Active Directory (AD) đã trở thành một phần quan trọng của hệ thống thông tin của doanh nghiệp. Tuy nhiên, điều này cũng đồng nghĩa với việc nó trở thành một mục tiêu hấp dẫn đối với các kẻ tấn công. Để bảo vệ hệ thống AD khỏi các cuộc tấn công đe dọa an ninh, việc hiểu rõ về các phương thức tấn công phổ biến là điều cực kỳ quan trọng. Trong bài viết này, chúng ta sẽ khám phá “Top 10 phương thức tấn công vào Active Directory hàng đầu” để giúp bạn nhận biết, hiểu và đối phó với những nguy cơ tiềm ẩn. Từ việc khai thác các lỗ hổng bảo mật đến xâm nhập qua các phương pháp xã hội khéo léo, danh sách này sẽ giúp bạn tìm hiểu về những thách thức an ninh mà môi trường AD đang phải đối mặt và cách thức để bảo vệ nó một cách tốt nhất.

Mục lục :

I. Active Directory (AD) là gì ?

II. Các phương pháp tấn công Active Directory phổ biến nhất

III. Cách thức phòng chống tấn công trong môi trường AD

Nội dung bài viết :

I. Active Directory (AD) là gì ?

Active Directory (AD) là một dịch vụ quản lý thư mục và xác thực do Microsoft phát triển, thường được sử dụng trong môi trường hệ thống Windows. Nó được sử dụng để quản lý, tổ chức và lưu trữ thông tin về người dùng, máy tính, tài nguyên mạng và các đối tượng khác trong một mạng doanh nghiệp.

AD hoạt động như một hệ thống thư mục trung tâm, cho phép quản trị viên tạo, cập nhật và xóa thông tin người dùng và tài nguyên trong mạng. Một số chức năng quan trọng của Active Directory bao gồm:

• Xác thực và ủy quyền: AD cho phép người dùng đăng nhập vào hệ thống và truy cập các tài nguyên mạng một cách an toàn thông qua việc xác thực thông tin đăng nhập và quản lý ủy quyền truy cập.
• Quản lý người dùng và nhóm: Quản trị viên có thể tạo và quản lý tài khoản người dùng, cũng như tạo các nhóm để tổ chức người dùng và quản lý quyền truy cập.
• Quản lý máy tính: AD cung cấp khả năng quản lý máy tính trong mạng, cho phép cài đặt và cấu hình từ xa, cập nhật phần mềm, và theo dõi trạng thái của các máy tính.
• Cung cấp dịch vụ: AD cung cấp các dịch vụ như quản lý các máy in, tài liệu, ứng dụng, và các dịch vụ khác trong mạng.
• Bảo mật: Active Directory cung cấp khả năng thiết lập chính sách bảo mật, kiểm soát quyền truy cập và bảo vệ dữ liệu quan trọng trong mạng.

AD đóng vai trò quan trọng trong việc tổ chức và quản lý môi trường mạng doanh nghiệp. Tuy nhiên, do sự quan trọng và nhạy cảm của thông tin được lưu trữ trong AD, nó cũng trở thành một mục tiêu quan trọng đối với các cuộc tấn công và việc bảo vệ AD luôn là một vấn đề quan trọng đối với các tổ chức.

II. Các phương pháp tấn công Active Directory phổ biến nhất

1. Kerberoasting

Các cuộc tấn công Kerberoasting nhằm vào các tài khoản dịch vụ trong Active Directory bằng cách tận dụng thuộc tính SPN (ServicePrincipalName) trên các đối tượng người dùng. Khi các dịch vụ xác thực chính mình, chúng sẽ đăng ký thông tin SPN vào các đối tượng AD. Kẻ tấn công sẽ cố gắng nhắm vào các tài khoản dịch vụ này và thay đổi giá trị SPN để phù hợp với mục đích của họ, đặc biệt khi tài khoản thuộc các nhóm có đặc quyền. Do đó, tổ chức cần liên tục giám sát các đối tượng người dùng để phát hiện các thay đổi không bình thường được thực hiện trên các giá trị SPN. Đồng thời, các tài khoản dịch vụ cần được bảo vệ bằng mật khẩu mạnh để đảm bảo an toàn.

2. Password Spraying

Ở đây, kẻ tấn công tận dụng một danh sách các mật khẩu và các mã băm mật khẩu đã bị xâm nhập trước đó để thử cách đột nhập vào một tài khoản. Vì hầu hết các hệ thống xác thực thường khóa người dùng sau nhiều lần đăng nhập không thành công, kẻ tấn công sẽ thử các sự kết hợp khác nhau của tên người dùng cho đến khi họ tìm thấy một kết quả phù hợp. Tất nhiên, việc đảm bảo nhân viên sử dụng mật khẩu mạnh là một ý tưởng tốt, và khi có khả năng, sử dụng xác thực đa yếu tố để ngăn chặn các cuộc tấn công. Sử dụng một giải pháp duy trì danh sách các mật khẩu và mã băm mật khẩu đã bị xâm nhập trước đó cũng có thể hiệu quả trong việc phát hiện các nỗ lực đăng nhập không bình thường.

