Các mối đe dọa nhắm vào IdP đã nhanh chóng trở thành phương thức tấn công được nhiều tác nhân đe dọa lựa chọn. Sự xâm phạm gần đây của Okta không phải là lần đầu tiên các tác nhân đe dọa có được quyền truy cập vào thông tin quan trọng của khách hàng và cũng sẽ không phải là lần cuối cùng.
Khi IdP bị xâm phạm, hậu quả có thể rất nghiêm trọng. Việc truy cập trái phép vào tài khoản người dùng và thông tin nhạy cảm trở thành mối lo ngại đáng kể, dẫn đến khả năng vi phạm dữ liệu, tổn thất tài chính và hoạt động trái phép.
Các cuộc tấn công danh tính sử dụng kỹ nghệ xã hội để lấy mã 2 yếu tố (2FA) và chiếm quyền điều khiển phiên nhằm có được quyền truy cập đặc quyền. Việc đánh cắp thông tin xác thực của người dùng, chẳng hạn như tên người dùng và mật khẩu hoặc mã thông báo phiên, cho phép kẻ tấn công xâm nhập vào các hệ thống và dịch vụ khác, đồng thời cấp quyền truy cập vào các hệ thống và tài nguyên nhạy cảm.
Việc lộ, lọt thông tin cá nhân hoặc nhạy cảm có thể dẫn đến hành vi trộm cắp danh tính, tấn công lừa đảo và các hình thức tội phạm mạng khác. Vụ vi phạm gần đây đóng vai trò như một lời nhắc nhở rõ ràng về tầm quan trọng của các biện pháp bảo mật mạnh mẽ và giám sát liên tục để bảo vệ hệ thống nhà cung cấp danh tính và bảo vệ khỏi những tác động tiềm ẩn này.
Các biện pháp kiểm soát bảo mật truyền thống bị bỏ qua trong các cuộc tấn công như vậy, vì kẻ tấn công giả định danh tính của người dùng và hoạt động độc hại của họ không thể phân biệt được với hành vi thông thường.
Network Access (ZTNA) là một phần của truy cập không tin cậy tập trung vào việc kiểm soát quyền truy cập vào các ứng dụng. ZTNA mở rộng các nguyên tắc của ZTA để xác minh người dùng và thiết bị trước mỗi phiên ứng dụng để xác nhận rằng họ đáp ứng chính sách của tổ chức để truy cập ứng dụng đó
Kiến trúc này thay thế quyền truy cập dựa trên cấp độ mạng và giảm độ tin cậy ngầm quá mức đối với quyền truy cập vào tài nguyên, chủ yếu từ các địa điểm ở xa, của nhân viên, nhà thầu và các bên thứ ba khác.
Trong lần vi phạm này, người dùng đã vô tình tải một tệp có thông tin nhạy cảm lên hệ thống quản lý hỗ trợ của Okta. Kẻ tấn công đã lợi dụng phiên cookie từ thông tin được tải lên để tiếp tục vi phạm. ZTNA có thể có hiệu quả trong việc ngăn chặn người dùng vô tình tải lên các tệp có dữ liệu nhạy cảm.
Bằng cách sử dụng tính năng kiểm soát hành vi, các tổ chức chỉ có thể giới hạn quyền truy cập vào các ứng dụng trên các thiết bị được quản lý. Nếu kẻ tấn công cố gắng truy cập vào các ứng dụng hoặc máy chủ quan trọng từ các thiết bị không được quản lý, quyền truy cập sẽ bị cấm. Điều quan trọng là phải thể hiện quyền truy cập của thiết bị không được quản lý trở thành một phần bắt buộc của kiến trúc ZTNA.
Phạm vi tấn công có thể được giảm mức tối thiểu bằng cách thực thi các chính sách phân đoạn nghiêm ngặt. Quản trị viên nên xác định các chính sách để kết hợp các thuộc tính và dịch vụ của người dùng để thực thi ai có quyền truy cập vào nội dung gì. Điều quan trọng là xác định xem liệu có cần chính sách truy cập chung khi người dùng ở trong và ngoài hệ thống hay không.
Thông thường, sau khi những kẻ tấn công đã thiết lập được chỗ đứng trên mạng, chúng sẽ di chuyển ngang hàng trong hệ thống, xác định các hệ thống quan trọng để thực hiện các cuộc tấn công tiếp theo, bao gồm cả việc đánh cắp dữ liệu.
