Mối đe dọa tấn công có chủ đích là gì?

Mối đe dọa tấn công có chủ đích (APT) là một sự kiện bảo mật phức tạp, gồm nhiều giai đoạn nhắm vào các tài sản kinh doanh cụ thể. APT là một tác nhân trái phép xâm nhập vào môi trường của tổ chức, di chuyển qua các hệ thống để lấy tài sản, truyền thông tin nhạy cảm và cố gắng thoát ra mà không bị phát hiện. Mối đe dọa tấn công có chủ đích có thể khó xác định và khắc phục do các chiến thuật tinh vi và cách tiếp cận có mục tiêu. Việc bảo vệ chống lại APT đòi hỏi một cách tiếp cận đa hệ thống, đa ngành.

Một sự kiện APT có thể nhắm đến một trong các mục đích sau đây.

Trộm cắp tài sản trí tuệ

Tài sản trí tuệ, chẳng hạn như bí mật thương mại hoặc bí mật của chính phủ, mã nguồn độc quyền hoặc thông tin liên lạc riêng tư, đều là dữ liệu nhạy cảm có tính riêng tư đối với một tổ chức. Khi có được quyền truy cập ban đầu vào dữ liệu này, các nhóm APT thu thập thông tin một cách bất hợp pháp để đạt được lợi thế cạnh tranh hoặc tác động tiêu cực đến mạng mục tiêu kinh doanh.

Gian lận tài chính

Các APT có thể giành quyền kiểm soát các hệ thống và hoạt động kinh doanh, cung cấp cho các tác nhân trái phép quyền truy cập theo đặc quyền cần thiết để thực hiện hành vi gian lận tài chính. Các hoạt động này có thể gửi các giao dịch chuyển khoản tài chính từ tài khoản người dùng hoặc đánh cắp dữ liệu nhạy cảm từ một công ty để đóng vai trò là những cá nhân có đặc quyền trong công ty.

Phần mềm tống tiền 

Một sự kiện APT thành công có thể nhắm đến mục tiêu triển khai phần mềm tống tiền. Trong ví dụ này, APT bắt đầu mã hóa dữ liệu nhạy cảm và ngăn người dùng truy cập vào mạng mục tiêu. Các nhóm trái phép này có thể yêu cầu một khoản tiền chuộc lớn để có được chìa khóa giải mã các tệp. 

Thiệt hại danh tiếng

Mục tiêu cụ thể của một số nhóm APT là gây thiệt hại đến danh tiếng của tổ chức bằng cách rò rỉ thông tin cho công chúng.

APT chỉ xem xét các mục tiêu có giá trị cao. Các mối đe dọa tấn công có chủ đích (APT) khó xác định hơn so với các mối đe dọa mạng thông thường vì không tuân theo các mẫu truyền thống. Bởi vì không có véc-tơ sự kiện bảo mật chung, khung thời gian hay điểm đặc trưng của sự kiện nên việc định vị và vô hiệu hóa các sự kiện bảo mật này sẽ khó khăn hơn. 

Trong các sự kiện bảo mật điển hình, có thể có sự đột biến trong hoạt động của cơ sở dữ liệu hoặc lưu lượng truy cập trong hoạt động di chuyển dữ liệu, trong khi cách tiếp cận có phương pháp hơn của các sự kiện APT vẫn được giấu kín.

Một APT cũng không nhất thiết phải tìm kiếm lợi ích ngay lập tức, mà có thể kiên nhẫn hoạt động lâu dài để xây dựng một mối đe dọa rộng hơn. Bằng cách ẩn mình trong các hệ thống, APT có thể không bị phát hiện trong thời gian dài trong một công ty cho đến khi nhóm kẻ tấn công quyết định hành động.

Dưới đây là các đặc điểm và dấu hiệu phổ biến nhất của mối đe dọa tấn công có chủ đích.

Các sự kiện tinh vi, gồm nhiều giai đoạn để chiếm quyền truy cập

Các mối đe dọa tấn công có chủ đích bao gồm các sự kiện với nhiều giai đoạn, thường tuân theo một loạt các bước tương tự.

Đầu tiên, một tác nhân trái phép tìm hiểu về tổ chức mục tiêu và các hệ thống của tổ chức đó để thu thập thông tin về tài sản và các lỗ hổng bảo mật tiềm ẩn. Từ đây, tác nhân này phát triển các phương pháp để tận dụng các lỗ hổng bảo mật đã xác định.

Sau khi có được quyền truy cập vào các hệ thống của công ty, tác nhân trái phép sẽ di chuyển qua các phần khác nhau trong hệ thống. Tác nhân này làm như vậy bằng cách lấy quyền truy cập vào các đặc quyền nâng cao thông qua tấn công phi kỹ thuật, điều hướng các phân đoạn mạng và các kỹ thuật khác. Tác nhân này cũng có thể đánh lạc hướng nhân viên an ninh. Các máy chủ chỉ huy và điều khiển được thiết lập để điều phối thông tin liên lạc.