3. Local Loop Multicast Name Resolution (LLMNR)

Local Loop Multicast Name Resolution (LLMNR) là một tính năng mạng trong hệ điều hành Windows, đặt Active Directory vào tình trạng nguy cơ. LLMNR cho phép giải quyết tên máy mà không yêu cầu sử dụng máy chủ DNS. Gói tin multicast được phát đi trên mạng, yêu cầu địa chỉ IP của một tên máy cụ thể. Kẻ tấn công có thể ngăn chặn những gói tin này và tuyên bố rằng địa chỉ IP liên kết với tên máy của họ. Tính năng này không cần thiết nếu Hệ thống Tên Miền (DNS) được cấu hình đúng cách. Vì vậy, cách hiệu quả nhất để giảm thiểu nguy cơ này là đơn giản là tắt hoàn toàn LLMNR.

4. Pass-the-hash với Mimikatz

Pass-the-hash là một kỹ thuật được sử dụng để ăn cắp thông tin đăng nhập từ Active Directory và cũng tạo điều kiện cho việc di chuyển ngang qua môi trường. Kẻ tấn công sử dụng một công cụ có tên gọi là Mimikatz, mà khai thác lỗ hổng của giao thức xác thực NTLM để giả mạo một người dùng và trích xuất các băm thông tin đăng nhập từ bộ nhớ. Tổ chức cần đảm bảo rằng các băm của tài khoản có đặc quyền không được lưu trữ tại nơi có thể dễ dàng trích xuất. Họ cũng nên xem xét kích hoạt Bảo vệ LSA và sử dụng chế độ Quản trị Hạn chế cho Remote Desktops (Khoảng mạch quản trị từ xa).

5. Default Credentials

Các công ty thường quên thay đổi mật khẩu mặc định trên các thiết bị/hệ thống, và kẻ tấn công sẽ tìm kiếm những thiết bị/hệ thống này để xâm nhập vào mạng của bạn. Tổ chức phải đảm bảo rằng họ thay đổi mật khẩu mặc định và duy trì một danh sách hàng tồn kho cập nhật về tất cả các thiết bị mạng. Có thể cũng đáng xem xét sử dụng một giải pháp tạo mật khẩu ngẫu nhiên cho người dùng và thiết bị trong doanh nghiệp.

6. Hard-coded Credentials

Trong một số trường hợp, các nhà phát triển phần mềm sẽ nhúng thông tin đăng nhập cứng vào các đoạn mã, điều này một cách rõ ràng là một nguy cơ về bảo mật, đặc biệt là khi thông tin đăng nhập cung cấp quyền truy cập đặc biệt. Các nhà phát triển có thể đã nhúng thông tin đăng nhập cứng vào để kiểm tra chức năng của đoạn mã và sau đó quên loại bỏ chúng. Bất kể nguyên nhân là gì, kẻ tấn công sẽ nỗ lực tìm các đoạn mã chứa thông tin đăng nhập cứng, mà họ có thể tận dụng. Quản trị viên cần luôn chú ý theo dõi tất cả các tài khoản người dùng để đảm bảo rằng chúng được sử dụng đúng mục đích.

7. Privilege Escalation

Kẻ tấn công mạng thường tìm cách truy cập vào các tài khoản người dùng tiêu chuẩn bằng cách khai thác các phương pháp đáng kể của việc sử dụng mật khẩu kém chất lượng. Sau khi họ đã thành công trong việc truy cập, họ sẽ nỗ lực tăng cường đặc quyền của mình thông qua việc áp dụng kỹ thuật xã hội, khai thác lỗ hổng trong phần mềm/phần cứng, sử dụng sai cấu hình, triển khai phần mềm độc hại, và nhiều chiến thuật khác. Tổ chức cần duy trì một danh sách hàng tồn kho cập nhật về những tài khoản nào có quyền truy cập vào nguồn tài nguyên nào, đặc biệt là nguồn tài nguyên quan trọng. Các tài khoản phải được cấp phép với ít đặc quyền cần thiết nhất để thực hiện nhiệm vụ của họ, và mọi hoạt động của các tài khoản có đặc quyền phải được theo dõi liên tục, kèm theo việc gửi cảnh báo thời gian thực tới quản trị viên.

8. LDAP Reconnaissance

Các đối thủ đã thâm nhập vào môi trường Active Directory của bạn có khả năng sử dụng các truy vấn LDAP để thu thập thông tin chi tiết hơn về môi trường đó. Bằng cách áp dụng phương pháp này, họ có thể khám phá danh sách người dùng, nhóm và máy tính, giúp họ lập kế hoạch cho bước tiếp theo. Việc ngăn chặn tình báo LDAP là một nhiệm vụ khó khăn vì hầu hết thông tin trong Active Directory mặc định đều có sẵn cho tất cả người dùng. Do đó, bạn sẽ cần theo dõi sát sao lưu lượng LDAP để phát hiện các hoạt động bất thường và đảm bảo rằng tất cả tài khoản chỉ được cấp quyền truy cập ít nhất cần thiết để thực hiện nhiệm vụ của họ.

9. BloodHound Reconnaissance

BloodHound là một công cụ hỗ trợ cho những kẻ tấn công để xác định và tạo hình hóa các lộ trình tấn công trong môi trường Active Directory. Công cụ này hoạt động bằng cách tạo ra một biểu đồ mô tả máy tính nào có thể được truy cập bởi người dùng nào, cùng với thông tin liên quan đến thông tin đăng nhập người dùng mà có thể bị đánh cắp từ bộ nhớ. Tổ chức cũng có thể sử dụng BloodHound để giúp họ xác định và khắc phục những lỗ hổng trong môi trường của họ, cũng như cung cấp thông tin ý nghĩa về cách gán mức truy cập thích hợp cho người dùng.

