Cho đến vài năm trước, chỉ có một số ít chuyên gia quản lý danh tính và quyền truy cập (IAM) biết đến tài khoản dịch vụ. Tuy nhiên, trong những năm gần đây, các tài khoản Non-Human Identities (NHI) này đã trở thành mục tiêu tấn công phổ biến và bị xâm nhập. Các báo cáo đánh giá cho thấy, hơn 70% các cuộc tấn công ransomware liên quan đến sự xâm phạm tài khoản dịch vụ, đóng vai trò quan trọng trong việc di chuyển ngang trên hệ thống. Mặc dù vậy, có một sự chênh lệch đáng lo ngại giữa mức độ phơi nhiễm và tác động tiềm ẩn của việc xâm phạm tài khoản dịch vụ, và các biện pháp bảo mật sẵn có để giảm thiểu rủi ro này.

Bài viết này khám phá lý do tại sao tài khoản dịch vụ lại trở thành mục tiêu hấp dẫn, tại sao chúng lại vượt ra ngoài phạm vi kiểm soát của hầu hết các biện pháp bảo mật, và cách tiếp cận mới về bảo mật danh tính hợp nhất có thể ngăn chặn việc tài khoản dịch vụ bị xâm phạm và lạm dụng.

Trong môi trường Active Directory (AD), tài khoản dịch vụ là tài khoản người dùng không liên quan đến con người mà được dùng để giao tiếp giữa các máy móc. Chúng được tạo ra bởi quản trị viên để tự động hóa các tác vụ lặp lại hoặc khi cài đặt phần mềm tại chỗ. Ví dụ, nếu bạn có một hệ thống EDR, tài khoản dịch vụ sẽ chịu trách nhiệm tải các bản cập nhật về cho các máy chủ và điểm cuối.

Các tài khoản dịch vụ thường là mục tiêu của kẻ tấn công vì chúng có quyền truy cập cao vào nhiều máy khác nhau, nhưng lại ít được chú ý và thường không được áp dụng các biện pháp bảo mật như xác thực hai yếu tố (MFA) hay quản lý tài khoản đặc quyền (PAM). Điều này khiến chúng trở nên dễ bị lợi dụng để thực hiện các cuộc tấn công như ransomware.

Nền tảng bảo mật danh tính của Silverfort cung cấp một giải pháp mới để bảo vệ tài khoản dịch vụ bằng cách phát hiện, phân tích hành vi và tạo các biện pháp phòng ngừa tự động dựa trên hành vi chuẩn của tài khoản. Qua đó, giúp ngăn chặn kẻ tấn công lợi dụng các tài khoản dịch vụ để thực hiện các hành vi độc hại.

Ngày 30 tháng 8 năm 2024

FortiGuard Labs thu thập dữ liệu về các biến thể ransomware đáng quan tâm đang thu hút sự chú ý trong các tập dữ liệu của chúng tôi và cộng đồng OSINT. Báo cáo Ransomware Roundup nhằm mục đích cung cấp cho độc giả những hiểu biết ngắn gọn về bối cảnh ransomware đang phát triển và các giải pháp Fortinet bảo vệ chống lại các biến thể đó.

Phiên bản này của Ransomware Roundup đề cập đến ransomware Underground.

Nền tảng bị ảnh hưởng:  Microsoft Windows
Các bên bị ảnh hưởng:  Microsoft Windows
Tác động:  Mã hóa tệp của nạn nhân và yêu cầu tiền chuộc để giải mã tệp
Mức độ nghiêm trọng:  Cao

Tổng quan về Ransomware ngầm

Mẫu đầu tiên của ransomware Underground được phát hiện lần đầu tiên vào đầu tháng 7 năm 2023, trên một trang web quét tệp công khai. Điều này gần như trùng khớp với thời điểm nạn nhân đầu tiên được đăng trên trang web rò rỉ dữ liệu của họ vào ngày 13 tháng 7 năm 2023.

Giống như hầu hết các phần mềm tống tiền khác, phần mềm tống tiền này mã hóa các tập tin trên máy tính Windows của nạn nhân và yêu cầu tiền chuộc để giải mã thông qua các ghi chú đòi tiền chuộc.

Vectơ lây nhiễm

Các báo cáo trực tuyến cho biết nhóm RomCom có ​​trụ sở tại Nga, còn được gọi là Storm-0978, đang triển khai ransomware Underground. Nhóm đe dọa này được biết là khai thác CVE-2023-36884 (Lỗ hổng RCE HTML của Microsoft Office và Windows), có thể là vectơ lây nhiễm cho ransomware.

FortiGuard Labs đã công bố Cảnh báo bùng phát về CVE-2023-36884 vào ngày 13 tháng 7 năm 2024.

• Cảnh báo bùng phát: Lỗ hổng RCE HTML của Microsoft Office và Windows

Nhóm này cũng có thể sử dụng các phương thức lây nhiễm phổ biến khác như email và mua quyền truy cập từ Nhà môi giới truy cập ban đầu (IAB).

Phương pháp tấn công

Sau khi thực thi, ransomware Underground sẽ xóa các bản sao ẩn bằng lệnh sau:

• vssadmin.exe xóa bóng tối /all /quiet

Phần mềm tống tiền đặt thời gian tối đa mà phiên RemoteDesktop/TerminalServer có thể duy trì hoạt động trên máy chủ là 14 ngày (14 ngày sau khi người dùng ngắt kết nối) bằng lệnh sau:

• reg.exe thêm HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services / v MaxDisconnectionTime / t REG_DWORD / d 1209600000 / f

Sau đó dừng dịch vụ MS SQL Server bằng lệnh sau:

• net.exe dừng MSSQLSERVER /f /m

Sau đó, phần mềm tống tiền sẽ tạo và thả một ghi chú đòi tiền chuộc có tên “!!readme!!!.txt”:

Hình 1: Ghi chú về tiền chuộc ransomware Underground

Mặc dù ransomware mã hóa các tập tin nhưng nó không thay đổi hoặc thêm phần mở rộng tập tin.

Hình 2: Một tập tin văn bản trước khi mã hóa tập tin

Hình 3: Một tập tin văn bản sau khi mã hóa tập tin

Nó cũng tránh mã hóa các tập tin có phần mở rộng sau:

Phần mềm tống tiền này tạo và thực thi temp.cmd, thực hiện các hành động sau:

• Xóa tệp ransomware gốc
• Lấy danh sách các bản ghi Sự kiện Windows và xóa chúng

Trang web về nạn nhân và rò rỉ dữ liệu

Ransomware Underground có một trang web rò rỉ dữ liệu đăng thông tin nạn nhân, bao gồm dữ liệu bị đánh cắp từ nạn nhân. Hiện tại, trang web rò rỉ dữ liệu liệt kê 16 nạn nhân, với nạn nhân gần đây nhất được đăng vào ngày 3 tháng 7 năm 2024. Dưới đây là phân tích chi tiết về các nạn nhân và ngành dọc của họ:

Hình 4: Trang web rò rỉ dữ liệu của ransomware Underground

Trang web rò rỉ dữ liệu cũng bao gồm hộp thả xuống với danh sách các ngành mà nhóm ransomware đang nhắm tới hoặc được phép nhắm tới.

Hình 5: Một trong những nạn nhân trên trang web rò rỉ dữ liệu

Nhóm ransomware Underground cũng có kênh Telegram được tạo vào ngày 21 tháng 3 năm 2024.

Hình 6: Kênh Telegram ransomware Underground

Theo kênh Telegram, nhóm ransomware đã công khai thông tin bị đánh cắp của nạn nhân trên Mega, một nhà cung cấp dịch vụ lưu trữ đám mây đang bị lạm dụng.

Hình 7: Kênh Telegram chứa liên kết đến thông tin bị đánh cắp trên Mega

Bảo vệ Fortinet

Phần mềm tống tiền Underground được mô tả trong báo cáo này được FortiGuard Antivirus phát hiện và chặn như sau:

• W64/IndustrySpy.C!tr.ransom
• W64/Filecoder_IndustrialSpy.C!tr.ransom
• Phần mềm quảng cáo/Filecoder_IndustrialSpy
• Phần mềm rủi ro/Tiền chuộc

FortiGate, FortiMail, FortiClient và FortiEDR hỗ trợ dịch vụ FortiGuard AntiVirus . Công cụ FortiGuard AntiVirus là một phần của mỗi giải pháp đó. Do đó, khách hàng có các sản phẩm này với các biện pháp bảo vệ cập nhật sẽ được bảo vệ.

Vui lòng đọc cảnh báo về dịch bệnh để bảo vệ bản thân khỏi tác nhân lây nhiễm tiềm ẩn (CVE-2023-36884) bị ransomware Underground lợi dụng:

• Cảnh báo bùng phát: Lỗ hổng RCE HTML của Microsoft Office và Windows

IOCs

IOC tệp ransomware ngầm

Hướng dẫn FortiGuard Labs

Do dễ bị gián đoạn, gây thiệt hại cho hoạt động hàng ngày, tác động tiềm ẩn đến danh tiếng của tổ chức và việc phá hủy hoặc tiết lộ thông tin nhận dạng cá nhân (PII) không mong muốn, v.v., nên việc cập nhật tất cả các chữ ký AV và IPS là rất quan trọng.

Vì phần lớn phần mềm tống tiền được phát tán qua lừa đảo, các tổ chức nên cân nhắc sử dụng các giải pháp của Fortinet được thiết kế để đào tạo người dùng hiểu và phát hiện các mối đe dọa lừa đảo:

Dịch  vụ mô phỏng lừa đảo FortiPhish  sử dụng các mô phỏng thực tế để giúp các tổ chức kiểm tra nhận thức và mức độ cảnh giác của người dùng đối với các mối đe dọa lừa đảo và đào tạo cũng như củng cố các biện pháp thực hành phù hợp khi người dùng gặp phải các cuộc tấn công lừa đảo có chủ đích.

Khóa đào tạo Fortinet Certified Fundamentals (FCF) MIỄN PHÍ   về An ninh mạng của chúng tôi. Khóa đào tạo được thiết kế để giúp người dùng cuối tìm hiểu về bối cảnh đe dọa hiện nay và sẽ giới thiệu các khái niệm và công nghệ an ninh mạng cơ bản.

Các tổ chức sẽ cần thực hiện những thay đổi cơ bản về tần suất, vị trí và bảo mật cho các bản sao lưu dữ liệu của mình để xử lý hiệu quả rủi ro đang phát triển và mở rộng nhanh chóng của phần mềm tống tiền. Khi kết hợp với sự xâm phạm chuỗi cung ứng kỹ thuật số và lực lượng lao động làm việc từ xa vào mạng, có nguy cơ thực sự rằng các cuộc tấn công có thể đến từ bất kỳ đâu. Các giải pháp bảo mật dựa trên đám mây, chẳng hạn như  SASE , để bảo vệ các thiết bị ngoài mạng; bảo mật điểm cuối tiên tiến, chẳng hạn như  các giải pháp EDR  (phát hiện và phản hồi điểm cuối) có thể phá vỡ phần mềm độc hại giữa cuộc tấn công; và  Zero Trust Access  và các chiến lược phân đoạn mạng hạn chế quyền truy cập vào các ứng dụng và tài nguyên dựa trên chính sách và bối cảnh, tất cả đều nên được nghiên cứu để giảm thiểu rủi ro và giảm tác động của một cuộc tấn công phần mềm tống tiền thành công.

Là một phần của Security Fabric tích hợp đầy đủ hàng đầu trong ngành  , mang lại sự hiệp lực và tự động hóa trong toàn bộ hệ sinh thái bảo mật của bạn, Fortinet cũng cung cấp danh mục công nghệ và dịch vụ theo yêu cầu của con người. Các dịch vụ này được hỗ trợ bởi đội ngũ chuyên gia an ninh mạng dày dạn kinh nghiệm của FortiGuard toàn cầu.

FortiRecon  là Dịch vụ Phòng ngừa Rủi ro Kỹ thuật số dựa trên SaaS được các chuyên gia an ninh mạng hỗ trợ để cung cấp thông tin tình báo về mối đe dọa vô song về hoạt động mới nhất của tác nhân đe dọa trên dark web, cung cấp hiểu biết sâu sắc về động cơ và TTP của tác nhân đe dọa. Dịch vụ có thể phát hiện bằng chứng về các cuộc tấn công đang diễn ra, cho phép khách hàng phản ứng nhanh chóng và ngăn chặn các mối đe dọa đang hoạt động.

Tốt nhất không trả tiền chuộc

Các tổ chức như CISA, NCSC,  FBI và HHS cảnh báo nạn nhân ransomware không nên trả tiền chuộc một phần vì khoản thanh toán không đảm bảo rằng các tệp sẽ được khôi phục. Theo  khuyến cáo của Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Tài chính Hoa Kỳ , các khoản thanh toán tiền chuộc cũng có thể khuyến khích kẻ thù nhắm mục tiêu vào các tổ chức khác, khuyến khích các tác nhân tội phạm khác phân phối ransomware và/hoặc tài trợ cho các hoạt động bất hợp pháp có khả năng là bất hợp pháp. Đối với các tổ chức và cá nhân bị ảnh hưởng bởi ransomware, FBI có trang Khiếu nại về Ransomware,  nơi  nạn nhân có thể gửi các mẫu hoạt động ransomware thông qua Trung tâm Khiếu nại về Tội phạm Internet (IC3) của họ.

