Các mối đe dọa nhắm vào IdP đã nhanh chóng trở thành phương thức tấn công được nhiều tác nhân đe dọa lựa chọn. Sự xâm phạm gần đây của Okta không phải là lần đầu tiên các tác nhân đe dọa có được quyền truy cập vào thông tin quan trọng của khách hàng và cũng sẽ không phải là lần cuối cùng.
Khi IdP bị xâm phạm, hậu quả có thể rất nghiêm trọng. Việc truy cập trái phép vào tài khoản người dùng và thông tin nhạy cảm trở thành mối lo ngại đáng kể, dẫn đến khả năng vi phạm dữ liệu, tổn thất tài chính và hoạt động trái phép.
Các cuộc tấn công danh tính sử dụng kỹ nghệ xã hội để lấy mã 2 yếu tố (2FA) và chiếm quyền điều khiển phiên nhằm có được quyền truy cập đặc quyền. Việc đánh cắp thông tin xác thực của người dùng, chẳng hạn như tên người dùng và mật khẩu hoặc mã thông báo phiên, cho phép kẻ tấn công xâm nhập vào các hệ thống và dịch vụ khác, đồng thời cấp quyền truy cập vào các hệ thống và tài nguyên nhạy cảm.
Việc lộ, lọt thông tin cá nhân hoặc nhạy cảm có thể dẫn đến hành vi trộm cắp danh tính, tấn công lừa đảo và các hình thức tội phạm mạng khác. Vụ vi phạm gần đây đóng vai trò như một lời nhắc nhở rõ ràng về tầm quan trọng của các biện pháp bảo mật mạnh mẽ và giám sát liên tục để bảo vệ hệ thống nhà cung cấp danh tính và bảo vệ khỏi những tác động tiềm ẩn này.
Các biện pháp kiểm soát bảo mật truyền thống bị bỏ qua trong các cuộc tấn công như vậy, vì kẻ tấn công giả định danh tính của người dùng và hoạt động độc hại của họ không thể phân biệt được với hành vi thông thường.
Network Access (ZTNA) là một phần của truy cập không tin cậy tập trung vào việc kiểm soát quyền truy cập vào các ứng dụng. ZTNA mở rộng các nguyên tắc của ZTA để xác minh người dùng và thiết bị trước mỗi phiên ứng dụng để xác nhận rằng họ đáp ứng chính sách của tổ chức để truy cập ứng dụng đó
Kiến trúc này thay thế quyền truy cập dựa trên cấp độ mạng và giảm độ tin cậy ngầm quá mức đối với quyền truy cập vào tài nguyên, chủ yếu từ các địa điểm ở xa, của nhân viên, nhà thầu và các bên thứ ba khác.
Trong lần vi phạm này, người dùng đã vô tình tải một tệp có thông tin nhạy cảm lên hệ thống quản lý hỗ trợ của Okta. Kẻ tấn công đã lợi dụng phiên cookie từ thông tin được tải lên để tiếp tục vi phạm. ZTNA có thể có hiệu quả trong việc ngăn chặn người dùng vô tình tải lên các tệp có dữ liệu nhạy cảm.
Bằng cách sử dụng tính năng kiểm soát hành vi, các tổ chức chỉ có thể giới hạn quyền truy cập vào các ứng dụng trên các thiết bị được quản lý. Nếu kẻ tấn công cố gắng truy cập vào các ứng dụng hoặc máy chủ quan trọng từ các thiết bị không được quản lý, quyền truy cập sẽ bị cấm. Điều quan trọng là phải thể hiện quyền truy cập của thiết bị không được quản lý trở thành một phần bắt buộc của kiến trúc ZTNA.
Phạm vi tấn công có thể được giảm mức tối thiểu bằng cách thực thi các chính sách phân đoạn nghiêm ngặt. Quản trị viên nên xác định các chính sách để kết hợp các thuộc tính và dịch vụ của người dùng để thực thi ai có quyền truy cập vào nội dung gì. Điều quan trọng là xác định xem liệu có cần chính sách truy cập chung khi người dùng ở trong và ngoài hệ thống hay không.
Thông thường, sau khi những kẻ tấn công đã thiết lập được chỗ đứng trên mạng, chúng sẽ di chuyển ngang hàng trong hệ thống, xác định các hệ thống quan trọng để thực hiện các cuộc tấn công tiếp theo, bao gồm cả việc đánh cắp dữ liệu.
Nguyên tắc phòng thủ chiều sâu (DiD) đóng vai trò rất quan trọng trong việc phá vỡ chuỗi tấn công. Phương pháp bảo mật theo lớp thực thi khả năng phòng thủ mạnh mẽ trước các cuộc tấn công phức tạp, sao cho nếu một lớp không phát hiện được bước tiến của tác nhân đe dọa trong chuỗi tấn công thì lớp tiếp theo vẫn có thể phát hiện hành vi bất thường và từ đó vô hiệu hóa chúng.
Deception cũng như Phát hiện và ứng phó với mối đe dọa danh tính (ITDR) là hai công cụ bổ sung có thể giúp các tổ chức có thể phát hiện và ngăn chặn các cuộc tấn công dựa trên danh tính.
Công nghệ Deception
một loại giải pháp an ninh mạng giúp phát hiện sớm các mối đe dọa với tỷ lệ dương tính giả thấp. Công nghệ này triển khai các mồi nhử thực tế (ví dụ: tên miền, cơ sở dữ liệu, thư mục, máy chủ, ứng dụng, tệp, thông tin xác thực, đường dẫn) trong mạng cùng với các tài sản thực để hoạt động như mồi nhử.
Ngay khi kẻ tấn công tương tác với mồi nhử, công nghệ này sẽ bắt đầu thu thập thông tin mà nó sử dụng để tạo ra các cảnh báo có độ chính xác cao giúp giảm thời gian dừng và tăng tốc độ phản hồi sự cố.
Công nghệ Deception hiện đại sử dụng các kỹ thuật phòng thủ tích cực để có thể thiết lập hệ thống mạng của các tổ chức trở thành môi trường khó khăn đối với những kẻ tấn công.
Các nền tảng Deception ngày nay tuân theo mô hình phát hiện dương tính giả chủ động, thấp. Phân tích sâu nhắm vào mục đích của con người đằng sau một cuộc tấn công, thích ứng với các mối đe dọa mới trước khi chúng xảy ra và cung cấp khả năng điều phối và tự động hóa các hành động ứng phó.
Bởi các biện pháp phòng vệ Deception không phụ thuộc vào dấu hiệu hoặc phương pháp phỏng đoán để phát hiện nên chúng có thể bao phủ gần như mọi vectơ tấn công và phát hiện các cuộc tấn công, bao gồm các mối đe dọa liên tục nâng cao (APT), các mối đe dọa zero-day, trinh sát mạng, chuyển động ngang, , các cuộc tấn công xen giữa () và mã độc tống tiền trong thời gian thực.
Việc sử dụng Deception không phải lúc nào cũng ngăn chặn được một cuộc tấn công danh tính, thế nhưng nó sẽ đóng vai trò là tuyến phòng thủ cuối cùng để phát hiện sự hiện diện của kẻ tấn công sau vi phạm. Điều này có thể giúp ngăn chặn sự thỏa hiệp.
Công nghệ ITDR
ITDR là một nguyên tắc bảo mật mới nổi nằm ở điểm giữa của việc phát hiện mối đe dọa cũng như quản lý danh tính và quyền truy cập. Nó đang trở thành ưu tiên bảo mật hàng đầu của các tổ chức do sự gia tăng của các cuộc tấn công danh tính và khả năng của ITDR trong việc cung cấp khả năng hiển thị về trạng thái nhận dạng của tổ chức, triển khai các phương pháp hay nhất về bảo vệ hệ thống mạng và phát hiện các cuộc tấn công danh tính.
Tăng cường triển khai Zero Trust thông qua ITDR để ngăn chặn và phát hiện các cuộc tấn công danh tính bằng các nguyên tắc sau:
- Quản lý hành vi: Liên tục đánh giá các kho lưu trữ danh tính trong doanh nghiệp như Active Directory, AzureAD,… để có được khả năng hiển thị các cấu hình sai, quyền truy cập quá mức và các chỉ báo mối đe dọa có thể cung cấp cho kẻ tấn công quyền truy cập vào các đặc quyền cao hơn và đường dẫn di chuyển ngang. Thu hồi quyền và cấu hình các chính sách mặc định nhằm giảm thiểu các đường dẫn và đặc quyền tấn công.
- Phát hiện mối đe dọa: Giám sát các điểm cuối cho các hoạt động cụ thể như DCSync, DCShadow, Kerberoasting, LDAP và các thay đổi tương tự có liên quan đến hành vi độc hại.