Sau khi có thể truy cập tài sản mục tiêu, tác nhân trái phép thường bắt đầu trích xuất dữ liệu hoặc thay đổi hệ thống bị xâm nhập, tùy thuộc vào mục tiêu của sự kiện. Sau giai đoạn cuối cùng này, một số mối đe dọa tấn công có chủ đích sẽ nỗ lực che giấu dấu vết nhằm ngăn chặn bất kỳ ai biết về sự kiện này.

Được thực hiện bởi một nhóm APT có mục tiêu rõ ràng

Các sự kiện APT đến từ các tác nhân trái phép có mục tiêu rõ ràng, thường hoạt động theo nhóm. Các nhóm này có nhiều hình thức, bao gồm APT được nhà nước tài trợ, các tổ chức tội phạm mạng chuyên nghiệp, các nhóm tin tặc hoặc các nhóm tin tặc nhỏ chuyên đánh thuê.

Mặc dù mục tiêu chính của APT là kiếm tiền, một số nhóm trong số này tham gia vào việc thực hiện sự kiện APT để thu thập thông tin nhạy cảm, làm lộ dữ liệu, phá hoại cơ sở hạ tầng hoặc tác động đến danh tiếng của các tổ chức. 

Một sự kiện trong một thời gian đáng kể ở nhiều hệ thống

Các giai đoạn nêu trên có thể diễn ra trong một thời gian dài. Do tính chất có mục tiêu của các sự kiện APT, các nhóm kẻ tấn công cẩn thận lên kế hoạch hành động với tốc độ chậm rãi để tránh gây chú ý hoặc kích hoạt cảnh báo trong hệ thống. Trong một số trường hợp, APT không bị phát hiện trong nhiều tháng hoặc nhiều năm trước khi thực hiện các bước để đạt được mục tiêu ban đầu.

Được thiết kế để không để lại dấu vết

Giai đoạn cuối cùng của động tác nhân đe dọa APT là che đi mọi dấu vết về một sự kiện bằng các kỹ thuật như xóa tệp, sửa đổi bản ghi hoặc che giấu các khía cạnh nhất định của cơ sở dữ liệu. Bằng cách giảm khả năng nhóm an ninh mạng phát hiện ra điểm bất thường trong hệ thống, các tác nhân trái phép có nhiều khả năng thoát ra mà không phải hứng chịu hậu quả.

Ngoài ra, bằng cách che giấu bằng chứng về sự hiện diện của mình, APT cũng có thể giữ kín phương pháp xâm nhập cụ thể. Lối thoát bí mật này cho phép chúng sử dụng cùng một chiến lược chậm rãi và có phương pháp với các tổ chức mục tiêu khác.

Tình báo về mối đe dọa tấn công có chủ đích (APT) là một hình thức chuyên biệt của tình báo về mối đe dọa nhằm mục đích cung cấp thông tin và chỉ dẫn cho các doanh nghiệp về các chiến dịch APT đang diễn ra, các tác nhân trái phép APT đã biết và các kỹ thuật tấn công phi kỹ thuật hiện tại được APT sử dụng. 

Tình báo về APT khác với tình báo về mối đe dọa chung ở các nguồn, kỹ thuật tam giác đạc, báo cáo, phân tích và ứng dụng.

Dưới đây là một số biện pháp bảo mật hiệu quả để giúp ngăn chặn APT và bảo vệ trước loại mối đe dọa này.

Tình báo về mối đe dọa

Hệ thống tình báo về mối đe dọa là một chiến lược hiệu quả để giúp ngăn chặn APT. Tình báo về mối đe dọa đối chiếu dữ liệu bảo mật bên trong và bên ngoài để cung cấp một cái nhìn toàn diện về hiện trạng của các sự kiện và những véc-tơ chung của các sự kiện đó. Bằng cách sử dụng dữ liệu công khai và riêng tư, bạn có thể xác định các đối thủ và chiến thuật APT tiềm năng chính và cách bảo vệ bản thân.

Các tổ chức có thể rút ra thông tin và tạo ra các chiến lược bằng cách triển khai các nền tảng tình báo về mối đe dọa, nguồn cấp dữ liệu tình báo về mối đe dọa nguồn mở và các khung như MITRE ATT&CK.

Tạo bản ghi và đo từ xa

Việc tạo bản ghi hiệu quả và rộng rãi đối với các hệ thống an ninh mạng, mạng, điểm truy cập tài sản, giám sát điểm cuối và dữ liệu tình trạng hệ thống tổng thể sẽ giúp các chuyên gia bảo mật phát triển cái nhìn tổng quan toàn diện về hệ thống kinh doanh. Việc giữ lại bản ghi chi tiết và triển khai phân tích nâng cao giúp cải thiện khả năng phát hiện điểm bất thường và hỗ trợ điều tra ngược về các sự kiện bảo mật ngoài dự kiến.