Fortinet có thể giúp gì

Dịch vụ ứng phó sự cố khẩn cấp của FortiGuard Labs   cung cấp phản hồi nhanh chóng và hiệu quả khi phát hiện sự cố.  Dịch vụ đăng ký sẵn sàng ứng phó sự cố của chúng tôi  cung cấp các công cụ và hướng dẫn để giúp bạn chuẩn bị tốt hơn cho sự cố mạng thông qua các đánh giá về mức độ sẵn sàng, phát triển sổ tay hướng dẫn ứng phó sự cố an ninh mạng và thử nghiệm sổ tay hướng dẫn ứng phó sự cố an ninh mạng (bài tập thực hành).

Ngoài ra,  FortiRecon Digital Risk Protection (DRP)  là dịch vụ dựa trên SaaS cung cấp cái nhìn về những gì kẻ thù đang nhìn thấy, làm và lập kế hoạch để giúp bạn chống lại các cuộc tấn công ở giai đoạn trinh sát và giảm đáng kể rủi ro, thời gian và chi phí giảm thiểu mối đe dọa ở giai đoạn sau.

Phần mềm ransomware quen thuộc phát triển nhu cầu sử dụng mật khẩu cho các trang web của bên thứ ba.

Viết bởi Lee Kirkpatrick, Paul Jacobs, Harshal Gosalia, Robert Weiland

August 22, 2024

Trong một cuộc điều tra gần đây về một vụ tấn công bằng phần mềm tống tiền Qilin, nhóm Sophos X-Ops đã phát hiện hoạt động của kẻ tấn công dẫn đến việc đánh cắp hàng loạt thông tin đăng nhập được lưu trữ trong trình duyệt Google Chrome trên một số thiết bị đầu cuối của mạng – một kỹ thuật thu thập thông tin đăng nhập có thể gây ra hậu quả vượt xa tổ chức nạn nhân ban đầu. Đây là một chiến thuật không thường thấy, và có thể là một yếu tố nhân rộng thêm sự hỗn loạn vốn đã có sẵn trong các tình huống bị tấn công bằng phần mềm tống tiền.

Qilin là cái gì?

Nhóm phần mềm tống tiền Qilin đã hoạt động được hơn hai năm. Họ xuất hiện trên tin tức vào tháng 6 năm 2024 do S, một nhà cung cấp dịch vụ chính phủ cho nhiều cơ sở y tế và bệnh viện ở Vương quốc Anh.

Trước hoạt động được mô tả trong bài viết này, các cuộc tấn công của Qilin thường liên quan đến “tống tiền kép” – tức là đánh cắp dữ liệu của nạn nhân, mã hóa hệ thống của họ, và sau đó đe dọa tiết lộ hoặc bán dữ liệu bị đánh cắp nếu nạn nhân không trả tiền để lấy khóa giải mã. Đây là một chiến thuật đã được thảo luận trong nghiên cứu “Turning the Screws” gần đây.

Nhóm Sophos IR quan sát thấy hoạt động được mô tả trong bài viết này vào tháng 7 năm 2024. Để cung cấp bối cảnh, hoạt động này được phát hiện trên một bộ điều khiển tên miền (domain controller) trong miền Active Directory của mục tiêu. Các bộ điều khiển tên miền khác trong miền AD đó cũng bị nhiễm, nhưng bị ảnh hưởng khác nhau bởi Qilin.

Diễn tập mở màn

Kẻ tấn công đã xâm nhập ban đầu vào môi trường thông qua thông tin đăng nhập bị xâm phạm. Đáng tiếc là phương pháp xâm nhập ban đầu này không phải là mới đối với Qilin (hay các nhóm phần mềm tống tiền khác). Cuộc điều tra của chúng tôi cho thấy cổng VPN thiếu bảo vệ xác thực đa yếu tố (MFA).

Thời gian ẩn náu của kẻ tấn công giữa lúc xâm nhập ban đầu vào mạng và các hành động tiếp theo là 18 ngày, điều này có thể hoặc không cho thấy một Nhà môi giới Truy cập Ban đầu (IAB) đã thực hiện cuộc xâm nhập thực sự. Dù sao đi nữa, 18 ngày sau khi xâm nhập ban đầu xảy ra, hoạt động của kẻ tấn công trên hệ thống tăng lên, với các dấu vết cho thấy sự di chuyển ngang đến một bộ điều khiển tên miền sử dụng thông tin đăng nhập bị xâm phạm.

Khi kẻ tấn công đã đến được bộ điều khiển tên miền đó, họ chỉnh sửa chính sách tên miền mặc định để đưa vào một Đối tượng Chính sách Nhóm (GPO) dựa trên đăng nhập chứa hai mục. Mục đầu tiên, một script PowerShell có tên IPScanner.ps1, được viết vào một thư mục tạm thời trong chia sẻ SYSVOL (SYStem VOLume) (thư mục NTFS được chia sẻ nằm trên mỗi bộ điều khiển tên miền trong một miền Active Directory) trên bộ điều khiển tên miền cụ thể liên quan. Nó chứa một script 19 dòng cố gắng thu thập dữ liệu thông tin đăng nhập được lưu trữ trong trình duyệt Chrome.

Mục thứ hai, một script batch có tên logon.bat, chứa các lệnh để thực thi script đầu tiên. Sự kết hợp này dẫn đến việc thu thập thông tin đăng nhập được lưu trong trình duyệt Chrome trên các máy tính được kết nối với mạng. Vì hai script này nằm trong một GPO đăng nhập, chúng sẽ được thực thi trên mỗi máy khách khi nó đăng nhập.

Trên các Endpoint.

Bất cứ khi nào đăng nhập xảy ra trên một điểm cuối, logon.bat sẽ khởi chạy tập lệnh IPScanner.ps1, tập lệnh này lần lượt tạo ra hai tệp – một tệp cơ sở dữ liệu SQLite có tên LD và một tệp văn bản có tên temp.log, như trong Hình 1.

Hình 1: Chúng tôi gọi thiết bị demo này là Hemlock vì nó độc hại: Hai tệp được tạo bởi tập lệnh khởi động trên máy bị nhiễm

Các tệp này được ghi lại vào thư mục mới được tạo trên phần chia sẻ SYSVOL của miền và được đặt tên theo tên máy chủ của (các) thiết bị mà chúng được thực thi trên đó (trong ví dụ của chúng tôi là Hemlock

Tệp cơ sở dữ liệu LD chứa cấu trúc như trong Hình 2.

Hình 2: Bên trong LD, tệp cơ sở dữ liệu SQLite được thả vào SYSVOL

Thể hiện sự tự tin rằng họ sẽ không bị bắt hoặc mất quyền truy cập vào mạng, kẻ tấn công đã để GPO này hoạt động trên mạng trong hơn ba ngày. Điều này tạo cơ hội đầy đủ cho người dùng đăng nhập vào thiết bị của họ và, mà họ không hề biết, kích hoạt script thu thập thông tin đăng nhập trên hệ thống của họ. Một lần nữa, vì tất cả điều này được thực hiện bằng GPO đăng nhập, mỗi người dùng sẽ trải qua việc thu thập thông tin đăng nhập này mỗi khi họ đăng nhập.

Để gây khó khăn hơn trong việc đánh giá mức độ xâm phạm, sau khi các tệp chứa thông tin đăng nhập đã thu thập bị đánh cắp và chuyển ra ngoài, kẻ tấn công đã xóa tất cả các tệp và xóa sạch nhật ký sự kiện cho cả bộ điều khiển tên miền và các máy bị nhiễm. Sau khi xóa bằng chứng, họ tiến hành mã hóa các tệp và thả thông báo đòi tiền chuộc, như được hiển thị trong Hình 3. Phần mềm tống tiền này để lại một bản sao của thông báo trong mỗi thư mục trên thiết bị mà nó chạy.

Hình 3: Thông báo đòi tiền chuộc Qilin

Nhóm Qilin lại sử dụng GPO làm cơ chế tác động đến mạng bằng cách yêu cầu nó tạo một tác vụ theo lịch trình để chạy một tệp bó có tên run.bat, tệp này đã tải xuống và thực thi phần mềm ransomware.

Sự va chạm

Trong cuộc tấn công này, script IPScanner.ps1 nhắm vào trình duyệt Chrome – về mặt thống kê đây là lựa chọn có khả năng mang lại nhiều mật khẩu nhất, vì Chrome hiện chiếm hơn 65 phần trăm thị phần trình duyệt. Sự thành công của mỗi nỗ lực sẽ phụ thuộc vào chính xác những thông tin đăng nhập mà mỗi người dùng đang lưu trữ trong trình duyệt. (Về số lượng mật khẩu có thể thu được từ mỗi máy bị nhiễm, một khảo sát gần đây cho thấy trung bình mỗi người dùng có 87 mật khẩu liên quan đến công việc, và khoảng gấp đôi số đó là mật khẩu cá nhân.)

Một cuộc xâm phạm thành công kiểu này có nghĩa là không chỉ các nhà bảo vệ phải thay đổi tất cả mật khẩu Active Directory; về lý thuyết, họ cũng nên yêu cầu người dùng cuối thay đổi mật khẩu của họ cho hàng chục, có thể hàng trăm trang web của bên thứ ba mà người dùng đã lưu tổ hợp tên người dùng-mật khẩu trong trình duyệt Chrome. Tất nhiên, các nhà bảo vệ sẽ không có cách nào bắt người dùng làm điều đó. Về trải nghiệm của người dùng cuối, mặc dù hầu như mọi người dùng internet ở thời điểm này đều đã nhận được ít nhất một thông báo “thông tin của bạn đã bị xâm phạm” từ một trang web đã mất kiểm soát dữ liệu của người dùng, nhưng trong tình huống này thì ngược lại – một người dùng, hàng chục hoặc hàng trăm vụ xâm phạm riêng biệt.

Có lẽ điều thú vị là, trong cuộc tấn công cụ thể này, các bộ điều khiển tên miền khác trong cùng miền Active Directory đã bị mã hóa, nhưng bộ điều khiển tên miền nơi GPO cụ thể này được cấu hình ban đầu lại không bị mã hóa bởi phần mềm tống tiền. Điều này có thể là gì – một sai sót, một sơ suất, hay việc kiểm tra A/B của kẻ tấn công – nằm ngoài phạm vi điều tra của chúng tôi (và bài đăng này).

Phần kết luận

Có thể dự đoán được, các nhóm ransomware tiếp tục thay đổi chiến thuật và mở rộng các kỹ thuật của chúng. Nhóm ransomware Qilin có thể đã quyết định rằng, chỉ bằng cách nhắm mục tiêu vào tài sản mạng của các tổ chức mục tiêu, họ đã bỏ lỡ cơ hội. 

Nếu họ hoặc những kẻ tấn công khác cũng quyết định khai thác thông tin xác thực được lưu trữ ở điểm cuối – điều này có thể tạo cơ hội cho mục tiêu tiếp theo hoặc kho thông tin về các mục tiêu có giá trị cao sẽ bị khai thác bằng các phương tiện khác – thì một điều đen tối mới chương có thể đã mở ra trong câu chuyện đang diễn ra về tội phạm mạng.

Lời cảm ơn

Anand Ajjan của SophosLabs, cũng như Ollie Jones và Alexander Giles từ nhóm Ứng phó sự cố, đã đóng góp cho phân tích này.

Phản hồi và khắc phục

Các tổ chức và cá nhân nên dựa vào các ứng dụng quản lý mật khẩu sử dụng các phương pháp hay nhất trong ngành để phát triển phần mềm và được bên thứ ba độc lập kiểm tra thường xuyên. Việc sử dụng trình quản lý mật khẩu dựa trên trình duyệt đã nhiều lần được chứng minh là không an toàn, với bài viết này là bằng chứng gần đây nhất. 

Xác thực đa yếu tố sẽ là một biện pháp phòng ngừa hiệu quả trong tình huống này, như chúng tôi đã nói ở nơi khác. Mặc dù việc sử dụng MFA tiếp tục gia tăng, một nghiên cứu Lastpass năm 2024 chỉ ra rằng mặc dù việc áp dụng MFA tại các công ty có hơn 10.000 nhân viên là 87% không quá khủng khiếp, nhưng mức độ áp dụng đó giảm nhanh chóng – từ 78% đối với các công ty có 1.001-1000 nhân viên. giảm tỷ lệ chấp nhận xuống còn 27% đối với các doanh nghiệp có 25 nhân viên trở xuống. Nói thẳng ra, các doanh nghiệp phải làm tốt hơn vì sự an toàn của chính họ – và trong trường hợp này là sự an toàn của các công ty khác.

Truy vấn Powershell.01 của chúng tôi là công cụ xác định các lời khen ngợi PowerShell đáng ngờ được thực hiện trong quá trình tấn công. Truy vấn đó được cung cấp miễn phí trên Github của chúng tôi, cùng với nhiều truy vấn khác.

Sophos phát hiện ransomware Qilin dưới dạng Troj/Qilin-B và phát hiện hành vi như Impact_6a & Lateral_8a. Tập lệnh được mô tả ở trên được phát hiện là Troj/Ransom-HDV.

Tổng quan.

Ransomware là một loại phần mềm độc hại mà tội phạm mạng sử dụng để mã hóa các tệp của mục tiêu hoặc khóa hệ thống máy tính của chúng, khiến dữ liệu không thể truy cập được. Sau đó, những kẻ tấn công yêu cầu nạn nhân tiền chuộc để đổi lấy khóa giải mã có thể mở khóa các tệp hoặc hệ thống được mã hóa. Với mức độ phổ biến ngày càng tăng và mối đe dọa nghiêm trọng mà nó gây ra cho các doanh nghiệp và người dùng cá nhân, việc hiểu rõ về ransomware là điều tối quan trọng trong thời đại kỹ thuật số ngày nay.

Theo truyền thống, ransomware lây lan chủ yếu qua email lừa đảo hoặc do người dùng vô tình truy cập trang web bị nhiễm virus. Tuy nhiên, các phương pháp phân phối phức tạp hơn hiện đang được tội phạm mạng sử dụng, bao gồm khai thác lỗ hổng phần mềm và sử dụng các kỹ thuật lừa đảo xã hội. Do đó, nguy cơ trở thành nạn nhân của một cuộc tấn công ransomware cao hơn bao giờ hết. Do đó, điều quan trọng nhất là không chỉ hiểu ransomware là gì mà còn hiểu cách thức hoạt động của nó để bảo vệ bạn tốt hơn trước nó.

Hiểu về Ransomware

Ransomware là một ngành kinh doanh béo bở cho tội phạm mạng. Động cơ đằng sau các cuộc tấn công chủ yếu là lợi ích tài chính. Không giống như các cuộc tấn công mạng khác, khi thủ phạm cần bán thông tin bị đánh cắp để kiếm lời, trong trường hợp ransomware, nguồn doanh thu là trực tiếp và tức thời. Các nạn nhân bị ép phải trả tiền chuộc để lấy lại quyền truy cập vào thông tin riêng tư và có giá trị của họ.

Các cuộc tấn công bằng ransomware có thể được phân loại thành hai loại: ransomware tiền điện tử và ransomware khóa. Cái trước tập trung vào việc mã hóa các tệp quan trọng trên máy tính và khiến chúng không thể truy cập được, trong khi cái sau khóa nạn nhân hoàn toàn khỏi thiết bị của họ, thay vào đó hiển thị thông báo đòi tiền chuộc trên màn hình đăng nhập. Tuy nhiên, cả hai loại đều có chung mô típ là tống tiền, đòi tiền chuộc từ nạn nhân để đổi lấy chìa khóa mở khóa hệ thống hoặc giải mã các tập tin của họ.

Vòng đời của một cuộc tấn công ransomware.

Vòng đời của một cuộc tấn công ransomware thường bao gồm bốn giai đoạn: Thỏa hiệp ban đầu, thiết lập, mã hóa và yêu cầu tiền chuộc. Sự xâm phạm ban đầu thường xảy ra khi người dùng nhấp vào liên kết độc hại hoặc tải xuống tệp độc hại được ngụy trang. Trong giai đoạn thiết lập, ransomware tạo ra một cửa hậu, cho phép nó tồn tại lâu dài và tồn tại sau khi khởi động lại.

Giai đoạn mã hóa bắt đầu khi ransomware bắt đầu mã hóa các tập tin hoặc khóa hệ thống. Quá trình này liên quan đến việc ransomware tìm kiếm và mã hóa dữ liệu có giá trị, chẳng hạn như tệp tài liệu và hình ảnh, bằng thuật toán mã hóa mạnh. Giai đoạn cuối cùng là yêu cầu tiền chuộc, trong đó nạn nhân sẽ thấy thông báo đòi tiền chuộc, hướng dẫn cách trả tiền chuộc, thường bằng loại tiền kỹ thuật số không thể theo dõi như Bitcoin.

Trong hầu hết các trường hợp, đồng hồ tính giờ được đính kèm với yêu cầu tiền chuộc, góp phần tạo ra cảm giác cấp bách cho nạn nhân. Đồng hồ đếm ngược này cho biết nạn nhân phải trả bao nhiêu thời gian để trả tiền chuộc trước khi giá tăng hoặc trước khi dữ liệu của họ bị phá hủy vĩnh viễn. Điều đáng lưu ý là việc trả tiền chuộc không đảm bảo rằng khóa giải mã sẽ được cung cấp hoặc sẽ giải mã thành công các tệp.

Biện pháp phòng ngừa.

Cách tốt nhất để đối phó với ransomware là ngăn chặn nó xảy ra ngay từ đầu. Điều này đòi hỏi một cách tiếp cận nhiều lớp bao gồm cả các biện pháp kỹ thuật và đào tạo người dùng. Một số biện pháp phòng ngừa chính bao gồm thường xuyên cập nhật và vá lỗi phần mềm để khắc phục các lỗ hổng bảo mật tiềm ẩn, sử dụng phần mềm chống vi-rút uy tín, thường xuyên sao lưu dữ liệu và thực hành thói quen duyệt web an toàn.

Ngoài ra, điều quan trọng là phải đào tạo người dùng về sự nguy hiểm khi nhấp vào các liên kết đáng ngờ, mở tệp đính kèm email không xác định hoặc tải xuống phần mềm từ các nguồn không đáng tin cậy.

Tìm hiểu các loại ransomware.

Có nhiều loại ransomware khác nhau mà người ta cần phải biết. Các loại phổ biến nhất bao gồm Scareware, Screen Lockers và Encrypting Ransomware. Phần mềm đe dọa bao gồm phần mềm bảo mật giả mạo và lừa đảo hỗ trợ kỹ thuật. Bạn có thể nhận được một thông báo bật lên thông báo rằng có vô số vấn đề đã được phát hiện trên máy tính của bạn. Đây chỉ đơn giản là một chiến thuật nhằm đe dọa bạn gọi đến số hỗ trợ kỹ thuật, số này sẽ cố gắng lừa bạn cấp cho họ quyền truy cập vào máy tính của bạn và trả tiền cho các dịch vụ hỗ trợ không cần thiết.

Phần mềm tống tiền khóa màn hình, hay còn gọi là tủ khóa, khóa hoàn toàn bạn khỏi PC của mình. Khi khởi động, một cửa sổ kích thước đầy đủ sẽ xuất hiện, thường đi kèm với con dấu chính thức của Cục Điều tra Liên bang hoặc Bộ Tư pháp Hoa Kỳ, cho biết hoạt động bất hợp pháp đã được phát hiện trên máy tính của bạn và bạn phải nộp phạt. Tuy nhiên, cơ quan chức năng thực sự sẽ không bao giờ đóng băng máy tính của bạn hoặc yêu cầu thanh toán. Mã hóa ransomware bao gồm các loại như CryptoLocker, CryptoWall, v.v. Đây là những loại phần mềm độc hại đặc biệt có hại mã hóa các tập tin của bạn và yêu cầu bạn trả tiền chuộc cho khóa giải mã

Tác động của các cuộc tấn công ransomware.

Các cuộc tấn công ransomware có thể có tác động lớn đối với các cá nhân và doanh nghiệp. Đối với các cá nhân, điều này có thể dẫn đến mất thông tin cá nhân nhạy cảm, tổn thất tài chính do phải trả tiền chuộc, giảm năng suất và căng thẳng về mặt cảm xúc. Đối với các doanh nghiệp, một cuộc tấn công ransomware thành công có thể dẫn đến mất dữ liệu lớn, tổn thất tài chính do gián đoạn hoạt động kinh doanh và trả tiền chuộc, gây tổn hại đến danh tiếng thương hiệu, mất niềm tin của khách hàng và các hậu quả pháp lý tiềm ẩn phát sinh từ việc mất dữ liệu khách hàng.

Hơn nữa, các cuộc tấn công ransomware đã và đang mở rộng mục tiêu, không chỉ ảnh hưởng đến máy tính mà còn các thiết bị khác được kết nối với internet. Điều này bao gồm các thiết bị di động, máy chủ web và thậm chí cả thiết bị Internet of Things (IoT). Với sự gia tăng của các thiết bị nhà thông minh, có khả năng ransomware sẽ phá vỡ các thiết bị quản lý các khía cạnh quan trọng trong hoạt động của ngôi nhà, gây ra các mức độ rủi ro mới đối với an toàn và sức khỏe cá nhân.

Cuối cùng.

Ransomware là một mối đe dọa đáng kể trong thời đại kỹ thuật số có thể gây ra hậu quả lớn, cả về tài chính và tinh thần, cho các cá nhân và doanh nghiệp. Hiểu ransomware là gì, cách thức hoạt động và tác động tiềm ẩn của nó là điều cần thiết trong việc giảm thiểu rủi ro.

Nguồn: https://s.net.vn/t1VI 

Tổng quan.

Ransomware là một loại phần mềm độc hại mà tội phạm mạng sử dụng để mã hóa các tệp của mục tiêu hoặc khóa hệ thống máy tính của chúng, khiến dữ liệu không thể truy cập được. Sau đó, những kẻ tấn công yêu cầu nạn nhân tiền chuộc để đổi lấy khóa giải mã có thể mở khóa các tệp hoặc hệ thống được mã hóa. Với mức độ phổ biến ngày càng tăng và mối đe dọa nghiêm trọng mà nó gây ra cho các doanh nghiệp và người dùng cá nhân, việc hiểu rõ về ransomware là điều tối quan trọng trong thời đại kỹ thuật số ngày nay.

Theo truyền thống, ransomware lây lan chủ yếu qua email lừa đảo hoặc do người dùng vô tình truy cập trang web bị nhiễm virus. Tuy nhiên, các phương pháp phân phối phức tạp hơn hiện đang được tội phạm mạng sử dụng, bao gồm khai thác lỗ hổng phần mềm và sử dụng các kỹ thuật lừa đảo xã hội. Do đó, nguy cơ trở thành nạn nhân của một cuộc tấn công ransomware cao hơn bao giờ hết. Do đó, điều quan trọng nhất là không chỉ hiểu ransomware là gì mà còn hiểu cách thức hoạt động của nó để bảo vệ bạn tốt hơn trước nó.

Hiểu về Ransomware

Ransomware là một ngành kinh doanh béo bở cho tội phạm mạng. Động cơ đằng sau các cuộc tấn công chủ yếu là lợi ích tài chính. Không giống như các cuộc tấn công mạng khác, khi thủ phạm cần bán thông tin bị đánh cắp để kiếm lời, trong trường hợp ransomware, nguồn doanh thu là trực tiếp và tức thời. Các nạn nhân bị ép phải trả tiền chuộc để lấy lại quyền truy cập vào thông tin riêng tư và có giá trị của họ.

Các cuộc tấn công bằng ransomware có thể được phân loại thành hai loại: ransomware tiền điện tử và ransomware khóa. Cái trước tập trung vào việc mã hóa các tệp quan trọng trên máy tính và khiến chúng không thể truy cập được, trong khi cái sau khóa nạn nhân hoàn toàn khỏi thiết bị của họ, thay vào đó hiển thị thông báo đòi tiền chuộc trên màn hình đăng nhập. Tuy nhiên, cả hai loại đều có chung mô típ là tống tiền, đòi tiền chuộc từ nạn nhân để đổi lấy chìa khóa mở khóa hệ thống hoặc giải mã các tập tin của họ.

Vòng đời của một cuộc tấn công ransomware.

Vòng đời của một cuộc tấn công ransomware thường bao gồm bốn giai đoạn: Thỏa hiệp ban đầu, thiết lập, mã hóa và yêu cầu tiền chuộc. Sự xâm phạm ban đầu thường xảy ra khi người dùng nhấp vào liên kết độc hại hoặc tải xuống tệp độc hại được ngụy trang. Trong giai đoạn thiết lập, ransomware tạo ra một cửa hậu, cho phép nó tồn tại lâu dài và tồn tại sau khi khởi động lại.

Giai đoạn mã hóa bắt đầu khi ransomware bắt đầu mã hóa các tập tin hoặc khóa hệ thống. Quá trình này liên quan đến việc ransomware tìm kiếm và mã hóa dữ liệu có giá trị, chẳng hạn như tệp tài liệu và hình ảnh, bằng thuật toán mã hóa mạnh. Giai đoạn cuối cùng là yêu cầu tiền chuộc, trong đó nạn nhân sẽ thấy thông báo đòi tiền chuộc, hướng dẫn cách trả tiền chuộc, thường bằng loại tiền kỹ thuật số không thể theo dõi như Bitcoin.

