APT là gì? Tiến trình của một cuộc tấn công APT
APT hay Advanced Persistent Threat là thuật ngữ để mô tả một cuộc tấn công kỹ thuật cao, nhằm đánh vào những yếu điểm của hệ thống. Mục tiêu của những cuộc tấn công này thường là các cơ quan an ninh, cơ quan chính phủ và các doanh nghiệp lớn. Bài viết dưới đây từ Bizfly Cloud sẽ giúp bạn đọc có được cái nhìn tổng quan về phương thức tấn công mạng APT cũng như tiến trình của một cuộc tấn công APT.
APT là gì?
APT là tên viết tắt của Advanced Persistent Threat - thuật ngữ rộng dùng để mô tả một chiến dịch tấn công, thường do một nhóm các kẻ tấn công, sử dụng những kỹ thuật tấn công nâng cao để có thể hiện diện và tồn tại lâu dài trên mạng Internet nhằm khai thác dữ liệu có độ nhạy cảm cao.
Theo Bizfly Cloud mục tiêu chính của những vụ tấn công này, thường được lựa chọn và nghiên cứu cẩn thận. Chúng thường bao gồm các doanh nghiệp lớn, các tổ chức an ninh và cơ quan chính phủ. Hậu quả của các cuộc tấn công này rất lớn:
- Bị đánh cắp tài sản trí tuệ (ví dụ: bí mật thương mại hoặc bằng sáng chế…)
- Thông tin nhạy cảm bị xâm nhập (ví dụ: dữ liệu các nhân và nhân viên…)
- Cơ sở hạ tầng quan trọng của tổ chức bị phá hủy (ví dụ: cơ sở dữ liệu, máy chủ quản trị…)
- Chiếm đoạt toàn bộ tên miền của tổ chức
Thực hiện tấn công APT đòi hỏi nhiều tài nguyên hơn tấn công ứng dụng web bình thường. Nhưng kẻ phạm tội thường là những nhóm tội phạm mạng có kinh nghiệm và có hỗ trợ tài chính rất lớn. Một số cuộc tấn công APT còn được chính phủ tài trợ và được sử dụng làm vũ khí chiến tranh mạng.
Các kỹ thuật tấn công phổ biến như: RFI, SQL injection, XSS, lừa đảo thường được các kẻ tấn công sử dụng để thiết lập một chỗ đứng trong mạng mục tiêu. Tiếp theo, mã độc thường được sử dụng để mở rộng phạm vi và duy trì sự hiện diện tại mạng mục tiêu.
Tiến trình của một cuộc tấn công APT
Một cuộc tấn công APT có thể chia thành ba giai đoạn.
Giai đoạn 1: Xâm nhập
Các doanh nghiệp thường bị xâm nhập thông qua các con đường sau: ứng dụng web, tài nguyên mạng và sự bất cẩn của nhân viên. Bắt đầu kẻ tấn công thường cố gắng tải lên các tệp tin độc hại thông qua các lỗ hổng web, ứng dụng mạng hoặc qua kỹ thuật tấn công lừa đảo, đây cũng là các mối đe dọa mà các tổ chức lớn phải đối mặt. Ngoài ra, kẻ tấn công có thể dồng thời thực hiện một cuốc tấn công DDOS chống lại mục tiêu. Điều này thường được dùng để đánh lạc hướng nhân viên quản trị, làm cho họ mất cảnh giác hơn.
Khi đã thâm nhập được vào mạng của mục tiêu, kẻ tấn công nhanh chóng cài đặt một cửa hậu để có thể truy cập dễ dàng hơn, cũng có thể là một mã độc hoạt động ẩn cho phép truy cập từ xa. Mã độc cũng có thể đến từ các loại Trojan được đánh dấu như những phần mềm hợp pháp.
Giai đoạn 2: Mở rộng phạm vi
Sau khi đứng vững trong mạng mục tiêu, kẻ tấn công chuyển sang mở rộng sự hiện diện của họ trong mạng mục tiêu.
Kẻ tấn công sẽ thực hiện rà quét các hệ thống khác trong mạng, thu thập thông tin của các nhân viên, thực hiện phát tán các mã độc để chiếm quyền truy cập vào các dữ liệu nhạy cảm nhất. Bằng cách này, kẻ tấn công có thể thu thập các thông tin kinh doanh quan trọng, bao gồm thông tin về dòng sản phẩm, dữ liệu nhân viên và hồ sơ tài chính.