Kịch bản xử lý sự cố Playbook của Trung tâm điều hành an ninh mạng (SOC) trong các tổ chức đóng một vai trò quan trọng trong việc chủ động xác định và giảm thiểu các vectơ tấn công IdP tiềm ẩn. Bằng cách triển khai chiến lược giám sát và phát hiện toàn diện, các tổ chức có thể nhanh chóng ứng phó với các nỗ lực tấn công của IdP, bảo vệ danh tính người dùng và bảo vệ các tài nguyên quan trọng.
Việc sử dụng các biện pháp bảo mật tốt nhất trong việc quản lý danh tính và cấu hình xác thực đa yếu tố (MFA) là điều tối quan trọng trong việc thiết lập một trạng thái bảo mật mạnh mẽ và giảm thiểu hiệu quả các rủi ro liên quan đến truy cập trái phép và vi phạm dữ liệu.
Với việc thực hiện các biện pháp dưới đây, các tổ chức có thể tăng cường đáng kể việc bảo vệ danh tính và nâng cao hiệu quả triển khai MFA của họ.
Bảo vệ danh tính người dùng
- Sử dụng mật khẩu mạnh: Khuyến khích người dùng tạo mật khẩu mạnh, nhiều ký tự, phức tạp và duy nhất cho tài khoản của họ. Triển khai các chính sách mật khẩu như thời hạn của mật khẩu, không được thiết lập các mật khẩu đã được sử dụng và thay đổi mật khẩu thường xuyên.
- Triển khai đặc quyền tối thiểu: Tuân theo nguyên tắc đặc quyền tối thiểu, chỉ cấp cho người dùng quyền truy cập tối thiểu cần thiết để thực hiện nhiệm vụ của họ. Bằng cách giới hạn đặc quyền của người dùng, tổ chức có thể giảm tác động tiềm tàng của thông tin xác thực bị xâm phạm.
- Giáo dục người dùng: Nhận thức và giáo dục người dùng đóng một vai trò quan trọng trong việc duy trì bảo mật. Đào tạo người dùng về tầm quan trọng của mật khẩu mạnh, cách nhận biết các nỗ lực lừa đảo và cách sử dụng đúng phương pháp xác thực MFA. Thường xuyên nhắc nhở người dùng tuân theo các phương pháp bảo mật tốt nhất và báo cáo mọi hoạt động đáng ngờ.
Bảo vệ chống lại các cuộc tấn công MFA
Các phương pháp MFA truyền thống, chẳng hạn như mã SMS hoặc mật khẩu một lần (OTP), có thể dễ bị tấn công lừa đảo. Những kẻ tấn công có thể chặn các mã này hoặc đánh lừa người dùng nhập chúng vào các trang đăng nhập giả mạo, từ đó bỏ qua lớp bảo mật bổ sung do MFA cung cấp.
Để giải quyết rủi ro này, các phương pháp MFA chống lừa đảo đã được phát triển. Các phương pháp này nhằm mục đích đảm bảo rằng ngay cả khi người dùng bị đánh lừa nhập thông tin xác thực của họ trên một trang web lừa đảo, kẻ tấn công cũng không thể có quyền truy cập nếu không có yếu tố xác thực bổ sung.
Sử dụng MFA dựa trên FIDO2: FIDO2 là một tập hợp các tiêu chuẩn mới do Liên minh xác thực trực tuyến thế giới định nghĩa, đây là một tiêu chuẩn xác thực mạnh cung cấp xác thực an toàn và không cần mật khẩu. Các tổ chức nên triển khai MFA dựa trên FIDO2, sử dụng mật mã khóa công khai để tăng cường bảo mật và bảo vệ khỏi các cuộc tấn công lừa đảo.
Sử dụng Hard Token: Có thể được hiểu đơn giản như khóa bảo mật USB hoặc thẻ thông minh, có thể cung cấp mức bảo mật bổ sung cho MFA. Các thiết bị vật lý này tạo mật khẩu một lần hoặc sử dụng mật mã khóa công khai để xác thực, khiến kẻ tấn công khó xâm phạm.
