Các chuyên gia bảo mật luôn cố gắng theo kịp công nghệ mà hacker sử dụng trong các cuộc tấn công mới, trong khi các tác nhân độc hại luôn tìm cách khai thác từ những dịch vụ như phần mềm quản lý dự án thậm chí là các hệ thống HVAC. Các dịch vụ ít được sử dụng không phải là các ứng dụng trọng tâm nên thường không được chú trọng đầu tư đảm bảo an toàn thông tin. Các dịch vụ này đã trở thành một lỗ hổng tấn công đáng kể, đặc biệt là đối với các dịch vụ được quản lý nội bộ.

Có một quan niệm lâu đời là các công cụ chạy trên máy chủ Exchange sẽ an toàn hơn dịch vụ dựa trên cloud, đây là một quan niệm sai lầm. Các dịch vụ SaaS (Software as a Service) trên cloud là cách tiếp cận an toàn và bảo mật nhất, đặc biệt là trong thời điểm mà số lượng tấn công vào các máy chủ Exchange nhiều như hiện nay.

Bảo mật dựa trên cloud

Sở hữu máy chủ có thể kiểm soát truy cập vật lý, cấu hình mạng và cập nhật phần mềm là cách tiếp cận an toàn nhất trong nhiều năm. Và đây vẫn là giải pháp cần thiết cho nhiều CISO cảnh giác. Nhưng khi các hệ thống phần mềm, API, mạng và các yêu cầu truy cập từ xa được sử dụng rộng rãi hơn, các máy chủ tự quản lý thực sự khiến công ty gặp nhiều rủi ro hơn và khiến doanh nghiệp dễ bị tấn công hơn.

Khi sử dụng các máy chủ vật lý có nghĩa là bạn phải theo dõi, cài đặt và giám sát tất cả các bản cập nhật bảo mật từ bất kỳ và tất cả các nhà cung cấp mà bạn làm việc có quyền truy cập vào máy chủ đó. Điều đó giống như việc thuê một nhân viên bảo vệ để trông chừng cửa trước của cửa hàng cho những kẻ phá hoại cửa hàng nhưng không bao giờ sử dụng công nghệ an ninh hiện đại, như camera hoặc thậm chí lực lượng cảnh sát, để ngăn chặn ai đó đột nhập vào cửa hàng ngay từ đầu.

Từ bỏ quyền kiểm soát trực tiếp các hệ thống quan trọng như IAM, Confluence hoặc WAF là điều đáng sợ – những dịch vụ này bảo vệ bước đầu và quản lý hoạt động kinh doanh cốt lõi của tổ chức. Nhưng bạn muốn có nhiều hơn thế – bạn cần một đội ngũ bảo vệ đầy đủ đằng sau mọi dịch vụ bạn sử dụng.

An toàn số

Môi trường mạng và các công cụ cơ sở hạ tầng được cập nhật liên tục, khiến chúng khó bảo mật hơn. Việc thay đổi và bảo trì liên tục sẽ dễ dàng để các dịch vụ đó kéo dài thời gian không được bảo vệ khi các đội bảo mật nội bộ tập trung vào các hệ thống quan trọng như PII hoặc dữ liệu thẻ tín dụng.

Với tốc độ thay đổi tích hợp dữ liệu, số lượng nguồn dữ liệu cung cấp cho hệ thống doanh nghiệp và số lượng nhà cung cấp dữ liệu ngày càng tăng khiến cho việc đảm bảo an toàn là một thách thức lớn đối với các doanh nghiệp.

Giải pháp tốt nhất là sử dụng nhiều nhóm bảo mật hơn để tận dụng nguồn nhân lực. Với các dịch vụ SaaS, công ty có thể có được các chuyên gia cấu hình và bảo trì từng dịch vụ cụ thể. Đặc biệt là đối với các hệ thống lưu trữ, cấu hình sai có thể dẫn đến việc vi phạm dữ liệu.