Tùy thuộc vào mục tiêu tấn công cuối cùng, dự liệu tích lũy có thể được bán cho một công ty cạnh tranh, sửa đổi và phá hủy một dòng sản phẩm của công ty hoặc được sử dụng để chiếm toàn bộ tổ chức. Nếu động lực là phá hoại, giai đoạn này được sử dụng để kiểm soát các chức năng quan trọng và thao tác chúng theo một trình tự để gây ra thiệt hại tối đa. Chắc hạn như việc kẻ tấn công xóa toàn bộ cơ sở dữ liệu của công ty và làm sập hệ thống mạng để kéo dài thời gian khôi phục dữ liệu.
Giai đoạn 3: Khai thác
Trong khi tấn công APT được tiến hành, thông tin bị đánh cắp thường được lưu trữ ở một vị trí an toàn mạng đang bị tấn công. Khi dữ liệu đã được thu thập đủ, kẻ tấn công phải xuất dữ liệu mà không bị phát hiện.
Thông thường, các chiến thuật gây ra các nhiễu loạn được sử dụng để đánh lừa đội ngũ bảo vệ của các công ty để thông tin có thể chuyển được ra ngoài. Điều này có thể xảy ra dưới dạng tấn công DDOS, các cuộc rà quét website và ứng dụng mạng.
Phát hiện và ngăn chặn tấn công APT
Việc phát hiện và ngăn chặn được tấn công APT cần phải có phương pháp tiếp cận nhiều mặt của các nhà quản trị mạng, các nhà cung cấp bảo mật và người dùng cá nhân.
Giám sát đường truyền
Theo dõi lưu lượng truy cập ra và vào được xem là phương pháp tốt nhất để ngăn chặn được việc cài cắm cửa hậu, ngăn chặn việc trích xuất dữ liệu bị đánh cắp. Kiểm tra lưu lượng truy cập trong mạng cũng có thể giúp cảnh báo cho nhân viên an ninh bất kỳ hành vi bất thường nào có liên quan tới các hành vi tấn công.
Một tường lửa ứng dụng web triển khai tại gateway sẽ giúp bảo về các ứng dụng web khỏi các tấn công như RFI, SQL injection… thường được dùng cho việc tiếp cận mạng của tổ chức từ phía kẻ tấn công.
Giám sát lưu lượng nội bộ, như sử dụng một tường lửa sẽ giúp cho quản trị viên xem xét chi tiết cách người dùng tương tác trong mạng của công ty, đồng thời giúp xác định các bất thường về lưu lượng nội bộ.
Whitelist các ứng dụng và tên miền
Whitelist là một các để kiểm soát các tên miền có thể được truy cập từ mạng của công ty, cũng như các ứng dụng có thể được cài đặt bởi nhân viên trong công ty. Đây là một phương pháp hữu ích khác để giảm tỷ lệ thành công của các cuộc tấn công APT bằng cách giảm thiểu bề mặt có thể bị tấn công.
Tuy nhiên, biện pháp bảo mật này không phải là điều dễ dàng, vì ngay cả những tên miền và ứng dụng đáng tin cậy cũng có thể bị xâm nhập.
Để có được whitelist hiệu quả, phải thực thi chính sách cập nhật một cách nghiêm ngặt để đảm bảo người dùng của bạn luôn chạy phiên bản mới nhất của bất kỳ ứng dụng nào xuất hiện trong danh sách.
Kiểm soát truy cập
Đối với kẻ tấn công, các nhân viên thường là điểm yếu nhất và dễ bị tấn công nhất vì:
- Những nhân viên bất cẩn bỏ qua các chính sách an ninh mạng và vô tình cấp quyền truy cập vào các mối đe dọa tiềm ẩn
- Những nhân viên xấu cố ý lạm dụng thông tin người dùng của họ để cấp quyền truy cập vào thủ phạm
- Người dụng bị mất các thông tin mật và các thông tin này được sử dụng bởi các kẻ tấn công
Phát triển chính sách kiểm soát hiệu quả yêu cầu có sự đánh giá toàn diện về mọi nhân viên trong tổ chức – đặc biệt thông tin mà họ truy cập được. Các thông tin quan trọng phải được bảo đảm với xác thực hai yếu tố (2FA). Điều này giúp cho các thông tin quan trọng an toàn hơn.
Các biện pháp khuyến cáo khác
Ngoài các biện pháp trên, đây là những biện pháp thực hành tốt nhất để đảm bảo an toàn mạng của bạn:
- Vá các phần mềm và hệ điều hành nhanh nhất có thể
- Mã hóa các kết nối từ xa để tránh việc bị nghe lén đường truyền
- Có các bộ lọc thư rác và quét virus cho hệ thống mail
- Thực hiện cơ chế ghi nhật ký để giám sát và điều tra.
Theo Bizfly Cloud chia sẻ
>> Có thể bạn quan tâm: Hàng triệu máy tính Mac có nguy cơ bị tấn công bởi lỗ hổng trong EFI Firmware