Trong hầu hết các trường hợp, đồng hồ tính giờ được đính kèm với yêu cầu tiền chuộc, góp phần tạo ra cảm giác cấp bách cho nạn nhân. Đồng hồ đếm ngược này cho biết nạn nhân phải trả bao nhiêu thời gian để trả tiền chuộc trước khi giá tăng hoặc trước khi dữ liệu của họ bị phá hủy vĩnh viễn. Điều đáng lưu ý là việc trả tiền chuộc không đảm bảo rằng khóa giải mã sẽ được cung cấp hoặc sẽ giải mã thành công các tệp.

Biện pháp phòng ngừa.

Cách tốt nhất để đối phó với ransomware là ngăn chặn nó xảy ra ngay từ đầu. Điều này đòi hỏi một cách tiếp cận nhiều lớp bao gồm cả các biện pháp kỹ thuật và đào tạo người dùng. Một số biện pháp phòng ngừa chính bao gồm thường xuyên cập nhật và vá lỗi phần mềm để khắc phục các lỗ hổng bảo mật tiềm ẩn, sử dụng phần mềm chống vi-rút uy tín, thường xuyên sao lưu dữ liệu và thực hành thói quen duyệt web an toàn.

Ngoài ra, điều quan trọng là phải đào tạo người dùng về sự nguy hiểm khi nhấp vào các liên kết đáng ngờ, mở tệp đính kèm email không xác định hoặc tải xuống phần mềm từ các nguồn không đáng tin cậy.

Tìm hiểu các loại ransomware.

Có nhiều loại ransomware khác nhau mà người ta cần phải biết. Các loại phổ biến nhất bao gồm Scareware, Screen Lockers và Encrypting Ransomware. Phần mềm đe dọa bao gồm phần mềm bảo mật giả mạo và lừa đảo hỗ trợ kỹ thuật. Bạn có thể nhận được một thông báo bật lên thông báo rằng có vô số vấn đề đã được phát hiện trên máy tính của bạn. Đây chỉ đơn giản là một chiến thuật nhằm đe dọa bạn gọi đến số hỗ trợ kỹ thuật, số này sẽ cố gắng lừa bạn cấp cho họ quyền truy cập vào máy tính của bạn và trả tiền cho các dịch vụ hỗ trợ không cần thiết.

Phần mềm tống tiền khóa màn hình, hay còn gọi là tủ khóa, khóa hoàn toàn bạn khỏi PC của mình. Khi khởi động, một cửa sổ kích thước đầy đủ sẽ xuất hiện, thường đi kèm với con dấu chính thức của Cục Điều tra Liên bang hoặc Bộ Tư pháp Hoa Kỳ, cho biết hoạt động bất hợp pháp đã được phát hiện trên máy tính của bạn và bạn phải nộp phạt. Tuy nhiên, cơ quan chức năng thực sự sẽ không bao giờ đóng băng máy tính của bạn hoặc yêu cầu thanh toán. Mã hóa ransomware bao gồm các loại như CryptoLocker, CryptoWall, v.v. Đây là những loại phần mềm độc hại đặc biệt có hại mã hóa các tập tin của bạn và yêu cầu bạn trả tiền chuộc cho khóa giải mã

Tác động của các cuộc tấn công ransomware.

Các cuộc tấn công ransomware có thể có tác động lớn đối với các cá nhân và doanh nghiệp. Đối với các cá nhân, điều này có thể dẫn đến mất thông tin cá nhân nhạy cảm, tổn thất tài chính do phải trả tiền chuộc, giảm năng suất và căng thẳng về mặt cảm xúc. Đối với các doanh nghiệp, một cuộc tấn công ransomware thành công có thể dẫn đến mất dữ liệu lớn, tổn thất tài chính do gián đoạn hoạt động kinh doanh và trả tiền chuộc, gây tổn hại đến danh tiếng thương hiệu, mất niềm tin của khách hàng và các hậu quả pháp lý tiềm ẩn phát sinh từ việc mất dữ liệu khách hàng.

Hơn nữa, các cuộc tấn công ransomware đã và đang mở rộng mục tiêu, không chỉ ảnh hưởng đến máy tính mà còn các thiết bị khác được kết nối với internet. Điều này bao gồm các thiết bị di động, máy chủ web và thậm chí cả thiết bị Internet of Things (IoT). Với sự gia tăng của các thiết bị nhà thông minh, có khả năng ransomware sẽ phá vỡ các thiết bị quản lý các khía cạnh quan trọng trong hoạt động của ngôi nhà, gây ra các mức độ rủi ro mới đối với an toàn và sức khỏe cá nhân.

Cuối cùng.

Ransomware là một mối đe dọa đáng kể trong thời đại kỹ thuật số có thể gây ra hậu quả lớn, cả về tài chính và tinh thần, cho các cá nhân và doanh nghiệp. Hiểu ransomware là gì, cách thức hoạt động và tác động tiềm ẩn của nó là điều cần thiết trong việc giảm thiểu rủi ro.

Nguồn: https://s.net.vn/t1VI 

Sophos phát hiện ra các tác nhân đe dọa đằng sau ransomware RansomHub sử dụng EDRKillShifter trong các cuộc tấn công

Viết bởi Andreas Klopsch

August 14, 2024

Các nhà phân tích của Sophos gần đây đã phát hiện ra một tiện ích diệt EDR mới đang được một nhóm tội phạm triển khai, những kẻ đang cố gắng tấn công một tổ chức bằng phần mềm tống tiền có tên là RansomHub. Mặc dù cuộc tấn công bằng phần mềm tống tiền cuối cùng đã không thành công, nhưng quá trình phân tích hậu quả của cuộc tấn công đã tiết lộ sự tồn tại của một công cụ mới được thiết kế để chấm dứt phần mềm bảo vệ điểm cuối. Chúng tôi gọi công cụ này là EDRKillShifter. 

Từ năm 2022, chúng tôi đã chứng kiến ​​sự gia tăng về mức độ tinh vi của phần mềm độc hại được thiết kế để vô hiệu hóa các hệ thống EDR trên hệ thống bị nhiễm, vì khách hàng ngày càng sử dụng công cụ EDR để bảo vệ các điểm cuối. Sophos trước đây đã công bố nghiên cứu về AuKill , một công cụ tiêu diệt EDR mà Sophos X-Ops phát hiện ra vào năm ngoái đang được bán thương mại trong các thị trường tội phạm. 

Trong sự cố vào tháng 5, những kẻ tấn công – chúng tôi ước tính với mức độ tin cậy vừa phải rằng công cụ này đang được nhiều kẻ tấn công sử dụng – đã cố gắng sử dụng EDRKillShifter để chấm dứt bảo vệ của Sophos trên máy tính mục tiêu, nhưng công cụ đã thất bại. Sau đó, chúng cố gắng chạy tệp thực thi ransomware trên máy mà chúng kiểm soát, nhưng cũng thất bại khi tính năng CryptoGuard của tác nhân điểm cuối được kích hoạt. 

EDRKillShifter hoạt động như thế nào 

Công cụ EDRKillShifter là một chương trình thực thi “loader” – một cơ chế phân phối cho trình điều khiển hợp lệ dễ bị lạm dụng (còn được gọi là công cụ “mang trình điều khiển dễ bị tấn công của riêng bạn” hoặc BYOVD). Tùy thuộc vào yêu cầu của tác nhân đe dọa, nó có thể phân phối nhiều loại tải trọng trình điều khiển khác nhau. 

Có ba bước trong quá trình thực thi của trình tải này. Kẻ tấn công phải thực thi EDRKillShifter bằng dòng lệnh bao gồm chuỗi mật khẩu. Khi chạy với mật khẩu đúng, tệp thực thi sẽ giải mã một tài nguyên nhúng có tên là BIN và thực thi nó trong bộ nhớ. 

Mã BIN giải nén và thực thi payload cuối cùng. Payload cuối cùng này, được viết bằng ngôn ngữ lập trình Go, sẽ loại bỏ và khai thác một trong nhiều trình điều khiển hợp pháp, dễ bị tấn công khác nhau để giành được các đặc quyền đủ để gỡ bỏ bảo vệ của công cụ EDR. 

Tổng quan cấp cao về quy trình thực hiện bộ tải

Lột bỏ lớp đầu tiên 

Phân tích hời hợt cho thấy tất cả các mẫu đều chia sẻ cùng một dữ liệu phiên bản. Tên tệp gốc là Loader.exe và tên sản phẩm của nó là ARK-Game. (Một số thành viên của nhóm nghiên cứu suy đoán rằng tác nhân đe dọa cố gắng ngụy trang tải trọng cuối cùng thành một trò chơi máy tính phổ biến có tên là ARK: Survival Evolved.)  

Thuộc tính ngôn ngữ của tệp nhị phân là tiếng Nga, cho biết tác giả phần mềm độc hại đã biên dịch tệp thực thi trên máy tính có cài đặt bản địa hóa tiếng Nga. 

Thông tin phiên bản của EDRKillShifter như được hiển thị trong CFF Explorer

Tất cả các mẫu đều yêu cầu mật khẩu 64 ký tự duy nhất được truyền đến dòng lệnh. Nếu mật khẩu sai (hoặc không được cung cấp), lệnh sẽ không thực thi. 

Việc thực thi sẽ không thành công nếu người dùng không cung cấp đúng mật khẩu vào bảng điều khiển khi chương trình thực thi

Khi được thực thi, EDRKillShifter tải một tài nguyên được mã hóa có tên BIN, được nhúng bên trong chính nó, vào bộ nhớ. Nó cũng sao chép dữ liệu đó vào một tệp mới có tên Config.ini và ghi tệp đó vào cùng một vị trí hệ thống tệp nơi tệp nhị phân được thực thi.  

Sau đó, mã tải sẽ phân bổ một trang bộ nhớ mới bằng VirtualAlloc và ghi nội dung được mã hóa vào trang mới được phân bổ. Sau đó, phần mềm độc hại xóa tệp config.ini và tiến hành giải mã tập hợp các tải trọng tiếp theo – trình điều khiển có thể lạm dụng và tệp nhị phân Go. Trình tải sử dụng hàm băm SHA256 của mật khẩu đầu vào làm khóa giải mã của các tải trọng lớp thứ hai. 

Mã giả của chương trình giải mã lớp thứ hai của phần mềm độc hại EDRKillShifter

Nếu phần mềm độc hại giải mã thành công dữ liệu lớp thứ hai, nó sẽ tạo một luồng mới và bắt đầu thực thi trong luồng đó. 

Tải EDR killer cuối cùng vào bộ nhớ 

Giai đoạn thứ hai được che giấu thông qua việc sử dụng kỹ thuật mã tự sửa đổi. Trong thời gian chạy, lớp thứ hai thay đổi các lệnh của chính nó. Vì các lệnh thực thi thực tế chỉ được tiết lộ trong quá trình thực thi, nên cần có thêm công cụ hoặc mô phỏng để phân tích.  

Hình bên dưới minh họa thêm về kỹ thuật này. Phần đầu tiên cho thấy sự khởi đầu của lớp mã tự sửa đổi. Tất cả các lệnh sau lệnh gọi đầu tiên trong quá trình tháo rời đều vô nghĩa tại thời điểm này. Nếu chúng ta xem lại cùng một khối lệnh sau khi thực hiện lệnh gọi đầu tiên, chúng ta sẽ thấy một tập lệnh khác. Lệnh gọi đầu tiên sửa đổi tập lệnh tiếp theo, sau đó sửa đổi tập lệnh tiếp theo, v.v.  

EDRKillShifter sử dụng mã tự sửa đổi để thay đổi mọi lệnh tiếp theo

Mục đích duy nhất của lớp giải mã cuối cùng là tải dữ liệu cuối cùng vào bộ nhớ một cách động và thực thi nó. 

Phân tích tải trọng cuối cùng 

Tất cả các mẫu chúng tôi phân tích đều thực thi một biến thể EDR killer khác nhau trong bộ nhớ. Tất cả chúng đều được viết bằng Go và được làm tối nghĩa (có thể thông qua việc sử dụng một công cụ nguồn mở có tên gobfuscate ) . Các trình làm tối nghĩa là các công cụ được thiết kế để cản trở kỹ thuật đảo ngược. Có thể có những lý do chính đáng để các kỹ sư phần mềm làm tối nghĩa phần mềm, chẳng hạn như để ngăn chặn đối thủ cạnh tranh đánh cắp tài sản trí tuệ. Tuy nhiên, tác giả phần mềm độc hại cũng sử dụng các trình làm tối nghĩa để khiến các nhà nghiên cứu bảo mật khó phân tích phần mềm độc hại hơn. 

Hầu hết các kỹ sư đảo ngược đều dựa vào dữ liệu được che giấu này khi phân tích phần mềm độc hại được viết bằng Go, nhưng trong trường hợp này, dữ liệu chính này bị che giấu trong mã đã biên dịch. Một số thông tin này bao gồm: 

• Chuỗi được mã hóa. Chúng sẽ được giải mã trong thời gian chạy. 
• Thông tin phiên bản Go đã mất. Rất nhiều công cụ kỹ thuật đảo ngược nguồn mở dựa vào thông tin phiên bản Go này để xây dựng lại các cấu trúc trong quá trình phân tách. 
• Thông tin gói hữu ích hoặc đường dẫn gói sẽ được mã hóa hoặc loại bỏ khỏi phần mềm độc hại cuối cùng. 

