Mã độc SUNBURST phản ánh điều gì về lĩnh vực bảo mật hiện nay

Khi mà mã độc SUNBURST tiếp tục được bóc tách và phân tích, và các tác động mà nó gây ra cho ngành bảo mật đang ngày càng trở nên lớn hơn, các chuyên gia bảo mật đã nhận ra rằng bức tranh tổng thể lớn hơn nhiều so với những gì họ đang biết. Khi các chuyên gia và các hãng công nghệ đang cố gắng để xử lý các hậu quả gây ra từ vụ tấn công vào hệ thống chuỗi cung ứng SolarWind, một câu hỏi đã được đặt ra: “Chúng ta đã học được những gì và cần chuẩn bị những gì cho những cuộc tấn công mạng tiếp theo?”

Solarwinds Breach

SUNBURST không phải là cuộc tấn công mạng lớn đầu tiên, và cũng sẽ không phải là cuộc tấn công lớn cuối cùng. Hãy cùng xem xét và đánh giá những gì mà chúng ta đã học được từ vụ SUNBURST:

  • Các chiến dịch tấn công mạng thường ẩn nấp trong một thời gian dài: Chúng ta có thể giả định rằng có rất nhiều các mã độc đang ẩn nấp trong hệ thống của chúng ta mà không một ai biết cả. Các mã độc này đang lợi dụng các lỗ hổng Zero-day và đang ngụy trang thành các lưu lượng mạng vô hại. Chính vì vậy, các tổ chức, doanh nghiệp cần phải liên tục điều tra và đánh giá cũng như phân tích các dữ liệu quá khứ để phát hiện các bất thường tiềm ẩn trong hệ thống.
  • Lợi dụng danh tiếng của các chuỗi cung ứng: Các kỹ thuật tấn công đang cố gắng lợi dụng độ tin cậy của các chuỗi cung ứng và tìm cách tấn công vào các sản phẩm này, từ đó mở ra một con đường xâm nhập vào một loạt các hệ thống khác nhau.
  • Cần nhiều nỗ lực phân tích và điều tra để phát hiện ra các cuộc tấn công: Khi cuộc tấn công mạng lớn tiếp theo diễn ra, các doanh nghiệp, tổ chức sẽ cần rất nhiều thời gian và công sức mới có thể tìm ra được nguyên nhân cũng như khắc phục các hậu quả mà chúng gây ra.

Đối với một tổ chức, điều quan trọng nhất cần làm đó là phòng tránh việc bị tấn công, chia nhỏ hệ thống mạng và xác thực mọi thành viên trước khi cấp quyền truy nhập vào hệ thống. Tuy nhiên, điều này tuy rằng cần thiết nhưng vẫn là chưa đủ để ngăn chặn các cuộc tấn công phức tạp và tinh vi vào thời đại hiện nay. Để làm được việc này, các doanh nghiệp cần triển khai các hệ thống Deception cũng như sở hữu khả năng phát hiện và ngăn chặn các cuộc tấn công trên mọi giai đoạn của chuỗi tấn công Cyber Kill Chain. Đồng thời, cũng cần kết hợp việc điều tra hồi tố vào quá khứ, đôi khi là vào những dữ liệu từ nhiều tháng trước để đảm bảo không dữ liệu nào bị bỏ xót. Với Fidelis XDR, các doanh nghiệp có thể thực hiện việc phát hiện và phản hồi nhờ vào:

    • Các thuật toán và công cụ phát hiện các dấu hiệu cũng như sự kiện bất thường, khả năng đánh dấu các hệ thống, thiết bị, người dùng đáng ngờ, phát hiện các giao thức đang được sử dụng sai mục đích.
    • Sử dụng Network Meta Data để phát hiện và săn tìm các mối đe dọa, điều tra hồi tố. 
    • Tận dụng các nguồn tin tình báo bảo mật để phát hiện các Malware mới nhất.
    • Triển khai Depception lên hệ thống để thu hút các mã độc cũng như các kẻ tấn công.

Tóm lại, để có thể chống lại các cuộc tấn công vô cùng tinh vi và phức tạp hiện nay, các công ty, tổ chức cần trang bị cho mình một hệ thống XDR mạnh mẽ để có thể nhanh chóng phát hiện và phản hồi, một hệ thống Deception để thu hút kẻ tấn công cũng như khả năng phân tích và điều tra hồi tố vào quá khứ.

 

Tham khảo:

https://fidelissecurity.com/threatgeek/threat-detection-response/sunburst-reflections-to-secure-by/

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *