Data breach là gì? Chúng ta cần biết gì về rò rỉ dữ liệu để tự bảo vệ thông tin cá nhân tốt nhất?
Rò rỉ dữ liệu hay data breach là mối đe dọa lớn đối với các doanh nghiệp thuộc mọi ngành nghề, mọi quy mô. Chúng ta đều nhận thức rõ về hậu quả của các vụ rò rỉ dữ liệu, nhưng không phải ai cũng trang bị đầy đủ kiến thức để tự bảo vệ mình trước tội phạm mạng. Trong bài viết này, hãy cùng Bizfly Cloud tìm hiểu data breach là gì cũng như cách ngăn chặn rò rỉ dữ liệu để tránh tối thiểu thiệt hại xảy ra.
Data breach là gì?
Data breach (rò rỉ dữ liệu) là việc các dữ liệu và thông tin riêng tư của cá nhân hay doanh nghiệp/tổ chức bị thu thập, lạm dụng một cách bất hợp pháp.
Các vụ rò rỉ dữ liệu có thể đưa các cá nhân hay doanh nghiệp vướng vào rắc rồi pháp lý. Do đó, các công ty kinh doanh trên nền tảng công nghệ cần nâng cao bảo mật và kịp thời phát hiện các lỗ hổng mà tin tặc có thể lợi dụng để đánh cắp dữ liệu. Tuy nhiên, không chỉ từ các cuộc tấn công bên ngoài, doanh nghiệp cũng cần cẩn trọng trong việc quản lý dữ liệu từ bên trong nội bộ.
Một số vụ rò rỉ dữ liệu (data breach) lớn trên thế giới
Vào tháng 9/2018, Facebook đối mặt với sự cố rò rỉ dữ liệu nghiêm trọng nhất từ khi thành lập. Dự tính có khoảng 50 triệu tài khoản có thể bị ảnh hưởng và sau đó, Facebook đã buộc 90 triệu tài khoản đăng xuất và đặt lại mật khẩu. Tin tặc đã lợi dụng lỗ hổng bảo mật từ chế độ "view as" để truy cập vào trang cá nhân của người dùng để thu thập các thông tin về tên, giới tính, quê quán của họ.
Cũng trong năm 2018, hãng hàng không British Airways đã bị hacker tấn công và lấy được thông tin cá nhân và tài chính của hơn 3,8 triệu tài khoản khách hàng. Dữ liệu bị rò rỉ gồm tên, địa chỉ, ID email, và chi tiết thẻ tín dụng về thời gian hết hạn và mật khẩu.
Các giai đoạn diễn ra Data breach
Hầu hết các cuộc rò rỉ dữ liệu (data breach) đều trải qua 4 giai đoạn sau đây:
1. Kẻ tấn công phát hiện ra lỗ hổng bảo mật
Bước đầu tiên của một cuộc rò rỉ dữ liệu (data breach) đó là kẻ tấn công tìm ra điểm xâm nhập tốt nhất cho mục tiêu của chúng. Chúng có thể phát hiện ra các lỗ hổng trong hệ thống bảo mật của mục tiêu (ví dụ: rò rỉ dữ liệu (data breach) Equifax, Capital One).
Tuy nhiên, những kẻ tấn công khai thác lỗ hổng phổ biến nhất là lỗi của con người, chẳng hạn như:
- Gửi email lừa đảo cho nhân viên dưới vỏ bọc của một tổ chức uy tín. Chúng thường yêu cầu thông tin xác thực đăng nhập, giao dịch tài chính hoặc nhấp vào liên kết để tải xuống phần mềm độc hại.
- Thực hiện social engineering qua điện thoại để thu thập thông tin (chẳng hạn như thông tin đăng nhập) giúp kẻ tấn công có được quyền truy cập hệ thống.
- Tìm kiếm thông tin công khai về mục tiêu sẽ giúp cho kẻ tấn công quyền truy cập vào tài khoản. (Ví dụ: một nhân viên mới tự hào đăng ảnh thẻ ID của họ, bao gồm tên đầy đủ và số nhân viên của họ lên Twitter vào ngày đầu tiên đi làm. Thông tin này có thể có giá trị đối với những kẻ tấn công đang phát triển một chiến lược social engineering)
Nhân viên mới đăng công khai thẻ ID trên Twitter (được đăng chéo từ Instagram)
Một khi tin tặc biết được điểm yếu của mục tiêu, chúng sẽ phát triển một chiến lược để tạo ra một điểm xâm nhập ban đầu vào mạng, đó là bước thứ 2.