10. NTDS.dit Extraction

Bộ điều khiển miền lưu trữ toàn bộ thông tin trong Active Directory trong một tệp được biết đến với tên gọi là ntds.dit .Theo cài đặt mặc định, tệp này được lưu trữ tại đường dẫn: C:\Windows\NTDS. Trong trường hợp một kẻ thù tiếp cận vào hệ thống Active Directory, họ có khả năng truy cập vào tệp ntds.dit hoặc xâm nhập vào giải pháp sao lưu của tổ chức để chiết xuất tệp ntds.dit từ bản sao lưu dự phòng. Để ngăn chặn việc trích xuất tệp ntds.dit, cần hạn chế số lượng tài khoản có khả năng đăng nhập vào bộ điều khiển miền, kiểm soát quyền truy cập vào máy chủ bộ điều khiển vật lý và thực hiện mọi biện pháp cần thiết để tăng cường môi trường Active Directory của bạn.”

III. Cách thức phòng chống tấn công trong môi trường AD

Chống tấn công Active Directory (AD) là một phần quan trọng trong việc bảo vệ hạ tầng mạng và hệ thống thông tin của tổ chức.

Dưới đây là một số phương pháp chính để chống tấn công AD:

• Cập nhật và bảo mật hệ thống:Đảm bảo rằng tất cả các máy chủ và thiết bị trong môi trường AD của bạn đều được cập nhật đầy đủ với các bản vá bảo mật mới nhất. Sử dụng phần mềm bảo mật và tường lửa để ngăn chặn các lỗ hổng bảo mật có thể được tấn công.
• Quản lý quyền truy cập:Thực hiện nguyên tắc nguyên tắc tối thiểu (Principle of Least Privilege – POLP): Cấp quyền truy cập cần thiết để người dùng hoàn thành công việc của họ, không quá quyền truy cập. Đảm bảo rằng các quyền quản trị đặc biệt chỉ được cấp cho người dùng thật sự cần thiết, và không nên sử dụng tài khoản quản trị cho các tác vụ thông thường.
• Kiểm tra xác thực và quản lý mật khẩu: Yêu cầu sử dụng xác thực đa yếu tố (MFA) cho tất cả các tài khoản, đặc biệt là đối với tài khoản quản trị. Áp dụng chính sách mật khẩu mạnh và yêu cầu người dùng thay đổi mật khẩu định kỳ.
• Giám sát và phát hiện Xâm nhập: Thực hiện giám sát liên tục cho các hoạt động trên hệ thống AD để phát hiện sớm các hành vi bất thường. Sử dụng các công cụ giám sát bảo mật để theo dõi các sự kiện quan trọng trên môi trường AD.
• Khả năng phục hồi và sao lưu: Thường xuyên sao lưu dữ liệu AD để đảm bảo khả năng phục hồi sau khi xảy ra sự cố. Lập kế hoạch và thực hiện các kịch bản phục hồi để đảm bảo rằng bạn có khả năng khôi phục lại AD trong trường hợp xấu nhất.
• Đào tạo nhân viên: Đào tạo nhân viên về các nguy cơ bảo mật và cách phát hiện các hành vi đáng ngờ. Khuyến nghị họ thực hiện thực tiễn bảo mật thông tin cá nhân và tài khoản.
• Kiểm tra bảo mật: Thực hiện kiểm tra bảo mật định kỳ để xác định các lỗ hổng tiềm năng trong hệ thống AD của bạn. Kiểm tra bảo mật bao gồm kiểm tra xâm nhập (penetration testing) và kiểm tra kiểm soát bảo mật.
• Phát hiện và ngăn chặn mã độc: Phần mềm antivirus ( như Sophos endpoint, AVG ) có khả năng phát hiện các loại mã độc như vi-rút, sâu, trojan, ransomware và phần mềm gián điệp. Nó có thể ngăn chặn chúng khỏi việc xâm nhập vào hệ thống.

Nhắc đến công nghệ và cuộc sống kỹ thuật số, không thể không nhắc đến Internet và các ứng dụng web. Thế giới ngày nay phụ thuộc nhiều vào các nền tảng web để giao tiếp, làm việc, mua sắm và giải trí. Tuy nhiên, điều quan trọng mà chúng ta không nên lơ là là lỗ hổng bảo mật trên các nền tảng này, khiến chúng ta dễ bị tấn công và mất cắp thông tin quan trọng.

Trong bài viết này, chúng ta sẽ đề cập đến “Top 10 lỗ hổng bảo mật phổ biến trên nền tảng web.” Những lỗ hổng này đã và đang tiềm ẩn trong các ứng dụng web phổ biến và có thể được khai thác bởi các hacker và kẻ xấu để xâm nhập vào hệ thống, tấn công người dùng hoặc lấy cắp thông tin cá nhân.

Nội dung bài viết :

1. Top 10 lỗ hổng bảo mật phổ biến trên các trang web theo OWASP

OWASP là viết tắt của “Open Web Application Security Project,” tổ chức phi lợi nhuận tập trung vào việc nghiên cứu và phân tích vấn đề bảo mật ứng dụng web. OWASP được thành lập từ năm 2001 và đã trở thành một nguồn tài nguyên quan trọng cho cộng đồng bảo mật thông tin và phát triển ứng dụng web.

Mục tiêu chính của OWASP là giúp các chuyên gia bảo mật, nhà phát triển và quản trị viên hiểu rõ hơn về các vấn đề bảo mật phổ biến và cung cấp các hướng dẫn và tài liệu hữu ích để cải thiện bảo mật trong quá trình phát triển ứng dụng web.

