TeamViewer là công cụ trup cập từ xa được sử dụng phổ biến trong các doanh nghiệp. Tuy nhiên, ít người biết đây cũng là một công cụ thường bị hacker lợi dụng để tấn công và đánh cắp dữ liệu của doanh nghiệp.
Công ty fintech vốn hóa gần 30 nghìn tỷ đồng bị cài mã độc do lộ mật khẩu TeamViewer
Những tháng gần đây, chúng ta đã chứng kiến nhiều vụ tấn công mạng vào các công ty lớn, có đội ngũ bảo mật và sử dụng thiết bị hiện đại. Trong đó, nổi bật nhất là vụ việc một doanh nghiệp trong lĩnh vực fintech đã bị tấn công ransomware khiến cho toàn bộ dữ liệu của tổ chức bị mã hóa.
Theo Vietnamnet, nguyên nhân là do phần mềm TeamViewer trên máy tính dùng chung của công ty này để mật khẩu mặc định. Sau khi lấy được mật khẩu này, hacker đã khai thác triệt để sai lầm này bằng cách đăng nhập vào thiết bị, cài mã độc mã hóa LockBit 3.0 (còn được gọi là LockBit Black) ngay trên desktop và thực thi mã độc.
Điều này đã khiến toàn bộ dữ liệu của doanh nghiệp bị mã hóa, khiến hoạt động của doanh nghiệp đình trệ, gây ảnh hưởng nghiệp trong tới khách hàng và hình ảnh của doanh nghiệp. Hacker thậm chí còn yêu cầu khoản tiền chuộc lớn để khôi phục dữ liệu cho doanh nghiệp này.
Hướng dẫn bảo mật truy cập từ xa trong doanh nghiệp
1. Sử dụng các giải pháp quản lí chuyên nghiệp
a. Phần mềm quản lý thiết bị (device manager):
Để tránh các tình trạng bị hacker khai thác thiết bị và công cụ truy cập từ xa như Ultraview, Teamviewer, doanh nghiệp cần có những giải pháp quản lý chuyên nghiệp. Với tư cách một người chịu trách nhiệm về bảo mật, công nghệ thông tin của doanh nghiệp, bạn có thể cân nhắc các giải pháp uy tín như CyStack Device Manager, Fleetdm, Crowstrike, Cisco,…
CyStack Device Manager
Trình quản lý thiết bị CyStack là giải pháp quản lý thiết bị thông minh được CyStack thiết kế nhằm cung cấp bảo mật hệ thống toàn diện cho doanh nghiệp. Sản phẩm này hỗ trợ việc quản lý thiết bị, phát hiện và ngăn chặn các hoạt động trái phép trên máy tính của người dùng có thể bị tin tặc khai thác. Các tính năng cụ thể như sau:
- Phát hiện sự bất thường: Công cụ sẽ theo dõi hoạt động của người dùng trên máy tính và tự động phát hiện các hành vi bất thường, bao gồm giám sát và xác định các lượt tải xuống file đáng ngờ từ internet hoặc truy cập vào các website không an toàn.
- Bảo mật truy cập từ xa, VPN.
- Giảm thiểu các mối đe dọa tiềm ẩn: Khi phát hiện các hành vi bất thường, CyStack Device Manager sẽ tự động áp dụng các biện pháp phòng ngừa, chẳng hạn như chặn tệp đính kèm từ các email không xác định hoặc hạn chế quyền truy cập vào các website độc hại. Từ đó, bảo vệ môi trường làm việc của bạn khỏi những rủi ro do các cuộc tấn công của ransomware gây ra.
b. Phần mềm quản lý dữ liệu bí mật (secrets manager):
Bên cạnh thiết bị, các secrets (dữ liệu bí mật) cũng là những tài sản cực kỳ quý giá và nhạy cảm của bất cứ doanh nghiệp nào. Trong lập trình, "secrets" là các thông tin như password, khóa API, token truy cập, hoặc dữ liệu mà ứng dụng hoặc hệ thống cần để truy cập vào các dịch vụ bên ngoài (authorisation) hoặc để xác thực người dùng (authentication).
Các giải pháp quản lý secrets mà doanh nghiệp nên cân nhắc hiện nay là Locker Secret Manager, AWS Secrets Manager, HashiCorp Vault, Google Cloud Secrets Manager, hay Azure Key Vault.
Locker Secrets Manager
Các tính năng chính của Locker Secrets Manager bao gồm:
- Lưu trữ và quản lý secrets được mã hóa
- Phân loại secrets theo môi trường phát triển: dev, stagging, production,…
- Hỗ trợ SDK lập trình: với các ngôn ngữ phổ biến như Python, Go, JS, C#
- Hỗ trợ CLI: thuận tiện cho quá trình CI/CD và DevSecOps
- Kiểm soát chia sẻ và phân quyền secrets cho thành viên trong team
- Kiểm tra nhật ký truy cập thông qua thời gian, vị trí, IP người dùng
- Tự động phát hiện secrets không an toàn trong source code và thay thế bằng Locker SDK, xóa lịch sử Git
- Tự động đổi secrets theo định kỳ
Đăng ký tài khoản và trải nghiệm Locker Secrets Manager tại: https://sm.locker.io/secrets
2. Tận dụng các tính năng bảo mật của các công cụ truy cập từ xa
Nhận thức được hacker có thể khai thác công cụ truy cập từ xa để tấn công người dùng, các công cụ như Teamviewer cũng có những tính năng bảo mật bạn không nên bỏ qua.
- Xác thực đa yếu tố (MFA): Đảm bảo quyền truy cập an toàn bằng cách yêu cầu nhiều hình thức nhận dạng như xác thực hai yếu tố (2FA), thêm một lớp xác minh bổ sung để ngăn chặn truy cập trái phép.
- Kiểm soát quyền truy cập: Tính năng kiểm soát quyền truy cập vào các thiết bị có quyền, giấy phép và chính sách cài đặt đặc biệt cho nhóm, cá nhân và thiết bị.
- Black screen: Duy trì quyền riêng tư và bảo mật bằng cách đặt màn hình thiết bị remote thành màu đen trong khi truy cập, đặc biệt quan trọng khi xử lý dữ liệu nhạy cảm từ văn phòng tại nhà.
- Disable remote input: Tăng cường bảo mật bằng cách tắt tất cả đầu vào từ xa, bảo vệ các thiết bị từ xa khỏi bị gián đoạn do vô tình trong các phiên.
Đặc biệt ở cấp doanh nghiệp, bạn cần chú ý các tính năng sau:
- Truy cập có điều kiện (Conditional access): Tự động cấp hoặc từ chối quyền truy cập vào tài sản CNTT dựa trên các điều kiện cụ thể như thông tin xác thực của người dùng, vị trí, thời gian và thiết bị, tăng cường bảo mật bằng cách gắn cờ các lần đăng nhập bất thường để xác minh thêm.
- Bring Your Own Certificate (BYOC): Sử dụng các chứng chỉ kỹ thuật số bổ sung để bảo mật các ứng dụng và dịch vụ đám mây, cấp nhiều quyền kiểm soát hơn đối với các tiêu chuẩn bảo mật và đảm bảo tuân thủ.
- Single Sign-on (SSO): Tăng cường bảo mật bằng cách yêu cầu người dùng xác thực thông qua nhà cung cấp danh tính đáng tin cậy, giảm nguy cơ truy cập trái phép và vi phạm liên quan đến thông tin xác thực chỉ bằng một bộ thông tin xác thực duy nhất.
