Ngày 26/7/2017, Cisco đã công bố Báo cáo An ninh mạng giữa năm 2017, cho thấy sự phát triển nhanh chóng của các mối đe dọa và mức độ tấn công ngày càng tăng, cũng như dự báo về nguy cơ của các cuộc tấn công phá hủy dịch vụ (destruction of service – DeOS).
Theo Cisco, các cuộc tấn công này có thể phá hủy hệ thống sao lưu và các mạng an toàn của các tổ chức thường được dùng để khôi phục lại hệ thống và dữ liệu sau mỗi cuộc tấn công. Ngoài ra, với sự xuất hiện của Internet vạn vật (Internet of Things – IoT), các ngành công nghiệp chủ chốt đang đưa các hoạt động vận hành trở thành trực tuyến, làm gia tăng nguy cơ bị tấn công, cũng như gia tăng quy mô và hậu quả nặng nề của các mối đe dọa này.
Các sự cố mạng gần đây như
WannaCry và
Petya cho thấy sự lây lan nhanh và mức độ ảnh hưởng rộng của các cuộc tấn công có vẻ giống mã độc tống tiền truyền thống, nhưng lại có tính phá hoại nặng nề hơn nhiều lần. Những sự kiện này là sự báo trước cho mối đe dọa mà Cisco gọi là các cuộc tấn công phá hủy dịch vụ, có thể gây tổn hại lớn, khiến cho các doanh nghiệp không có cách để phục hồi.
IoT tiếp tục tạo ra những cơ hội mới cho tội phạm mạng và những điểm yếu an ninh sẽ đóng vai trò trọng tâm trong việc kích hoạt các chiến dịch tấn công với hậu quả ngày càng leo thang. Hoạt động của mạng botnet gần đây cho thấy một số kẻ tấn công có thể đặt nền móng cho một sự cố an toàn mạng với hậu quả nghiêm trọng quy mô lớn, có khả năng gây gián đoạn mạng Internet.
Việc đo lường hiệu quả của các biện pháp an ninh khi đối mặt với những cuộc tấn công này là rất quan trọng. Cisco đạt được tiến bộ trong việc giảm "thời gian phát hiện", được coi là cửa sổ thời gian từ lúc thâm nhập đến lúc phát hiện ra mối đe dọa. Thời gian phát hiện nhanh hơn có ý nghĩa vô cùng quan trọng trong việc hạn chế không gian hoạt động của những kẻ tấn công và giảm thiểu thiệt hại của các vụ xâm phạm.
Bối cảnh các mối đe dọa
Các nhà nghiên cứu an ninh của Cisco theo dõi sự phát triển của mã độc trong nửa đầu năm 2017 và xác định những thay đổi trong cách thức những tên tội phạm đang điều chỉnh kỹ thuật phát tán và lẩn trốn. Cụ thể, Cisco nhận thấy tội phạm mạng ngày càng yêu cầu các nạn nhân kích hoạt các mối đe dọa bằng cách nhấp vào các đường link hoặc mở tệp. Chúng đang phát triển mã độc vô hình (fileless malware) trong bộ nhớ và ngày càng khó phát hiện hoặc điều tra vì mã độc sẽ bị xóa hết ngay khi thiết bị khởi động lại. Tội phạm mạng đang dựa vào cơ sở hạ tầng ẩn danh và phân cấp như dịch vụ Tor proxy để che dấu các hoạt động chỉ huy và kiểm soát.
Cisco chứng kiến sự suy giảm mạnh của các bộ công cụ khai thác lỗ hổng bảo mật, trong khi đó các loại hình tấn công truyền thống khác đang hồi sinh:
Khối lượng thư rác tăng lên đáng kể khi tội phạm mạng chuyển sang các phương pháp có tính xác thực cao, chẳng hạn như email, nhằm phát tán mã độc và tạo doanh thu. Các nhà nghiên cứu về mối đe dọa của Cisco dự đoán rằng khối lượng thư rác với các tệp đính kèm chứa mã độc sẽ tiếp tục gia tăng trong khi các bộ công cụ khai thác vẫn đang lưu hành.
Phần mềm gián điệp và phần mềm quảng cáo, thường bị các chuyên gia an ninh loại bỏ vì gây phiền toái nhiều hơn là gây hại, là các dạng mã độc tồn tại lâu và mang lại rủi ro cho doanh nghiệp. Nghiên cứu của Cisco đã khảo sát 300 công ty trong 4 tháng và phát hiện ra 3 nhóm phần mềm gián điệp phổ biến đã lây nhiễm cho 20% các công ty được khảo sát. Trong môi trường doanh nghiệp, phần mềm gián điệp có thể đánh cắp thông tin của người dùng và công ty, làm suy yếu tình trạng an ninh của các thiết bị và gia tăng sự lây nhiễm của mã độc.
Sự tiến hóa của mã độc tống tiền, chẳng hạn như phát triển thành mã độc tống tiền như một dịch vụ, khiến cho tội phạm dễ dàng hơn, với bất kể loại kỹ năng nào, trong việc thực hiện các cuộc tấn công này. Mã độc tống tiền đã trở thành mã độc lợi hại khi nó mang lại hơn 1 tỷ USD trong năm 2016 cho tội phạm mạng, nhưng điều này có thể đánh lạc hướng quan tâm của nhiều tổ chức vì thực ra họ phải đối mặt với một mối đe dọa khác chưa được báo cáo còn nguy hiểm hơn rất nhiều.