TÀI LIỆU THAM KHẢO |
Hồng Đạt
(Tổng hợp)
07:00 | 30/10/2023
10:00 | 22/11/2021
11:00 | 22/03/2021
18:00 | 22/09/2023
Do lưu giữ những thông tin quan trọng nên cơ sở dữ liệu thường nằm trong tầm ngắm của nhiều tin tặc. Ngày nay, các cuộc tấn công liên quan đến cơ sở dữ liệu để đánh cắp hay sửa đổi thông tin càng trở nên khó lường và tinh vi hơn, vì vậy việc quản lý cơ sở dữ liệu đặt ra những yêu cầu mới với các tổ chức, doanh nghiệp. Trong hệ thống phân tán, khi dữ liệu được phân mảnh và phân phối trên các vị trí khác nhau có thể dẫn đến khả năng mất toàn vẹn của dữ liệu. Thông qua sử dụng cây Merkle và công nghệ Blockchain ta có thể xác minh tính toàn vẹn của dữ liệu. Trong bài viết này, nhóm tác giả sẽ trình bày các nghiên cứu về ứng dụng cây Merkle và công nghệ Blockchain để bảo đảm tính toàn vẹn dữ liệu cho cơ sở dữ liệu phân tán, đồng thời đảm bảo hiệu năng của hệ thống.
14:00 | 14/09/2023
NFT (Non-fungible token) là một sản phẩm của thời đại công nghệ mới và đang phát triển như vũ bão, ảnh hưởng sâu rộng đến nhiều lĩnh vực. Thị trường NFT bùng nổ mạnh mẽ vào năm 2021, tăng lên khoảng 22 tỷ USD và thu hút ước tính khoảng 280 nghìn người tham gia. Nhưng khi thị trường này phát triển, phạm vi hoạt động của tin tặc cũng tăng theo, đã ngày càng xuất hiện nhiều hơn các báo cáo về những vụ việc lừa đảo, giả mạo, gian lận và rửa tiền trong NFT. Bài báo sau sẽ giới thiệu đến độc giả tổng quan về NFT, các hành vi lừa đảo NFT và cách thức phòng tránh mối đe dọa này.
08:00 | 07/04/2023
Trong thời đại công nghệ số hiện nay facebook trở thành một ứng dụng hết sức phổ biến, từ trẻ em đến người già đều sở hữu cho mình 1 tài khoản Facebook. Tuy nhiên, đây cũng trở thành miếng mồi béo bở cho tội phạm mạng. Chúng dùng rất nhiều thủ đoạn tinh vi nhằm đánh lừa người dùng và đánh cắp tài khoản Facebook với mục đích xấu. Dưới đây là 8 nguyên tắc giúp người dùng trách bị lừa đảo trên mạng xã hội Facebook.
12:00 | 12/08/2022
Phần 1 của bài báo đã tập trung trình bày quá trình chuẩn bị cho việc kiểm thử tấn công lừa đảo và quá trình kiểm thử bằng cách sử dụng thư điện tử. Nội dung phần 2 của bài báo sẽ trình bày về quá trình kiểm thử bằng cách sử dụng diện thoại và gặp trực tiếp nạn nhân.
Mặc dù, tiền mã hóa đem lại tính an toàn, bảo mật, nhanh chóng, tiện lợi, không chịu sự quản lý của Ngân hàng Trung ương cũng như các cơ quan công quyền, nhưng đây lại là cơ hội để tội phạm rửa tiền lợi dụng thực hiện các hành vi trái pháp luật trên không gian mạng. Bài viết sẽ thông tin tới độc giả các khái niệm, phương thức, thủ đoạn của hoạt động rửa tiền bằng tiền mã hóa. Đồng thời, bài báo đề xuất các giải pháp phòng chống hoạt động phạm tội này tại Việt Nam.
15:00 | 18/12/2023
Với sự phát triển mạnh mẽ của công nghệ thông tin hiện nay, các ứng dụng giải trí, nhắn tin, gọi điện đang dần trở nên phổ biến. Những dịch vụ truyền thông được cung cấp trực tiếp đến người xem thông qua Internet (Over The Top - OTT) trở thành một trong những mục tiêu bị tin tặc tấn công nhiều nhất. Bài báo đưa ra thực trạng sử dụng dịch vụ ứng dụng OTT tại Việt Nam và những thách thức trong công tác bảo đảm an ninh, an toàn thông tin trên các thiết bị di động và dữ liệu cá nhân trong thời gian qua. Từ đó, đưa ra các giải pháp nhằm nâng cao hiệu quả bảo đảm an ninh, an toàn thông tin cho dữ liệu cá nhân người dùng ứng dụng OTT trên nền tảng Internet trong thời gian tới.
09:00 | 27/12/2023