An ninh mạng và bảo mật - ARIS VIỆT NAM

Ads

An ninh mạng và bảo mật

Chuyển đổi số, doanh nghiệp rủi ro khi an ninh mạng không đảm bảo

Khi gấp gáp chuyển đổi số, hiện đại hóa các hệ thống và hoạt động của mình, doanh nghiệp cũng tạo ra nhiều điểm yếu, lơ là cảnh giác an ninh mạng, dễ bị tổn thương trong hoạt động kinh doanh và tự đặt mình rơi vào nhiều rủi ro mới.

Trong khi đó, tin tặc luôn tìm cách khai thác những điểm yếu này. Các mối đe dọa không còn chỉ tập trung vào việc đánh cắp dữ liệu nhằm kiếm tiền như trước đây. Số lượng các cuộc tấn công có động cơ chính trị ngày càng gia tăng, thậm chí ở cấp độ địa phương hay khu vực nhỏ. Thậm chí, chúng ta còn chứng kiến sự gia tăng của chủ nghĩa phá hoại và khủng bố mạng – những mối đe dọa lớn đối với an ninh mạng trên toàn thế giới.

Giải pháp an ninh mạng cho doanh nghiệp của ARIS

Kết quả từ “Khảo sát An toàn Thông tin Toàn cầu của EY 2020” phỏng vấn gần 1.300 nhà lãnh đạo an ninh mạng, cho thấy 65% DN chỉ xem xét vấn đề an ninh mạng sau khi đã quá muộn. Chỉ 36% DN cho biết quan tâm tới an ninh mạng ngay từ giai đoạn lập kế hoạch của một sáng kiến kinh doanh mới.

Hậu quả rõ ràng nhất của các cuộc tấn công mạng là tổn thất về mặt tài chính, DN phải trả tiền chuộc, bị phạt tiền hoặc bị tổn thất doanh thu và chi phí cơ hội. Chỉ trong năm 2019, ước tính các công ty Mỹ đã tổn thất đến 654 tỷ USD do các cuộc tấn công mạng. Con số này năm nay được dự đoán sẽ còn tồi tệ hơn.

Rất nhiều các khai thác thành công đều bắt nguồn từ bên trong tổ chức (công ty). Theo những thống kê của Computer Security Institute, thì khoảng 60%-80% các hành động sử dụng sai mạng máy tính, phần mềm bắt nguồn từ bên trong các công ty. Vì thế, đào tạo nhận thức an ninh mạng cho các thành viên của công ty, thậm chí cho người quản trị là vô cùng quan trọng.

1. Lỗi và sự bỏ sót, cố tình bỏ qua

Nguy cơ này được xếp vào hàng nguy hiểm nhất. Khi lập trình, các cảnh báo và lỗi do trình biên dịch đưa ra thường bị bỏ qua và nó có thể dẫn đến những sự việc không đáng có, ví dụ như tràn bộ đệm, tràn heap. Khi người dùng vô tình (hay cố ý) sử dụng các đầu vào không hợp lý thì chương trình sẽ xử lý sai, hoặc dẫn đến việc bị khai thác, đổ vỡ (crash). Kỹ thuật lập trình đóng vài trò rất quan trọng trong mọi ứng dụng. Và lập trình viên phải luôn luôn cập nhật thông tin, các lỗi bị khai thác, cách phòng chống, sử dụng phương thức lập trình an toàn.

Một cách tốt nhất để phòng tránh là sử dụng chính sách “lease privilege” (có nghĩa là ít quyền hạn nhất có thể). Người dùng sẽ chỉ được xử lý, truy cập đến một số vùng thông tin nhất định.

Một chính sách khác nhất thiết phải có, đó là phải sao lưu dữ liệu thường xuyên.

2. Lừa đảo và lấy cắp thông tin

Tưởng tượng rằng có những đồng nghiệp trong công ty đi làm không phải để làm việc, mà để lấy cắp những thông tin quan trọng của công ty. Chuyện này hoàn toàn có thể xảy ra, đặc biệt là những công ty làm việc về quân sự, cơ quan nhà nước… Như đã thống kê ở trên (mục 2.1 a.), rất nhiều công ty bị lộ thông tin từ bên trong. Rất khó phát hiện kẻ tấn công từ bên trong. Việc lấy cắp có thể được thực hiện dưới nhiều hình thức: lấy cắp văn bản in hay lấy cắp thông tin số, cung cấp thông tin nội bộ cho bên ngoài.

Cách tốt nhất để phòng tránh nguy cơ này là: phải có những chính sách bảo mật được thiết kế tốt. Những chính sách có thể giúp người quản lý bảo mật thông tin thu thập thông tin, từ đó điều tra và đưa ra những kết luận chính xác, nhanh chóng. Khi đã có một chính sách tốt, người quản trị có thể sử dụng các kỹ thuật điều tra số (forensics) để truy vết các hành động tấn công.