Vi phạm cloud

Không thể nói rằng không có các tấn công vào cloud – ngay cả đối với những công ty SaaS hàng đầu và nhà cung cấp của họ cũng có nguy cơ là nạn nhân của các tấn công kỹ nghệ xã hội. Cuộc tấn công gần đây của Twilio, trong đó tin tặc sử dụng tin nhắn SMS giả mạo để đánh cắp thông tin đăng nhập hoặc vụ hack Lapsus $ của Okta đều là những vi phạm rất dễ thấy. Nhưng khi các vụ tấn công sảy ra thường được phản ứng và khắc phục nhanh chóng để hạn chế hậu quả. Thông thường, thông báo khai thác zero-day sẽ được gửi cho nhà cung cấp dịch vụ trước cả khi cuộc tấn công sảy ra. Điều này cho phép các nhà cung cấp SaaS có cơ hội giải quyết vấn đề nhanh chóng trước khi nó kịp ảnh hưởng.

Khi một nhà cung cấp SaaS gặp phải sự cố tấn công cloud, nó sẽ ảnh hưởng đến toàn bộ hoạt động kinh doanh của họ và họ có nghĩa vụ thông báo cho khách hàng của mình. Điều này làm cho OpSec trở thành ưu tiên kinh doanh chính, tác động đến doanh thu của các công ty này. Điều này có nghĩa là công ty không cần tự mình xác định vấn đề.

Sau khi Twilio bị tấn công, họ đã xác định được 125 khách hàng bị truy cập dữ liệu. Công ty đã thông báo trực tiếp cho những khách hàng bị ảnh hưởng đó và thông báo rộng rãi cho cơ sở của họ trên tổng số 150.000 khách hàng. Khoảng 19.000 khách hàng của Signal (trong số 40 triệu người dùng đang hoạt động) có thể đã bị ảnh hưởng, nhưng chỉ có một tài khoản khách hàng bị chiếm quyền. 

Tấn công hệ thống On-prem

Gần đây, cơ sở hạ tầng tự lưu trữ đã trở thành mục tiêu hàng đầu của tin tặc. Các công cụ cơ sở hạ tầng như giám sát mạng, xác thực, kho mã nguồn và hệ thống triển khai đã là đầu vào cho các vi phạm đáng kể. Các luồng truyền dữ liệu là một vectơ tiềm năng khác cho tin tặc.

Khi một máy chủ cục bộ bị tấn công, quá trình khắc phục có thể phá hoại hơn nhiều so với việc khôi phục sau vi phạm cloud. Vào thời điểm xác định vấn đề, cách duy nhất có thể là chặn hoàn toàn cổng dịch vụ hoặc từ chối dịch vụ. Việc triển khai bản vá mất nhiều thời gian khi phải cập nhật từng thiết bị. Và việc vá một công cụ mã nguồn mở thậm chí có thể không thực hiện được cho đến khi cộng đồng viết và triển khai bản sửa lỗi.

Atlassian đã gặp phải một lỗ hổng zero-day nghiêm trọng cho phép những kẻ tấn công chưa được xác thực có được quyền truy cập thực thi mã từ xa vào các máy chủ. Cơ quan liên bang CISA nhanh chóng kêu gọi khách hàng chặn các cổng bị ảnh hưởng. Cloudflare cũng đã triển khai quy tắc tường lửa ứng dụng web chặn các cổng cụ thể và cô lập các máy chủ, thể hiện khả năng khắc phục sự cố nhanh chóng bằng cách sử dụng dịch vụ được quản lý. 

Điều này giúp giải thích một số rủi ro so sánh giữa dịch vụ lưu trữ cục bộ so với sử dụng dịch vụ SaaS. Dưới đây là một số bước mà các công ty có thể thực hiện để giảm thiểu nguy cơ vi phạm bảo mật. 

Mẹo để tránh vi phạm

1.Chuyển dữ liệu lên cloud, nhưng cần kiểm tra lại cấu hình.

  • Hầu hết các vi phạm đám mây đều xuất phát từ cấu hình sai. Tận dụng các công cụ của nhà cung cấp đám mây như AWS Trusted Advisor, Azure Advisor và Google Cloud Platform Security Command Center hoặc xem xét các công cụ của bên thứ ba để đảm bảo mọi thứ được định cấu hình chính xác. 
  • Kiểm tra các API bạn sử dụng cũng như đánh giá hồ sơ bảo mật của chúng. Đảm bảo rằng các khóa xác thực có cơ chế biến đổi tự động và tránh các khóa API tĩnh

2.Bảo mật AD

  • Giới hạn số lượng người dùng đặc quyền và quyền đối với mạng – tài khoản quản trị có giá trị đối với những kẻ tấn công, vì vậy hãy hạn chế việc hiển thị nhất có thể. 
  • Giúp truy cập chi tiết hơn – một số người dùng có thể chỉ cần quyền truy cập chỉ đọc, không cần quyền ghi đối với các thư mục hoặc máy chủ có giá trị cao.

