Trong thời đại số hóa và nhu cầu kinh doanh luôn thay đổi, môi trường sản xuất đã trở thành một cơ thể sống. Nhiều chức năng và nhóm trong một tổ chức cuối cùng có thể tác động đến cách kẻ tấn công nhìn thấy tài sản của tổ chức, hay nói cách khác, bề mặt tấn công bên ngoài. Điều này làm tăng đáng kể nhu cầu xác định chiến lược quản lý phơi nhiễm.
Để đáp ứng nhu cầu kinh doanh đồng thời đánh giá và quản lý rủi ro an ninh mạng một cách hiệu quả, có hai yếu tố chính mà các tổ chức nên xem xét liên quan đến bề mặt tấn công từ bên ngoài của họ: quy mô và mức độ hấp dẫn của nó đối với những kẻ tấn công. Mặc dù các tổ chức thường tập trung vào việc tính toán quy mô bề mặt tấn công của họ, nhưng sức hấp dẫn của nó thường không được quan tâm hàng đầu, mặc dù nó có thể có tác động đáng kể đến rủi ro.
Kích thước bề mặt tấn công
Có bao nhiêu tài sản có thể truy cập được từ thế giới bên ngoài?
Có một sự cân bằng tinh tế giữa nhu cầu kinh doanh và bảo mật. Mặc dù có những lý do chính đáng để tiết lộ nhiều nội dung hơn trên internet (ví dụ: đối với trải nghiệm người dùng, tích hợp của bên thứ ba và yêu cầu kiến trúc phần mềm), giá là một bề mặt tấn công gia tăng. Kết nối gia tăng cuối cùng có nghĩa là nhiều điểm vi phạm tiềm năng hơn cho kẻ thù.
Bề mặt tấn công càng lớn và càng có nhiều tài sản sẵn có cho “sân chơi” của đối thủ, thì tổ chức càng cần giảm thiểu rủi ro bị lộ. Điều này đòi hỏi các chính sách và quy trình được xây dựng cẩn thận để giám sát bề mặt tấn công và liên tục bảo vệ các tài sản bị lộ. Tất nhiên, có những biện pháp cơ bản, chẳng hạn như thường xuyên quét các lỗ hổng phần mềm và vá lỗi. Tuy nhiên, cũng có các vấn đề về cấu hình, CNTT ẩn, thông tin xác thực bị rò rỉ và các khía cạnh quản lý quyền truy cập cần được xem xét.
Một lưu ý quan trọng: tần suất kiểm tra và xác nhận ít nhất phải phù hợp với tốc độ thay đổi bề mặt tấn công của tổ chức. Tổ chức càng thực hiện nhiều thay đổi đối với môi trường của mình thì càng cần phải đánh giá bề mặt tấn công. Tuy nhiên, các bài kiểm tra định kỳ vẫn cần thiết ngay cả trong thời kỳ thay đổi tối thiểu.
Sức hấp dẫn của bề mặt tấn công
Mặc dù quy mô của bề mặt tấn công từ bên ngoài là một chỉ số dễ hiểu về rủi ro an ninh mạng, nhưng một khía cạnh khác cũng quan trọng không kém – mặc dù khó nắm bắt hơn đối với các tổ chức ngày nay – là mức độ hấp dẫn của bề mặt tấn công đối với những kẻ tấn công tiềm năng.
Khi kẻ thù tìm kiếm nạn nhân tiềm năng, họ tìm kiếm quả treo thấp nhất. Cho dù đó là cách dễ dàng nhất để thỏa hiệp một tổ chức được nhắm mục tiêu cụ thể hay các mục tiêu dễ tấn công nhất để đạt được mục tiêu của họ, họ sẽ bị thu hút bởi các chỉ số về điểm yếu bảo mật tiềm ẩn trong các tài sản hướng ra bên ngoài và sẽ ưu tiên các hoạt động của họ theo đó.
Khi chúng tôi nói về tài sản “hấp dẫn”, chúng tôi không nhất thiết có nghĩa là các mục tiêu hấp dẫn, chẳng hạn như dữ liệu cá nhân, có thể được bán trên thị trường chợ đen. Điểm hấp dẫn là các thuộc tính của một tài sản có khả năng bị lạm dụng bởi các đối thủ. Sau đó, chúng được đánh dấu là điểm khởi đầu tiềm năng để truyền bá một cuộc tấn công.
Tất cả tài sản của một tổ chức có thể được vá vào phần mềm mới nhất và tốt nhất. Tuy nhiên, những tài sản này vẫn có thể có những đặc tính hấp dẫn. Chẳng hạn, một số lượng lớn các cổng mở sẽ làm tăng số lượng giao thức có thể được tận dụng để truyền bá một cuộc tấn công. Điều quan trọng cần nhấn mạnh là các cuộc tấn công không nhất thiết phải gắn liền với một lỗ hổng nhưng có thể là sự lạm dụng một dịch vụ nổi tiếng. Có thể tìm thấy một ví dụ điển hình về điều đó trong bài đăng trên blog này từ Pentera Labs mô tả cách lạm dụng tiện ích PsExec. Ngoài ra, một số cổng cụ thể có thể hấp dẫn hơn, chẳng hạn như cổng 22, cho phép truy cập ssh từ thế giới bên ngoài.
Một ví dụ khác là một trang web cho phép tải lên tệp. Đối với một số tổ chức, đây là một dịch vụ quan trọng hỗ trợ hoạt động kinh doanh, nhưng đối với những kẻ tấn công, đây là một cách thuận tiện để xâm nhập. Các tổ chức nhận thức rõ về rủi ro và có thể giải quyết nó theo nhiều cách khác nhau, nhưng điều đó không làm thay đổi sức hấp dẫn của tài sản này và tiềm năng rủi ro tương ứng của nó.
Thách thức chính đối với việc xử lý các điểm tham quan là chúng là những mục tiêu di động. Các điểm hấp dẫn thay đổi cả về số lượng trường hợp và mức độ nghiêm trọng của chúng trên mỗi lần thay đổi cấu hình.
Để đánh giá một cách hiệu quả mức độ nghiêm trọng của sự hấp dẫn, điều cần thiết là phải hiểu kẻ thù dễ dàng phát hiện ra nó như thế nào trong giai đoạn liệt kê và quan trọng hơn là việc khai thác nó dễ dàng như thế nào. Chẳng hạn, việc có kết nối VPN rất dễ phát hiện nhưng khó khai thác và do đó, nó có thể được ưu tiên thấp hơn trong kế hoạch quản lý rủi ro của tổ chức. Mặt khác, việc có một biểu mẫu liên hệ trực tuyến rất dễ bị phát hiện và có mức độ tiếp xúc cao đối với việc tiêm SQL và khai thác các lỗ hổng như Log4Shell.
Việc giảm số lượng các điểm thu hút sẽ làm giảm rủi ro của tổ chức, nhưng điều đó không phải lúc nào cũng có thể thực hiện được. Do đó, hiểu được rủi ro cơ bản và xác định kế hoạch giải quyết nó phải là ưu tiên số một của tổ chức để kiểm soát các rủi ro trong bề mặt tấn công từ bên ngoài trong khi vẫn đáp ứng nhu cầu kinh doanh.
Lưu ý: Bài viết này được viết và đóng góp bởi Giám đốc tiếp thị sản phẩm tại Pentera, công ty Xác thực bảo mật tự động. Để đọc thêm, hãy truy cập pentera.io.