Ví dụ như hình thức lấy cắp thông tin số, nếu một nhân viên truy cập vào khu vực đặt tài liệu bí mật của công ty, hệ thống sẽ ghi lại được thời gian, IP, tài liệu bị lấy, sử dụng phần mềm gì để truy cập, phần mềm bị cài đặt trái phép… từ đó, người quản trị sẽ chứng minh được ai đã làm việc này.

3. Hacker (Tin tặc)

Có rất nhiều cách hacker tấn công hệ thống. Mỗi kẻ tấn công đều có những thủ thuật, công cụ, kiến thức, hiểu biết về hệ thống. Và cũng có vô số các cuốn sách, diễn đàn đăng tải những nội dung này.

Trước tiên, hacker thu thập thông tin về hệ thống, nhiều nhất có thể. Càng nhiều thông tin, thì khả năng thành công của việc tấn công sẽ càng lớn. Những thông tin đó có thể là: tên ứng dụng, phiên bản ứng dụng, hệ điều hành, email quản trị… Bước tiếp theo là quét hệ thống để tìm lỗ hổng. Các lỗ hổng này có thể gây ra bởi ứng dụng xử lý thông tin hoặc do hệ điều hành, hoặc bất kỳ thành phần nào có liên quan. Từ đó, họ sẽ lợi dụng các lỗ hổng tìm được, hoặc sử dụng các tài khoản mặc định nhằm chiếm quyền truy cập vào ứng dụng. Khi đã thành công, hacker sẽ cài đặt các phần mềm, mã độc để có thể xâm nhập vào hệ thống trong các lần sau. Bước cuối cùng là xóa vết tấn công.

Các trang mạng nổi tiếng như: The World Street Jounals, The NewYork Times mới đây đều công bố rằng mình đã bị hacker tấn công.

Để phòng tránh nguy cơ này, các ứng dụng tương tác với người dùng, dữ liệu cần phải giấu đi những thông tin quan trọng (nếu có thể) như phiên bản, loại ứng dụng, các thành phần kèm theo… Sử dụng các phần mềm phát hiện truy cập trái phép, rà soát hệ thống thường xuyên xem có phần mềm lạ không, cấu hình tường lửa hợp lý, chính sách truy cập của từng nhóm người dùng, quản lý truy cập…

4. Lây lan mã độc

Có rất nhiều loại mã độc có thể kể đến như: virus, sâu máy tính, Trojan horse, logic bomb… Nguy cơ do chúng gây ra là hoàn toàn rõ ràng, và vô cùng phong phú. Khi đã xâm nhập vào máy nạn nhân, mã độc có thể: mở cổng hậu (back door) để kẻ tấn công có thể truy cập và làm mọi việc trên máy nạn nhân; ghi lại thông tin sử dụng máy tính (thao tác bàn phím, sử dụng mạng, thông tin đăng nhập…). Đã có rất nhiều công ty bị cài đặt mã độc. Facebook cũng từng bị một nhóm hacker tấn công do máy tính của một số nhân viên bị cài mã độc.

Cài mã độc vào máy tính có thể qua nhiều con đường: lỗ hổng phần mềm (điển hình như adobe Flash, rất nhiều lỗ hổng 0-days được phát hiện, hay Java Runtime Environment thời gian gần đây cũng liên tục đưa ra bản vá bảo mật); hệ thống đã bị hacker điều khiển; sử dụng phần mềm crack, không có giấy phép sử dụng;

Cách tốt nhất để tránh nguy cơ này là luôn cập nhật phần mềm xử lý dữ liệu, hệ điều hành và phần mềm an ninh mạng, diệt virus.

5. Tấn công từ chối dịch vụ

Nếu một hacker không thể cướp quyền truy cập vào một hệ thống, họ sẽ tìm cách tấn công từ chối dịch vụ (làm hệ thống không thể phục vụ người dùng được trong một khoảng thời gian, bằng cách truy cập đến hệ thống liên tục, số lượng lớn, có tổ chức). Có 2 kiểu tấn công từ chối dịch vụ:

  • DoS (Denny of Service – tấn công từ chối dịch vụ): tấn công này có thể xảy ra với cả ứng dụng trực tuyến và ứng dụng offline. Với ứng dụng trực tuyến, hacker sử dụng các công cụ tấn công (tấn công Syn floods, Fin floods, Smurfs, Fraggles) trên một máy tính để tấn công vào hệ thống, khiến nó không thể xử lý được yêu cầu, hoặc làm nghẽn băng thông khiến người dùng khác khó mà truy cập được. Với ứng dụng offline, hacker tạo ra những dữ liệu cực lớn, hoặc các dữ liệu xấu (làm cho quá trình xử lý của ứng dụng bị ngưng trệ, treo)
  • DDoS (Distributed Denny of Service – tấn công từ chối dịch vụ phân tán): một hình thức cao cấp của DoS, các nguồn tấn công được điều khiển bởi một (một vài) server của hacker (gọi là server điều khiển), cùng tấn công vào hệ thống. Loại tấn công này khó phát hiện ra hơn cho các hệ thống phát hiện tự động, giúp hacker ẩn mình tốt hơn.

