Đã một năm trôi qua kể từ khi cuộc tấn công nhằm vào chuỗi cung ứng phần mềm SolarWinds được công bố, các chuyên gia an ninh mạng vẫn đang cố gắng giải mã loại tấn công này. Tin tặc đã tiến hành các chiến dịch một cách âm thầm và chỉ bị phát hiện khi một trong những công ty bị ảnh hưởng như FireEye có khả năng để theo dõi và phát hiện các cuộc xâm nhập.
Qua đó, các tổ chức và doanh nghiệp cần tự xem xét hiện trạng trong những tình huống này, liệu doanh nghiệp có đủ công cụ và nguồn lực để nhận biết khi một cuộc tấn công như vậy có xảy ra hay không. Theo Microsoft, các tin tặc có khả năng giả mạo SAML (Security Assertion Markup Language) token để mạo danh bất kỳ người dùng và tài khoản hiện có nào của tổ chức, bao gồm cả các tài khoản có đặc quyền cao. Điều này buộc tất cả các tổ chức phải xem xét kỹ càng nguồn gốc của các phần mềm đã cài đặt và tự đặt ra câu hỏi liệu rằng có thể tin tưởng các nhà cung cấp phần mềm và các quy trình bảo mật của họ hay không.
Do đó, các tổ chức, doanh nghiệp cần kiểm tra và xem xét quy trình bảo mật của nhà cung cấp phần mềm bên thứ ba; Tìm kiếm các hành vi bất thường, đặc biệt là việc sử dụng các tài khoản có đặc quyền cao; Kiểm tra lại khi các liên kết mới được tạo hoặc thêm thông tin xác thực vào các tiến trình có thể thực hiện các hành động như mail. read hoặc mail.readwrite; Nên chủ động thực hiện chặn các IP, tên miền độc hại đã được công bố trên tường lửa của doanh nghiệp.
Tháng 3/2021, cuộc tấn công Exchange Server gây ra nhiều sự gián đoạn. Các máy chủ Exchange được cài đặt ở mạng nội bộ đã bị tấn công trực tiếp bằng cách khai thác một lỗ hổng zero-day. Microsoft ban đầu thông báo rằng các cuộc tấn công hướng đến một số mục tiêu cụ thể, nhưng những dấu hiệu sau đó cho thấy cuộc tấn công đã lan rộng hơn nhiều. Microsoft cũng nhận thấy rằng nhiều máy chủ email đã rất chậm trễ trong việc cập nhật bản vá khiến cho việc cập nhật nhanh chóng trở nên vô cùng khó khăn. Microsoft đã phải cung cấp bản vá cho các nền tảng cũ hơn để giữ an toàn cho người dùng.
Người dùng cần đảm bảo rằng mọi máy chủ cũ đều được bảo vệ, đặc biệt là đối với máy chủ Exchange tại chỗ, do chúng thường được nhắm mục tiêu hơn và đảm bảo rằng các nguồn lực thích hợp được chỉ định để vá các hệ thống cũ. Email là một điểm quan trọng để xâm nhập các hệ thống mạng, với những rủi ro mà các cuộc tấn công lừa đảo qua email đem lại cũng như thực tế là những kẻ tấn công hiểu được sự khó khăn trong việc vá lỗi cho các máy chủ này.
Ngoài ra, không nên tin tưởng hoàn toàn vào các bản đánh giá mối đe dọa và rủi ro mà các hãng cung cấp. Ban đầu, Microsoft chỉ ra rằng các cuộc tấn công này có giới hạn và có mục tiêu cụ thể, nhưng thực tế các cuộc tấn công đã diễn ra trên diện rộng và thậm chí ảnh hưởng đến cả những công ty nhỏ.
Vào tháng 7/2021, Microsoft đã phát hành một bản cập nhật cho lỗ hổng có tên PrintNightmare. Đối với các quản trị viên mạng, lỗ hổng này đã biến thành “cơn ác mộng quản lý in ấn”. Phần mềm bộ đệm in (print spooler software) là mã nguồn cũ từ Windows NT. Do tình hình dịch bệnh diễn biến phức tạp, người dùng có xu hướng chuyển dịch từ in trực tiếp sang các quy trình in từ xa, ngay cả máy in PDF cũng dựa vào bộ đệm in để triển khai và in PDF.
Hiện tại, các bản vá khác nhau liên quan đến bộ đệm in vẫn đang được theo dõi và xử lý. Bản vá cho một số lỗi liên quan đến thao tác in đã được bao gồm trong bản cập nhật cuối tháng 12/2021 của Microsoft. Bản vá khắc phục sự cố xảy ra khi máy tính Windows có thể gặp các lỗi sau khi kết nối với máy in từ xa được chia sẻ trên một máy chủ in Windows:
0x000006e4 (RPC_S_CANNOT_SUPPORT)
0x0000007c (ERROR_INVALID_LEVEL)
0x00000709 (ERROR_INVALID_PRINTER_NAME)
Một số quản trị viên cho biết họ chọn phương án không cài đặt bản vá để tránh một số rủi ro của bản cập nhật này.