Công nghệ

Có một số công nghệ mà bạn có thể sử dụng để tăng cường khả năng phát hiện, khắc phục và giảm thiểu APT. Dưới đây là một số công nghệ trung tâm trong ngăn xếp công nghệ bảo mật này:

• Hệ thống phát hiện xâm nhập (IDS): Công cụ giám sát lưu lượng mạng để xác định mọi hoạt động khác thường.
• Hệ thống quản lý sự kiện và thông tin bảo mật (SIEM): Một giải pháp đối chiếu dữ liệu từ các hệ thống bảo mật khác nhau để cung cấp khả năng phát hiện mối đe dọa trong thời gian thực và ứng phó với sự kiện bảo mật ngoài dự kiến.
• Phát hiện và ứng phó tại điểm cuối (EDR): Lập bản đồ và giám sát tất cả các thiết bị điểm cuối của công ty để xác định điểm bất thường và tự động ứng phó với các điểm bất thường đó.

Bảo mật nhiều lớp

Bên cạnh các biện pháp bảo mật chống APT, bạn cũng có thể triển khai chiến lược bảo mật nhiều lớp để giảm khả năng xảy ra sự kiện bảo mật ngoài dự kiến. Bạn có thể áp dụng tính năng phân đoạn mạng, kho lưu trữ vị trí an toàn, triển khai quyền truy cập ít đặc quyền nhất, thực thi xác thực nhiều yếu tố cho tất cả các tài khoản công ty và sử dụng các tiêu chuẩn mã hóa mạnh mẽ cho dữ liệu đang lưu trữ và dữ liệu đang truyền. Ngoài ra, thường xuyên áp dụng bản vá phần mềm mạng, phần mềm hệ thống và phần mềm ứng dụng sẽ giúp giảm thiểu các lỗ hổng bảo mật đã biết.

Đào tạo

Một trong những điểm thâm nhập phổ biến nhất đối với APT và các sự kiện an ninh mạng ngoài dự kiến khác là thông qua liên hệ với nhân viên công ty. Dù là lừa đảo qua email hay thao túng qua tương tác xã hội bằng cách lừa nhân viên nhấp vào liên kết bị xâm nhập, các nhóm kẻ tấn công thường nhắm vào các cá nhân trong tổ chức. Vì những tiến bộ của AI, các kỹ thuật mạo danh tiên tiến ngày một phổ biến.

Bạn có thể thường xuyên triển khai các chương trình tăng cường nhận thức về bảo mật để chống lại các mối đe dọa tấn công phi kỹ thuật trong tổ chức. Nhân viên của bạn sẽ có thể nhận ra các dấu hiệu ban đầu của APT và báo cáo các sự kiện cho nhóm bảo mật.

AWS cung cấp các dịch vụ được thiết kế để giúp bảo vệ các tổ chức trước mối đe dọa tấn công có chủ đích. AWS Security Hub chuyển đổi hoạt động bảo mật đám mây thông qua khả năng hiển thị hợp nhất, thông tin chuyên sâu hữu ích và quy trình làm việc tự động.

Amazon GuardDuty cung cấp khả năng phát hiện mối đe dọa được quản lý toàn phần, có quy mô linh hoạt cho đám mây. Amazon GuardDuty có thể nhanh chóng xác định, tạo mối tương quan và ứng phó trước các mối đe dọa bằng phân tích tự động và các khuyến nghị khắc phục được tùy chỉnh riêng để giúp giảm thiểu gián đoạn kinh doanh. Amazon GuardDuty cung cấp tính năng phát hiện mối đe dọa thông minh để giúp bảo vệ tài khoản, khối lượng công việc và dữ liệu AWS.

Amazon Inspector tự động phát hiện các khối lượng công việc, chẳng hạn như các phiên bản Amazon Elastic Compute Cloud (Amazon EC2), hình ảnh bộ chứa và các hàm AWS Lambda cũng như kho lưu trữ mã, đồng thời quét các nội dung để tìm các lỗ hổng bảo mật phần mềm và tình trạng tiếp cận mạng ngoài ý muốn.

Amazon Macie phát hiện dữ liệu nhạy cảm bằng cách sử dụng máy học và so khớp mẫu, cung cấp khả năng hiển thị các rủi ro về bảo mật dữ liệu và giúp tự động hóa việc bảo vệ trước những rủi ro đó.

AWS Security Incident Response giúp bạn chuẩn bị, ứng phó và phục hồi sau các sự kiện bảo mật. Dịch vụ Security Incident Response tự động hóa việc giám sát và điều tra, tăng tốc độ liên lạc và phối hợp, đồng thời cung cấp quyền tiếp cận trực tiếp 24/7 với Nhóm ứng phó với sự cố cho khách hàng AWS (CIRT).

Bắt đầu bảo vệ tổ chức của bạn chống lại APT trên AWS bằng cách tạo tài khoản miễn phí ngay hôm nay.