Để chống lại nguy cơ này, hệ thống cần có nhiều server phục vụ, server phân tải, cơ chế phát hiện tấn công DoS hiệu quả.

6. Social engineering

Thuật ngữ này khá phổ biến trong công nghệ thông tin. Đây là một kỹ thuật khai thác nhằm vào điểm yếu con người. Con người trực tiếp quản lý phần mềm, hệ thống. Do đó, họ nắm được mọi thông tin quan trọng nhất.

Kỹ thuật này ngày càng hữu ích và có độ chính xác tương đối cao. Điển hình cho hình thức này là hacker nổi tiếng: Kevin Mitnick. Trong một lần, anh chỉ cần vài thông tin quan trọng của tổng thống Mỹ, đã gọi điện cho thư ký của ông và lấy được toàn bộ thông tin về thẻ tín dụng của tổng thống!

Phát hiện 17 cách tấn công mạng hiện đại phổ biến

1. Tấn công bị động (Passive attack)

Trong một cuộc tấn công bị động, các hacker sẽ kiểm soát traffic không được mã hóa và tìm kiếm mật khẩu không được mã hóa (Clear Text password), các thông tin nhạy cảm có thẻ được sử dụng trong các kiểu tấn công khác. Các cuộc tấn công bị động bao gồm phân tích traffic, giám sát các cuộc giao tiếp không được bảo vệ, giải mã các traffic mã hóa yếu, và thu thập các thông tin xác thực như mật khẩu.

Các cuộc tấn công chặn bắt thông tin hệ thống mạng cho phép kẻ tấn công có thể xem xét các hành động tiếp theo. Kết quả của các cuộc tấn công bị động là các thông tin hoặc file dữ liệu sẽ bị rơi vào tay kẻ tấn công mà người dùng không hề hay biết.

2. Tấn công rải rác (Distributed attack)

Đối với các cuộc tấn công rải rác yêu cầu kẻ tấn công phải giới thiệu mã, chẳng hạn như một chương trình Trojan horse hoặc một chương trình back-door, với một thành phần “tin cậy” hoặc một phần mềm được phân phối cho nhiều công ty khác và tấn công user bằng cách tập trung vào việc sửa đổi các phần mềm độc hại của phần cứng hoặc phần mềm trong quá trình phân phối,… Các cuộc tấn công giới thiệu mã độc hại chẳng hạn như back door trên một sản phẩm nhằm mục đích truy cập trái phép các thông tin hoặc truy cập trái phép các chức năng trên hệ thống.

3. Tấn công nội bộ (Insider attack)

Các cuộc tấn công nội bộ (insider attack) liên quan đến người ở trong cuộc, chẳng hạn như một nhân viên nào đó “bất mãn” với công ty của mình,…các cuộc tấn công hệ thống mạng nội bộ có thể gây hại hoặc vô hại.

4. Tấn công Phishing

Trong các cuộc tấn công phising, các hacker sẽ tạo ra một trang web giả trông “giống hệt” như các trang web phổ biến. Trong các phần tấn công phising, các hacker sẽ gửi một email để người dùng click vào đó và điều hướng đến trang web giả mạo. Khi người dùng đăng nhập thông tin tài khoản của họ, các hacker sẽ lưu lại tên người dùng và mật khẩu đó lại.

5. Các cuộc tấn công của không tặc (Hijack attack)

Trong các cuộc tấn công của không tặc, các hacker sẽ giành quyền kiểm soát và ngắt kết nối cuộc nói chuyện giữa bạn và một người khác.

6. Tấn công mật khẩu (Password attack)

Đối với các cuộc tấn công mật khẩu, các hacker sẽ cố gắng “phá” mật khẩu được lưu trữ trên cơ sở dữ liệu tài khoản hệ thống mạng hoặc mật khẩu bảo vệ các tập tin.

Các cuộc tấn công mật khẩu bao gồm 3 loại chính: các cuộc tấn công dạng từ điển (dictionary attack), brute-force attack và hybrid attack.

Cuộc tấn công dạng từ điển sử dụng danh sách các tập tin chứa các mật khẩu tiềm năng.

7. Khai thác lỗ hổng tấn công (Exploit attack)

Đối với các cuộc tấn công bằng việc khai thác các lỗ hổng, yêu cầu các hacker phải hiểu biết về các vấn đề bảo mật trên hệ điều hành hoặc các phần mềm và tận dụng kiến thức này để khai thác các lỗ hổng.

8. Buffer overflow (lỗi tràn bộ đệm)

Một cuộc tấn công buffer attack xảy ra khi các hacker gửi dữ liệu tới một ứng dụng nhiều hơn so với dự kiến. Và kết quả của cuộc tấn công buffer attack là các hacker tấn công truy cập quản trị hệ thống trên Command Prompt hoặc Shell.

