Các cuộc tấn công nội bộ (Insider attack) đang ngày càng trở nên phổ biến và khó phát hiện hơn

Có lẽ chỉ cần nghe qua tên gọi, chúng ta cũng có thể phần nào hình dung ra được rằng hình thức tấn công mạng này có liên quan trực tiếp đến những người đang làm việc trong chính hệ thống mạng bị nhắm mục tiêu, chẳng hạn như việc một nhân viên công nghệ thông tin (CNTT) nào đó cảm thấy "bất mãn" với ông chủ của mình, do vậy anh ta quyết định “đánh sập” luôn cả hệ thống mạng của công ty nơi mình đang làm việc. Các cuộc tấn công hệ thống mạng nội bộ có thể gây hại hoặc vô hại tùy theo mục đích cũng như trình độ của kẻ tấn công. Thông thường, các cuộc tấn công nội bộ thường liên quan đến những hành vi như cố ý nghe trộm, ăn cắp hoặc phá hoại thông tin, sử dụng thông tin một cách gian lận hoặc truy cập trái phép vào kho dữ liệu quan trọng.

• [Infographic] Cách nhận biết và phòng tránh cuộc tấn công Phishing

Các cuộc tấn công nội bộ đang ngày càng trở nên phổ biến hơn trong nhiều năm trở lại đây. Theo thống kê của Bitglass, có đến 73% trong số các chuyên gia CNTT được khảo sát cho biết rằng công ty của họ thường xuyên phải đối mặt với những cuộc tấn công nội bộ. Trong khi 59% được hỏi tuyên bố rằng các hệ thống mà họ quản lý cũng đã từng trải qua ít nhất một sự cố liên quan đến tấn công nội bộ trong năm 2018 vừa qua.

Công ty môi giới bảo mật truy cập đám mây (CASB) Bitlass đã thu về những kết quả trên sau khi tiến hành một cuộc khảo sát trên diện rộng với sự tham gia của 437 chuyên gia CNTT, đồng thời hợp tác với cộng đồng Cybersecurity Insiders bao gồm hơn 400.000 chuyên gia bảo mật thông tin khác trên toàn thế giới.

Trong khi trên thực tế, hầu hết các tổ chức, doanh nghiệp đều nhận thức được sự nguy hiểm tới từ những mối đe dọa được khởi xướng từ tác nhân độc hại bên ngoài hệ thống của mình, Bitglass đồng thời cũng nhận thấy rằng có một tỷ lệ khá lớn trong số các tổ chức, doanh nghiệp này hoàn toàn không để ý rằng việc đưa ra những biện pháp đối phó nhằm khám phá và ngăn chặn hiểm họa từ các cuộc tấn công nội gián thậm chí còn quan trọng không kém.

• Phát hiện ransomware mới không chỉ mã hóa tệp mà còn giúp ‘dọn dẹp’ hệ thống

Việc 68% chuyên gia CNTT được khảo sát cho rằng các tổ chức của họ đang nằm trong ranh giới từ mức vừa phải đến cực kỳ dễ bị tổn thương trước các mối đe dọa từ bên trong chính là bằng chứng cho thấy tầm quan trọng của việc phải xây dựng, thiết lập những biện pháp an ninh phòng thủ để có thể đối phó với các cuộc tấn công từ chính nội bộ là cực kỳ cấp thiết đối với mọi tổ chức, doanh nghiệp hiện nay.

"Trên thực tế, các cuộc tấn công nội bộ thường sẽ khó xác định và khắc phục hơn so với các cuộc tấn công có nguồn gốc từ bên ngoài. Sở dĩ nói như vậy là vì hình thức tấn công nội bộ thường được gây ra bởi một số yếu tố hiện hữu trong nhiều hệ thống mạng, bao gồm khả năng xác thực không đủ mạnh, giám sát hành vi người dùng không đầy đủ trên các nền tảng đám mây, và thiếu thiết lập bảo mật đúng cách đối với thiết bị cá nhân hoạt động trong hệ thống. Nếu các tổ chức muốn ngăn chặn những cuộc tấn công nội bộ, trước hết họ phải giải quyết được các vấn đề nêu trên”, Rich Campagna, CMO của Bitglass chia sẻ.

Nhìn chung, các cuộc tấn công nội bộ thường đặc biệt nguy hiểm vì chúng khó phát hiện hơn so với kiểu tấn công đến từ những nguồn bên ngoài hệ thống, bởi thực tế là việc kiểm soát an ninh nội bộ trong hệ thống mạng doanh nghiệp thường ít được coi trọng hơn, và chính điều này đã góp phần tạo điều kiện cho những tên “nội gián” tấn công vào chính hệ thống mà mình đang làm việc.

• Xu hướng gia tăng đáng báo động về số lượng các vụ tấn công nhằm vào thiết bị IoT

Bên cạnh đó, vấn đề càng trở nên tồi tệ hơn khi báo cáo về mối đe dọa nội bộ của Bitglass trong năm 2019 cũng phát hiện ra rằng "chỉ có 50% các tổ chức được khảo sát cung cấp những khóa đào tạo bảo mật cho người dùng cũng như nhân viên của mình về các mối đe dọa có thể xảy ra đối với hệ thống nội bộ. Đồng thời chỉ có 31% triển khai biện pháp xác thực thứ cấp để bảo vệ hệ thống của mình”.

Ngoài ra, 56% các chuyên gia được phỏng vấn nói rằng những mối đe dọa nội bộ thường được phát hiện trong các tổ chức của họ vào ban ngày, trong khi 50% tuyên bố rằng việc phục hồi hậu quả sau vụ tấn công cũng sẽ được thực hiện và hoàn tất vào ngay thời điểm cuối ngày sau khi cuộc tấn công xảy ra.

• Phát hiện và Phản hồi mối đe dọa điểm cuối, một công nghệ bảo mật mới nổi

41% số người tham gia khảo sát cho rằng di trú đám mây (Cloud migration) được coi là một trong những yếu tố hàng đầu khiến các cuộc tấn công nội bộ thậm chí còn khó phát hiện và chống lại hơn gấp bội, đặc biệt là khi nhiều tổ chức, doanh nghiệp không triển khai những công cụ phù hợp để theo dõi "hành vi bất thường của người dùng trên nền tảng đám mây".

Mặt khác, 56% các chuyên gia CNTT được phỏng vấn bởi Bitglass cho rằng các mối đe dọa trong nội bộ sẽ trở nên khó bị phát hiện hơn khi một tổ chức di chuyển cơ sở hạ tầng CNTT của mình sang đám mây, cũng như di chuyển giữa nhiều nền tảng đám mây khác nhau.

• Tội phạm mạng là gì? Làm thế nào để ngăn chặn tội phạm mạng?

Ngoài ra, khi được Bitglass hỏi liệu công ty của mình có thể phát hiện ra các mối đe dọa trong nội bộ xuất phát từ thiết bị di động cá nhân hay không, chỉ có 12% trong số người được hỏi nói rằng họ hiện đang sở hữu những công cụ và kiến thức cần thiết để thực hiện điều đó.

Số liệu cuối cùng và cũng không kém phần quan trọng, đó là 56% thiết bị điểm cuối nói chung, và 46% thiết bị di động nói riêng là 2 loại thiết bị được sử dụng phổ biến nhất trong việc khởi động các cuộc tấn công nội bộ.