-
08/10/2013
-
401
-
989 bài viết
Tấn công nội gián vào hệ thống mạng công nghiệp: những điều bất ngờ!
Trước đây, các công ty công ty thường cảnh giác với các vụ tấn công mạng từ bên ngoài hơn là những cuộc tấn công nội gián từ bên trong. Tuy nhiên dữ liệu gần đây từ các cuộc khảo sát và các sự cố an ninh mạng cho thấy kinh nghiệm này không còn đáng tin cậy.
Theo Báo cáo Toàn cầu về thiệt hại do tấn công nội gián năm 2022 từ Viện Ponemon, các sự cố an ninh mạng nội gián đã tăng mạnh trong vài năm qua. Các nhà nghiên cứu của họ phát hiện ra rằng 67% các tổ chức đã trải qua từ 21 đến hơn 40 mối đe dọa đến từ bên trong vào năm 2021, tăng thêm 60% so với năm 2020 và 53% so với năm 2018. Ngày càng nhiều công ty mỗi năm bị tấn công bởi các mối đe dọa nội gián.
Các cuộc tấn công nội gián đến từ đâu?
Một ví dụ về công ty sản xuất toàn cầu với hơn 300.000 nhân viên đã trải qua một cuộc tấn công mạng nội bộ vào cơ sở hạ tầng OT của họ. Một nhân viên cũ đã để ngỏ một cửa hậu vào hệ thống trước khi nghỉ việc, sau đó anh ta đã xâm nhập từ xa vào một hệ thống đang vận hành sản xuất. Hành động của anh ta đã gây nguy hiểm cho sự an toàn của công nhân đang đứng máy ở đó, và gây ra sự gián đoạn nghiêm trọng có thể dẫn đến chết người.
Tại sao các cuộc tấn công nội gián ngày càng gia tăng?
Ngày càng có nhiều số lượng cũng như chủng loại thiết bị được kết nối vào mạng. Điều này đặc biệt đúng trong các môi trường công nghiệp nơi sự hội tụ của IT/OT đang thúc đẩy các nhà máy thông minh lên một tầm cao mới. Nhiều thiết bị được kết nối hơn đồng nghĩa với việc có nhiều mục tiêu hơn để những kẻ xấu khai thác. Nó cũng có nghĩa là các nhóm CNTT phải bảo vệ nhiều hơn; người dùng cũng cần ghi nhớ nhiều thông tin đăng nhập hơn, và kết quả là tỉ lệ quên hoặc bị đánh cắp sẽ tăng lên. Theo chỉ số X-Force 2022, 61% sự cố xảy ra tại các tổ chức có kết nối mạng OT năm 2021 là trong ngành sản xuất.
Điều gì làm cho các cuộc tấn công bên trong nguy hiểm hơn các cuộc tấn công bên ngoài?
Nội gián bên trong có rất nhiều lợi thế so với kẻ gian từ bên ngoài. Các cuộc tấn công nội gián có thông tin xác thực hợp lệ, do đó bộ phận giám sát mạng có thể dễ dàng bỏ qua. Điều này cho phép kẻ xâm nhập có khả năng nâng cao đặc quyền của họ mà không bị phát hiện. Những người như giám đốc điều hành và quản trị viên cũng có khả năng biết chính xác nơi có các tài sản có giá trị nhất, cũng như vị trí và cách thức phòng thủ mạng được thiết lập. Nội gián có thể hoạt động một cách âm thầm, ví dụ mỗi ngày chỉ lấy một ít dữ liệu, trong một thời gian dài, để tránh phát hiện, cũng là một cách để vượt qua sự giám sát của công ty.
Các công ty công nghiệp có thể làm gì để tự bảo vệ mình?
Điều đầu tiên mà các công ty công nghiệp cần làm để bảo vệ mình khỏi các cuộc tấn công nội gián là loại phương pháp tiếp cận dựa trên biên của mạng, thay vào đó là cách tiếp cận Zero-Trust (mặc định không tin cậy bất kỳ điều gì). Bất kỳ sự tin tưởng mặc định nào trong một thế trận an ninh mạng đều là một lỗ hổng.
