Bài học các doanh nghiệp cần rút ra từ vụ tấn công SolarWinds

Đến nay, hầu hết mọi người đều quen thuộc với cái tên SolarWinds nổi tiếng, một chiến dịch xâm nhập toàn cầu mà một lãnh đạo tại Microsoft gọi là: “một trong những sự kiện lan rộng và phức tạp nhất trong lịch sử an ninh mạng”.

Đại dịch toàn cầu khiến các doanh nghiệp (DN) phải thích ứng nhanh với mô hình làm việc từ xa. Động lực mới này buộc những người lao động phải sử dụng máy tính cá nhân của mình và truy nhập các mạng của công ty ở mọi nơi, trừ văn phòng. Điều này khiến cho các chuyên gia CNTT và chuyên gia bảo mật khá đau đầu vì các xu hướng đe dọa bảo mật mới.

Giữ an toàn cho các hệ thống nội bộ đồng thời đảm bảo thông tin cá nhân và dữ liệu nhạy cảm không bị vi phạm đã trở thành vấn đề quan trọng mà các DN vừa và nhỏ cũng như các DN lớn đang tìm cách giải quyết. Bối cảnh kinh doanh hiện tại đã tạo ra một môi trường hoàn hảo cho tội phạm mạng phát triển mạnh với các cuộc tấn công ngày càng tinh vi hơn.

Khi xu hướng làm việc tại nhà còn tiếp tục thì cuộc tấn công SolarWinds là một bài học lớn cho các DN để xây dựng các mạng an toàn cũng như những môi trường làm việc thuận lợi cho giao tiếp và cộng tác.

Quá trình khai thác lỗ hổng

Để nắm được quy trình khai thác lỗ hổng, chúng ta cùng nghe câu chuyện của George Waller, CEO của StrikeForce Technologies.

Tháng 9/2020, hai khách hàng của công ty đã báo cáo một vấn đề bất thường. Nhân viên công ty bắt đầu nhận được các yêu cầu xác thực trên điện thoại để truy nhập vào VPN của công ty. Họ đã báo cáo điều này tới các bộ phận CNTT của mình, và cảnh báo với chúng tôi những vấn đề cụ thể. Làm việc với các bộ phận CNTT để tìm hiểu những gì đang xảy ra, ban đầu chúng tôi nghĩ đó là một lỗi phần mềm. Tuy nhiên, sau khi phân tích nhật ký của họ, chúng tôi xác định được các nỗ lực truy nhập thực sự đến từ các địa chỉ IP của Nga.

Dường như các tin tặc đã nắm được tên người dùng cùng các mật khẩu và đang cố gắng đăng nhập vào mạng của công ty. Điều rất lạ trong tình huống này là các khách hàng của chúng tôi có các hệ thống phát hiện xâm nhập hiện đại mà vẫn không bắt được cuộc tấn công.

Cảm thấy bối rối trước tình huống này, chúng tôi đã hỏi một số đồng nghiệp trong cộng đồng bảo mật và họ nói rằng một số công ty đã trải qua các cuộc tấn công tương tự. Vào thời điểm đó, chúng tôi không nghĩ gì về nó và sau đó vào tháng 12/2020, cuộc tấn công chuỗi chung ứng SolarWinds đã xảy ra.

FireEye đã trình bày chi tiết về cuộc tấn công SolarWinds trên một blog và quy kết cho một nhóm tấn công của Nga. Ngay sau đó, Volexity đã kết nối cuộc tấn công tới nhiều sự cố vào cuối 2019 và năm 2020, cũng do nhóm tấn công này gây ra. Những gì thú vị là Volexity tuyên bố rằng các tin tặc đã vượt qua xác thực đa yếu tố (MFA) từ Duo Volexity (hiện là một phần của Cisco) bằng cách lấy khóa bí mật tích hợp trong Duo và do đó có thể tạo ra một cookie vượt qua MFA. Thật đáng tiếc là cả hệ thống của Duo và vô số hệ thống bảo mật khác đã không phát hiện và ngăn chặn điều này.