Một trong những sản phẩm nổi tiếng nhất của OWASP là danh sách “OWASP Top 10,” được cập nhật định kỳ sau mỗi một thời kỳ thời gian nhất định. Danh sách này liệt kê ra các lỗ hổng bảo mật phổ biến nhất mà các ứng dụng web thường mắc phải. OWASP Top 10 được xem là một tài liệu quan trọng để các nhà phát triển và chuyên gia bảo mật có thể nắm vững các rủi ro bảo mật thường gặp và thực hiện biện pháp phòng ngừa.

1.1 Injection (Tấn công Injection)

Đây là một lỗ hổng nghiêm trọng trong bảo mật ứng dụng web, trong đó kẻ tấn công lợi dụng việc chèn mã độc vào dữ liệu đầu vào của ứng dụng để thực hiện các hành động không mong muốn. Injection thường liên quan đến việc sử dụng các ngôn ngữ truy vấn như SQL, LDAP, XML hoặc các ngôn ngữ khác.

Mô tả: Khi ứng dụng không kiểm tra và xử lý đầu vào đúng cách, kẻ tấn công có thể chèn mã độc vào các trường nhập liệu của ứng dụng. Mã độc này sau đó được thực thi bởi ứng dụng, dẫn đến việc thực hiện các câu truy vấn, thao tác hoặc chức năng không được cho phép.

Các dạng phổ biến của tấn công Injection bao gồm:

• SQL Injection (Tấn công SQL Injection): Kẻ tấn công chèn mã SQL vào các trường đầu vào để thao tác trực tiếp với cơ sở dữ liệu. Điều này có thể dẫn đến việc lấy thông tin, sửa đổi dữ liệu hoặc thậm chí xóa cơ sở dữ liệu.
• LDAP Injection (Tấn công LDAP Injection): Tương tự như SQL Injection, nhưng tấn công này xảy ra khi ứng dụng sử dụng dịch vụ mục (LDAP) để lưu trữ thông tin. Kẻ tấn công có thể kiểm soát truy vấn LDAP để tìm kiếm, truy cập hoặc thay đổi dữ liệu.
• XML Injection (Tấn công XML Injection): Kẻ tấn công chèn mã độc vào các tài liệu XML, có thể gây ra sai sót trong việc phân tích và xử lý dữ liệu XML.

Nguy cơ: Tấn công Injection có thể gây ra nhiều hậu quả nguy hiểm, bao gồm:

• Lấy thông tin nhạy cảm: Kẻ tấn công có thể truy xuất dữ liệu nhạy cảm như tên người dùng, mật khẩu, thông tin thẻ tín dụng.
• Thay đổi dữ liệu: Kẻ tấn công có thể sửa đổi dữ liệu trong cơ sở dữ liệu, ảnh hưởng đến tính toàn vẹn của ứng dụng và thông tin người dùng.
• Tấn công DoS: Tấn công Injection có thể được sử dụng để thực hiện các hành động gây ra tình trạng tấn công từ chối dịch vụ (DoS), làm ngừng hoạt động ứng dụng hoặc hệ thống.
• Thực thi mã từ xa (RCE): Trong trường hợp ứng dụng chạy mã độc nhập vào từ kẻ tấn công, có thể dẫn đến việc thực thi mã từ xa trên máy chủ ứng dụng.

Phòng ngừa: Để ngăn chặn tấn công Injection, cần tuân thủ các nguyên tắc bảo mật sau:

• Kiểm tra và xử lý đầu vào đúng cách: Đảm bảo rằng ứng dụng kiểm tra và xử lý dữ liệu đầu vào của người dùng trước khi sử dụng chúng trong các câu truy vấn hoặc xử lý dữ liệu.
• Sử dụng các biện pháp bảo mật: Sử dụng các biện pháp bảo mật như Prepared Statements cho SQL, sử dụng thư viện an toàn cho các ngôn ngữ truy vấn khác.
• Chặn đầu vào nguy hiểm: Kiểm tra và chặn các đầu vào có dấu hiệu của mã độc hoặc các ký tự đặc biệt.
• Giới hạn quyền truy cập: Đảm bảo rằng các tài khoản người dùng chỉ có quyền truy cập cần thiết và không thể thực hiện các thao tác độc hại.

1.2 Broken Authentication (Sự cố xác thực)

Đây là lỗ hổng bảo mật nghiêm trọng xảy ra khi các chức năng xác thực và quản lý phiên làm việc không được triển khai đúng cách, dẫn đến nguy cơ bị xâm nhập vào hệ thống và truy cập trái phép.

Mô tả: Sự cố xác thực xuất hiện khi ứng dụng không kiểm tra hoặc thiết lập quyền truy cập đúng cách cho người dùng. Điều này có thể dẫn đến việc kẻ tấn công có thể đánh cắp thông tin đăng nhập của người dùng hoặc thậm chí giả mạo họ để truy cập vào các tính năng hoặc dữ liệu quan trọng.

Nguy cơ: Những hậu quả của sự cố xác thực có thể là:

• Lấy cắp thông tin đăng nhập: Kẻ tấn công có thể đánh cắp thông tin đăng nhập của người dùng thông qua các tấn công như tấn công chặn (Brute Force) hoặc tấn công từ điển (Dictionary Attack).
• Giả mạo tài khoản: Kẻ tấn công có thể sử dụng thông tin đăng nhập đánh cắp để giả mạo người dùng hợp lệ và truy cập vào các chức năng, dữ liệu mà họ không nên có quyền truy cập.

Phòng ngừa: Để phòng ngừa sự cố xác thực, cần tuân thủ các biện pháp bảo mật sau:

• Sử dụng xác thực hai yếu tố (2FA): Xác thực hai yếu tố cung cấp một lớp bảo mật bổ sung bằng cách yêu cầu người dùng cung cấp thông tin xác thực bổ sung ngoài thông tin đăng nhập, chẳng hạn như mã xác thực gửi qua điện thoại.
• Sử dụng phiên làm việc an toàn: Đảm bảo rằng việc quản lý phiên làm việc (session) được thực hiện an toàn, bao gồm việc sử dụng mã hóa phiên làm việc và cơ chế đảm bảo tính ngẫu nhiên của ID phiên.
• Kiểm tra quyền truy cập đúng cách: Đảm bảo rằng các chức năng và dữ liệu quan trọng chỉ có thể truy cập bởi những người dùng có quyền hợp lệ, bằng cách kiểm tra và kiểm soát quyền truy cập tại mọi cấp độ.
• Sử dụng thư viện xác thực và phiên làm việc đáng tin cậy: Sử dụng các thư viện, framework hoặc giải pháp xác thực có uy tín và được cộng đồng sử dụng rộng rãi để giảm nguy cơ lỗi mắc phải.
• Đào tạo và giám sát: Đào tạo nhân viên để nhận biết các hành vi bất thường và hướng dẫn họ cách bảo vệ thông tin xác thực. Hãy giám sát hoạt động đăng nhập và sự thay đổi thông tin đăng nhập để phát hiện các hành vi đáng ngờ.

1.3 Sensitive Data Exposure (Rò rỉ dữ liệu nhạy cảm)

Đây là lỗ hổng bảo mật nghiêm trọng xuất hiện khi dữ liệu nhạy cảm không được bảo vệ đúng cách, dẫn đến nguy cơ bị tiết lộ thông tin quan trọng khi bị tấn công.

Mô tả: Rò rỉ dữ liệu nhạy cảm xảy ra khi các ứng dụng không mã hóa hoặc mã hóa không đủ thông tin nhạy cảm như mật khẩu, thông tin thẻ tín dụng, thông tin cá nhân của người dùng trước khi lưu trữ hoặc truyền tải chúng. Kẻ tấn công có thể lợi dụng điều này để đánh cắp thông tin nhạy cảm và sử dụng cho mục đích xấu.

Nguy cơ: Rò rỉ dữ liệu nhạy cảm có thể gây ra các vấn đề nghiêm trọng, bao gồm:

• Đánh cắp thông tin cá nhân: Kẻ tấn công có thể đánh cắp thông tin nhạy cảm của người dùng, bao gồm tên, địa chỉ, số điện thoại, email và các thông tin cá nhân khác.
• Lợi dụng thông tin tài khoản: Kẻ tấn công có thể sử dụng thông tin đăng nhập, mật khẩu và thông tin thẻ tín dụng để tiến hành các tấn công xâm nhập, lừa đảo hoặc chiếm đoạt tài khoản.
• Thiếu uy tín: Rò rỉ dữ liệu có thể gây mất uy tín cho tổ chức, khi thông tin cá nhân của người dùng bị tiết lộ ra ngoài.

Phòng ngừa: Để ngăn chặn rò rỉ dữ liệu nhạy cảm, cần tuân thủ các biện pháp bảo mật sau:

• Mã hóa dữ liệu: Đảm bảo rằng dữ liệu nhạy cảm được mã hóa trước khi lưu trữ hoặc truyền tải, sử dụng các phương thức mã hóa mạnh mẽ như HTTPS cho truyền tải dữ liệu qua mạng.
• Giới hạn quyền truy cập: Đảm bảo rằng chỉ những người dùng có quyền cần thiết mới có thể truy cập vào dữ liệu nhạy cảm. Giới hạn quyền truy cập dựa trên nguyên tắc nguyên tắc “nguyên tắc làm ít” (least privilege principle).
• Lưu trữ an toàn: Lưu trữ dữ liệu nhạy cảm trên các máy chủ an toàn, có hệ thống bảo mật và kiểm tra định kỳ để đảm bảo tính toàn vẹn của dữ liệu.
• Kiểm tra bảo mật: Thực hiện kiểm tra bảo mật thường xuyên để xác định các lỗ hổng và rủi ro liên quan đến dữ liệu nhạy cảm.
• Tuân thủ quy định bảo mật: Đảm bảo rằng tổ chức tuân thủ các quy định về bảo mật dữ liệu, bao gồm các quy định pháp luật như GDPR.

1.4 XML External Entities (XXE)

Đây là một lỗ hổng bảo mật nghiêm trọng trong việc xử lý dữ liệu XML, cho phép kẻ tấn công tải và xử lý dữ liệu không mong muốn hoặc thậm chí kiểm soát hoàn toàn quá trình xử lý XML.

Mô tả: Tấn công XXE xảy ra khi ứng dụng không kiểm tra đúng cách dữ liệu XML đầu vào từ người dùng. Kẻ tấn công có thể chèn các thực thể XML bên ngoài vào tài liệu XML của ứng dụng. Điều này có thể dẫn đến việc tải các tệp từ máy chủ, thực hiện các tác vụ không mong muốn hoặc thậm chí thực thi mã từ xa.

Nguy cơ: Tấn công XXE có thể gây ra các vấn đề nghiêm trọng, bao gồm:

• Rò rỉ thông tin nhạy cảm: Kẻ tấn công có thể truy xuất dữ liệu nhạy cảm bằng cách đọc các tệp trên máy chủ hoặc thực hiện các truy vấn mạng.
• Thực thi mã từ xa (RCE): Kẻ tấn công có thể thực thi mã độc từ xa trên máy chủ bằng cách chèn các thực thể XML độc hại.
• Tấn công denial-of-service (DoS): Kẻ tấn công có thể gây ra tình trạng tấn công từ chối dịch vụ bằng cách tạo ra các tệp XML lớn hoặc truyền tải dữ liệu không mong muốn.

