Các xu hướng gần đây về vi phạm dữ liệu và phương thức tấn công cung cấp một lộ trình hữu ích cho các chuyên gia an ninh mạng, những người có nhiệm vụ phát hiện và ngăn chặn các mối đe dọa lớn tiếp theo.
An ninh mạng liên tục phát triển và do đó, đòi hỏi sự cảnh giác thường xuyên.
Microsoft phân tích hơn 78 nghìn tỷ tín hiệu bảo mật mỗi ngày để hiểu rõ hơn về các chiến thuật và kỹ thuật tấn công mới nhất. Kể từ năm ngoái, chúng tôi nhận thấy sự thay đổi trong cách các tác nhân đe dọa mở rộng quy mô và tận dụng sự hỗ trợ của nhà nước. Rõ ràng là các tổ chức tiếp tục phải đối mặt với nhiều cuộc tấn công hơn bao giờ hết và các chuỗi tấn công ngày càng trở nên phức tạp hơn. Thời gian triển khai đã được rút ngắn và các chiến thuật, kỹ thuật và quy trình (TTP) đã phát triển để trở nên linh hoạt hơn và khó phát hiện hơn.
Dựa trên những hiểu biết này, dưới đây là năm xu hướng tấn công mà các tổ chức cung cấp dịch vụ cho người dùng cuối nên theo dõi thường xuyên.
1. Tàng hình bằng cách tránh các công cụ và phần mềm độc hại tùy chỉnh
Một số nhóm tác nhân đe dọa đang ưu tiên tính tàng hình bằng cách tận dụng các công cụ và quy trình đã tồn tại trên thiết bị của nạn nhân. Điều này cho phép kẻ tấn công tránh được radar và không bị phát hiện bằng cách che khuất hành động của chúng cùng với các tác nhân đe dọa khác đang sử dụng các phương pháp tương tự để thực hiện các cuộc tấn công.
Ví dụ về xu hướng này có thể được thấy với Volt Typhoon, một nhóm tin tặc do nhà nước Trung Quốc tài trợ, nổi tiếng với việc nhắm mục tiêu vào cơ sở hạ tầng quan trọng của Hoa Kỳ bằng các kỹ thuật sống ngoài vùng đất.
2. Kết hợp hoạt động an ninh mạng và gây ảnh hưởng để có tác động lớn hơn
Các tổ chức do nhà nước tài trợ cũng đã tạo ra một danh mục chiến thuật mới kết hợp các hoạt động tấn công mạng và các phương thức hoạt động gây ảnh hưởng (IO). Được gọi là "hoạt động gây ảnh hưởng được hỗ trợ bởi tấn công mạng", sự kết hợp lai này kết hợp các phương thức tấn công mạng - chẳng hạn như đánh cắp dữ liệu, bôi nhọ, tấn công từ chối dịch vụ phân tán và ransomware - với các phương thức gây ảnh hưởng - như rò rỉ dữ liệu, tài khoản bị kiểm soát, mạo danh nạn nhân, bài đăng trên mạng xã hội gây thao túng và tin nhắn SMS/email độc hại - để thúc đẩy, phóng đại hoặc bù đắp cho những thiếu sót trong quyền truy cập mạng hoặc khả năng tấn công mạng của kẻ thù.
Ví dụ, Microsoft đã quan sát thấy nhiều nhóm tin tặc Iran cố gắng sử dụng nhắn tin SMS hàng loạt để nâng cao hiệu quả khuếch đại và tâm lý của các hoạt động gây ảnh hưởng trên mạng của họ. Chúng tôi cũng đang thấy nhiều hoạt động gây ảnh hưởng an ninh mạng hơn nhằm mạo danh các tổ chức nạn nhân hoặc những người đứng đầu trong các tổ chức đó để tăng thêm độ tin cậy cho các tác động của cuộc tấn công mạng hoặc sự xâm nhập.
3. Tạo mạng bí mật bằng cách nhắm mục tiêu vào các thiết bị cạnh mạng SOHO
Đặc biệt liên quan đến nhân viên làm việc từ xa hoặc làm việc ở nhiều nơi là sự lợi dụng ngày càng tăng đối với các thiết bị cạnh mạng văn phòng/văn phòng tại nhà (SOHO). Chúng tôi thấy ngày càng có nhiều các tác nhân đe dọa sử dụng các thiết bị SOHO mục tiêu - chẳng hạn như bộ định tuyến trong một quán cà phê địa phương - để tạo lập mạng lưới bí mật. Một số kẻ tấn công thậm chí sẽ sử dụng các chương trình để định vị các điểm cuối dễ bị tấn công trên toàn thế giới và xác định các điểm nhảy cho cuộc tấn công tiếp theo của chúng. Kỹ thuật này làm phức tạp việc quy kết, khiến các cuộc tấn công xuất hiện từ hầu như bất kỳ đâu.
4. Nhanh chóng áp dụng các POC được công khai cho quyền truy cập ban đầu và duy trì
Microsoft ngày càng quan sát thấy một số nhóm phụ thuộc nhà nước nhất định áp dụng mã proof-of-concept (POC) được công bố công khai ngay sau khi nó được phát hành để khai thác các lỗ hổng trong các ứng dụng sử dụng Internet.
Xu hướng này có thể được thấy trong các nhóm tin tặc như Mint Sandstorm, được nhà nước Iran tài trợ, nhóm này đã nhanh chóng biến các lỗ hổng N-day trong các ứng dụng doanh nghiệp thông dụng thành vũ khí và thực hiện các chiến dịch lừa đảo phishing nhắm mục tiêu để nhanh chóng truy cập thành công vào các môi trường quan tâm.
5. Ưu tiên Chuyên môn hóa trong Hệ sinh thái Ransomware
Chúng tôi đã quan sát thấy các nhóm tin tặc chuyển dịch dần sang sử dụng ransomware một cách chuyên môn hóa. Thay vì thực hiện một hoạt động ransomware từ đầu đến cuối, các tác nhân đe dọa đang chọn tập trung vào một phạm vi nhỏ các khả năng và dịch vụ.
Sự chuyên môn hóa này có tác động phân mảnh, lan truyền các thành phần của một cuộc tấn công ransomware trên nhiều nhà cung cấp trong một nền kinh tế ngầm phức tạp. Các công ty không còn có thể coi các cuộc tấn công ransomware chỉ đơn giản là từ một tác nhân hoặc nhóm đe dọa riêng lẻ. Thay vào đó, họ có thể đang chống lại toàn bộ nền kinh tế ransomware-as-a-service (RaaS - Ransomware dạng dịch vụ). Để ứng phó, Microsoft Threat Intelligence hiện theo dõi riêng các nhà cung cấp ransomware, ghi nhận nhóm nào buôn bán quyền truy cập ban đầu và nhóm nào cung cấp các dịch vụ khác.
Khi các nhà an ninh mạng tìm kiếm những cách hiệu quả hơn để củng cố thế trận bảo mật của họ, điều quan trọng là tham khảo và học hỏi từ các xu hướng và vi phạm đáng kể trong những năm qua. Bằng cách phân tích các sự cố này và hiểu động cơ và TTP (Chiến thuật, Kỹ thuật và Quy trình) ưa thích của các đối thủ khác nhau, chúng ta có thể ngăn chặn tốt hơn các vi phạm tương tự xảy ra trong tương lai.
Theo Dark Reading.