Nguyên tắc phòng thủ chiều sâu (DiD) đóng vai trò rất quan trọng trong việc phá vỡ chuỗi tấn công. Phương pháp bảo mật theo lớp thực thi khả năng phòng thủ mạnh mẽ trước các cuộc tấn công phức tạp, sao cho nếu một lớp không phát hiện được bước tiến của tác nhân đe dọa trong chuỗi tấn công thì lớp tiếp theo vẫn có thể phát hiện hành vi bất thường và từ đó vô hiệu hóa chúng.
Deception cũng như Phát hiện và ứng phó với mối đe dọa danh tính (ITDR) là hai công cụ bổ sung có thể giúp các tổ chức có thể phát hiện và ngăn chặn các cuộc tấn công dựa trên danh tính.
Công nghệ Deception
một loại giải pháp an ninh mạng giúp phát hiện sớm các mối đe dọa với tỷ lệ dương tính giả thấp. Công nghệ này triển khai các mồi nhử thực tế (ví dụ: tên miền, cơ sở dữ liệu, thư mục, máy chủ, ứng dụng, tệp, thông tin xác thực, đường dẫn) trong mạng cùng với các tài sản thực để hoạt động như mồi nhử.
Ngay khi kẻ tấn công tương tác với mồi nhử, công nghệ này sẽ bắt đầu thu thập thông tin mà nó sử dụng để tạo ra các cảnh báo có độ chính xác cao giúp giảm thời gian dừng và tăng tốc độ phản hồi sự cố.
Công nghệ Deception hiện đại sử dụng các kỹ thuật phòng thủ tích cực để có thể thiết lập hệ thống mạng của các tổ chức trở thành môi trường khó khăn đối với những kẻ tấn công.
Các nền tảng Deception ngày nay tuân theo mô hình phát hiện dương tính giả chủ động, thấp. Phân tích sâu nhắm vào mục đích của con người đằng sau một cuộc tấn công, thích ứng với các mối đe dọa mới trước khi chúng xảy ra và cung cấp khả năng điều phối và tự động hóa các hành động ứng phó.
Bởi các biện pháp phòng vệ Deception không phụ thuộc vào dấu hiệu hoặc phương pháp phỏng đoán để phát hiện nên chúng có thể bao phủ gần như mọi vectơ tấn công và phát hiện các cuộc tấn công, bao gồm các mối đe dọa liên tục nâng cao (APT), các mối đe dọa zero-day, trinh sát mạng, chuyển động ngang, , các cuộc tấn công xen giữa () và mã độc tống tiền trong thời gian thực.
Việc sử dụng Deception không phải lúc nào cũng ngăn chặn được một cuộc tấn công danh tính, thế nhưng nó sẽ đóng vai trò là tuyến phòng thủ cuối cùng để phát hiện sự hiện diện của kẻ tấn công sau vi phạm. Điều này có thể giúp ngăn chặn sự thỏa hiệp.
Công nghệ ITDR
ITDR là một nguyên tắc bảo mật mới nổi nằm ở điểm giữa của việc phát hiện mối đe dọa cũng như quản lý danh tính và quyền truy cập. Nó đang trở thành ưu tiên bảo mật hàng đầu của các tổ chức do sự gia tăng của các cuộc tấn công danh tính và khả năng của ITDR trong việc cung cấp khả năng hiển thị về trạng thái nhận dạng của tổ chức, triển khai các phương pháp hay nhất về bảo vệ hệ thống mạng và phát hiện các cuộc tấn công danh tính.
Tăng cường triển khai Zero Trust thông qua ITDR để ngăn chặn và phát hiện các cuộc tấn công danh tính bằng các nguyên tắc sau:
- Quản lý hành vi: Liên tục đánh giá các kho lưu trữ danh tính trong doanh nghiệp như Active Directory, AzureAD,… để có được khả năng hiển thị các cấu hình sai, quyền truy cập quá mức và các chỉ báo mối đe dọa có thể cung cấp cho kẻ tấn công quyền truy cập vào các đặc quyền cao hơn và đường dẫn di chuyển ngang. Thu hồi quyền và cấu hình các chính sách mặc định nhằm giảm thiểu các đường dẫn và đặc quyền tấn công.
- Phát hiện mối đe dọa: Giám sát các điểm cuối cho các hoạt động cụ thể như DCSync, DCShadow, Kerberoasting, LDAP và các thay đổi tương tự có liên quan đến hành vi độc hại.