Tuy nhiên, chúng tôi có thể trích xuất thông tin có giá trị bằng cách sử dụng công cụ GoReSym từ Mandiant. 

Điểm tương đồng giữa các tải trọng cuối cùng 

Tất cả các trình diệt EDR chưa giải nén đều nhúng trình điều khiển dễ bị tấn công vào phần .data. Hành vi của chúng rất đơn giản, giống như các trình diệt EDR khác mà chúng tôi đã phân tích[ 1 ][ 2 ][ 3 ]. Điểm khác biệt lớn duy nhất giữa hai biến thể mà chúng tôi đã xem xét là trình điều khiển dễ bị tấn công được tải và khai thác. 

Khi thực hiện, cả hai biến thể đều có được các đặc quyền cần thiết để tải trình điều khiển và thả tệp sys có thể khai thác vào thư mục \AppData\Local\Temp. Phần mềm độc hại tạo ra một tên tệp ngẫu nhiên cho trình điều khiển mỗi khi chạy. 

Nhật ký Process Monitor cho thấy phần mềm độc hại thả trình điều khiển có thể lạm dụng vào thư mục TEMP

Sau khi phần mềm độc hại tạo một dịch vụ mới cho trình điều khiển, khởi động dịch vụ và tải trình điều khiển, nó sẽ đi vào một vòng lặp vô tận liên tục liệt kê các quy trình đang chạy, chấm dứt các quy trình nếu tên của chúng xuất hiện trong danh sách mục tiêu được mã hóa cứng. Hành vi này phù hợp với cả hai biến thể. 

Cũng đáng lưu ý rằng cả hai biến thể đều khai thác các trình điều khiển hợp lệ (mặc dù dễ bị tấn công), sử dụng các khai thác bằng chứng khái niệm có sẵn trên Github. Chúng tôi nghi ngờ rằng các tác nhân đe dọa đã sao chép một phần của các bằng chứng khái niệm này, sửa đổi chúng và chuyển mã sang ngôn ngữ Go. Đây là xu hướng phổ biến mà chúng tôi cũng đã quan sát thấy ở các trình diệt EDR khác, chẳng hạn như Terminator .  

Cùng một bộ nạp, tải trọng cuối cùng khác nhau 

Mẫu với SHA256 451f5aa55eb207e73c5ca53d249b95911d3fad6fe32eee78c58947761336cc60 lạm dụng trình điều khiển dễ bị tấn công cũng đã được nhìn thấy bị lạm dụng trong các cuộc tấn công và tự gọi mình là RentDrv2. Bằng chứng khái niệm để khai thác trình điều khiển này có sẵn trên Github .  

Biến thể này cũng có thể nhận thêm đối số dòng lệnh “–list”, cho phép kẻ tấn công truyền thêm danh sách tên quy trình làm mục tiêu. 

Biến thể đầu tiên cũng có thể chấp nhận các đối số dòng lệnh bổ sung làm đầu vào, bao gồm danh sách tùy chỉnh các quy trình cần nhắm mục tiêu

Ngược lại, biến thể với SHA256 d0f9eae1776a98c77a6c6d66a3fd32cee7ee6148a7276bc899c1a1376865d9b0 lại lợi dụng một trình điều khiển dễ bị tấn công được biết đến có tên là ThreatFireMonitor, một thành phần của một gói giám sát hệ thống đã lỗi thời. Một bằng chứng về khái niệm cho trình điều khiển cụ thể này cũng có sẵn trên Github .

Ánh xạ EDRKillShifter vào bối cảnh mối đe dọa lớn hơn 

Tải trọng cuối cùng được nhúng vào trình tải thay đổi theo từng sự cố (và có lẽ là từ người tạo ra nó). Nếu chúng ta thử ánh xạ EDRKillShifter vào bối cảnh mối đe dọa lớn hơn, thì cũng có khả năng trình tải và tải trọng cuối cùng được phát triển bởi các tác nhân đe dọa riêng biệt. 

Bán trình tải hoặc trình che giấu là một hoạt động kinh doanh béo bở trên dark net. Sophos X-Ops nghi ngờ rằng mục đích duy nhất của trình tải là triển khai tải trọng BYOVD cuối cùng và tải trọng này có thể đã được mua trên dark net. Sau đó, các tải trọng EDR killer cuối cùng chỉ được phân phối bởi chính trình tải, bao gồm lớp 1 và 2 mà chúng tôi đã mô tả trong phân tích ở trên. 

Ví dụ về quảng cáo công cụ che giấu được bán trên diễn đàn tội phạm dark net

Điều đáng lưu ý là chúng tôi không thể xác nhận giả thuyết này vào thời điểm này. 

Biện pháp giảm thiểu và tư vấn

Sophos hiện phát hiện EDRKillShifter là Troj/KillAV-KG . Hơn nữa, các quy tắc bảo vệ hành vi bảo vệ chống lại việc trốn tránh phòng thủ và leo thang đặc quyền chặn các cuộc gọi hệ thống này đi qua. Các doanh nghiệp và cá nhân cũng có thể thực hiện các bước bổ sung để bảo vệ máy của họ khỏi việc trình điều khiển lạm dụng: 

• Sophos X-Ops khuyến cáo bạn nên kiểm tra xem sản phẩm bảo mật điểm cuối của bạn có triển khai và kích hoạt bảo vệ chống giả mạo hay không. Tính năng này cung cấp một lớp mạnh mẽ chống lại loại tấn công như vậy. Nếu bạn sử dụng sản phẩm Sophos nhưng hiện tại không bật bảo vệ chống giả mạo Sophos, hãy bật ngay hôm nay. 
• Thực hành vệ sinh mạnh mẽ cho các vai trò bảo mật Windows. Cuộc tấn công này chỉ có thể xảy ra nếu kẻ tấn công leo thang các đặc quyền mà chúng kiểm soát hoặc nếu chúng có thể có được quyền quản trị viên. Việc tách biệt giữa các đặc quyền của người dùng và quản trị viên có thể giúp ngăn chặn kẻ tấn công dễ dàng tải trình điều khiển. 
• Luôn cập nhật hệ thống của bạn. Từ năm ngoái, Microsoft đã bắt đầu đưa ra các bản cập nhật hủy chứng nhận các trình điều khiển đã ký được biết là đã bị lạm dụng trong quá khứ.  

Viết bởi Puja Mahendru] x

MAY 28, 2024

Nghiên cứu thường niên mới nhất của Sophos về trải nghiệm ransomware trong thế giới thực của các tổ chức sản xuất khám phá toàn bộ hành trình của nạn nhân, từ tỷ lệ tấn công và nguyên nhân cốt lõi đến tác động hoạt động và kết quả kinh doanh.

Báo cáo năm nay kết hợp các lĩnh vực nghiên cứu mới cho lĩnh vực này, bao gồm cả việc tìm hiểu nhu cầu tiền chuộc và các khoản thanh toán tiền chuộc. Ngoài ra, lần đầu tiên, nó làm sáng tỏ vai trò của cơ quan thực thi pháp luật trong việc khắc phục ransomware.

Tải xuống báo cáo để có được những phát hiện đầy đủ.

1. Tỷ lệ tấn công và chi phí phục hồi đều tăng lên

65% các tổ chức sản xuất cho biết họ đã bị tấn công bởi ransomware vào năm ngoái. Đây là mức tăng đáng chú ý so với hai năm trước (56% vào năm 2023 và 55% vào năm 2022) và thể hiện mức tăng 41% kể từ năm 2020.

93% các tổ chức sản xuất bị ransomware tấn công trong năm qua cho biết tội phạm mạng đã cố gắng xâm phạm các bản sao lưu của họ trong cuộc tấn công. Trong số đó, 53% nỗ lực thỏa hiệp sao lưu đã thành công.

Ngoài ra, ba trong số bốn cuộc tấn công bằng ransomware vào các tổ chức sản xuất (74%) dẫn đến mã hóa dữ liệu, tỷ lệ mã hóa cao nhất trong lĩnh vực này trong 5 năm qua. Tỷ lệ này cũng cao hơn mức bình quân liên ngành năm 2024 là 70%.

Vào năm 2024, các tổ chức sản xuất đã báo cáo chi phí trung bình là 1,67 triệu USD để phục hồi sau một cuộc tấn công bằng ransomware, tăng so với mức 1,08 triệu USD được báo cáo vào năm 2023.

2. Các thiết bị bị ảnh hưởng trong cuộc tấn công ransomware.

Trung bình, 44% máy tính trong sản xuất và sản xuất bị ảnh hưởng bởi cuộc tấn công bằng ransomware. Việc mã hóa toàn bộ môi trường của bạn là cực kỳ hiếm, chỉ có 4% tổ chức báo cáo rằng 91% thiết bị trở lên của họ bị ảnh hưởng.

3. Sáu trong mười nạn nhân hiện đang trả tiền chuộc

Trong khi 58% sản xuất đã khôi phục dữ liệu được mã hóa bằng cách sử dụng bản sao lưu, thì 62% trả tiền chuộc để lấy lại dữ liệu. Tỷ lệ các tổ chức sản xuất trả tiền chuộc đã tăng gần gấp đôi so với nghiên cứu năm 2023 của chúng tôi khi lĩnh vực này báo cáo một trong những tỷ lệ trả tiền chuộc thấp nhất (34%) trong tất cả các lĩnh vực.

Một thay đổi đáng chú ý trong năm qua là xu hướng nạn nhân sử dụng nhiều phương pháp khác nhau để khôi phục dữ liệu được mã hóa (ví dụ: trả tiền chuộc và sử dụng bản sao lưu) ngày càng tăng. Lần này, gần một nửa số tổ chức sản xuất (45%) đã mã hóa dữ liệu cho biết họ sử dụng nhiều phương pháp, cao hơn gấp đôi tỷ lệ được báo cáo vào năm 2023 (19%).

4. Các khoản thanh toán tiền chuộc đã tăng vọt – nhưng nạn nhân hiếm khi trả số tiền được yêu cầu

157 người trả lời ngành sản xuất có tổ chức trả tiền chuộc đã chia sẻ số tiền thực tế được trả, tiết lộ rằng khoản thanh toán trung bình (trung bình) đã tăng 167% so với năm ngoái, từ 450.000 USD lên 1,2 triệu USD.

Trong khi khoản thanh toán tiền chuộc đã tăng lên, chỉ có 27% nạn nhân trong ngành sản xuất cho biết khoản thanh toán của họ phù hợp với yêu cầu ban đầu. 65% trả ít hơn nhu cầu ban đầu, trong khi chỉ có 8% trả nhiều hơn.

Tải xuống báo cáo đầy đủ để biết thêm thông tin chi tiết về thanh toán tiền chuộc và nhiều lĩnh vực khác.

5. Về cuộc khảo sát.

Báo cáo này dựa trên kết quả của một cuộc khảo sát độc lập, không phân biệt nhà cung cấp do Sophos ủy quyền với 5.000 nhà lãnh đạo CNTT/an ninh mạng trên 14 quốc gia ở Châu Mỹ, EMEA và Châu Á Thái Bình Dương, bao gồm 585 người từ lĩnh vực sản xuất và chế tạo. Tất cả những người trả lời đều đại diện cho các tổ chức có từ 100 đến 5.000 nhân viên. Cuộc khảo sát được chuyên gia nghiên cứu Vanson Bourne thực hiện trong khoảng thời gian từ tháng 1 đến tháng 2 năm 2024 và những người tham gia được yêu cầu trả lời dựa trên kinh nghiệm của họ trong năm trước.

Viết bởi Paul Murray

NGÀY 14 THÁNG 2 NĂM 2024

Các tổ chức sử dụng Veeam Backup & Replication giờ đây có thể tăng cường khả năng phòng thủ chống lại ransomware bằng Sophos MDR và Sophos XDR. Đọc tiếp để tìm hiểu cách tích hợp mới của Sophos với Veeam mang lại khả năng hiển thị tốt hơn để phát hiện và ngăn chặn các mối đe dọa nhắm mục tiêu vào dữ liệu sao lưu.

Sao lưu và phục hồi là một phần không thể thiếu trong chiến lược an ninh mạng toàn diện. Kẻ thù cố gắng giả mạo các giải pháp sao lưu để ngăn chặn quá trình phục hồi sau các cuộc tấn công bằng ransomware – việc phát hiện sớm hoạt động độc hại này là rất quan trọng.

Sự tích hợp mới của Sophos với Veeam trao đổi liền mạch thông tin bảo mật khi mối đe dọa xuất hiện, mở rộng khả năng hiển thị để giúp phát hiện, điều tra và ứng phó với các cuộc tấn công đang hoạt động.