Theo dữ liệu từ Báo cáo vi phạm dữ liệu năm 2022 của IBM, 79% các tổ chức cơ sở hạ tầng quan trọng không triển khai phương pháp tiếp cận Zero-Trust, mặc dù thực tế là 20% các cuộc tấn công vào các tổ chức này là do lỗi của con người. Con người là dễ sai lầm và do đó không thể được tin tưởng một cách hoàn toàn khi nói đến quyền truy cập mạng và đặc quyền.
Một chiến thuật khác mà các tổ chức công nghiệp nên thực hiện là điều chỉnh các ưu tiên của họ từ ngăn chặn truy cập trái phép sang ngăn chặn những gì được làm. Bởi vì kẻ gian thường có thể truy cập thành công vào vào các mạng và thiết bị, do đó nếu ta giả sử rằng việc này là không thể tránh khỏi, thì cần siết chặt việc phân quyền “ai sẽ được làm gì trên các tài nguyên nào”, sẽ hạn chế được thiệt hại do kẻ gian gây ra. Phân quyền càng mịn, càng chi tiết thì thiệt hại càng thấp.
Các cuộc tấn công nội gián rất nguy hiểm và lây lan nhanh, đặc biệt là trong các môi trường công nghiệp. May mắn là chúng có thể bị ngăn chặn với phương pháp tiếp cận Zero-Trust.
Tham khảo:
Theo Báo cáo Toàn cầu về thiệt hại do tấn công nội gián năm 2022 từ Viện Ponemon, các sự cố an ninh mạng nội gián đã tăng mạnh trong vài năm qua. Các nhà nghiên cứu của họ phát hiện ra rằng 67% các tổ chức đã trải qua từ 21 đến hơn 40 mối đe dọa đến từ bên trong vào năm 2021, tăng thêm 60% so với năm 2020 và 53% so với năm 2018. Ngày càng nhiều công ty mỗi năm bị tấn công bởi các mối đe dọa nội gián.
Các cuộc tấn công nội gián đến từ đâu?
- Các cuộc tấn công nội bộ có thể đến từ những người dùng và quản trị viên có đặc quyền, những người có mức độ rủi ro cao hơn vì họ có quyền truy cập sâu và rộng vào hệ thống.
- Cũng có thể đến từ các nhà cung cấp hoặc đối tác bên thứ ba, những người có thể vô tình hoặc cố ý chèn quyền truy cập cửa sau (backdoor) vào mạng của bạn khi thực hiện tích hợp giải pháp của họ.
- Những nhà thầu có quyền truy cập vật lý hoặc kỹ thuật số là một nguồn tấn công nội gián khác, vì họ có thể không tuân theo các quy tắc an ninh mạng của công ty bạn, thậm chí kể cả khi họ biết về các quy tắc đó.
- Các giám đốc điều hành cũng là một rủi ro, vì họ có thể bỏ qua các chính sách của công ty và mở rộng quyền truy cập của mình để thuận tiện, tò mò hoặc kiểm soát.
- Bất kỳ cá nhân nào cũng có thể bị tha hóa do thất vọng với công ty, nhận hối lộ từ một kẻ xấu bên ngoài hoặc một số nguyên nhân cá nhân khác. Việc đánh cắp thông tin xác thực của người bên ngoài cũng khá phổ biến.
Một ví dụ về công ty sản xuất toàn cầu với hơn 300.000 nhân viên đã trải qua một cuộc tấn công mạng nội bộ vào cơ sở hạ tầng OT của họ. Một nhân viên cũ đã để ngỏ một cửa hậu vào hệ thống trước khi nghỉ việc, sau đó anh ta đã xâm nhập từ xa vào một hệ thống đang vận hành sản xuất. Hành động của anh ta đã gây nguy hiểm cho sự an toàn của công nhân đang đứng máy ở đó, và gây ra sự gián đoạn nghiêm trọng có thể dẫn đến chết người.