Phòng ngừa: Để ngăn chặn tấn công XXE, cần tuân thủ các biện pháp bảo mật sau:

• Vô hiệu hóa cơ chế thực thể bên ngoài: Tắt hoặc vô hiệu hóa cơ chế xử lý thực thể bên ngoài trong ngữ cảnh xử lý XML.
• Sử dụng bộ phân tích XML an toàn: Sử dụng bộ phân tích XML an toàn và được cập nhật để giảm nguy cơ bị tấn công XXE.
• Chặn dữ liệu đầu vào không đáng tin cậy: Kiểm tra và chặn dữ liệu XML đầu vào không đáng tin cậy, đảm bảo rằng nó không chứa các thực thể XML độc hại.
• Mã hóa dữ liệu nhạy cảm: Mã hóa dữ liệu nhạy cảm trước khi lưu trữ hoặc truyền tải, để ngăn chặn khả năng truy cập thông tin nhạy cảm.

1.5 Broken Access Control (Sự cố kiểm soát quyền truy cập)

“Sự cố kiểm soát quyền truy cập” (Broken Access Control) là một trong “Top 10 lỗ hổng bảo mật phổ biến trên nền tảng web” do OWASP liệt kê. Đây là một lỗ hổng bảo mật nguy hiểm xảy ra khi kiểm soát quyền truy cập vào các tài nguyên và chức năng của ứng dụng không được cài đặt hoặc cấu hình đúng cách.

Mô tả: Sự cố kiểm soát quyền truy cập xảy ra khi người dùng có thể truy cập vào các tài nguyên hoặc thực hiện các chức năng mà họ không nên có quyền truy cập. Điều này có thể xảy ra khi kiểm soát quyền truy cập dựa trên các tham số không đáng tin cậy, không kiểm tra dữ liệu đầu vào, hoặc không xác thực đúng cách.

Nguy cơ: Sự cố kiểm soát quyền truy cập có thể gây ra các vấn đề nghiêm trọng, bao gồm:

• Truy cập trái phép: Người dùng có thể truy cập vào các tài nguyên và chức năng mà họ không nên có quyền truy cập, dẫn đến nguy cơ lợi dụng và xâm nhập vào hệ thống.
• Lộ thông tin nhạy cảm: Người dùng có thể truy cập vào dữ liệu và thông tin nhạy cảm mà họ không nên có quyền truy cập, dẫn đến rò rỉ thông tin.
• Thay đổi dữ liệu không đáng cho phép: Người dùng có thể thay đổi dữ liệu quan trọng mà họ không nên có quyền truy cập, gây ảnh hưởng đến tính toàn vẹn của dữ liệu.

Phòng ngừa: Để ngăn chặn sự cố kiểm soát quyền truy cập, cần tuân thủ các biện pháp bảo mật sau:

• Kiểm tra quyền truy cập đầy đủ: Đảm bảo rằng kiểm soát quyền truy cập được cài đặt đúng cách cho từng người dùng và nhóm người dùng.
• Kiểm tra dữ liệu đầu vào: Kiểm tra và xử lý đúng cách dữ liệu đầu vào để đảm bảo rằng các tham số không thể bị thay đổi để kiếm soát truy cập.
• Kiểm tra ở cả phía máy chủ và phía máy khách: Đảm bảo rằng kiểm soát quyền truy cập được thực hiện cả ở phía máy chủ và phía máy khách để ngăn chặn tấn công từ việc thay đổi dữ liệu trên giao diện người dùng.
• Sử dụng các biện pháp xác thực mạnh mẽ: Sử dụng các phương pháp xác thực như token hợp chuẩn OAuth2 để đảm bảo người dùng chỉ truy cập vào tài nguyên mà họ có quyền.
• Thiết lập kiểm soát quyền truy cập tại mọi cấp độ: Đảm bảo rằng kiểm soát quyền truy cập được thiết lập tại cả mức người dùng, nhóm người dùng và mức tài nguyên.

An ninh dữ liệu ngày càng trở nên quan trọng hơn khi thời gian trôi qua. Khi doanh nghiệp trải qua quá trình biến đổi số, gần như mọi tổ chức lưu trữ thông tin nhạy cảm về khách hàng, nhân viên và nhà cung cấp. Các vụ việc vi phạm dữ liệu không chỉ cung cấp cho hacker quyền truy cập vào thông tin này, mà các biện pháp bảo mật và đào tạo không đủ có thể dẫn đến việc mất dữ liệu cho công ty của bạn.

Dữ liệu có thể bị đánh cắp hoặc mất do hỏng file, sai sót con người, hư hỏng hoặc mất cắp laptop, nhưng có những biện pháp bạn có thể triển khai để bảo vệ dữ liệu của mình. Tiếp tục đọc để hiểu rõ hơn về các yếu tố gây ra mất dữ liệu và cách duy trì an ninh dữ liệu trong công ty của bạn để bảo vệ hệ thống nội bộ khỏi các vụ việc vi phạm dữ liệu tiềm tàng.