Mối quan hệ hợp tác mới mạnh mẽ này mang đến sự an tâm rằng dữ liệu sao lưu luôn sẵn có và được bảo vệ, cho phép các tổ chức phát hiện các mối đe dọa, điều tra hoạt động đáng ngờ và cuối cùng là khôi phục dữ liệu nhanh chóng.

Với Sophos và Veeam, các tổ chức có thể đảm bảo tính toàn vẹn và sẵn có của các bản sao lưu, giảm nguy cơ mất dữ liệu do phần mềm độc hại, vô tình xóa, các mối đe dọa bảo mật nội bộ và các tình huống mất dữ liệu khác.

• Dịch vụ Sophos MDR cung cấp khả năng giám sát bảo mật 24/7, lọc các cảnh báo dư thừa và điều tra các mối đe dọa đối với môi trường Veeam, như các nỗ lực xóa kho lưu trữ sao lưu, vô hiệu hóa xác thực đa yếu tố, xóa mật khẩu mã hóa, v.v.
• Các tổ chức sử dụng giải pháp Sophos XDR để điều tra và phản hồi nội bộ cũng có thể tích hợp phép đo từ xa Veeam để xác định hoạt động độc hại tiềm ẩn, kết hợp với phát hiện mối đe dọa từ các nguồn khác trong một nền tảng và bảng điều khiển thống nhất.

Sự bảo vệ mạnh mẽ nhất chống lại các cuộc tấn công ransomware

Giải pháp Sophos XDR và dịch vụ Sophos MDR bao gồm công nghệ CryptoGuard hàng đầu trong ngành có khả năng phát hiện và ngăn chặn phần mềm tống tiền trên toàn cầu trước khi nó tác động đến hệ thống của khách hàng, bao gồm các biến thể mới cũng như mã hóa cục bộ và từ xa .

Khả năng ngăn chặn, phát hiện và phản hồi vượt trội của Sophos, kết hợp với các bản sao lưu và phiên bản bất biến do Veeam cung cấp, đảm bảo dữ liệu sao lưu vẫn được an toàn và có thể phục hồi.

Nâng cao khả năng phòng thủ của bạn với tích hợp Veeam mới của Sophos

Tích hợp Veeam mới hiện có sẵn dưới dạng tiện ích bổ sung cho đăng ký Sophos MDR và Sophos XDR thông qua giấy phép Gói tích hợp “Sao lưu và phục hồi” mới.

Để tìm hiểu thêm và khám phá cách Sophos MDR và Sophos XDR có thể giúp tổ chức của bạn bảo vệ tốt hơn trước các đối thủ đang hoạt động, bao gồm các cuộc tấn công nhắm vào kho lưu trữ dự phòng của bạn, hãy trao đổi với cố vấn Sophos hoặc đối tác Sophos của bạn.

Đã là khách hàng của Sophos MDR hoặc Sophos XDR? Kích hoạt tích hợp Veeam trong bảng điều khiển Sophos Central của bạn ngay hôm nay.

Giới thiệu Sophos Managed Risk, Được cung cấp bởi Tenable

Sophos Managed Risk kết hợp công nghệ quản lý lỗ hổng từ Tenable với kiến thức chuyên môn về mối đe dọa của Sophos như một dịch vụ được quản lý hoàn toàn.

Viết bởi Paul Murray

Ngày 03 tháng 4 năm 2024

Theo báo cáo trong Báo cáo về Ransomware năm 2024 của Sophos, các lỗ hổng chưa được vá bị khai thác là nguyên nhân gốc rễ hàng đầu dẫn đến các cuộc tấn công thành công.

Bề mặt tấn công hiện đại đã mở rộng ra ngoài ranh giới CNTT tại chỗ truyền thống , với việc các tổ chức thường xuyên vận hành một số lượng tài sản bên ngoài và tài sản trên Internet chưa được vá hoặc chưa được bảo vệ, khiến chúng dễ bị tấn công mạng.

Trước nhu cầu cấp thiết này, chúng tôi rất vui mừng được giới thiệu Sophos Managed Risk, được cung cấp bởi Tenable . Dịch vụ mới này cho phép các tổ chức tìm và loại bỏ các điểm mù cũng như đón đầu các cuộc tấn công tiềm ẩn bằng cách hiểu rõ và ưu tiên các mức độ rủi ro cao nhất, với sự hướng dẫn chuyên môn từ đội ngũ tận tâm của Sophos.

Rủi ro được quản lý của Sophos mang lại:

Khả năng hiển thị bề mặt tấn công
Bề mặt tấn công hiện đại tiếp tục phát triển vượt ra ngoài biên giới của CNTT truyền thống và hầu hết các tổ chức hiện nay đều có tài sản truy cập internet mà họ không nhận ra là mình sở hữu, cung cấp các mục tiêu dễ dàng cho các tác nhân đe dọa. Sophos Managed Risk phát hiện các tài sản trên Internet của tổ chức và phân tích bề mặt tấn công bên ngoài của chúng.

Giám sát liên tục
Các nhóm bảo mật và CNTT nội bộ có thể thiếu kiến thức và kinh nghiệm sâu sắc về bối cảnh khai thác cần thiết để hiểu đầy đủ về tình hình bảo mật trên bề mặt tấn công của tổ chức họ. Sophos Managed Risk cung cấp hướng dẫn chuyên môn và giúp đặt ra các ưu tiên khắc phục.

Ưu tiên lỗ hổng dựa trên rủi ro
Các lỗ hổng mới được phát hiện nhanh hơn mức mà hầu hết các tổ chức có thể khắc phục chúng. Hiểu được cái nào có liên quan và thứ tự nào để vá chúng là một thách thức đáng kể. Sophos Managed Risk xác định và ưu tiên các mức độ phơi nhiễm bằng cách sử dụng phạm vi bảo hiểm dễ bị tổn thương rộng rãi và công nghệ ưu tiên dựa trên rủi ro từ Tenable.

Chủ động thông báo về các nguy cơ rủi ro cao
Những kẻ tấn công tìm kiếm điểm yếu trong môi trường từ lâu trước khi các tổ chức biết chúng ở đó. Việc xác định nhanh chóng các nguy cơ rủi ro cao là rất quan trọng. Sophos Managed Risk cung cấp thông báo chủ động khi phát hiện ra các lỗ hổng nghiêm trọng mới ảnh hưởng đến tài sản của tổ chức.

“Một trong những thách thức lớn nhất mà các tổ chức phải đối mặt khi cải thiện tình trạng bảo mật của mình là ưu tiên xử lý những gì trước tiên. Craig Robinson, phó chủ tịch nghiên cứu của Dịch vụ bảo mật, IDC cho biết loại hướng dẫn này giúp giải quyết vấn đề đó và giảm khối lượng công việc cho các nhóm bảo mật được giao nhiệm vụ giải quyết quản lý lỗ hổng và khả năng tiếp xúc. “Các giải pháp như Sophos Managed Risk có thể là điểm khác biệt bằng cách cho phép các nhóm có áp lực quá lớn thực hiện cách tiếp cận toàn diện hơn để giám sát liên tục và quản lý mối đe dọa.”

Liên minh Sophos-Tenable

Sophos Managed Risk kết hợp công nghệ hàng đầu trong ngành từ Tenable với kiến thức chuyên môn về mối đe dọa từ Sophos, được cung cấp dưới dạng dịch vụ quản lý bề mặt tấn công chủ động. Mối quan hệ hợp tác độc đáo này quy tụ hai công ty dẫn đầu thị trường an ninh mạng có uy tín cao để mang lại kết quả bảo mật vượt trội cho khách hàng và đối tác.

“Sophos và Tenable là hai công ty bảo mật hàng đầu trong ngành cùng nhau giải quyết các thách thức bảo mật khẩn cấp, lan rộng mà các tổ chức liên tục gặp khó khăn để kiểm soát. Giờ đây, chúng tôi có thể giúp các tổ chức xác định và ưu tiên khắc phục các lỗ hổng trong tài sản, thiết bị và phần mềm bên ngoài thường bị bỏ qua. Điều quan trọng là các tổ chức phải quản lý những rủi ro phơi nhiễm này, vì nếu không được giám sát, chúng chỉ dẫn đến các vấn đề tốn kém và mất thời gian hơn và thường là nguyên nhân gốc rễ của những vi phạm nghiêm trọng ,” Rob Harrison, phó chủ tịch cấp cao về quản lý sản phẩm hoạt động bảo mật và điểm cuối tại cho biết. Sophos. “Chúng tôi biết từ dữ liệu khảo sát toàn cầu của Sophos rằng 32% các cuộc tấn công bằng ransomware bắt đầu từ một lỗ hổng chưa được vá và rằng việc khắc phục các cuộc tấn công này là tốn kém nhất. Các lớp bảo mật lý tưởng để ngăn chặn những vấn đề này bao gồm cách tiếp cận tích cực nhằm cải thiện tình hình bảo mật bằng cách giảm thiểu nguy cơ vi phạm với Sophos Managed Risk, Sophos Endpoint và phạm vi bảo hiểm 24×7 của Sophos MDR .”

Greg Goetz, phó chủ tịch phụ trách đối tác chiến lược toàn cầu và MSSP, cho biết: “Mặc dù ngày số 0 mới nhất có thể chiếm ưu thế trên các mặt báo, nhưng mối đe dọa lớn nhất đối với các tổ chức, nhìn chung, vẫn là các lỗ hổng đã được biết đến – hoặc các lỗ hổng đã có bản vá sẵn có”. Có thể thuê được. “Một cách tiếp cận hiệu quả bao gồm ưu tiên dựa trên rủi ro với các phân tích dựa trên ngữ cảnh để chủ động giải quyết các rủi ro trước khi chúng trở thành vấn đề. Rủi ro được quản lý của Sophos, được hỗ trợ bởi Nền tảng quản lý phơi nhiễm Tenable One, cung cấp giải pháp quản lý rủi ro phòng ngừa được thuê ngoài, cho phép các tổ chức lường trước các cuộc tấn công và giảm rủi ro mạng.”

Hợp tác với dịch vụ MDR đáng tin cậy nhất thế giới

Sophos Managed Risk có sẵn dưới dạng dịch vụ mở rộng với Sophos MDR , dịch vụ này đã bảo vệ hơn 21.000 tổ chức trên toàn cầu. Nhóm Quản lý Rủi ro Sophos tận tâm đã được Tenable chứng nhận và hợp tác chặt chẽ với Sophos MDR để chia sẻ thông tin cần thiết về zero-day, các lỗ hổng đã biết và rủi ro phơi nhiễm để đánh giá và điều tra các môi trường có thể bị khai thác. Các tổ chức được hưởng lợi thông qua tương tác thường xuyên, bao gồm các cuộc họp đã lên lịch với các chuyên gia của Sophos để xem xét những khám phá gần đây, hiểu biết sâu sắc về bối cảnh mối đe dọa hiện tại cũng như các đề xuất về biện pháp khắc phục và các hành động ưu tiên.

Ví dụ: khi Sophos phát hiện ra lỗ hổng zero-day mới có rủi ro cao có thể khiến tổ chức bị lộ, Sophos Managed Risk sẽ quét tài sản của họ để tìm khả năng khai thác và chủ động thông báo cho khách hàng. Các tổ chức có thể kết nối với nhóm Rủi ro được quản lý của Sophos và quản lý thuận tiện các trường hợp leo thang lỗ hổng bảo mật cùng với các cuộc điều tra MDR trong một bảng điều khiển Sophos hợp nhất.

Sắp ra mắt

Với việc các chuyên gia về Rủi ro được quản lý của Sophos cung cấp thông tin chi tiết về các lỗ hổng bề mặt tấn công, các tổ chức thuộc mọi quy mô có thể giảm rủi ro mạng, đẩy nhanh các chương trình vá lỗi và cải thiện khả năng bảo hiểm. Dịch vụ mới sẽ khả dụng vào cuối tháng 4 năm 2024.

Để tìm hiểu thêm về Sophos Managed Risk và cách nó có thể hỗ trợ bạn, hãy truy cập trang web của chúng tôi hoặc nói chuyện với chuyên gia bảo mật ngay hôm nay.

Trong bài viết này, chúng ta sẽ khám phá sâu hơn về khái niệm và quan trọng của Cybersecurity. Chúng ta sẽ tìm hiểu về các mối đe dọa mạng phổ biến, các biện pháp bảo mật quan trọng mà bạn có thể thực hiện, và cách mô hình Zero Trust đang thay đổi cách chúng ta tiếp cận bảo mật mạng.

1. Cybersecurity là gì ?

Cybersecurity (hoặc còn được gọi là an ninh mạng) là một lĩnh vực quản lý và bảo vệ hệ thống, dữ liệu và thông tin khỏi các mối đe dọa, tấn công và sự xâm nhập từ các phần mềm độc hại và người tấn công trên mạng. Mục tiêu chính của cybersecurity là đảm bảo tính toàn vẹn, sẵn sàng, bảo mật và bảo mật của các tài nguyên kỹ thuật số và thông tin quan trọng.