Tại sao các cuộc tấn công nội gián ngày càng gia tăng?
Ngày càng có nhiều số lượng cũng như chủng loại thiết bị được kết nối vào mạng. Điều này đặc biệt đúng trong các môi trường công nghiệp nơi sự hội tụ của IT/OT đang thúc đẩy các nhà máy thông minh lên một tầm cao mới. Nhiều thiết bị được kết nối hơn đồng nghĩa với việc có nhiều mục tiêu hơn để những kẻ xấu khai thác. Nó cũng có nghĩa là các nhóm CNTT phải bảo vệ nhiều hơn; người dùng cũng cần ghi nhớ nhiều thông tin đăng nhập hơn, và kết quả là tỉ lệ quên hoặc bị đánh cắp sẽ tăng lên. Theo chỉ số X-Force 2022, 61% sự cố xảy ra tại các tổ chức có kết nối mạng OT năm 2021 là trong ngành sản xuất.
Điều gì làm cho các cuộc tấn công bên trong nguy hiểm hơn các cuộc tấn công bên ngoài?
Nội gián bên trong có rất nhiều lợi thế so với kẻ gian từ bên ngoài. Các cuộc tấn công nội gián có thông tin xác thực hợp lệ, do đó bộ phận giám sát mạng có thể dễ dàng bỏ qua. Điều này cho phép kẻ xâm nhập có khả năng nâng cao đặc quyền của họ mà không bị phát hiện. Những người như giám đốc điều hành và quản trị viên cũng có khả năng biết chính xác nơi có các tài sản có giá trị nhất, cũng như vị trí và cách thức phòng thủ mạng được thiết lập. Nội gián có thể hoạt động một cách âm thầm, ví dụ mỗi ngày chỉ lấy một ít dữ liệu, trong một thời gian dài, để tránh phát hiện, cũng là một cách để vượt qua sự giám sát của công ty.
Các công ty công nghiệp có thể làm gì để tự bảo vệ mình?
Điều đầu tiên mà các công ty công nghiệp cần làm để bảo vệ mình khỏi các cuộc tấn công nội gián là loại phương pháp tiếp cận dựa trên biên của mạng, thay vào đó là cách tiếp cận Zero-Trust (mặc định không tin cậy bất kỳ điều gì). Bất kỳ sự tin tưởng mặc định nào trong một thế trận an ninh mạng đều là một lỗ hổng.
Theo dữ liệu từ Báo cáo vi phạm dữ liệu năm 2022 của IBM, 79% các tổ chức cơ sở hạ tầng quan trọng không triển khai phương pháp tiếp cận Zero-Trust, mặc dù thực tế là 20% các cuộc tấn công vào các tổ chức này là do lỗi của con người. Con người là dễ sai lầm và do đó không thể được tin tưởng một cách hoàn toàn khi nói đến quyền truy cập mạng và đặc quyền.
Một chiến thuật khác mà các tổ chức công nghiệp nên thực hiện là điều chỉnh các ưu tiên của họ từ ngăn chặn truy cập trái phép sang ngăn chặn những gì được làm. Bởi vì kẻ gian thường có thể truy cập thành công vào vào các mạng và thiết bị, do đó nếu ta giả sử rằng việc này là không thể tránh khỏi, thì cần siết chặt việc phân quyền “ai sẽ được làm gì trên các tài nguyên nào”, sẽ hạn chế được thiệt hại do kẻ gian gây ra. Phân quyền càng mịn, càng chi tiết thì thiệt hại càng thấp.
Các cuộc tấn công nội gián rất nguy hiểm và lây lan nhanh, đặc biệt là trong các môi trường công nghiệp. May mắn là chúng có thể bị ngăn chặn với phương pháp tiếp cận Zero-Trust.
Tham khảo:
Chỉnh sửa lần cuối bởi người điều hành: