Đã một năm trôi qua kể từ khi cuộc tấn công nhằm vào chuỗi cung ứng phần mềm SolarWinds được công bố, các chuyên gia an ninh mạng vẫn đang cố gắng giải mã loại tấn công này. Tin tặc đã tiến hành các chiến dịch một cách âm thầm và chỉ bị phát hiện khi một trong những công ty bị ảnh hưởng như FireEye có khả năng để theo dõi và phát hiện các cuộc xâm nhập.
Qua đó, các tổ chức và doanh nghiệp cần tự xem xét hiện trạng trong những tình huống này, liệu doanh nghiệp có đủ công cụ và nguồn lực để nhận biết khi một cuộc tấn công như vậy có xảy ra hay không. Theo Microsoft, các tin tặc có khả năng giả mạo SAML (Security Assertion Markup Language) token để mạo danh bất kỳ người dùng và tài khoản hiện có nào của tổ chức, bao gồm cả các tài khoản có đặc quyền cao. Điều này buộc tất cả các tổ chức phải xem xét kỹ càng nguồn gốc của các phần mềm đã cài đặt và tự đặt ra câu hỏi liệu rằng có thể tin tưởng các nhà cung cấp phần mềm và các quy trình bảo mật của họ hay không.
Do đó, các tổ chức, doanh nghiệp cần kiểm tra và xem xét quy trình bảo mật của nhà cung cấp phần mềm bên thứ ba; Tìm kiếm các hành vi bất thường, đặc biệt là việc sử dụng các tài khoản có đặc quyền cao; Kiểm tra lại khi các liên kết mới được tạo hoặc thêm thông tin xác thực vào các tiến trình có thể thực hiện các hành động như mail. read hoặc mail.readwrite; Nên chủ động thực hiện chặn các IP, tên miền độc hại đã được công bố trên tường lửa của doanh nghiệp.
Tháng 3/2021, cuộc tấn công Exchange Server gây ra nhiều sự gián đoạn. Các máy chủ Exchange được cài đặt ở mạng nội bộ đã bị tấn công trực tiếp bằng cách khai thác một lỗ hổng zero-day. Microsoft ban đầu thông báo rằng các cuộc tấn công hướng đến một số mục tiêu cụ thể, nhưng những dấu hiệu sau đó cho thấy cuộc tấn công đã lan rộng hơn nhiều. Microsoft cũng nhận thấy rằng nhiều máy chủ email đã rất chậm trễ trong việc cập nhật bản vá khiến cho việc cập nhật nhanh chóng trở nên vô cùng khó khăn. Microsoft đã phải cung cấp bản vá cho các nền tảng cũ hơn để giữ an toàn cho người dùng.
Người dùng cần đảm bảo rằng mọi máy chủ cũ đều được bảo vệ, đặc biệt là đối với máy chủ Exchange tại chỗ, do chúng thường được nhắm mục tiêu hơn và đảm bảo rằng các nguồn lực thích hợp được chỉ định để vá các hệ thống cũ. Email là một điểm quan trọng để xâm nhập các hệ thống mạng, với những rủi ro mà các cuộc tấn công lừa đảo qua email đem lại cũng như thực tế là những kẻ tấn công hiểu được sự khó khăn trong việc vá lỗi cho các máy chủ này.
Ngoài ra, không nên tin tưởng hoàn toàn vào các bản đánh giá mối đe dọa và rủi ro mà các hãng cung cấp. Ban đầu, Microsoft chỉ ra rằng các cuộc tấn công này có giới hạn và có mục tiêu cụ thể, nhưng thực tế các cuộc tấn công đã diễn ra trên diện rộng và thậm chí ảnh hưởng đến cả những công ty nhỏ.
Vào tháng 7/2021, Microsoft đã phát hành một bản cập nhật cho lỗ hổng có tên PrintNightmare. Đối với các quản trị viên mạng, lỗ hổng này đã biến thành “cơn ác mộng quản lý in ấn”. Phần mềm bộ đệm in (print spooler software) là mã nguồn cũ từ Windows NT. Do tình hình dịch bệnh diễn biến phức tạp, người dùng có xu hướng chuyển dịch từ in trực tiếp sang các quy trình in từ xa, ngay cả máy in PDF cũng dựa vào bộ đệm in để triển khai và in PDF.
Hiện tại, các bản vá khác nhau liên quan đến bộ đệm in vẫn đang được theo dõi và xử lý. Bản vá cho một số lỗi liên quan đến thao tác in đã được bao gồm trong bản cập nhật cuối tháng 12/2021 của Microsoft. Bản vá khắc phục sự cố xảy ra khi máy tính Windows có thể gặp các lỗi sau khi kết nối với máy in từ xa được chia sẻ trên một máy chủ in Windows:
0x000006e4 (RPC_S_CANNOT_SUPPORT)
0x0000007c (ERROR_INVALID_LEVEL)
0x00000709 (ERROR_INVALID_PRINTER_NAME)
Một số quản trị viên cho biết họ chọn phương án không cài đặt bản vá để tránh một số rủi ro của bản cập nhật này.
Do vậy, ngay cả trong đại dịch, nhu cầu in ấn vẫn hiện hữu. Khi có bản cập nhật bao gồm vá lỗi cho dịch vụ bộ đệm in, người dùng cần phân bổ nguồn lực phù hợp để kiểm thử trước khi cập nhật. Sử dụng các tài nguyên của bên thứ ba như PatchManagement.org hay các forum Sysadmin để theo dõi và lên phương án khắc phục có thể thực hiện, thay vì để hệ thống không được bảo vệ. Dịch vụ bộ đệm in cần được vô hiệu hóa trên các máy chủ và máy trạm không có nhu cầu in ấn, chỉ bật dịch vụ này trên các thiết bị và máy chủ cần tới chức năng này.
Trong số các sự cố bảo mật mà chúng ta sẽ thấy vào năm 2022, mã độc tống tiền vẫn sẽ là một hiểm họa lớn. Hiện nó được tích hợp vào các chính sách bảo hiểm mạng và chính phủ Hoa Kỳ đã tổ chức các lực lượng đặc nhiệm để cung cấp nhiều biện pháp bảo vệ, thông tin và hướng dẫn hơn cho các doanh nghiệp đối mặt với rủi ro này.
Các cơ quan, tổ chức cần sử dụng tường lửa mạng và máy trạm để ngăn chặn giao tiếp gọi hàm từ xa (RPC) và khối thông điệp máy chủ (SMB). Điều này sẽ giúp hạn chế lây nhiễm ngang hàng cũng như các hoạt động tấn công khác. Cùng với đó, người dùng cần bật các tính năng bảo vệ chống phá hoại để ngăn những kẻ tấn công dừng các dịch vụ bảo mật. Sau đó, thực thi chính sách mật khẩu mạnh, ngẫu nhiên cho các tài khoản quản trị viên. Giải pháp Local Administrator Password Solution (LAPS) được khuyến nghị sử dụng để đảm bảo mật khẩu sử dụng là ngẫu nhiên.
Đồng thời, cần giám sát việc xóa nhật ký sự kiện. Cụ thể, Windows tạo ra sự kiện bảo mật ID 1102 khi điều này xảy ra. Cùng với đó, người dùng cần đảm bảo các tài nguyên cho phép kết nối từ Internet nhận được các cập nhật bảo mật mới nhất. Cuối cùng, xác định nơi các tài khoản có đặc quyền cao đang đăng nhập và có khả năng để lộ thông tin. Theo dõi và điều tra thuộc tính loại đăng nhập của các sự kiện đăng nhập (sự kiện có ID 4624). Các tài khoản có đặc quyền cao không được xuất hiện trên các máy trạm.
Minh Nguyệt
09:00 | 01/04/2021
11:00 | 07/05/2021
09:00 | 17/03/2022
17:00 | 10/10/2024
Trong thời gian gần đây, các loại hình tội phạm trên không gian mạng ngày càng tinh vi và diễn biến phức tạp, nhất là tình trạng lộ thông tin cá nhân, gọi điện, tin nhắn, quảng cáo cho vay tiền lãi cao để lừa đảo, chiếm đoạt tài sản gây bức xúc dư luận xã hội. Bộ Thông tin và truyền thông (TT&TT) đã phối hợp với các cơ quan liên quan triển khai nhiều biện pháp quyết liệt nhằm ngăn chặn và xử lý hiệu quả vấn nạn này. Một trong những biện pháp quan trọng là chỉ đạo các doanh nghiệp viễn thông di động kết nối và xác thực thông tin thuê bao với Cơ sở dữ liệu quốc gia về dân cư.
10:00 | 04/10/2024
Thông qua diễn tập thực chiến vừa tổ chức, các cơ quan, đơn vị trong Ban Cơ yếu Chính phủ đã có cơ hội nhìn nhận, đánh giá năng lực ứng phó của đơn vị mình trước những mối nguy hại, cuộc tấn công trên không gian mạng.
09:00 | 01/10/2024
Nhân dịp tham dự các hoạt động của Tuần lễ cấp cao Đại hội đồng Liên Hợp Quốc Khoá 79 và làm việc tại Hoa Kỳ, chiều 22/9 (theo giờ địa phương), tại New York, Tổng Bí thư, Chủ tịch nước Tô Lâm đã dự buổi tọa đàm với chủ đề Tăng cường hợp tác Việt Nam - Hoa Kỳ trong phát triển ngành công nghiệp bán dẫn và trí tuệ nhân tạo (AI).
09:00 | 22/08/2024
Chiều 21/8, Cổng Thông tin điện tử Chính phủ tổ chức Tọa đàm "Chính sách thuế - tài sản số và trách nhiệm của doanh nghiệp" nhằm phân tích, luận bàn, đánh giá những vấn đề nổi bật liên quan đến thúc đẩy phát triển, quản lý công nghiệp công nghệ số; nội hàm, bản chất của tài sản số; nghĩa vụ thuế liên quan đến tài sản số cùng nhiều nội dung được nêu ra trong dự thảo Luật Công nghiệp công nghệ số.