9. Tấn công từ chối dịch vụ (denial of service attack)

Không giống như các cuộc tấn công mật khẩu (Password attack), các cuộc tấn công từ chối dịch vụ (denial of service attack) ngăn chặn việc sử dụng máy tính của bạn hoặc hệ thống mạng theo cách thông thường bằng valid users.

Sau khi tấn công, truy cập hệ thống mạng của bạn, các hacker có thể:

– Chặn traffic.

– Gửi các dữ liệu không hợp lý tới các ứng dụng hoặc các dịch vụ mạng, dẫn đến việc thông báo chấm dứt hoặc các hành vi bất thường trên các ứng dụng hoặc dịch vụ này.

– Lỗi tràn bộ nhớ đệm.

10. Tấn công theo kiểu Man-in-the-Middle Attack

Đúng như cái tên của nó, một cuộc tấn công theo kiểu Man-in-the-Middle Attack xảy ra khi cuộc nói chuyện giữa bạn và một người nào đó bị kẻ tấn công theo dõi, nắm bắt và kiểm soát thông tin liên lạc của bạn một cách minh bạch.

Các cuộc tấn công theo kiểu Man-in-the-Middle Attack giống như một người nào đó giả mạo danh tính để đọc các tin nhắn của bạn. Và người ở đầu kia tin rằng đó là bạn, bởi vì kẻ tấn công có thể trả lời một cách tích cực để trao đổi và thu thập thêm thông tin.

11. Tấn công phá mã khóa (Compromised-Key Attack)

Mã khóa ở đây là mã bí mật hoặc các con số quan trọng để “giải mã” các thông tin bảo mật. Mặc dù rất khó để có thể tấn công phá một mã khóa, nhưng với các hacker thì điều này là có thể. Sau khi các hacker có được một mã khóa, mã khóa này sẽ được gọi là mã khóa gây hại.

Hacker sử dụng mã khóa gây hại này để giành quyền truy cập các thông tin liên lạc mà không cần phải gửi hoặc nhận các giao thức tấn công. Với các mã khóa gây hại, các hacker có thể giải mã hoặc sửa đổi dữ liệu.

12. Tấn công trực tiếp

Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò tìm tên ng­ười sử dụng và mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu. Kẻ tấn công có thể sử dụng những thông tin như tên người dùng, ngày sinh, địa chỉ, số nhà vv.. để đoán mật khẩu. Trong trường hợp có được danh sách người sử dụng và những thông tin về môi trường làm việc, có một chương trình tự động hoá về việc dò tìm mật khẩu này.

Một chương trình có thể dễ dàng lấy được từ Internet để giải các mật khẩu đã mã hoá của hệ thống unix có tên là crack, có khả năng thử các tổ hợp các từ trong một từ điển lớn, theo những quy tắc do người dùng tự định nghĩa. Trong một số trường hợp, khả năng thành công của phương pháp này có thể lên tới 30%.

Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền truy nhập. Trong một số trường hợp phương pháp này cho phép kẻ tấn công có được quyền của người quản trị hệ thống (root hay administrator).

Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp này là ví dụ với chương trình sendmail và chương trình rlogin của hệ điều hành UNIX.

Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng ngàn dòng lệnh của ngôn ngữ C. Sendmail được chạy với quyền ưu tiên của người quản trị hệ thống, do chương trình phải có quyền ghi vào hộp thư của những người sử dụng máy. Và Sendmail trực tiếp nhận các yêu cầu về thư tín trên mạng bên ngoài. Đây chính là những yếu tố làm cho sendmail trở thành một nguồn cung cấp những lỗ hổng về bảo mật để truy nhập hệ thống.

Rlogin cho phép người sử dụng từ một máy trên mạng truy nhập từ xa vào một máy khác sử dụng tài nguyên của máy này. Trong quá trình nhận tên và mật khẩu của người sử dụng, rlogin không kiểm tra độ dài của dòng nhập, do đó kẻ tấn công có thể đưa vào một xâu đã được tính toán trước để ghi đè lên mã chương trình của rlogin, qua đó chiếm được quyền truy nhập.

13. Nghe trộm

Việc nghe trộm thông tin trên mạng có thể đưa lại những thông tin có ích như tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng. Việc nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập hệ thống, thông qua các chương trình cho phép đưa card giao tiếp mạng (Network Interface Card-NIC) vào chế độ nhận toàn bộ các thông tin lưu truyền trên mạng. Những thông tin này cũng có thể dễ dàng lấy được trên Internet.

14. Giả mạo địa chỉ

Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng dẫn đường trực tiếp (source-routing). Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc một máy được coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi.

15. Vô hiệu các chức năng của hệ thống

Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng mà nó thiết kế. Kiểu tấn công này không thể ngăn chặn được, do những phương tiện được tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng.

Ví dụ sử dụng lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao toàn bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này, không còn các tài nguyên để thực hiện những công việc có ích khác.

16. Lỗi của người quản trị hệ thống

Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ.

17. Tấn công vào yếu tố con người

Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác.

Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi.

Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ.

