Data exfiltration là gì? Làm thế nào để ngăn chặn hành vi nguy hiểm này?

Bảo mật dữ liệu luôn là một trong những khía cạnh cốt lõi của lĩnh vực an ninh mạng. Nó song hành với sự phát triển chung của thế giới bảo mật cũng như sự biến đổi của tình hình an ninh mạng trên toàn thế giới. Nói về bảo mật dữ liệu, có một sự bao hàm của nhiều khái niệm khác nhau và chắc chắn không thể diễn giải cặn kẽ chỉ trong khuôn khổ vài trang giấy. Trong bài viết này, chúng ta sẽ cùng tìm hiểu một khái niệm nhỏ trong bảo mật dữ liệu, đó là data exfiltration, cũng như cách thức phòng ngừa và ứng phó với sự cố bảo mật nguy hiểm này.

Bảo mật dữ liệu

Khái niệm data exfiltration

Về cơ bản, data exfiltration còn có cách gọi khác là data theft (đánh cắp dữ liệu), hay data exportation (xuất dữ liệu trái phép), do vậy trong trường hợp này, chúng ta có thể tạm hiểu data exfiltration là hành vi đánh cắp dữ liệu.

Data exfiltration là hành vi đánh cắp dữ liệu Data exfiltration là hành vi đánh cắp dữ liệu 

Hành vi đánh cắp dữ liệu này có thể được thực hiện thủ công bởi bất kỳ cá nhân nào nắm trong tay quyền truy cập vật lý vào một hệ thống máy tính hoặc thiết bị phần cứng lưu trữ dữ liệu, hoặc cũng có thể được thực hiện với sự giúp sức của chương trình, phần mềm độc hại lan truyền thông qua các môi trường mạng, trong đó phổ biến nhất là internet.

Nói cách khác, data exfiltration là một hình thức vi phạm bảo mật nghiêm trọng, trong đó dữ liệu có thể bị truyền hoặc sao chép mà không được sự đồng ý từ phía chủ sở hữu - về cơ bản, dữ liệu đã bị đánh cắp theo đúng nghĩa đen. Xét trên lý thuyết, hành vi này có thể được thực hiện thông qua một loạt các kỹ thuật từ đơn giản đến phức tạp, thế nhưng nhìn chung, nó thường được thực hiện bởi tin tặc (tội phạm mạng) thông qua môi trường internet. Các cuộc tấn công data exfiltration thường được lên kế hoạch và nhắm mục tiêu cụ thể, từ đó giúp tin tặc có thể định vị và đánh cắp loại dữ liệu mà chúng muốn với xác suất thành công cao hơn.

Data exfiltration có thể đặc biệt khó bị phát hiện trong nhiều tình huống, chẳng hạn như ở quá trình di chuyển dữ liệu trong hệ thống mạng nội bộ của công ty, cũng như bên ngoài hệ thống mạng này. Và một khi những dữ liệu đó nằm trong tay tin tặc, thảm họa bảo mật hoàn toàn có thể xảy ra, đồng thời kéo theo sự sụp đổ của cả một hệ thống doanh nghiệp lớn.

Data exfiltration được thực hiện như thế nào?

Một trong những phương thức phổ biến nhất thường được tin tặc sử dụng để triển khai các chiến dịch data exfiltration là nhằm vào mật khẩu đơn giản, dễ bị “bẻ gãy”. Theo thống kê, sự tinh vi, phức tạp trong cách thức sử dụng mật khẩu sẽ tỷ lệ nghịch với xác suất trở thành mục tiêu của các chiến dịch data exfiltration.

Data exfiltration gây ra khi cá nhân có quyền truy cập vào một hệ thống mạng nội bộ và đánh cắp dữ liệuData exfiltration gây ra khi cá nhân có quyền truy cập vào một hệ thống mạng nội bộ và đánh cắp dữ liệu

Sau khi bẻ gãy “lá chắn” mật khẩu, tin tặc có thể truy cập vào các hệ thống mục tiêu thông qua những ứng dụng truy cập từ xa do chúng tự thiết kế hoặc mua lại của bên thứ ba, hoặc bằng cách chèn thêm một thiết bị đa phương tiện di động trong trường hợp có thêm khả năng truy cập vật lý.

Có một hình thức data exfiltration khác gọi là Advanced Persistent Threat (viết tắt: APT). Kiểu tấn công này thường được sử dụng trong những trường hợp đã xác định rõ mục tiêu cụ thể và dữ liệu đánh cắp là những thông tin mang tính nhạy cảm cao. Mục đích chính của APT là cố gắng chiếm quyền truy cập vào hệ thống mạng mục tiêu của tổ chức, đồng thời hạn chế đến mức tối đa việc bị phát hiện trong khi đang tìm kiếm lượng dữ liệu đã nhắm mục tiêu, chẳng hạn như thông tin khách hàng, tài sản trí tuệ, hoặc thông tin tài chính… Đây đều là những loại dữ liệu cực kỳ nhạy cảm của bất cứ doanh nghiệp nào.