Kịch bản xử lý sự cố Playbook của Trung tâm điều hành an ninh mạng (SOC) trong các tổ chức đóng một vai trò quan trọng trong việc chủ động xác định và giảm thiểu các vectơ tấn công IdP tiềm ẩn. Bằng cách triển khai chiến lược giám sát và phát hiện toàn diện, các tổ chức có thể nhanh chóng ứng phó với các nỗ lực tấn công của IdP, bảo vệ danh tính người dùng và bảo vệ các tài nguyên quan trọng.
Việc sử dụng các biện pháp bảo mật tốt nhất trong việc quản lý danh tính và cấu hình xác thực đa yếu tố (MFA) là điều tối quan trọng trong việc thiết lập một trạng thái bảo mật mạnh mẽ và giảm thiểu hiệu quả các rủi ro liên quan đến truy cập trái phép và vi phạm dữ liệu.
Với việc thực hiện các biện pháp dưới đây, các tổ chức có thể tăng cường đáng kể việc bảo vệ danh tính và nâng cao hiệu quả triển khai MFA của họ.
Bảo vệ danh tính người dùng
- Sử dụng mật khẩu mạnh: Khuyến khích người dùng tạo mật khẩu mạnh, nhiều ký tự, phức tạp và duy nhất cho tài khoản của họ. Triển khai các chính sách mật khẩu như thời hạn của mật khẩu, không được thiết lập các mật khẩu đã được sử dụng và thay đổi mật khẩu thường xuyên.
- Triển khai đặc quyền tối thiểu: Tuân theo nguyên tắc đặc quyền tối thiểu, chỉ cấp cho người dùng quyền truy cập tối thiểu cần thiết để thực hiện nhiệm vụ của họ. Bằng cách giới hạn đặc quyền của người dùng, tổ chức có thể giảm tác động tiềm tàng của thông tin xác thực bị xâm phạm.
- Giáo dục người dùng: Nhận thức và giáo dục người dùng đóng một vai trò quan trọng trong việc duy trì bảo mật. Đào tạo người dùng về tầm quan trọng của mật khẩu mạnh, cách nhận biết các nỗ lực lừa đảo và cách sử dụng đúng phương pháp xác thực MFA. Thường xuyên nhắc nhở người dùng tuân theo các phương pháp bảo mật tốt nhất và báo cáo mọi hoạt động đáng ngờ.
Bảo vệ chống lại các cuộc tấn công MFA
Các phương pháp MFA truyền thống, chẳng hạn như mã SMS hoặc mật khẩu một lần (OTP), có thể dễ bị tấn công lừa đảo. Những kẻ tấn công có thể chặn các mã này hoặc đánh lừa người dùng nhập chúng vào các trang đăng nhập giả mạo, từ đó bỏ qua lớp bảo mật bổ sung do MFA cung cấp.
Để giải quyết rủi ro này, các phương pháp MFA chống lừa đảo đã được phát triển. Các phương pháp này nhằm mục đích đảm bảo rằng ngay cả khi người dùng bị đánh lừa nhập thông tin xác thực của họ trên một trang web lừa đảo, kẻ tấn công cũng không thể có quyền truy cập nếu không có yếu tố xác thực bổ sung.
Sử dụng MFA dựa trên FIDO2: FIDO2 là một tập hợp các tiêu chuẩn mới do Liên minh xác thực trực tuyến thế giới định nghĩa, đây là một tiêu chuẩn xác thực mạnh cung cấp xác thực an toàn và không cần mật khẩu. Các tổ chức nên triển khai MFA dựa trên FIDO2, sử dụng mật mã khóa công khai để tăng cường bảo mật và bảo vệ khỏi các cuộc tấn công lừa đảo.
Sử dụng Hard Token: Có thể được hiểu đơn giản như khóa bảo mật USB hoặc thẻ thông minh, có thể cung cấp mức bảo mật bổ sung cho MFA. Các thiết bị vật lý này tạo mật khẩu một lần hoặc sử dụng mật mã khóa công khai để xác thực, khiến kẻ tấn công khó xâm phạm.