Lê Dũng – Chuyên gia an ninh mạng tại ARIS VIỆT NAM

Các hình thức tấn công mạng hiện đại phổ biến

Các cuộc tấn công mạng là các hành động trái phép đối với các tài sản digital bên trong mạng của một tổ chức. Các bên tấn công thường thực hiện các cuộc tấn công mạng này nhằm thay đổi, phá hủy hoặc đánh cắp dữ liệu cá nhân.

Có hai kiểu tấn công mạng chính là: passive và active. Trong các cuộc tấn công mạng passive, các bên tấn công có quyền truy cập trái phép vào mạng, theo dõi và đánh cắp dữ liệu cá nhân mà không thực hiện bất kỳ thay đổi nào. Các cuộc tấn công mạng active liên quan đến việc sửa đổi, mã hóa hoặc làm hỏng dữ liệu.

Tấn công mạng là gì?

Khái niệm tấn công mạng (hoặc “tấn công không gian mạng“) trong tiếng Anh là Cyber attack (hoặc Cyberattack), được ghép bởi 2 từ: Cyber (thuộc không gian mạng internet) và attack (sự tấn công, phá hoại).

Mục tiêu của một cuộc tấn công mạng rất đa dạng, có thể là vi phạm dữ liệu (đánh cắp, thay đổi, mã hóa, phá hủy), cũng có thể nhắm tới sự toàn vẹn của hệ thống (gây gián đoạn, cản trở dịch vụ), hoặc lợi dụng tài nguyên của nạn nhân (hiển thị quảng cáo, mã độc đào tiền ảo).

Tấn công mạng khác với pentest (kiểm thử xâm nhập). Mặc dù cả 2 đều chỉ việc xâm nhập vào một hệ thống, tuy nhiên tấn công mạng là xâm nhập trái phép gây hại cho nạn nhân, còn pentest là xâm nhập với mục đích tìm ra điểm yếu bảo mật trong hệ thống để khắc phục.

Các cuộc tấn công mạng đang được diễn ra từng giờ, từng ngày. Số vụ tấn công gia tăng với tốc độ đáng kinh ngạc. Mỗi năm lại có những phương thức, xu hướng và kỹ thuật tấn công mạng mới. Dưới đây là TOP 6 hình thức tấn công mạng phổ biến năm 2021.

1. Tấn công Malware là gì?

Tấn công Malware là một trong những hình thức tấn công qua mạng phổ biến nhất hiện nay. Malware bao gồm:

  • Spyware (phần mềm gián điệp)
  • Ransomware (mã độc tống tiền)
  • Virus
  • Worm (phần mềm độc hại lây lan với tốc độ nhanh)

Thông thường, Hacker sẽ tiến hành tấn công người dùng thông qua các lỗ hổng bảo mật. Hoặc lừa người dùng Click vào một đường Link hoặc Email (Phishing) để cài phần mềm độc hại tự động vào máy tính. Một khi được cài đặt thành công, Malware sẽ gây ra những hậu quả nghiêm trọng:

  • Chặn các truy cập vào hệ thống mạng và dữ liệu quan trọng (Ransomware).
  • Cài đặt thêm phần mềm độc hại khác vào máy tính người dùng.
  • Đánh cắp dữ liệu (Spyware).
  • Phá hoại phần cứng, phần mềm, làm hệ thống bị tê liệt, không thể hoạt động.

Cách phòng chống Malware

  • Sao lưu dữ liệu thường xuyên: Việc này sẽ giúp bạn không phải lo lắng khi dữ liệu bị phá hủy.
  • Thường xuyên cập nhật phần mềm: Các bản cập nhật của phần mềm (trình duyệt, hệ điều hành, phần mềm diệt Virus,…) sẽ vá lỗi bảo mật còn tồn tại trên phiên bản cũ, đảm bảo an toàn thông tin cho người dùng.
  • Cẩn thận với các Link hoặc File lạ: Đây là phương thức lừa đảo khá phổ biến của Hacker. Chúng sẽ gửi Email hoặc nhắn tin qua Facebook, đính kèm Link Download và nói rằng đó là File quan trọng hoặc chứa nội dung hấp dẫn. Khi tải về, các File này thường nằm ở dạng .docx, .xlxs, .pptx hay .pdf, nhưng thực chất là File .exe (chương trình có thể chạy được). Ngay lúc người dùng Click mở File, mã độc sẽ lập tức bắt đầu hoạt động.

2. Tấn công giả mạo (Phishing)

Tấn công Phishing là gì?

Phishing (tấn công giả mạo) là hình thức tấn công mạng bằng giả mạo thành một đơn vị uy tín để chiếm lòng tin và yêu cầu người dùng cung cấp thông tin cá nhân cho chúng.

Hacker sẽ giả mạo là ngân hàng, ví điện tử, trang giao dịch trực tuyến hoặc các công ty thẻ tín dụng để lừa người dùng chia sẻ các thông tin cá nhân như: tài khoản & mật khẩu đăng nhập, mật khẩu giao dịch, thẻ tín dụng và các thông tin quan trọng khác.

