Từ vụ tấn công tinh vi vào Google và hàng tá công ty lớn gần đây đã buộc các hãng này phải đánh giá lại hệ thống an ninh để có thể xử lý và đối phó nhanh chóng với các cuộc tấn công ngày càng được cải tiến.
>> Tin tặc tấn công Google qua lỗ hổng IE
>> Mã độc tấn công Google được công khai trên mạng
Các cuộc tấn công gần đây vào Google là một ví dụ cho những gì gọi là mối đe dọa liên tục cải tiến (APT) mà các công ty lớn đang phải đương đầu với một số lượng ngày càng tăng. Thuật ngữ này được sử dụng nhiều trong các lĩnh vực quân sự và chính phủ để mô tả các cuộc tấn công có chủ đích, có tổ chức và có tay nghề về mặt công nghệ. Các cuộc tấn công này thường rất tinh vi, có mục đích, tùy biến và diễn ra dai dẳng.
Trong nhiều trường hợp, các cuộc tấn công thường nhằm các mục tiêu riêng lẻ nằm bên trong các tổ chức và lừa những người này ghé thăm các trang web độc hại hoặc tải phần mềm độc hại về máy tính của họ. Mục đích của hầu hết các cuộc tấn công này là để đánh cắp các bí mật thương mại hơn là dữ liệu cá nhân hay dữ liệu tài chính.
Còn các tổ chức chính phủ là mục tiêu của các mối đe dọa liên tục được cải tiến trong nhiều năm. Nhưng các cuộc tấn công chống lại Google và các công ty khác gần đây, các mối đe dọa lại lan sang lĩnh vực thương mại.
Tuy nhiên, theo Giám đốc công nghệ George Kurtz của hãng bảo mật McAfee, các hãng thuộc tất cả các lĩnh vực đều là mục tiêu hấp dẫn của bọn tội phạm mạng. Các mối đe dọa không phải lúc nào cũng đòi hỏi phải nâng cấp hệ thống lên công nghệ mới nhưng chúng yêu cầu các hãng phải xem xét lại các chiến lược mà công ty đó có thể áp dụng để bảo vệ dữ liệu. Dưới đây là 3 bài học có thể rút ra từ vụ tấn công của Google gần đây.
1. Không chỉ có tội phạm mạng có tổ chức
Do sự gia tăng ngày càng lớn của tội phạm mạng có tổ chức trong vài năm qua, hầu hết các hãng đã triển khai hệ thống phòng thủ để bảo vệ dữ liệu cá nhân và tài chính khỏi bị đánh cắp. Theo Ed Skoudis đồng sáng lập của hãng tư vấn bảo mật InGuardians, điều đó là quan trọng nhất nhưng họ cũng cần phải suy nghĩ về việc bảo vệ dữ liệu thuộc sở hữu trí tuệ của họ.
Quay trở lại 10 năm trước, các mối đe dọa chính mà chúng ta phải đối mặt thường là từ các sở thích riêng biệt. Nhưng sau đó, mọi thứ đã thay đổi và mối đe dọa chính mà chúng ta gặp có liên quan tới các tội phạm mạng có tổ chức. Và bây giờ điều đó đã chuyển đổi một lần nữa. Vì nhiều tội phạm mạng quan tâm nhiều hơn tới hoạt động gián điệp trong công ty và đánh cắp sở hữu trí tuệ. Bên cạnh đó, chúng ta cũng cần quan tâm tới vụ đánh cắp 27 triệu thẻ tín dụng. Nhưng thiếu sót bảo vệ IP và các bí mật doanh nghiệp chống lại các vụ đánh cắp tương tự sẽ dẫn tới những thiệt hại dài hạn hơn.
2. Thêm việc giám sát mạng vào danh sách công việc
Các mối đe dọa liên tục được cải tiến để vượt qua tường lửa, phần mềm diệt virus, hệ thống phát hiện xâm nhập và các kiểm soát mà các công ty có thể áp dụng để ngăn chặn việc truy cập dữ liệu bất hợp pháp.
Vì vậy, Skoudis cho biết, nhiều hãng cần có các công cụ để giám sát hành vi bất thường xuất hiện trên mạng của họ và để phát hiện các kết nối mạng bất thường trong thời gian dài,...
Ngoài ra, các hãng cũng có thể xem xét việc sử dụng nhiều cách tiếp cận “danh sách trắng” hơn để khóa tất cả nhưng một thiết lập cụ thể và rất hẹp của các hoạt động nổi tiếng trên mạng và hệ thống của họ. Có rất nhiều các mối đe dọa lây nhiễm và lỗ hổng “zero-day” có thể được loại trừ bằng cách sử dụng “danh sách trắng” vì chỉ có đoạn mã đáng tin cậy mới có thể hoạt động trên hệ thống.
Bên cạnh đó, Skoudis cho biết, việc giám sát các bản ghi cũng rất quan trọng. Nhìn vào các bản ghi, các cảnh báo IDS của mạng và các trang nhật ký web trên máy chủ có thể giúp các hãng nhận diện các hoạt động đáng ngờ diễn ra trên mạng của họ.
Vì vậy, các công ty cần thiết lập một giới hạn cho các hoạt động thông thường trên mạng của họ và thường xuyên so sánh các bản ghi dữ liệu đối với những giới hạn đó để phát hiện ra các hoạt động nguy hiểm.
APT luôn cố gắng cải tiến tinh vi hơn. Vì vậy, người dùng cần phải thu thập được những thông tin để có thể tìm ra chúng trong thời gian sớm nhất trước khi mọi thức trở nên quá muộn.
3. Cần sự tác động của con người
Kurtz cho biết, các cuộc tấn công có chủ đích đều phụ thuộc vào việc người dùng kích vào một thứ gì đó hay khi họ lướt qua một trang web độc hại. Phân tích của McAfee về các cuộc tấn công nhằm vào Google và các hãng khác cho thấy kẻ xâm nhập giành quyền truy cập vào một tổ chức bằng cách gửi tới công ty hay vài cá nhân một cách có chủ đích để họ kích vào đó.
Các cuộc tấn công này có lẽ được thiết kế để người dùng tưởng chúng đến từ một nguồn đáng tin cậy và mục tiêu hàng đầu là dụ họ kích vào một đường dẫn hay một tệp tin. Ông cho biết, kẻ xâm nhập thường ẩn trong các trang web mạng xã hội và các nơi khác để thu thập thông tin cho mục đích của chúng.
Vì vậy, yếu tố xác thực người dùng mạnh mẽ và biện pháp kiểm soát truy cập có thể giúp giảm nhẹ vần đề trên. Ngoài ra, các công cụ có sẵn cũng có thể giúp các hãng xác minh tính xác thực của các đường dẫn mà người dùng kích vào để giúp ngăn chặn họ khỏi việc truy cập các các trang web độc hại hay tải mã độc về. Rất nhiều cuộc tấn công liên quan tới yếu tố con người.
Do đó, điều quan trọng nhất vẫn là các hãng cần tiếp tục nhấn mạnh vào việc giáo dục và đào tạo người dùng sử dụng mạng một cách an toàn.