Hình thức đánh cắp dữ liệu này phụ thuộc rất nhiều vào những kỹ thuật xã hội như lừa đảo thông qua email (email phishing) để thử và đánh lừa các tác nhân đang hoạt động trong tổ chức mục tiêu, qua đó cài đặt một chương trình, phần mềm độc hại vào máy tính của họ và lấy đó làm “bàn đạp” để truy cập vào hệ thống mạng chung của tổ chức. Sau khi đã thâm nhập thành công, tin tặc sẽ cố gắng xác định loại dữ liệu mà chúng đang nhắm đến và bước cuối cùng sẽ là tiến hành sao chép hoặc chuyển những dữ liệu đó ra bên ngoài.

Những kẻ tấn công giờ đây sẽ có thể sử dụng dữ liệu mà chúng đã đánh cắp được cho các mục đích kiếm lời trái phép, phá hoại hoặc làm tổn hại danh tiếng của tổ chức, doanh nghiệp.

Làm thế nào để phòng ngừa và ứng phó với data exfiltration

Phòng ngừa và ứng phó với data exfiltration

Không hề quá khi nói rằng đây là câu hỏi đáng giá hàng triệu đô la trong lĩnh vực bảo mật dữ liệu nói chung. Câu trả lời tất nhiên cũng rất rộng và còn phải tùy thuộc vào từng tình huống cụ thể, tuy nhiên có thể đúc kết được 2 ý chính như sau.

Về cơ bản, hầu hết các chiến dịch data exfiltration đều được triển khai chủ yếu dựa vào kỹ thuật xã hội để cài đặt phần mềm độc hại vào máy tính cá nhân đang hoạt động trong hệ thống (liên quan đến yếu tố con người). Do vậy, biện pháp phòng ngừa hiệu quả và cấp thiết nhất đối với các tổ chức, doanh nghiệp không gì khác ngoài việc tăng cường đào tạo nhân viên của mình trong việc phát hiện các mối đe dọa tiềm ẩn hoạt động thông qua email, cũng như khuyến khích nhân viên trang bị thêm kiến thức mới nhất trong lĩnh vực bảo mật, từ đó giúp họ có thể nhận diện chính xác những hành vi lừa đảo và kịp thời báo cáo vấn đề trước khi xảy ra sự cố nghiêm trọng.

Song song với yếu tố con người, các tổ chức, doanh nghiệp cũng cần phải thiết lập những hàng rào bảo mật từ xa, được thiết kế để chủ động phát hiện sớm các mối đe dọa và chương trình độc hại tiềm năng, qua đó giúp đội ngũ bảo mật hệ thống có thể đưa ra phản ứng kịp thời và chính xác với mỗi tình huống cụ thể, hạn chế tối đa vấn đề rò rỉ, thất thoát dữ liệu.

Bảo vệ điểm cuối (Endpoint Protection)

Một trong những nhân tố quan trọng nhất trong việc ngăn chặn data exfiltration là bảo đảm an toàn tuyệt đối cho các thiết bị điểm cuối (endpoint devices). Các thiết bị điểm cuối chính là nguồn cung cấp quyền truy cập dễ dàng cho tin tặc. Nói cách khác, chúng chính là cây cầu nối để kẻ gian xâm nhập vào hệ thống dễ dàng hơn, vì vậy điều quan trọng là phải bảo đảm an toàn cho các thiết bị này.

Thiết bị điểm cuốiBảo đảm an toàn cho các thiết bị điểm cuối là khâu quan trong trong phòng chống data exfiltration

Nếu muốn đi sâu tìm hiểu rõ hơn về các quy trình bảo mật điểm cuối, bạn có thể tham khảo một số bài viết sau đây:

Tóm lại, việc ngăn chặn và ứng phó với data exfiltration không quá phức tạp. Tuy nhiên cái khó nằm ở chỗ các kỹ thuật và công nghệ lừa đảo vẫn không ngừng phát triển, biến đổi từng ngày, tạo điều kiện cho sự xuất hiện của những chiến dịch tấn công tinh vi hơn, gây thiệt hại nặng nề hơn. Do vậy, các tổ chức, doanh nghiệp, và đặc biệt là từng cá nhân trong hệ thống phải luôn chủ động trong mọi tình huống, tích cực cập nhật sự biến đổi trong thế giới bảo mật để kịp thời đưa ra những thay đổi phù hợp, cùng với đó là đẩy mạnh thực hiện các chính sách bảo mật mạnh mẽ để ngăn chặn dữ liệu bị đánh cắp khỏi tổ chức

Thứ Tư, 10/07/2019 07:55
53 👨 279