Ngày 14 tháng 6 năm 2023Tin tức về hacker Mối đe dọa Intel / An ninh mạng
Đối với phần tốt hơn của những năm 90 và đầu những năm đầu, sổ tay quản trị hệ thống cho biết, “Hãy lọc lưu lượng truy cập đến của bạn, không phải ai cũng tốt ở đó” (sau này được Gandalf đặt ra là “Bạn sẽ không vượt qua”). Vì vậy, các CIO bắt đầu tăng cường hàng rào mạng của họ bằng mọi thiết bị mà họ có thể có để bảo vệ khỏi lưu lượng truy cập vào (còn gọi là INGRESS).
Sau các chiến dịch lừa đảo hàng loạt đầu tiên vào đầu những năm 2010, ngày càng rõ ràng rằng ai đó phải đối phó với nhân viên và đặc biệt hơn là khả năng tuyệt vời của họ để nhấp vào mọi liên kết mà họ nhận được. Lọc lưu lượng truy cập ra bên ngoài (hay còn gọi là EGRESS) đã trở thành một nỗi ám ảnh. Bảo mật trình duyệt, proxy và các phần mềm chống vi-rút được tôn vinh khác đã trở thành thứ bắt buộc phải có mà mọi công ty tư vấn sẽ khuyên khách hàng của họ sử dụng càng sớm càng tốt.
Rủi ro là có thật và phản ứng đã được điều chỉnh khá phù hợp, nhưng nó cũng góp phần tạo nên lập trường “siêu chiến binh” nổi tiếng. Một mình tôi chống lại một đội quân? Vì vậy, tôi sẽ đào một chiến hào, chôn tài sản của mình vào bên trong, đằng sau hàng đống phần mềm và trở thành một siêu chiến binh để giữ vững lập trường của mình.
Nhưng “mặt đất” là một mục tiêu di động. SaaS, CNTT bóng tối, Đám mây công cộng, khối lượng công việc tạm thời và làm việc tại nhà đã phá vỡ những bức tường đó. Chu vi từng rất rõ ràng ngày càng trở nên mờ nhạt. Khái niệm “trong” và “ngoài” trở nên mờ nhạt. Siêu chiến binh không thể bảo vệ tất cả các khu vực cùng một lúc. Anh ta cũng đang phải đối mặt với một đội quân tội phạm mạng được đào tạo bài bản và được tài trợ rất nhiều. Siêu nhân không thể ở mọi nơi cùng một lúc nữa.
Và sau đó, vào cuối những năm 2010 và đầu những năm 2020, ransomware xuất hiện. Một cách cực kỳ thông minh để kiếm tiền từ khoản nợ kỹ thuật ở mức giá cao nhất có thể. Cùng một kỹ thuật hack cũ, nhờ sự gia tăng của tiền điện tử, giờ đã có giá trị bạch kim. Siêu chiến binh của chúng ta, đột nhiên, rất đơn độc và… khá vô dụng.
Egress lọc sau thỏa hiệp, trong đó Ingress lọc trước thỏa hiệp
Việc xử lý lưu lượng truy cập vào lúc đó ít hợp thời hơn, nó được coi là một thỏa thuận được thực hiện. Với một tường lửa và một số giám sát tốt, chúng ta nên bắt đầu. Nhưng việc làm tổn hại đến một doanh nghiệp hoặc tổ chức chính phủ có thể được thực hiện chủ yếu bằng cách sử dụng một trong ba chiến lược chính:
Thu hút người dùng và đặt cược vào bộ lọc Đầu ra yếu Sử dụng khai thác hàng loạt, như 0day, lỗ hổng logic, mật khẩu yếu, v.v. và đặt cược Bộ lọc đầu vào không thông minh lắm (những người đưa vào danh sách trắng quyền truy cập vào các cổng 53, 80, 443, 465 của họ , v.v.) Sử dụng các cuộc tấn công có mục tiêu, rất giống với các cuộc tấn công ở trên, nhưng chỉ nhằm vào một thực thể cụ thể, trên toàn bộ bề mặt của nó. Thay vì lừa đảo rộng rãi bằng súng gatling, hãy hy vọng 123456 RDP “được bảo vệ”. Ở đây một lần nữa, một vấn đề xử lý Ingress.
Theo báo cáo của IBM X-force, khoảng 47% các thỏa hiệp ban đầu có liên quan đến việc khai thác lỗ hổng trong khi lừa đảo chiếm 40%. Thêm 3% thông tin đăng nhập bị đánh cắp và 3% vũ lực, và các hành vi gây hấn Ingress của bạn có trọng số 53% về xác suất bị xâm phạm từ bên ngoài. (Tôi không tính 7% phương tiện di động bởi vì, thành thật mà nói, nếu người dùng của bạn đủ ngu ngốc để cắm một USB không xác định và chính sách của bạn cho phép điều đó, thì đó là một vấn đề khác mà tôi gọi là Thuyết Darwin kỹ thuật số.)
Sau khi người dùng bị nhiễm phần mềm độc hại, trò chơi sẽ tránh cho máy trạm của họ trở thành cơ sở hoạt động của tội phạm mạng. Bây giờ đây là lúc tính năng Lọc đầu ra bắt đầu hoạt động. Được rồi, đã quá muộn, bạn đã bị xâm phạm, nhưng hãy giảm thiểu hậu quả và ngăn không cho trạm 1/ tiếp tục bị khai thác trong các bức tường mà còn 2/ kết nối trở lại Bộ Chỉ huy và Điều khiển trung tâm của bọn tội phạm.
Giờ đây, việc bảo vệ lưu lượng xâm nhập là cần thiết bởi vì không chỉ nó chiếm nhiều thỏa hiệp ban đầu hơn mà còn bởi vì chu vi lớn hơn và không đồng nhất hơn bao giờ hết. “Chu vi” của công ty hiện nay thường bao gồm HQ LAN & DMZ, một số máy được lưu trữ trong trung tâm dữ liệu và cuối cùng là một số văn phòng có VPN, nhân viên làm việc từ xa, khối lượng công việc trên Đám mây, nhà cung cấp chuỗi cung ứng và công cụ SaaS. Giám sát tất cả là một kỳ công, đặc biệt là khi các nhà cung cấp SIEM muốn kiếm tiền từ mỗi nhật ký bạn lưu trữ. Chỉ nghĩ rằng Egress CTI hoặc công cụ sẽ bảo vệ bạn là không thực tế.
Từ bị động đến chủ động
Ngày nay, việc xử lý lưu lượng truy cập Ingress ít hợp thời hơn vì nó được cho là đã được xử lý vào những năm 90. Nhưng nếu bạn thu thập thông tin của mình về các cuộc tấn công xâm nhập và sắp xếp chúng đủ để tận dụng dữ liệu CTI này vào các thiết bị của bạn, thì đó là một chiến thắng ròng cho tình hình bảo mật tổng thể của bạn. Và đoán xem ai đang thực hiện bảo mật nguồn cộng đồng dựa trên công cụ DevSecops nguồn mở?
Đúng rồi! Đám đôngSec! Kiểm tra cách bạn có thể bảo vệ lưu lượng truy cập Ingress của mình tại đây.
Lưu ý: Bài viết này được viết bởi Philippe Humeau, Giám đốc điều hành của CrowdSec, với chuyên môn và sự cẩn thận.