Các chuyên gia và nhóm làm việc trong lĩnh vực này phải nắm vững các kiến thức về cách tấn công mạng có thể xảy ra, cách thức mà các hacker sử dụng để tìm kiếm điểm yếu, và phương pháp để ngăn chặn, phát hiện và đối phó với các tấn công này.

2. Phân loại Cybersecurity

An ninh mạng là một lĩnh vực rộng lớn bao gồm nhiều lĩnh vực. Nó có thể được chia thành bảy trụ cột chính:

1. Network Security

Hầu hết các cuộc tấn công xảy ra trên mạng và các giải pháp an ninh mạng được thiết kế để xác định và ngăn chặn các cuộc tấn công này. Các giải pháp này bao gồm các biện pháp kiểm soát truy cập và dữ liệu, chẳng hạn như Ngăn chặn mất dữ liệu (DLP), IAM (Quản lý truy cập danh tính), NAC (Kiểm soát truy cập mạng) và kiểm soát ứng dụng NGFW (Tường lửa thế hệ tiếp theo) để thực thi các chính sách sử dụng web an toàn.

Các công nghệ ngăn chặn mối đe dọa mạng nhiều lớp và tiên tiến bao gồm IPS (Hệ thống ngăn chặn xâm nhập), NGAV (Chống vi-rút thế hệ tiếp theo), Sandboxing, and CDR (Content Disarm and Reconstruction). Ngoài ra, các công nghệ phân tích mạng, tìm kiếm mối đe dọa và công nghệ SOAR (Điều phối và phản hồi bảo mật) tự động cũng rất quan trọng.

2. Cloud Security

Khi các tổ chức ngày càng áp dụng điện toán đám mây, việc bảo mật đám mây trở thành ưu tiên chính. Chiến lược bảo mật đám mây bao gồm các giải pháp, biện pháp kiểm soát, chính sách và dịch vụ bảo mật mạng giúp bảo vệ toàn bộ hoạt động triển khai đám mây của một tổ chức (ứng dụng, dữ liệu, cơ sở hạ tầng, v.v.) khỏi bị tấn công.

Mặc dù nhiều nhà cung cấp đám mây cung cấp các giải pháp bảo mật, nhưng những giải pháp này thường không đủ để đạt được bảo mật cấp doanh nghiệp trên đám mây. Các giải pháp bổ sung của bên thứ ba là cần thiết để bảo vệ chống lại các vi phạm dữ liệu và các cuộc tấn công có chủ đích trong môi trường đám mây.

3. Endpoint Security

Với bảo mật điểm cuối, các công ty có thể bảo mật các thiết bị của người dùng cuối như máy tính để bàn và máy tính xách tay bằng các biện pháp kiểm soát bảo mật mạng và dữ liệu, ngăn chặn mối đe dọa nâng cao như chống lừa đảo và chống phần mềm tống tiền cũng như các công nghệ cung cấp điều tra như phát hiện và phản hồi điểm cuối (EDR).

4. Mobile Security

Các thiết bị di động như máy tính bảng và điện thoại thông minh có quyền truy cập vào dữ liệu của công ty, khiến doanh nghiệp gặp phải các mối đe dọa từ các ứng dụng độc hại, tấn công zero-day, lừa đảo và IM (Nhắn tin tức thì). Bảo mật di động ngăn chặn các cuộc tấn công này và bảo vệ hệ điều hành cũng như thiết bị khỏi bị root và bẻ khóa. Khi được đưa vào giải pháp MDM (Quản lý thiết bị di động), điều này cho phép doanh nghiệp đảm bảo chỉ các thiết bị di động tuân thủ mới có quyền truy cập vào tài sản của công ty.

5. IoT Security

Mặc dù việc sử dụng các thiết bị Internet of Things (IoT) chắc chắn mang lại lợi ích về năng suất, nhưng nó cũng khiến các tổ chức phải đối mặt với các mối đe dọa mạng mới. Các kẻ tấn công sẽ tìm kiếm các thiết bị dễ bị tổn thương vô tình được kết nối với Internet để sử dụng cho mục đích bất chính, chẳng hạn như đường dẫn vào mạng công ty hoặc cho một bot khác trong mạng bot toàn cầu.

Bảo mật IoT bảo vệ các thiết bị này bằng cách phát hiện và phân loại các thiết bị được kết nối, tự động phân đoạn để kiểm soát các hoạt động mạng và sử dụng IPS làm bản vá ảo để ngăn chặn hành vi khai thác đối với các thiết bị IoT dễ bị tấn công.

6. Application Security

Các ứng dụng web, giống như bất kỳ thứ gì khác được kết nối trực tiếp với Internet, đều là mục tiêu. Kể từ năm 2007, OWASP đã theo dõi 10 mối đe dọa hàng đầu đối với các lỗi bảo mật quan trọng của ứng dụng web chẳng hạn như tấn công injection, bẻ khóa xác thực, cấu hình sai và cross-site scripting, v.v.

Với bảo mật ứng dụng, 10 cuộc tấn công hàng đầu của OWASP có thể bị chặn lại. Bảo mật ứng dụng cũng ngăn chặn các cuộc tấn công của bot và dừng mọi tương tác độc hại với các ứng dụng và API. Với việc học liên tục, các ứng dụng sẽ vẫn được bảo vệ ngay cả khi DevOps phát hành nội dung mới.

7. Zero-Trust

Mô hình bảo mật truyền thống tập trung vào các vành đai, xây dựng các bức tường xung quanh tài sản có giá trị của tổ chức giống như lâu đài. Tuy nhiên, cách tiếp cận này có một số vấn đề, chẳng hạn như khả năng xảy ra các mối đe dọa nội bộ.

Khi các tài sản của công ty di chuyển ra khỏi vùng an toàn như một phần của việc áp dụng đám mây và làm việc từ xa, thì cần có một phương pháp bảo mật mới. Zero Trust sử dụng phương pháp bảo mật chi tiết hơn, bảo vệ các tài nguyên riêng lẻ thông qua sự kết hợp của phân đoạn, giám sát và thực thi các biện pháp kiểm soát truy cập dựa trên vai trò.

3. Phân loại các mối đe dọa mạng

Tội phạm mạng được định nghĩa là bất kỳ hoạt động trái phép nào liên quan đến máy tính, thiết bị hoặc mạng. Có ba cách phân loại tội phạm mạng thường được công nhận: tội phạm do máy tính hỗ trợ, tội phạm mà chính máy tính là mục tiêu và tội phạm mà máy tính là ngẫu nhiên đối với tội phạm hơn là liên quan trực tiếp.

Dưới đây là danh sách các mối đe dọa mạng phổ biến:

Khủng bố mạng: Mối đe dọa này là một cuộc tấn công dựa trên chính trị vào máy tính và công nghệ thông tin để gây hại và tạo ra sự gián đoạn xã hội trên diện rộng.

Phần mềm độc hại: Mối đe dọa này bao gồm phần mềm tống tiền, phần mềm gián điệp, vi rút và sâu máy tính. Nó có thể cài đặt phần mềm có hại, chặn quyền truy cập vào tài nguyên máy tính của bạn, làm gián đoạn hệ thống hoặc bí mật truyền thông tin từ bộ lưu trữ dữ liệu của bạn.

Trojan: Giống như Con ngựa thành Troy huyền thoại trong thần thoại, cuộc tấn công này đánh lừa người dùng nghĩ rằng họ đang mở một tệp vô hại. Thay vào đó, một khi đã có trojan, nó sẽ tấn công hệ thống, thường thiết lập một cửa hậu cho phép tội phạm mạng truy cập.

Botnet: Cuộc tấn công đặc biệt ghê tởm này liên quan đến các cuộc tấn công mạng quy mô lớn được thực hiện bởi các thiết bị bị nhiễm phần mềm độc hại được điều khiển từ xa. Hãy coi nó như một chuỗi máy tính dưới sự kiểm soát của một tội phạm mạng đang điều phối. Tệ hơn nữa, các máy tính bị xâm nhập trở thành một phần của hệ thống botnet.

Phần mềm quảng cáo: Mối đe dọa này là một dạng phần mềm độc hại. Nó thường được gọi là phần mềm hỗ trợ quảng cáo. Vi-rút phần mềm quảng cáo là một chương trình không mong muốn tiềm ẩn (PUP) được cài đặt mà không có sự cho phép của bạn và tự động tạo các quảng cáo trực tuyến không mong muốn.

SQL injection: Một cuộc tấn công Ngôn ngữ truy vấn có cấu trúc sẽ chèn mã độc vào máy chủ sử dụng SQL.

Lừa đảo: Tin tặc sử dụng thông tin liên lạc giả, đặc biệt là e-mail, để đánh lừa người nhận mở nó và làm theo hướng dẫn thường yêu cầu thông tin cá nhân. Một số cuộc tấn công lừa đảo cũng cài đặt phần mềm độc hại.

Tấn công trung gian (Man In The Middle): Các cuộc tấn công MITM liên quan đến việc tin tặc tự đưa mình vào một giao dịch trực tuyến giữa hai người. Sau khi xâm nhập, tin tặc có thể lọc và đánh cắp dữ liệu mong muốn. Các cuộc tấn công MITM thường xảy ra trên các mạng Wi-Fi công cộng không bảo mật.

Từ chối dịch vụ: DoS là một cuộc tấn công mạng làm tràn ngập mạng hoặc máy tính với quá nhiều quy trình “bắt tay”, khiến hệ thống quá tải và khiến hệ thống không thể đáp ứng các yêu cầu của người dùng.

4. Sự cần thiết của một kiến ​​trúc an ninh mạng hợp nhất

Trước đây, các tổ chức có thể sử dụng một loạt các giải pháp bảo mật độc lập được thiết kế để giải quyết các mối đe dọa và trường hợp sử dụng cụ thể. Các cuộc tấn công bằng phần mềm độc hại ít phổ biến hơn và kém tinh vi hơn, đồng thời cơ sở hạ tầng của công ty cũng ít phức tạp hơn.

Ngày nay, các nhóm an ninh mạng thường bị choáng ngợp khi cố gắng quản lý các kiến ​​trúc an ninh mạng phức tạp này. Điều này được gây ra bởi một số yếu tố, bao gồm:

Các cuộc tấn công tinh vi: Các cuộc tấn công mạng hiện đại không còn có thể bị phát hiện bằng các phương pháp kế thừa đối với an ninh mạng. Khả năng hiển thị và điều tra chuyên sâu hơn là cần thiết để xác định các chiến dịch bằng các mối đe dọa liên tục nâng cao (ATP) và các mối đe dọa mạng tinh vi khác.

Môi trường phức tạp: Mạng công ty hiện đại trải dài trên cơ sở hạ tầng tại chỗ và nhiều môi trường đám mây. Điều này làm cho việc giám sát bảo mật nhất quán và thực thi chính sách trên toàn bộ cơ sở hạ tầng CNTT của tổ chức trở nên khó khăn hơn nhiều.

Điểm cuối không đồng nhất: Không còn giới hạn ở máy tính để bàn và máy tính xách tay truyền thống. Sự phát triển của công nghệ và các chính sách mang theo thiết bị của riêng bạn (BYOD) khiến việc bảo mật nhiều loại thiết bị trở nên cần thiết, một số trong đó công ty thậm chí không sở hữu.

Sự trỗi dậy của làm việc từ xa: Ứng phó với đại dịch COVID-19 đã chứng minh rằng các mô hình làm việc từ xa và kết hợp là khả thi đối với nhiều công ty. Giờ đây, các tổ chức cần các giải pháp cho phép họ bảo vệ hiệu quả lực lượng lao động từ xa cũng như nhân viên tại chỗ.

Trong môi trường số hóa ngày nay, bảo vệ thông tin cá nhân và dữ liệu nhạy cảm đang trở thành một nhiệm vụ thiết yếu. Data Masking, một phương pháp quan trọng trong lĩnh vực bảo mật dữ liệu, đã nổi lên như một biện pháp quan trọng để đảm bảo tính riêng tư và an toàn cho dữ liệu. Trong bài viết này, chúng ta sẽ khám phá sâu hơn về khái niệm Data Masking, cùng với các loại hình ứng dụng khác nhau, kỹ thuật điển hình và những thực tiễn tốt nhất liên quan. Bằng cách hiểu rõ về các khía cạnh này, chúng ta có thể xây dựng một cơ sở vững chắc để bảo vệ dữ liệu quan trọng và tuân thủ các quy định bảo mật dữ liệu đang ngày càng chặt chẽ hơn.

Nội dung bài viết :

1. Data Masking là gì ?

Data masking là một phương pháp được sử dụng trong quản lý dữ liệu để bảo vệ thông tin nhạy cảm. Nó liên quan đến việc che giấu thông tin cá nhân, nhạy cảm hoặc quan trọng trong các tập dữ liệu sao cho dữ liệu này vẫn có thể sử dụng cho mục đích phân tích, kiểm thử hoặc phát triển mà không làm lộ ra thông tin nhạy cảm.