Lừa đảo qua thư điện tử của doanh nghiệp (Business email compromise – BEC), một loại hình tấn công giả mạo sử dụng kỹ thuật lừa đảo qua mạng (social engineering), trong đó một email được thiết kế để lừa các tổ chức chuyển tiền cho những kẻ tấn công, đang mang lại lợi nhuận cao. Theo Trung tâm tiếp nhận các khiếu nại tội phạm Internet, trong khoảng thời gian từ tháng 10/2013 đến tháng 12/2016 đã có 5,3 tỷ USD bị đánh cắp thông qua BEC.
Nhiều ngành phải đối mặt với những thách thức chung
Khi tội phạm tiếp tục gia tăng về mức độ tinh vi và cường độ của các cuộc tấn công, các doanh nghiệp trong các ngành công nghiệp đang bị thách thức phải theo kịp các đòi hỏi về an toàn mạng cơ bản. Khi công nghệ thông tin và công nghệ vận hành hội tụ trong IoT, các tổ chức gặp khó khăn với khả năng tường minh và mức độ phức tạp của hệ thống.
Là một phần của Nghiên cứu Tiêu chuẩn về các Khả năng An toàn An ninh (Security Capabilities Benchmark Study), Cisco đã khảo sát gần 3.000 nhà lãnh đạo về an ninh bảo mật trên 13 quốc gia và nhận thấy rằng trong tất cả các ngành, đội ngũ an ninh ngày càng bị áp đảo và quá tải bởi khối lượng các cuộc tấn công. Điều này dẫn đến việc phần lớn trở nên thụ động trong nỗ lực bảo đảm an ninh.
Dưới hai phần ba các tổ chức đang điều tra các cảnh báo về an ninh. Trong một số ngành nhất định (y tế và giao thông), con số này là gần 50%.
Thậm chí trong các ngành nhạy cảm nhất (tài chính và y tế), các doanh nghiệp đang cố gắng giảm thiểu hậu quả của dưới 50% các vụ tấn công mà họ biết được.
Các vụ vi phạm an ninh giống như hồi chuông cảnh tỉnh. Trong hầu hết các ngành, các vụ tấn công khiến cho việc cải thiện tình trạng an ninh cơ bản diễn ra ở ít nhất 90% các tổ chức. Một số ngành như giao thông vận tải, ít đáp ứng hơn, chỉ đạt trên 80%.
Những phát hiện quan trọng trong mỗi ngành bao gồm:
Khu vực công – trong số các mối đe doạ được điều tra, 32% được xác định là các mối đe doạ chính thống, nhưng chỉ 47% những mối đe doạ chính thống này được khắc phục.
Bán lẻ – 32% doanh nghiệp cho biết họ bị mất doanh thu do các vụ tấn công trong năm ngoái với khoảng một phần tư bị mất khách hàng hoặc cơ hội kinh doanh.
Sản xuất – 40% các chuyên gia an ninh trong ngành sản xuất cho biết họ không có chiến lược an ninh chính thức, cũng không thực hiện theo các thông lệ chính sách an ninh thông tin theo tiêu chuẩn như ISO 27001 hay NIST 800-53.
Dịch vụ điện nước – các chuyên gia an ninh đánh giá rằng, các cuộc tấn công có chủ đích (42%) và những mối nguy hiểm cao thường trực (Advanced Persistent Threat – APT) (40%) là những rủi ro an ninh quan trọng nhất đối với các tổ chức.
Y tế – 37% các tổ chức y tế cho rằng các cuộc tấn công có chủ đích là những mối nguy hiểm gây ảnh hưởng nhiều nhất đến an ninh của họ.
Lời khuyên của Cisco cho các tổ chức
Để chống lại các cuộc tấn công ngày càng tinh vi, các tổ chức cần có một thái độ tích cực trong nỗ lực bảo vệ hệ thống, Cisco Security đưa ra các lời khuyên như sau:
- Luôn cập nhật cơ sở hạ tầng và các ứng dụng để kẻ tấn công không thể khai thác các điểm yếu đã được biết đến.
- Giải quyết vấn đề phức tạp của hệ thống thông qua hệ thống phòng thủ tích hợp. Hạn chế đầu tư dàn trải.
- Báo cáo cho ban lãnh đạo cấp cao biết sớm để họ hiểu rõ về các nguy cơ, lợi ích và những khoản ngân sách bắt buộc phải đầu tư.
- Thiết lập các tiêu chí rõ ràng. Sử dụng các tiêu chí đó để xác nhận và cải tiến thực tiễn an ninh.
- Tổ chức đào tạo về bảo mật cho nhân viên theo phân công công việc chứ không phải đào tạo chung tất cả mọi người giống nhau.
- Cân bằng phòng thủ với phản ứng chủ động. Không "thiết lập và bỏ quên" các hệ thống điều khiển hoặc các quy trình an ninh.