2. Kẻ tấn công phát triển chiến lược và công cụ
Mục tiêu của bất kỳ chiến lược tấn công nào phần lớn đều giống nhau: giành được quyền truy cập hệ thống. Ở giai đoạn này, kẻ tấn công thường nhắm đến việc lấy thông tin đăng nhập của ai đó vào hệ thống mục tiêu hoặc lây nhiễm phần mềm độc hại vào hệ thống. Các công cụ và kỹ thuật mà kẻ tấn công sử dụng phụ thuộc phần lớn vào thông tin mà chúng có thể thu thập ở bước 1. Tùy thuộc vào chiến lược, có thể phân loại giai đoạn này của rò rỉ dữ liệu (data breach) thành hai loại:
- Các cuộc tấn công dựa trên mạng (Network-based attacks)
- Các cuộc tấn công mạng xã hội (Social attacks)
Trong một cuộc tấn công Network-based, một tin tặc khai thác một lỗ hổng trong bộ công cụ hoặc cơ sở hạ tầng mạng của mục tiêu. Một số cách khai thác phổ biến nhất bao gồm:
- SQL injections
- Firewall exploits
- Session hijacking
- UPnP weaknesses
- Lỗi tích hợp lưu trữ đám mây
Trong một cuộc tấn công social engineering, kẻ tấn công cố gắng lừa một nhân viên để có được quyền truy cập vào mạng mục tiêu, bắt đầu bằng email lừa đảo lừa người đọc nhấp vào liên kết hoặc tải xuống tệp đính kèm bị nhiễm phần mềm độc hại.
3. Kẻ tấn công tung ra các công cụ để lấy dữ liệu và kiểm soát hệ thống
Khi tin tặc có điểm xâm nhập vào hệ thống mục tiêu chúng sẽ thực hiện hành động như: Thu thập thông tin bổ sung về nạn nhân; xâm nhập vào mạng để tìm dữ liệu mục tiêu; Tìm kiếm các cơ hội leo thang… Tin tặc phải che đậy hành động bằng cách:
- Thay đổi các tính năng bảo mật của hệ thống
- Khởi chạy các công cụ truy cập từ xa (RAT)
- Tạo tài khoản hệ thống mới
- Đánh lạc hướng chú ý chẳng hạn như sử dụng một cuộc tấn công DDoS không liên quan đến việc rò rỉ dữ liệu (data breach) đang diễn ra
Thông thường, một tên tội phạm cố gắng giành quyền kiểm soát hệ thống càng lâu càng tốt, đó là lý do tại sao các công cụ ra lệnh và kiểm soát (C2) là lựa chọn phổ biến ở giai đoạn này. Tuy nhiên, một số tin tặc có thể sử dụng cái gọi là chiến lược "sống nhờ đất" dựa hoàn toàn vào các chức năng hệ thống hiện có để duy trì quyền kiểm soát cục bộ. Một khi hacker kiểm soát hệ thống, mục đích là xác định vị trí dữ liệu mục tiêu và nếu chưa có kế hoạch, chúng sẽ tìm cách đánh cắp file tối đa nhất.
4. Kẻ tấn công đạt được mục tiêu cuối cùng
Mục tiêu chủ yếu của giai đoạn này là lọc dữ liệu (còn được gọi là data extrusion hay exportation), một quá trình được cho là khó phát hiện vì nó thường giống với lưu lượng mạng thông thường. Trong quá trình xâm nhập, tin tặc dần dần sao chép dữ liệu đích vào một thư mục ẩn, riêng biệt trên hệ thống; Truyền các tệp bên ngoài mạng của nạn nhân, thường với số lượng nhỏ để tránh bị phát hiện.
Sự phân tâm dành cho DDoS cũng rất phổ biến trong quá trình xâm nhập vì hacker cố gắng chuyển hướng sự chú ý của nhóm bảo mật. Sau khi việc chuyển dữ liệu trái phép xảy ra, hacker đã đánh cắp thành công các file dữ liệu và có thể bán cho người trả giá cao nhất.
Đôi khi nạn nhân không phát hiện ra rò rỉ dữ liệu (data breach) ngay cả sau khi hacker đánh cắp dữ liệu. Trong trường hợp đó, tội phạm thường cố gắng thiết lập APT (advanced persistent threat) trong mạng để luôn cập nhật các tệp mới nhất.