Phương thức tấn công này thường được thực hiện thông qua việc gửi Email và tin nhắn. Người dùng khi mở Email và Click vào đường Link giả mạo sẽ được yêu cầu đăng nhập. Nếu “cắn câu”, tin tặc sẽ có được thông tin cá nhân của người dùng ngay tức khắc.

Phương thức Phishing được phát hiện lần đầu tiên vào năm 1987. Thuật ngữ là sự kết hợp của 2 từ: Fishing For Information (câu thông tin) và Phreaking (trò lừa đảo sử dụng điện thoại của người khác không trả phí). Do sự tương đồng trong việc “câu cá” và “câu thông tin người dùng”, nên thuật ngữ Phishing ra đời.

Các phương thức tấn công Phishing

Giả mạo Email

Đây là hình thức Phishing khá căn bản. Tin tặc sẽ gửi Email đến người dùng dưới danh nghĩa của một đơn vị/tổ chức uy tín nhằm dẫn dụ người dùng truy cập đến Website giả mạo

Những Email giả mạo thường rất tinh vi và rất giống với Email chính chủ, khiến người dùng nhầm lẫn và trở thành nạn nhân của cuộc tấn công. Dưới đây là một số cách mà tin tặc thường ngụy trang:

  • Địa chỉ người gửi (VD: Địa chỉ đúng là sales.congtyA@gmail.com thì sẽ được giả mạo thành sale.congtyA@gmail.com)
  • Thiết kế các cửa sổ Pop-up giống hệt bản gốc (cả màu sắc, Font chữ,…)
  • Sử dụng kỹ thuật giả mạo đường dẫn để lừa người dùng (VD: đường dẫn là congtyB.com nhưng khi nhấn vào thì điều hướng đến contyB.com)
  • Sử dụng hình ảnh thương hiệu của các tổ chức lớn để tăng độ tin cậy.

Giả mạo Website

Giả mạo Website trong tấn công Phishing là làm giả một trang chứ không phải toàn bộ Website. Trang được làm giả thường là trang đăng nhập để cướp thông tin của người dùng.

Website giả thường có những đặc điểm sau:

  • Thiết kế giống đến 99% so với Website gốc.
  • Đường dẫn chỉ khác 1 ký tự duy nhất (VD: facebook.com và fakebook.commicrosoft.com và mircosoft.com,…)
  • Luôn có những thông điệp khuyến khích người dùng cung cấp thông tin cá nhân.

Cách phòng chống tấn công Phishing

  • Cảnh giác với các Email có xu hướng thúc giục bạn nhập thông tin cá nhân, thông tin nhạy cảm (thông tin thẻ tín dụng, thông tin tài khoản,..)
  • Không Click vào các đường dẫn được gửi đến Email nếu không chắc chắn an toàn.
  • Không trả lời những thư rác, lừa đảo.
  • Luôn cập nhật phần mềm, ứng dụng đề phòng các lỗ hổng bảo mật có thể bị tấn công.

Các công cụ hạn chế Phishing

  • SpoofGuard: Đây là một Plugin trình duyệt tương thích với Microsoft Internet Explorer. SpoofGuard sẽ đặt “cảnh báo” trên thanh công cụ của trình duyệt. Nó sẽ chuyển từ màu xanh sang màu đỏ nếu bạn vô tình truy cập vào Website giả mạo Phishing. Nếu bạn cố nhập các thông tin quan trọng vào một trang giả mạo, SpoofGuard sẽ lưu dữ liệu của bạn và đưa ra cảnh báo.
  • Anti-phishing Domain Advisor: Thực chất đây là một Toolbar (thanh công cụ) giúp cảnh báo những trang web lừa đảo, dựa theo dữ liệu của công ty Panda Security.
  • Netcraft Anti-phishing Extension: Netcraft là đơn vị uy tín trong việc cung cấp các dịch vụ bảo mật. Trong số đó, tiện ích mở rộng chống Phishing của Netcraft được đánh giá rất tốt với nhiều tính năng cảnh báo thông minh cho người dùng.

3. Tấn công từ chối dịch vụ (Dos và DDoS)

DoS (Denial of Service) là “đánh sập tạm thời” một hệ thống, máy chủ hoặc mạng nội bộ. Để thực hiện được điều này, các Hacker thường tạo ra một lượng Traffic/Request khổng lồ ở cùng một thời điểm, khiến cho hệ thống bị quá tải. Theo đó, người dùng sẽ không thể truy cập vào dịch vụ trong khoảng thời gian mà cuộc tấn công DoS diễn ra.

Một hình thức biến thể của DoS là DDoS (Distributed Denial of Service): Tin tặc sử dụng một mạng lưới các máy tính (Botnet) để tấn công người dùng.vấn đề ở đây là chính các máy tính thuộc mạng lưới Botnet sẽ không biết bản thân đang bị lợi dụng trở thành công cụ tấn công.