Do vậy, ngay cả trong đại dịch, nhu cầu in ấn vẫn hiện hữu. Khi có bản cập nhật bao gồm vá lỗi cho dịch vụ bộ đệm in, người dùng cần phân bổ nguồn lực phù hợp để kiểm thử trước khi cập nhật. Sử dụng các tài nguyên của bên thứ ba như PatchManagement.org hay các forum Sysadmin để theo dõi và lên phương án khắc phục có thể thực hiện, thay vì để hệ thống không được bảo vệ. Dịch vụ bộ đệm in cần được vô hiệu hóa trên các máy chủ và máy trạm không có nhu cầu in ấn, chỉ bật dịch vụ này trên các thiết bị và máy chủ cần tới chức năng này.
Trong số các sự cố bảo mật mà chúng ta sẽ thấy vào năm 2022, mã độc tống tiền vẫn sẽ là một hiểm họa lớn. Hiện nó được tích hợp vào các chính sách bảo hiểm mạng và chính phủ Hoa Kỳ đã tổ chức các lực lượng đặc nhiệm để cung cấp nhiều biện pháp bảo vệ, thông tin và hướng dẫn hơn cho các doanh nghiệp đối mặt với rủi ro này.
Các cơ quan, tổ chức cần sử dụng tường lửa mạng và máy trạm để ngăn chặn giao tiếp gọi hàm từ xa (RPC) và khối thông điệp máy chủ (SMB). Điều này sẽ giúp hạn chế lây nhiễm ngang hàng cũng như các hoạt động tấn công khác. Cùng với đó, người dùng cần bật các tính năng bảo vệ chống phá hoại để ngăn những kẻ tấn công dừng các dịch vụ bảo mật. Sau đó, thực thi chính sách mật khẩu mạnh, ngẫu nhiên cho các tài khoản quản trị viên. Giải pháp Local Administrator Password Solution (LAPS) được khuyến nghị sử dụng để đảm bảo mật khẩu sử dụng là ngẫu nhiên.
Đồng thời, cần giám sát việc xóa nhật ký sự kiện. Cụ thể, Windows tạo ra sự kiện bảo mật ID 1102 khi điều này xảy ra. Cùng với đó, người dùng cần đảm bảo các tài nguyên cho phép kết nối từ Internet nhận được các cập nhật bảo mật mới nhất. Cuối cùng, xác định nơi các tài khoản có đặc quyền cao đang đăng nhập và có khả năng để lộ thông tin. Theo dõi và điều tra thuộc tính loại đăng nhập của các sự kiện đăng nhập (sự kiện có ID 4624). Các tài khoản có đặc quyền cao không được xuất hiện trên các máy trạm.
Minh Nguyệt
09:00 | 01/04/2021
11:00 | 07/05/2021
09:00 | 17/03/2022
15:00 | 20/09/2023
Hà Tĩnh là vùng đất giàu truyền thống lịch sử - văn hóa và có tiềm năng, lợi thế để phát triển kinh tế - xã hội. Thời gian qua, mặc dù gặp nhiều khó khăn, nhưng được sự quan tâm lãnh đạo, chỉ đạo, giúp đỡ của Trung ương, hệ thống chính trị và Nhân dân Hà Tĩnh đã đoàn kết, nỗ lực vươn lên, đạt được những kết quả tích cực. Đóng góp vào thành tích chung của tỉnh, trong đó có vai trò của lực lượng Cơ yếu tỉnh nhà.
08:00 | 18/08/2023
Ngân hàng Trung ương Liên Bang Nga bắt đầu dự án phát triển đồng Ruble kỹ thuật số vào cuối năm 2020, dự kiến bắt đầu thử nghiệm đồng tiền này với khách hàng và tiền thật từ ngày 1/4/2023. Tuy nhiên, thời hạn này đã phải hoãn lại do chậm trễ trong việc thông qua các hành lang pháp lý cần thiết. Mặc dù vậy, dự luật về đồng Ruble kỹ thuật số cuối cùng đã được hạ viện của Quốc hội Liên bang Nga thông qua vào ngày 11/7, Hội đồng Liên bang phê duyệt vào ngày 19/7 và đến ngày 24/7 vừa qua đã được Tổng thống Liên bang Nga Putin ký ban hành với tên đầy đủ là: Luật Liên bang số 340-FZ ngày 24/7/2023 "Về sửa đổi một số đạo luật lập pháp của Liên bang Nga".
11:00 | 12/05/2023
Ngày 21/4/2023, Bộ trưởng Bộ Nội vụ đã ký Quyết định ban hành Quy chế bảo đảm an toàn, an ninh thông tin mạng để quy định các chính sách quản lý và các biện pháp nhằm bảo đảm an toàn thông tin (ATTT) mạng và an ninh mạng trong hoạt động chuyển đổi số, ứng dụng công nghệ thông tin (CNTT), quản lý, quản trị, vận hành, khai thác hệ thống, hạ tầng kỹ thuật CNTT, hệ thống thông tin, phần mềm, cơ sở dữ liệu thuộc phạm vi quản lý của Bộ Nội vụ.
17:00 | 29/12/2022
Bước sang năm 2023, an ninh mạng vẫn đứng đầu danh sách các mối quan tâm của các CIO. Trong một cuộc khảo sát mới của các chuyên gia thăm dò 350 giám đốc công nghệ, giám đốc thông tin và giám đốc CNTT, 51% số người được hỏi đề cập đến lỗ hổng đám mây là mối quan tâm hàng đầu (tăng từ 35% vào năm 2022) và 43% quan tâm đến lỗ hổng trung tâm dữ liệu (tăng từ 27% vào năm 2022).
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