Một số tin tặc không nhằm mục đích lấy cắp dữ liệu và thay vào đó tìm cách mã hóa các tệp nhạy cảm. Sau đó sẽ tiến hành đòi tiền chuộc cho khóa giải mã. Những vi phạm này được gọi là ransomware và là một trong những cuộc tấn công mạng phổ biến và tốn kém nhất mà một công ty có thể gặp phải.
Vậy, các vụ rò rỉ dữ liệu (data breach) diễn ra như thế nào?
Rò rỉ dữ liệu từ nhân viên
Rò rỉ dữ liệu là một vấn đề nghiêm trọng. Tuy nhiên, những nhân viên trong doanh nghiệp/ tổ chức không ý thức được tính chất của nó cũng như trách nhiệm của bản thân trong việc tăng cường an ninh bảo mật. Họ có thể cố ý hoặc vô tình tạo sơ hở cho tin tặc lợi dụng.
Các sơ hở có thể là trả lời email lừa đảo có gắn mã độc, tiết lộ thông tin nhạy cảm khi chia sẻ màn hình với người không thuộc tổ chức, gửi mail hàng loạt trong CC thay vì BCC… hay việc không thường xuyên cập nhật hệ thống, cài đặt mật khẩu yếu và không đặt mật khẩu cho các dữ liệu quan trọng…
Rò rỉ dữ liệu do không kiểm soát phân quyền truy cập
Rò rỉ xuất phát từ nhân sự nội bộ của tổ chức. Như khi nhân viên có thể truy cập vào cơ sở dữ liệu quan trọng mà không được ủy quyền.
Rò rỉ dữ liệu từ ransomware
Ransomware là một phần mềm gián điệp đe dọa an ninh mạng của các tổ chức/doanh nghiệp phát triển nhanh nhất trên toàn cầu. Phần mềm độc hại này sẽ mã hóa tất cả các dữ liệu và tệp trong hệ thống khiến người dùng không thể truy cập được. Để có khóa giải mã, tổ chức phải chuyển tiền cho tin tặc nếu không sẽ bị mất tất cả dữ liệu.
>> Tìm hiểu thêm: Mã độc ransomware chính là mã tống tiền được sử dụng trong vụ tấn công giả mạo Bộ công an
Chúng ta cần làm gì để ngăn chặn rò rỉ thông tin (data breach)?
Không để quá tải dữ liệu
Chúng ta chỉ nên lưu trữ những dữ liệu cần thiết do tình trạng quá tải dữ liệu sẽ tạo ra nhiều lỗ hổng an ninh, tạo sơ hở để tin tặc lợi dụng xâm nhập.
Kiểm soát phân quyền truy cập
Đối với cơ sở dữ liệu chung, cần phân quyền truy cập theo chức vụ, vai trò và nhiệm vụ; thường xuyên kiểm tra để xóa quyền truy cập những người không liên quan hoặc phát hiện sớm nếu có sai sót.
Quản lý nhân viên
Doanh nghiệp cần đưa ra các quy định cụ thể, rõ ràng để đảm bảo các chính sách, tiêu chuẩn bảo mật cho tổ chức. Tổ chức đào tạo, hướng dẫn nâng cao cảnh giác trước các hình thức vi phạm dữ liệu.
Tăng cường biện pháp bảo mật
Doanh nghiệp cần theo dõi và cập nhật các chính sách bảo mật về an ninh mạng để có thể đối phó với các phương thức tấn công mới.
>> Tìm hiểu thêm: Tận dụng tối đa hệ thống bảo mật sẵn có của nhà cung cấp dịch vụ đám mây
Thiết lập mật khẩu mạnh để bảo vệ dữ liệu, đồng thời thường xuyên cập nhật các khóa mã hóa và mật khẩu.
Phần mềm và hệ thống cần được cập nhập liên tục, đặc biệt là các bản vá lỗ hổng từ nhà cung cấp sẽ giúp chúng ta chống lại các cuộc tấn công mạng.
Chúng ta không thể loại bỏ dứt điểm được các vụ đánh cắp dữ liệu nhưng có thể áp dụng nhiều biện pháp để hạn chế sự rò rỉ dữ liệu xảy ra. Từ mỗi cá nhân/người sử dụng đến các doanh nghiệp/tổ chức cần tuân thủ các biện pháp, cùng đề cao tinh thần cảnh giác để kiểm soát an ninh dữ liệu một cách hiệu quả nhất.
Theo Bizfly Cloud chia sẻ
>>Có thể bạn quan tâm: Bạn cần biết những gì về mã hóa dữ liệu để nâng cao bảo mật thông tin trước tin tặc