Những cuộc tấn công này có sự giống nhau một cách kỳ lạ với những cuộc tấn công mà các khách hàng của chúng tôi đã phải trải qua vào tháng 9 theo vài cách khác nhau. Trong cả hai tình huống, các cuộc tấn công được thực hiện đều có được thực hiện bởi nhóm tấn công tinh vi của Nga (có thể là cùng một nhóm) với những tên người dùng và mật khẩu chính xác. Hơn nữa, cả hai cuộc tấn công đều có hệ thống MFA để cung cấp bảo mật bổ sung

Các phương pháp tốt nhất để bảo vệ và chống lại vi phạm trong tương lai

Sau cuộc tấn công lịch sử này, Mỹ đã thực hiện các hành động tăng cường các biện pháp an ninh mạng, yêu cầu sử dụng xác thực đa yếu tố và mã hóa dữ liệu cho các cơ quan liên bang, đồng thời tiết lộ toàn diện cho nhà cung cấp về bất kỳ vấn đề bảo mật, lỗ hổng hoặc vi phạm nào đối với người dùng của họ.

Các DN cũng nên rút ra bài học và áp dụng một số giải pháp sau:

Lập kế hoạch xử lý sự cố: Trong khi tâm điểm chú ý là các tin tặc xâm nhập bằng cách sử dụng chữ ký số dựa trên chứng chỉ mà chúng đánh cắp được để xâm phạm quá trình cập nhật thì điều rút ra từ SolarWinds là các tin tặc sẽ luôn luôn tìm cách để xâm nhập. 

Do vậy các DN nên lập kế hoạch hiệu quả để đảm bảo có thể xử lý các sự cố bảo mật phát sinh với các chính sách rõ ràng, giúp giảm thiểu các lỗ hổng bảo mật một nhanh chóng, giảm thiểu sự gián đoạn cũng như sao lưu với tốc độ nhanh nhất có thể.

Tich hợp bảo mật ngay từ đầu: Một khi tin tặc đã có quyền truy cập vào bên trong mạng để cấy phần mềm độc hại vào trước khi thực thi và phát tán, trong trường hợp này, DN nên tập trung vào việc cố gắng ngăn chặn việc gây thiệt hại bằng tích hợp sẵn ngay từ đầu các kiểm soát bảo mật và phải luôn giám sát chặt chẽ việc sử dụng các khóa ký phần mềm. Để thực hiện điều này thì việc tham khảo ý kiến của các chuyên gia bảo mật trong giai đoạn thiết kế ban đầu là vô cùng cần thiết.

Luôn cảnh giác trước những dấu hiệu bất thường: FireEye cũng giống như nhiều công ty công nghệ khác, sử dụng xác thực hai yếu tố, nhân viên cần lấy mật mã trên điện thoại của họ để kết nối từ xa với VPN của công ty. Khi bị tấn công, nhân viên an ninh của FireEye thấy rằng một nhân viên FireEye đã đăng ký hai chiếc điện thoại với họ và đã dành thời gian để gọi, hỏi để xác minh điều này thì thấy hóa ra là không phải. Sau một cuộc điều tra thì phát hiện ra một mã bị nhiễm mã độc. Điều này cho thấy tầm quan trọng của mọi người trong việc cảnh giác, điều tra và theo dõi những sai lệch nhỏ.

Tạo ra văn hóa an toàn: Cách tốt nhất để xây dựng tinh thần cảnh giác cho tất cả mọi người là thường xuyên tổ chức chương trình đào tạo nhận thức về an toàn để nâng cao nhận thức cho mọi người trong công ty. Khi mọi người hiểu những gì cần tìm và cách báo cáo các tin nhắn hoặc hoạt động đáng ngờ sẽ tạo cơ hội tốt để xác định những vi phạm và các sự cố khác một cách nhanh chóng.

Ngoài ra, trong tương lai, các DN lớn và nhỏ nên suy nghĩ theo cùng một hướng và tìm cách cải tiến cơ sở hạ tầng bảo mật của mình, đảm bảo các mạng được an toàn và không thể xâm nhập. Các DN  phải tìm cách triển khai những công nghệ cung cấp khả năng bảo vệ đa lớp giúp chủ động mã hóa các lần gõ phím và ngăn chặn ảnh chụp màn hình hoặc ghi âm không mong muốn.

Cuối cùng, thường xuyên cập nhật phần mềm cũng rất quan trọng, vì tội phạm mạng sẽ luôn tìm kiếm những cách mới để khai thác lỗi và lỗ hổng trên các hệ thống đã lỗi thời.

Trong một thế giới mạng ngày càng không an toàn, nơi tin tặc liên tục tìm kiếm những điểm yếu bảo mật của công ty, các DN phải nhanh chóng và sử dụng mọi phương tiện cần thiết để bảo vệ bản thân và nhân viên của mình khỏi những vi phạm toàn cầu không thể tránh khỏi sau này./.