Mục lục :

I. Nguyên nhân gây mất dữ liệu

II. Làm sao để hạn chế mất dữ liệu

Nội dung bài viết :

I. Nguyên nhân gây mất dữ liệu

1. Yếu tố con người – Nguyên nhân phổ biến gây mất dữ liệu

• Chia sẽ thông tin mật cho người không có thẩm quyền.
• Vô tình xóa các tập tin quan trọng.
• Gửi dữ liệu quan trọng cho người qua email sai người nhận.
• Mất hoặc bị mất cắp tài liệu chứa thông tin doanh nghiệp.
• Xử lý không đúng cách phần cứng hoặc phần mềm chứa dữ liệu quan trọng.
• Mất hoặc bị đánh cắp máy tính chưa được mã hóa.

2. Do ổ cứng máy tính

Các yếu tố có thể gây ra sự cố phần cứng bao gồm:

• Thiệt hại do yếu tố môi trường: động đất ,bảo lụt ,hỏa hoạn.
• Môi trường quá nóng hoặc ẩm.
• Nguồn điện tăng đột ngột hoặc mất điện.
• Tiếp xúc với từ tính nam châm.
• Sự va chạm,tác động mạnh.
• Tập tin bị nhiễm virus.
• Sửa xóa quá nhiều lần trong thời gian ngắn.

3. Hệ thống bảo mật kém

• Hệ thống bảo mật kém là nguyên nhân chính khiến phần mềm gián điệp và phần mềm độc hại có thể xâm nhập vào hệ thống và gây mất dữ liệu nghiêm trọng. Khi các biện pháp bảo mật không được triển khai đúng mức hoặc không được duy trì thường xuyên, cửa ngõ cho các cuộc tấn công từ hacker và malware trở nên dễ dàng.

• Phần mềm gián điệp có thể lén lút theo dõi và thu thập thông tin quan trọng từ hệ thống, từ đó đe dọa tính bảo mật và riêng tư của dữ liệu. Trong khi đó, phần mềm độc hại có thể xâm nhập và gây hư hại trực tiếp đến dữ liệu, làm hỏng tập tin quan trọng hoặc mã hóa chúng, ngăn bạn không thể truy cập và khôi phục lại thông tin.

• Việc có một hệ thống bảo mật yếu không chỉ tiềm ẩn nguy cơ mất dữ liệu mà còn làm mất lòng tin của khách hàng và đồng nghiệp. Để bảo vệ dữ liệu và hệ thống của mình, việc triển khai và duy trì các biện pháp bảo mật tốt nhất là tối quan trọng. Điều này bao gồm sử dụng phần mềm antivirus, cập nhật hệ thống thường xuyên, hạn chế truy cập từ bên ngoài và nâng cao ý thức bảo mật cho nhân viên. Chỉ thông qua việc đảm bảo an toàn và bảo mật, dữ liệu và hệ thống mới có thể được bảo vệ khỏi các cuộc tấn công nguy hiểm từ phần mềm gián điệp và phần mềm độc hại.

4. Để mất máy tính chứa tài liệu quan trọng

• Mất máy tính chứa tài liệu quan trọng có thể dẫn đến việc mất mát dữ liệu quan trọng của doanh nghiệp. Những tài liệu, tệp tin, hồ sơ khách hàng, thông tin tài chính và bí mật công việc được lưu trữ trên máy tính mất đi, làm mất đi khả năng tiếp cận và sử dụng thông tin quan trọng này.

• Nếu máy tính chứa dữ liệu quan trọng bị đánh cắp hoặc lạc, những kẻ xấu có thể truy cập vào thông tin nhạy cảm của doanh nghiệp. Điều này có thể gây hại đến sự riêng tư của khách hàng, thông tin tài chính, kế hoạch kinh doanh và bí mật công việc của doanh nghiệp.

5. Ổ cứng bị hỏng do nhân viên vô tình làm đổ nước

• Khi ổ cứng bị hỏng do nước, các tập tin và dữ liệu lưu trữ trên đó có thể bị hư hỏng hoặc không thể truy cập. Điều này có thể dẫn đến việc mất toàn bộ thông tin quan trọng, tài liệu công việc, hồ sơ khách hàng và thông tin kinh doanh.

6. Sập nguồn điện đột ngột

• Thiên tai hoặc sự cố với lưới điện có thể dẫn đến mất điện, là một nguyên nhân hàng đầu gây mất dữ liệu. Khi nguồn điện bị tăng vọt hoặc mất điện đột ngột, máy tính có thể bị tắt một cách bất ngờ. Hệ điều hành máy tính rất phức tạp và thường có quy trình tắt máy an toàn để bảo vệ các quy trình và dữ liệu.

• Nếu thiết bị không tắt đúng cách trong trường hợp mất điện, máy tính của bạn có thể gặp sự hỏng hóc và toàn bộ dữ liệu được lưu giữ có thể bị mất mát. Điều này gây ra hậu quả nghiêm trọng cho hoạt động kinh doanh và cá nhân, khi thông tin quan trọng, tài liệu công việc và dữ liệu có thể không thể truy cập hoặc khôi phục lại.

II. Biện pháp ngăn ngừa mất dữ liệu

• Để bảo vệ dữ liệu quan trọng và ngăn ngừa mất dữ liệu không mong muốn, doanh nghiệp cần áp dụng các biện pháp bảo mật chặt chẽ và kế hoạch khắc phục mạnh mẽ. Dưới đây là một số biện pháp hiệu quả để đảm bảo an toàn thông tin và dữ liệu:

1. Kế hoạch khắc phục khi bị mất dữ liệu:

• Xây dựng kế hoạch sẵn sàng và chi tiết để khắc phục và phục hồi dữ liệu khi xảy ra tình huống mất dữ liệu. Điều này bao gồm việc đánh giá các nguy cơ tiềm ẩn và tìm hiểu các nguyên nhân có thể gây mất dữ liệu như virus, lỗi phần mềm, hoặc sự cố với phần cứng. Kế hoạch cũng nên xác định rõ các bước cần thực hiện khi xảy ra tình huống mất dữ liệu, từ việc kiểm tra và xác định nguyên nhân, đến phục hồi từ bản sao lưu hoặc sử dụng các công cụ phục hồi dữ liệu. Ngoài ra, đảm bảo cán bộ IT và nhân viên liên quan được đào tạo về việc triển khai kế hoạch khắc phục, để đảm bảo khả năng ứng phó nhanh chóng và hiệu quả trong trường hợp khẩn cấp.

2. Lập kế hoạch backup dữ liệu thường xuyên

• Để đảm bảo an toàn dữ liệu và giảm thiểu nguy cơ mất dữ liệu, doanh nghiệp nên thiết lập kế hoạch sao lưu dữ liệu thường xuyên. Quá trình sao lưu dữ liệu bao gồm việc tạo bản sao các tập tin và thông tin quan trọng và lưu trữ chúng tại các vị trí an toàn. Kế hoạch backup nên được thực hiện định kỳ, với lịch trình xác định cụ thể, như hàng ngày, hàng tuần hoặc hàng tháng, tùy thuộc vào mức độ quan trọng của dữ liệu.

3. Mã hóa dữ liệu

• Mã hóa dữ liệu là một biện pháp quan trọng để bảo vệ thông tin quan trọng khỏi nguy cơ bị truy cập trái phép và lộ thông tin. Khi dữ liệu được mã hóa, nó sẽ được chuyển đổi thành dạng không đọc được, trừ khi có chìa khóa mã hóa đúng để giải mã. Điều này đảm bảo rằng dữ liệu chỉ có thể được truy cập và đọc bởi những người có quyền truy cập và biết mã hóa.

4. Đặt mật khẩu mạnh cho những tài khoản quan trọng

• Việc sử dụng mật khẩu mạnh cho các tài liệu quan trọng là một biện pháp đơn giản nhưng hiệu quả để bảo vệ thông tin quan trọng khỏi truy cập trái phép. Mật khẩu mạnh nên bao gồm cả chữ hoa, chữ thường, số và ký tự đặc biệt, có độ dài từ 8 đến 16 ký tự, và không nên dễ dàng đoán được. Tránh sử dụng các mật khẩu dễ bị đoán như ngày sinh, tên con cái, hoặc chuỗi ký tự liên tục như “123456” hoặc “password”.

5. Sử dụng phần mềm antivirus

• Cài đặt và sử dụng phần mềm antivirus là một biện pháp quan trọng trong việc bảo vệ hệ thống và dữ liệu khỏi các cuộc tấn công từ phần mềm độc hại và virus. Phần mềm antivirus giúp phát hiện và loại bỏ các chương trình độc hại, mã độc, và spyware có thể gây hại cho hệ thống và ăn cắp thông tin quan trọng.Các hãng như Sophos endpoint,Kaspersky,Avast.

6. Có UPS nguồn điện dự phòng cho server

• Cung cấp nguồn điện ổn định và dự phòng cho server và các thiết bị quan trọng là một biện pháp quan trọng để đảm bảo hoạt động liên tục của hệ thống, ngay cả khi có sự cố với nguồn điện. Uninterruptible Power Supply (UPS) là một thiết bị dự phòng nguồn điện, giúp cung cấp nguồn điện liên tục trong trường hợp xảy ra mất điện đột ngột.

7. Bảo trì thiết bị chứa dữ liệu quan trọng thường xuyên:

• Đảm bảo bảo trì định kỳ và kiểm tra thiết bị lưu trữ chứa dữ liệu quan trọng là một biện pháp quan trọng để đảm bảo tính toàn vẹn và khả năng truy xuất dữ liệu của doanh nghiệp. Thiết bị lưu trữ như ổ cứng, ổ SSD, hay thiết bị lưu trữ đám mây cần được kiểm tra để phát hiện các vấn đề về hiệu suất, lỗi phần cứng hoặc phần mềm.

8. Phân quyền hạn cho nhân viên không có thẩm quyền không được phép truy cập:

• Thực hiện phân quyền hạn chặt chẽ là một biện pháp quan trọng để giới hạn quyền truy cập vào các dữ liệu và hệ thống quan trọng chỉ cho những người có thẩm quyền. Mỗi nhân viên nên chỉ được cấp quyền truy cập vào các dữ liệu và chức năng cần thiết để thực hiện công việc của họ và không được phép truy cập vào các thông tin nhạy cảm hoặc không liên quan.

9. Đào tạo nhân viên có kiến thức về an toàn thông tin:

• Đào tạo nhân viên về an toàn thông tin là một yếu tố cực kỳ quan trọng để nâng cao nhận thức và kiến thức về các mối đe dọa và biện pháp bảo mật trong công việc hàng ngày. Các cuộc tấn công từ phần mềm độc hại, lừa đảo qua email, hay các kỹ thuật tấn công khác có thể rất tinh vi và người sử dụng có thể dễ dàng trở thành “lỗ hổng” cho hacker nếu không được đào tạo đúng cách.

10. Vá lỗi và cập nhật phần mềm:

• Thường xuyên kiểm tra và vá lỗi cho hệ điều hành và phần mềm, đồng thời cập nhật các phiên bản mới nhất để bảo vệ khỏi các lỗ hổng bảo mật.