3. Triển khai xác thực đa nhân tố: Nhiều người dùng ngày nay đã quen thuộc với xác thực hai yếu tố (2FA), vì chúng thường được sử dụng bởi các ngân hàng, cố vấn tài chính hoặc các dịch vụ bảo mật khác. Nhưng ngay cả tin nhắn SMS cũng có thể bị giả mạo, vì vậy hãy triển khai kết hợp các phương pháp IAM dựa trên những gì người dùng biết và thiết bị vật lý.

  • Sử dụng thông báo và chứng chỉ tin cậy thiết bị có thể giúp xác định thiết bị và người dùng được ủy quyền. 
  • Xem xét sinh trắc học vân tay – vân tay thực sự khó bị giả mạo hơn nhiều so với hầu hết các hệ thống nhận dạng khuôn mặt ngày nay và vân tay không thể bị đánh cắp dễ dàng như điện thoại.

4. Giám sát luồng dữ liệu trên mạng:

  • Để đảm bảo dữ liệu không bị gửi đến các tác nhân độc hại hoặc IP đáng ngờ. Dữ liệu thay đổi nhanh chóng, nhưng nếu bạn có cách tiếp cận tập trung và biết môi trường của mình, bạn có thể giảm thiểu rủi ro.
  • Rất khó để kiểm tra toàn bộ một ứng dụng, nhưng việc theo dõi quyền truy cập email để xem ai đang đăng ký các sản phẩm khác nhau sẽ dễ dàng hơn nhiều, ngay cả khi họ đang sử dụng email cá nhân. 
  • Có một thách thức lớn khác với việc sử dụng các máy chủ vật lý để truyền dữ liệu: đảm bảo dữ liệu đi đúng mục tiêu. Nếu có quá trình chuyển dữ liệu đang diễn ra không phù hợp với công việc đồng bộ hóa, chẳng hạn như tải dữ liệu bán hàng lên Snowflake và nhận thấy dữ liệu sang một địa chỉ mới.

Cuối cùng, nếu ưu tiên các nhà cung cấp SaaS cốt lõi, họ sẽ tập trung vào bảo mật ứng dụng hơn so với việc các tổ chức tự mình thực hiện. Nếu có vấn đề sảy ra, tổ chức sẽ nhận được thông tin nhanh nhất từ SaaS. Việc từ bỏ quyền kiểm soát là điều dễ hiểu nhưng có thể quản lý dễ dàng hơn, khắc phục nhanh hơn nếu có thể tận dụng lợi thế của các nhóm bảo mật đứng sau dịch vụ cloud.

https://www.securitymagazine.com/


Với những ưu thế về công nghệ và tiện ích trong kỷ nguyên số, điện toán đám mây (Cloud) đã trở thành xu hướng tất yếu giúp các tổ chức vận hành linh hoạt và tiết kiệm chi phí. Bên cạnh đó, các doanh nghiệp hiện nay còn gặp nhiều khó khăn trong quá trình triển khai, giám sát hệ thống công nghệ thông tin và là mục tiêu hấp dẫn của tội phạm mạng. Ngoài việc đánh cắp thông tin và gây tổn hại trực tiếp đến lợi ích của doanh nghiệp, hacker còn sử dụng các nguồn tài nguyên này làm bệ phóng cho nhiều chiến dịch tấn công với quy mô lớn hơn. Chính vì vậy, VNCS Global cho ra đời dịch vụ sát An toàn thông tin trên nền tảng Cloud “VNCS GLOBAL CLOUD SOC” kế thừa và phát huy những ưu điểm vượt trội của dịch vụ VNCS SOC & nền tảng cloud, giúp các doanh nghiệp giải quyết được bài toán giám sát hệ thống công nghệ thông tin một cách toàn diện. 

👉 Nhận thông tin tư vấn về dịch vụ VNCS Global Cloud SOC : TẠI ĐÂY