TÀI LIỆU THAM KHẢO |
Hồng Đạt
(Tổng hợp)
07:00 | 30/10/2023
10:00 | 22/11/2021
11:00 | 22/03/2021
13:00 | 29/12/2023
Hiện nay, số lượng các vụ tấn công mạng trên ứng dụng web đang có xu hướng ngày càng gia tăng cả về quy mô lẫn mức độ tinh vi, với mục tiêu nhắm vào các dịch vụ cơ sở trọng yếu, khối tài chính, ngân hàng và các tổ chức/doanh nghiệp (TC/DN) lớn. Hậu quả của các cuộc tấn công này có thể là giả mạo giao dịch, gián đoạn hoạt động kinh doanh hay vi phạm dữ liệu, dẫn đến nguy cơ rò rỉ thông tin và mất mát dữ liệu quan trọng. Điều này gây ra nhiều thiệt hại đáng kể về tài chính cũng như uy tín của các TC/ DN. Bài báo sẽ trình bày thực trạng về bảo mật ứng dụng web năm 2023 dựa trên báo cáo của công ty an ninh mạng OPSWAT, cùng các giải pháp phòng tránh mối đe dọa tấn công mạng này.
08:00 | 06/11/2023
Khi 5G ngày càng phổ biến và được nhiều doanh nghiệp sử dụng cho truyền tải không dây, một câu hỏi quan trọng được đặt ra đó là: “Ai chịu trách nhiệm đảm bảo bảo mật cho 5G?”. Việc triển khai 5G bảo mật bao gồm nhiều khía cạnh và trách nhiệm, nó sẽ là trách nhiệm chung của cả các nhà cung cấp dịch vụ và các doanh nghiệp triển khai.
09:00 | 13/04/2023
Đám mây lai (Hybird - cloud) là sự kết hợp giữa các nền tảng điện toán đám mây, bao gồm một hay nhiều nhà cung cấp dịch vụ đám mây công cộng (ví dụ như Amazon hay Google) với một nền tảng đám mây nội bộ được thiết kế riêng cho một tổ chức hoặc một cơ sở hạ tầng IT của tư nhân. Đám mây công cộng và đám mây nội bộ hoạt động độc lập với nhau và giao tiếp thông qua kết nối được mã hóa để truyền tải dữ liệu và ứng dụng.
11:00 | 27/01/2023
Các tổ chức/doanh nghiệp nên thực hiện quản lý rủi ro trong suốt chu trình phát triển phần mềm thay vì quay trở về các xu hướng phát triển trước đó. Tần suất xuất hiện rủi ro sẽ tiếp tục tăng nhanh khi các tác động tiêu cực của các lỗi xuất hiện trong chu trình phát triển phần mềm ngày càng nghiêm trọng. Các phương pháp và cách thực hành trước đây về thực hiện quản trị, rủi ro và tuân thủ (GRC) đều xoay quanh các quy trình thủ công, sử dụng bảng tính hoặc nhận dạng hồi tố,… đã quá lỗi thời, không thể bắt kịp với sự phát triển nhanh chóng của công nghệ. Kết quả là, các doanh nghiệp đã đưa quản lý rủi ro vào thời đại kỹ thuật số, biến GRC thành quản lý rủi ro kỹ thuật số (DRM). Những DRM được áp dụng đó đưa ra các quyết định bảo mật tốt hơn, bảo vệ dữ liệu khách hàng và đảm bảo sự hài lòng của các bên liên quan. Việc thực hiện DRM cũng dẫn đến hiệu quả cao hơn thông qua tự động hóa.
Trong lĩnh vực chữ ký số, lược đồ ký số dựa trên đường cong Elliptic (ECDSA) được đánh giá là một trong những lược đồ chữ ký số có độ an toàn cao, dù ra đời sau nhưng ECDSA đang dần được thay thế cho lược đồ ký số RSA. Bài báo này tập trung giới thiệu lược đồ ECDSA, ứng dụng của ECDSA trong thực tế và các tham số an toàn được khuyến nghị dùng cho ECDSA.
11:00 | 13/05/2024
Sự phổ biến của các giải pháp truyền tệp an toàn là minh chứng cho nhu cầu của các tổ chức trong việc bảo vệ dữ liệu của họ tránh bị truy cập trái phép. Các giải pháp truyền tệp an toàn cho phép các tổ chức bảo vệ tính toàn vẹn, bí mật và sẵn sàng cho dữ liệu khi truyền tệp, cả nội bộ và bên ngoài với khách hàng và đối tác. Các giải pháp truyền tệp an toàn cũng có thể được sử dụng cùng với các biện pháp bảo mật khác như tường lửa, hệ thống phát hiện xâm nhập (IDS), phần mềm chống virus và công nghệ mã hóa như mạng riêng ảo (VPN). Bài báo sẽ thông tin tới độc giả những xu hướng mới nổi về chia sẻ tệp an toàn năm 2024, từ các công nghệ, giải pháp nhằm nâng cao khả năng bảo vệ dữ liệu trước các mối đe dọa tiềm ẩn.
08:00 | 07/05/2024