Một số hình thức tấn công DDoS

Tấn công gây nghẽn mạng (UDP Flood và Ping Flood)

  • Mục tiêu: Gây quá tải hệ thống mạng bằng lượng truy cập lớn đến từ nhiều nguồn để chặn các truy cập thực của người dùng.
  • Phương thức: Gây nghẽn đối tượng bằng các gói UDP và ICMP.

Tấn công SYN flood (TCP)

  • Mục tiêu: Gây cạn tài nguyên máy chủ, ngăn chặn việc nhận các yêu cầu kết nối mới.
  • Phương thức: Lợi dụng quá trình “bắt tay” 3 chặng TCP, gửi đi yêu cầu SYN đến máy chủ và được phản hồi bằng một gói SYN-ACK. Nhưng không gửi lại gói ACK, điều này khiến cho tài nguyên máy chủ bị sử dụng hết vào việc đợi gói ACK gửi về.

Tấn công khuếch đại DNS

  • Mục tiêu: Làm quá tải hệ thống bằng phản hồi từ các bộ giải mã DNS.
  • Phương thức: Mạo danh địa chỉ IP của máy bị tấn công để gửi yêu cầu nhiều bộ giải mã DNS. Các bộ giải mã hồi đáp về IP của máy có kích thước gói dữ liệu có thể lớn hơn kích thước của yêu cầu tới 50 lần.

Cách phòng chống tấn công DDoS

  • Theo dõi lưu lượng truy cập của bạn: Với cách này, bạn có thể phát hiện được các vụ tấn công DDoS nhỏ mà tin tặc vẫn thường dùng để Test năng lực của mạng lưới trước khi tấn công thật sự.
  • Nếu bạn có thể xác định được địa chỉ của các máy tính thực hiện tấn công: có thể tạo một ACL (danh sách quản lý truy cập) trong tường lửa để thực hiện chặn các IP này.

4. Tấn công trung gian (Man-in-the-middle attack)

Tấn công trung gian (MitM), còn gọi là tấn công nghe lén, xảy ra khi kẻ tấn công xâm nhập vào một giao dịch/sự giao tiếp giữa 2 đối tượng. Một khi đã chen vào thành công, chúng có thể đánh cắp dữ liệu trong giao dịch đó.

Các hình thức tấn công trung gian

  • Sniffing: Sniffing hoặc Packet Sniffing là kỹ thuật được sử dụng để nắm bắt các gói dữ liệu vào và ra của hệ thống. Packet Sniffing cũng tương tự với việc nghe trộm trong điện thoại. Sniffing được xem là hợp pháp nếu được sử dụng đúng cách. Doanh nghiệp có thể thực hiện để tăng cường bảo mật.
  • Packet Injection: Kẻ tấn công sẽ đưa các gói dữ liệu độc hại vào với dữ liệu thông thường. Bằng cách này, người dùng thậm chí không nhận thấy tệp/phần mềm độc hại bởi chúng đến như một phần của luồng truyền thông hợp pháp. Những tập tin này rất phổ biến trong các cuộc tấn công trung gian cũng như các cuộc tấn công từ chối dịch vụ.
  • Gỡ rối phiên: Bạn đã từng gặp thông báo “Phiên hoạt động đã hết hạn” chưa? Nếu đã từng thực hiện thanh toán trực tuyến hoặc điền vào biểu mẫu, hẳn bạn sẽ biết thuật ngữ này. Khoản thời gian từ lúc bạn đăng nhập vào tài khoản ngân hàng của bạn đến khi đăng xuất khỏi tài khoản đó được gọi là một phiên. Các phiên này là mục tiêu của tin tặc. Bởi chúng có khả năng chứa thông tin kín đáo. Trong hầu hết các trường hợp, một Hacker thiết lập sự hiện diện của mình trong phiên. Và cuối cùng nắm quyền kiểm soát nó. Các cuộc tấn công này có thể được thực thi theo nhiều cách khác nhau.
  • Loại bỏ SSL: SSL Stripping hoặc SSL Downgrade Attack là một loài hiếm khi nói đến các cuộc tấn công MiTM, nhưng cũng là một trong những nguy hiểm nhất. Chứng chỉ SSL/TLS giữ liên lạc của chúng tôi an toàn trực tuyến thông qua mã hóa. Trong các cuộc tấn công SSL, kẻ tấn công loại bỏ kết nối SSL/TLS và chuyển giao thức từ HTTPS an toàn sang HTTP không an toàn.

Cách phòng chống tấn công trung gian

  • Đảm bảo các Website bạn truy cập đã cài SSL.
  • Không mua hàng hoặc gửi dữ liệu nhạy cảm khi dùng mạng công cộng.
  • Không nhấp vào Link hoặc Email độc hại.
  • Có các công cụ bảo mật thích hợp được cài đặt trên hệ thống của bạn.
  • Tăng cường bảo mật cho hệ thống mạng của gia đình bạn.