Cách thức hoạt động của data masking thường bao gồm việc thay thế, mã hóa hoặc che đi một phần hoặc toàn bộ dữ liệu nhạy cảm bằng dữ liệu giả mạo hoặc dữ liệu đã được biến đổi. Mục tiêu là để người dùng có thể làm việc với dữ liệu mà không thể xác định được thông tin cá nhân hoặc nhạy cảm.

Ví dụ, khi làm việc với dữ liệu thử nghiệm trong môi trường phát triển, bạn có thể sử dụng data masking để che giấu thông tin nhạy cảm như số thẻ tín dụng, thông tin tài khoản ngân hàng, số CMND, v.v. thay vào đó là dữ liệu mẫu hoặc dữ liệu đã được biến đổi mà vẫn giữ nguyên cấu trúc tổng thể của dữ liệu.

Data masking giúp tăng cường bảo mật dữ liệu và đảm bảo rằng dữ liệu nhạy cảm không bị lộ ra ngoài trong quá trình phát triển, kiểm thử hoặc phân tích.

2. Tạ sao Data Masking lại đóng vai trò quan trọng

Trong bối cảnh quy định về bảo vệ và an ninh dữ liệu ngày càng trở nên cấp bách, Data Masking ngày nay đóng một vai trò quan trọng trong việc đáp ứng các yêu cầu bảo mật cốt yếu.

Dưới đây là một số lí do mà Data Masking đã trở thành một yêu cầu chủ yếu đối với nhiều tổ chức:

• Giảm thiểu các mối đe dọa nghiêm trọng như mất dữ liệu, sự rò rỉ dữ liệu, nguy cơ từ người bên trong và tài khoản bị xâm nhập.
• Giảm nguy cơ liên quan đến dữ liệu khi sử dụng đám mây.
• Biến dữ liệu trở thành vô dụng đối với kẻ tấn công, trong khi vẫn giữ nguyên nhiều tính năng cơ bản của dữ liệu.
• Cho phép chia sẻ dữ liệu với người dùng có quyền, chẳng hạn như các nhà kiểm thử và nhà phát triển, mà không tiết lộ dữ liệu sản xuất nhạy cảm.
• Có thể sử dụng để làm sạch dữ liệu. Trong khi việc xóa tệp thông thường vẫn để lại dấu vết dữ liệu trên phương tiện lưu trữ, việc làm sạch thay thế các giá trị cũ bằng những giá trị được che đậy.
• Data Masking là một yêu cầu của nhiều quy định về bảo mật dữ liệu. Ngay cả khi không có sự cố liên quan đến dữ liệu tại tổ chức của bạn, việc tuân thủ các quy định vẫn là điều cần thiết.

3. Một số định dạng Data Masking

• Data Masking: Data masking là một kỹ thuật được sử dụng để bảo vệ thông tin nhạy cảm bằng cách thay thế dữ liệu gốc bằng dữ liệu giả tạo, hoán đổi hoặc ẩn danh. Điều này đảm bảo rằng dữ liệu vẫn hoạt động cho các mục đích khác nhau trong khi giảm nguy cơ tiết lộ thông tin nhạy cảm cho người dùng không được ủy quyền.

• Static Data Masking (SDM): Static data masking liên quan đến việc thay đổi dữ liệu nhạy cảm theo cách không thay đổi và vĩnh viễn. Thông thường, điều này được thực hiện trên một bản sao của dữ liệu gốc. Dữ liệu đã được ẩn danh vẫn giữ định dạng và cấu trúc giống như ban đầu, nhưng thông tin nhạy cảm được thay thế bằng dữ liệu giả tạo có vẻ thực tế. Phương pháp này hữu ích cho mục đích phát triển, kiểm thử và phân tích trong khi duy trì quyền riêng tư của dữ liệu.

• In-Place Masking: In-place masking là quá trình thay đổi dữ liệu nhạy cảm trực tiếp trong môi trường sản xuất mà không tạo ra một bản sao riêng của dữ liệu. Kỹ thuật này yêu cầu thận trọng để đảm bảo quá trình ẩn danh không gây gián đoạn cho hoạt động của các ứng dụng sử dụng dữ liệu.

• On-the-Fly Masking: On-the-fly masking liên quan đến việc áp dụng các kỹ thuật ẩn danh dữ liệu theo thời gian thực khi dữ liệu được truy cập hoặc truy xuất. Điều này đặc biệt hữu ích cho các tình huống khi dữ liệu nhạy cảm cần được bảo vệ trong quá trình sử dụng, chẳng hạn như trong giao tiếp ứng dụng hoặc báo cáo.

• Dynamic Data Masking: Dynamic data masking là một kỹ thuật liên quan đến việc biến đổi dữ liệu theo thời gian thực và có thể đảo ngược vào thời điểm truy vấn dữ liệu. Nó cho phép người dùng được ủy quyền xem dữ liệu gốc, nhưng thông tin nhạy cảm được ẩn danh đối với người dùng không được ủy quyền. Kỹ thuật này thường được sử dụng để bảo vệ dữ liệu trong môi trường sản xuất trong khi duy trì tính toàn vẹn của dữ liệu gốc.

• Synthetic Data Generation: Synthetic data generation liên quan đến việc tạo ra dữ liệu hoàn toàn mới và giả tạo mô phỏng các đặc điểm của dữ liệu thực. Dữ liệu này có thể được sử dụng cho các mục đích khác nhau, bao gồm kiểm thử, huấn luyện mô hình học máy và chia sẻ với bên thứ ba, mà không đặt dữ liệu nhạy cảm thực sự trong tình thế nguy hiểm. Các kỹ thuật tạo dữ liệu giả tạo nhằm duy trì các tính chất thống kê của dữ liệu gốc trong khi đảm bảo không có dữ liệu nhạy cảm thực sự tồn tại.

Những kỹ thuật ẩn danh dữ liệu này đóng vai trò quan trọng trong việc bảo vệ thông tin nhạy cảm và duy trì quyền riêng tư và bảo mật dữ liệu, đặc biệt trong các môi trường cần chia sẻ dữ liệu, phân tích hoặc kiểm thử mà không đặt dấu hỏi cho tính bảo mật của dữ liệu gốc. Mỗi kỹ thuật có ưu điểm và ứng dụng riêng của nó, phụ thuộc vào yêu cầu và ràng buộc cụ thể của tình huống.

4. Các dạng kỹ thuật Data Masking

Có nhiều cách khác nhau để thực hiện Data Masking, bao gồm:

• Xáo trộn (Scrambling): Phương pháp này thực hiện việc hoán đổi hoặc xáo trộn vị trí của các giá trị dữ liệu. Ví dụ, từ “code” có thể được xáo trộn thành “node” trong toàn bộ cơ sở dữ liệu.
• Mã hóa (Encryption): Sử dụng thuật toán mã hóa để biến đổi dữ liệu thành dạng không thể đọc được mà chỉ có thể giải mã bởi người có khóa tương ứng. Đây là một phương pháp phức tạp và an toàn, đặc biệt phù hợp cho dữ liệu tĩnh và bảo mật.
• Thay thế (Substitution): Dữ liệu gốc được thay thế bằng các giá trị giả tạo để làm cho dữ liệu không dễ nhận biết. Ví dụ, tên người có thể được thay thế bằng tên ngẫu nhiên.
• Đặt giá trị thành Rỗng (Nulling Out): Khi không còn cách nào khác hoạt động, phương pháp này đặt giá trị dữ liệu thành giá trị rỗng hoặc không có giá trị. Điều này thường được thực hiện để duy trì tính toàn vẹn của cơ sở dữ liệu.
• Xáo trộn (Shuffling): Khác với thay thế, xáo trộn không thay thế giá trị mà thay đổi vị trí của chúng trong cùng cột dữ liệu. Điều này giúp bảo mật dữ liệu trong khi vẫn duy trì tính toàn vẹn của cơ sở dữ liệu.
• Thay đổi giá trị (Value Variance): Phương pháp này sử dụng các hàm để thay đổi giá trị dữ liệu gốc thành giá trị mới, dựa trên các quy tắc xác định.
• Mã giả danh (Pseudonymization): Dữ liệu gốc được thay thế bằng các giá trị giả danh không liên quan đến cá nhân, nhưng vẫn duy trì tính toàn vẹn của cấu trúc dữ liệu.
• Thay đổi giá trị dữ liệu (Data Ageing): Dữ liệu số được thay thế bằng giá trị trung bình của cột tương ứng. Đây thường được sử dụng để bảo vệ dữ liệu cá nhân trong quá trình phân tích.
• Che dấu (Masking): Dữ liệu bị che khuất bằng cách thêm ký tự hoặc dữ liệu giả vào giữa các giá trị, tạo ra một mức độ bảo mật tương đối.

5. Thực tiễn tốt nhất cho kỹ thuật Data Masking

• Xác định Dữ liệu Nhạy Cảm: Bước đầu tiên trong việc thực hiện Data Masking là xác định các yếu tố dữ liệu nhạy cảm trong hệ thống của tổ chức. Điều này bao gồm thông tin cá nhân có thể nhận biết (PII) như tên, địa chỉ, số an sinh xã hội và thông tin tài chính. Hiểu rõ phạm vi và vị trí của dữ liệu nhạy cảm giúp ưu tiên các nỗ lực về Data Masking.

• Phát Triển Chiến Lược Data Masking: Tổ chức nên xây dựng một chiến lược Data Masking toàn diện, định nghĩa mục tiêu, phạm vi và cách tiếp cận cho việc che khuất dữ liệu. Chiến lược này cần xem xét các yêu cầu và quy định cụ thể áp dụng cho ngành công nghiệp của tổ chức, như GDPR hoặc HIPAA, để đảm bảo tuân thủ.

• Sử Dụng Nhiều Kỹ Thuật Che Khuất Khác Nhau: Tùy thuộc vào tính chất dữ liệu và mục đích sử dụng của dữ liệu che khuất, có thể áp dụng nhiều kỹ thuật che khuất khác nhau. Các kỹ thuật thông dụng bao gồm thay thế (thay thế giá trị gốc bằng giá trị hư cấu), xáo trộn (xáo trộn ngẫu nhiên ký tự hoặc số) và mã hóa (sử dụng thuật toán mã hóa để biến đổi dữ liệu). Kết hợp nhiều kỹ thuật che khuất cải thiện tính bảo mật và tính thực tế của dữ liệu che khuất.

• Bảo Tồn Tính Toàn Vẹn Tham Chiếu: Khi che khuất dữ liệu, duy trì tính toàn vẹn tham chiếu là quan trọng để đảm bảo tính nhất quán và khả năng sử dụng của dữ liệu che khuất. Điều này liên quan đến việc bảo tồn mối quan hệ giữa các yếu tố dữ liệu khác nhau, như ràng buộc khoá ngoại, để tránh làm hỏng chức năng ứng dụng hoặc gây hỏng dữ liệu.

• Kiểm Tra và Xác Nhận Quy Trình Che Khuất: Trước khi triển khai Data Masking trong môi trường sản xuất, cần thực hiện kiểm tra và xác nhận cẩn thận. Điều này giúp đảm bảo rằng các kỹ thuật che khuất được áp dụng tạo ra kết quả mong muốn mà không gây ra không nhất quán hoặc dịch vụ bất thường. Quan trọng là liên kết các bên liên quan từ các nhóm khác nhau, như phát triển, kiểm thử và tuân thủ, để xác nhận hiệu quả của quy trình che khuất.

• Triển Khai Kiểm Soát Truy Cập Dựa Trên Vai Trò: Để tăng cường tính bảo mật dữ liệu, tổ chức nên triển khai kiểm soát truy cập dựa trên vai trò (RBAC) cho dữ liệu đã được che khuất. RBAC đảm bảo chỉ những cá nhân hoặc vai trò được ủy quyền mới có thể truy cập các tập dữ liệu che khuất cụ thể. Điều này giúp ngăn chặn truy cập trái phép vào thông tin nhạy cảm, ngay cả bên trong tổ chức.

• Xem Xét và Cập Nhật Chính Sách Che Khuất Thường Xuyên: Data Masking là một quy trình liên tục đòi hỏi việc xem xét và cập nhật thường xuyên. Khi xuất hiện loại dữ liệu mới hoặc quy định mới, tổ chức nên tái đánh giá chính sách Data Masking của mình và điều chỉnh chúng phù hợp. Các đánh giá và kiểm tra định kỳ về triển khai Data Masking giúp xác định bất kỳ thiếu sót hoặc lỗ hổng nào cần được giải quyết.

• Giám Sát và Ghi Nhật Ký Truy Cập Dữ Liệu: Triển khai cơ chế giám sát và ghi nhật ký mạnh mẽ là rất quan trọng để theo dõi việc truy cập dữ liệu và phát hiện bất kỳ hoạt động đáng ngờ nào. Bằng cách theo dõi nhật ký truy cập, tổ chức có thể phát hiện kịp thời các vi phạm bảo mật tiềm năng hoặc các cố gắng truy cập trái phép. Điều quan trọng là thiết lập giao thức rõ ràng để điều tra và phản ứng đối với bất kỳ sự cố bảo mật nào.