac được coi là không thể bị tấn công? Vào thời điểm đó, Microsoft có nhiều thị phần hơn nên việc khai thác Windows có lợi hơn. Khi Windows trở thành mục tiêu khó hơn và máy Mac phát triển mạnh trong doanh nghiệp, điều đó sẽ thay đổi. Tương tự như vậy, các lỗ hổng trên iOS đắt hơn nhiều so với các lỗ hổng trên Android. Nhưng các lực lượng thị trường đang khiến các lỗ hổng iOS trở nên phổ biến hơn và ít tốn kém hơn.

    Những kẻ tấn công thường không xem xét mức độ nghiêm trọng của lỗi và quyết định tấn công cái gì. Có nhiều thành phần khác trong việc lập kế hoạch cho một hành động, đừng bao giờ coi các chuỗi dài các hành động là một phần của một cuộc tấn công. Những kẻ tấn công phải quản lý các nguồn lực trong khi cố gắng đạt được mục tiêu, hoặc thực sự là hoạt động kinh doanh của họ. Ý tưởng cho rằng đối thủ cũng phải đánh đổi là điều mà các nhà làm bảo mật nên ghi nhớ. Để bảo vệ một doanh nghiệp, không thể bảo vệ mọi thứ, mọi nơi, mọi kẻ thù, mọi lúc. Thỏa hiệp là không thể tránh khỏi. Tên của trò chơi trong quản lý rủi ro là đặt cược phòng thủ theo những cách tốt nhất có thể để tối ưu hóa kết quả kinh doanh. Suy nghĩ giống một kẻ tấn công hơn có thể định hình mức độ ưu tiên và làm nổi bật những nội dung vừa có giá trị vừa có sức hấp dẫn đối với kẻ thù, khiến các doanh nghiệp đôi khi có thể quyết định rằng chi phí để thực sự củng cố một mục tiêu là không đáng giá.

    Giải pháp tường lửa thông minh của WatchGuard được xây dựng theo cấu trúc đa lớp, phân tầng kết hợp trí thông minh nhân tạo và máy học giúp kiểm soát và ngăn chặn tối đa các tác nhân gây hại cho hệ thống mạng một cách tự động. Kết hợp phiên bản end-point Panda Adaptive Defense 360 bảo vệ máy tính người dùng khõi các phần mềm độc hại gia tăng thêm khả năng chống chọi với các mối đe dọa ngày càng tăng.

    Hơn nữa, tích hợp các công nghệ bảo mật hàng đầu trong một giải pháp duy nhất mang lại sự trải nghiệm tối ưu về mặt sử dụng và chi phí đầu tư.



    Nhà phân phối giải pháp Firewall WatchGuard:

    ITMAP ASIA JSC

    555 Trần Hưng Đạo, P. Cầu Kho, Q.1, TP.HCM

    Email: info@itmapasia.com

    Đt: 028 5404 0717 - 5404 0799
     

Chia sẻ trang này