6. Khai thác lỗ hổng Zero-day (Zero day attack)

Lỗ hổng zero-day (0-day Vulnerability) thực chất là những lỗ hổng bảo mật của phần mềm hoặc phần cứng mà người dùng chưa phát hiện ra. Chúng tồn tại trong nhiều môi trường khác nhau như: Website, Mobile Apps, hệ thống mạng doanh nghiệp, phần mềm – phần cứng máy tính, thiết bị IoT, Cloud, …

Sự khác nhau giữa một lỗ hổng bảo mật thông thường và một lỗ hổng Zero-day nằm ở chỗ: Lỗ hổng Zero-day là những lỗ hổng chưa được biết tới bởi đối tượng sở hữu hoặc cung cấp sản phẩm chứa lỗ hổng.

Thông thường ngay sau khi phát hiện ra lỗ hổng 0-day, bên cung cấp sản phẩm sẽ tung ra bản vá bảo mật cho lỗ hổng này để người dùng được bảo mật tốt hơn. Tuy nhiên trên thực tế, người dùng ít khi cập nhật phiên bản mới của phần mềm ngay lập tức. Điều đó khiến cho Zero-day được biết đến là những lỗ hổng rất nguy hiểm. Có thể gây thiệt hại nghiêm trọng cho doanh nghiệp và người dùng.

Một khi được công bố rộng rãi ra công chúng, lỗ hổng 0-day trở thành lỗ hổng n-day.

Cách phòng chống lỗ hổng Zero-day

  • Thường xuyên cập nhật phần mềm và hệ điều hành
  • Triển khai giám sát bảo mật theo thời gian thực
  • Triển khai hệ thống IDS và IPS
  • Sử dụng phần mềm quét lỗ hổng bảo mật

Các loại hình tấn công khác

Ngoài ra, còn rất nhiều hình thức tấn công mạng khác như:

  • Tấn công chuỗi cung ứng
  • Tấn công Email
  • Tấn công vào con người
  • Tấn công nội bộ tổ chức

Mỗi hình thức tấn công đều có những đặc tính riêng. Và chúng ngày càng tiến hóa phức tạp, tinh vi đòi hỏi các cá nhân, tổ chức phải liên tục cảnh giác & cập nhật các công nghệ phòng chống mới.

Các giải pháp hạn chế tấn công mạng

Đối với cá nhân

  • Bảo vệ mật khẩu cá nhân bằng cách: đặt mật khẩu phức tạp, bật tính năng bảo mật 2 lớp – xác nhận qua điện thoại,… Chi tiết tại: 3 kiểu Tấn công Password cơ bản & cách phòng chống
  • Hạn chế truy cập vào các điểm Wifi công cộng
  • Không sử dụng phần mềm bẻ khóa (crack)
  • Luôn cập nhật phần mềm, hệ điều hành lên phiên bản mới nhất.
  • Cẩn trọng khi duyệt Email, kiểm tra kỹ tên người gửi để phòng tránh lừa đảo.
  • Tuyệt đối không tải các File hoặc nhấp vào đường link không rõ nguồn gốc.
  • Hạn chế sử dụng các thiết bị ngoại vi (USB, ổ cứng) dùng chung.
  • Sử dụng một phần mềm diệt Virus uy tín.

Đối với tổ chức, doanh nghiệp

  • Xây dựng một chính sách bảo mật với các điều khoản rõ ràng, minh bạch
  • Lựa chọn các phần mềm, đối tác một cách kỹ càng. Ưu tiên những bên có cam kết bảo mật và cam kết cập nhật bảo mật thường xuyên.
  • Tuyệt đối không sử dụng các phần mềm Crack
  • Luôn cập nhật phần mềm, Firmware lên phiên bản mới nhất.
  • Sử dụng các dịch vụ đám mây uy tín cho mục đích lưu trữ.
  • Đánh giá bảo mật & Xây dựng một chiến lược an ninh mạng tổng thể cho doanh nghiệp, bao gồm các thành phần: bảo mật Website, bảo mật hệ thống máy chủ, mạng nội bộ, hệ thống quan hệ khách hàng (CRM), bảo mật IoT, bảo mật hệ thống CNTT – vận hành…
  • Tổ chức các buổi đào tạo, Training kiến thức sử dụng Internet an toàn cho nhân viên.

7. Tấn công cơ sở dữ liệu (SQL Injection)

SQL Injection là hình thức tấn công trong đó tin tặc chèn một đoạn mã độc hại vào server sử dụng ngôn ngữ SQL để đánh cắp những dữ liệu quan trọng.

Hậu quả lớn nhất của SQL Injection là làm lộ dữ liệu trong database. Lộ dữ liệu khách hàng là điều đặc biệt tối kỵ bởi điều này ảnh hưởng nặng nề đến mức độ uy tín của doanh nghiệp. Khi khách hàng mất niềm tin vào doanh nghiệp, chắc chắn họ sẽ chuyển qua sử dụng dịch vụ của doanh nghiệp khác, dẫn đến tình trạng doanh số giảm sút, thậm chí phá sản.

Ads