10 lỗ hổng an ninh mạng hàng đầu năm 2022
Trong an ninh mạng, lỗ hổng bảo mật (vulnerability) là các điểm yếu mà các tội phạm mạng có thể lợi dụng khai thác để truy cập trái phép vào hệ thống máy tính. Sau khi khai thác được lỗ hổng, một cyberattack có thể phát tán các mã độc, cài đặt malware hay thậm chí là đánh cắp các dữ liệu nhạy cảm. Show
Các lỗ hổng bảo mật có thể bị khai thác bằng nhiều phương pháp khác nhau, trong đó có SQL injection, buffer overflow, cross-site scripting (XSS) hay open source exploit kit – tìm kiếm các điểm yếu bảo mật ở trong ứng dụng web. Có nhiều lỗ hổng bảo mật có thể tác động tiêu cực đến phần mềm lớn, khiến nhiều khách hàng sử dụng phần mềm có nguy cơ cao bị vi phạm dữ liệu hay tấn công vào chuỗi cung ứng. Trong đó có zero-day, được MITER đánh giá là một CVE (Common Vulnerability Exposure). Lổ hổng bảo mật là gì?Những cơ quan an ninh mạngLỗ hổng bảo mật có thể được định nghĩa theo nhiều cách khác nhau. Dưới đây là cách một số cơ quan an ninh mạng lớn định nghĩa lỗ hổng bảo mật là gì:
Khi nào thì các lỗ hổng đã biết nên được công khai?Việc công khai về các lỗ hổng bảo mật đã biết là một vấn đề nóng trong lĩnh vực liên quan đến bảo mật. Có hai lựa chọn cho vấn đề này là: Tiết lộ lỗ hổng nhanh chóng, đầy đủCó nhiều chuyên gia an ninh mạng cho rằng nên tiết lộ nhanh chóng các lỗ hổng bảo mật đã biết, bao gồm cả những thông tin cụ thể về cách khai thác các lỗ hổng này. Họ cho rằng việc này giúp phần mềm an toàn hơn và bản vá sẽ được phát hành sớm hơn. Từ đó bảo vệ được phần mềm, ứng dụng, hệ điều hành và cả thông tin. Giới hạn hoặc không công khai lỗ hổngTuy nhiên, cũng có nhiều chuyên gia khác lại cho rằng việc tiết lộ các lỗ hổng bảo mật đã biết là không nên, vì lỗ hổng sau đó có thể bị khai thác. Bên cạnh đó, họ cũng cho rằng giới hạn thông tin cũng giúp giảm nguy cơ bị khai thác lỗ hổng này. Dĩ nhiên, mỗi ý kiến đều có cái lý của riêng nó. Dù vậy, hãy luôn nhận thức được rằng: những kẻ tấn công và cybercriminal hiện nay thường xuyên tìm kiếm các lỗ hổng đã biết và kiểm tra cách để khai thác chúng. Ngày nay, nhiều công ty đã triển khai những nhóm bảo mật nội bộ để kiểm tra bảo mật IT, cùng với những biện pháp bảo mật khác của tổ chức. Tất cả đều nằm trong quy trình đánh giá rủi ro an ninh mạng và quản lý rủi ro thông tin tổng thể của công ty. Sự khác nhau giữa lỗ hổng bảo mật và rủi ro bảo mậtRủi ro an ninh mạng thường được phân loại là một trong số những lỗ hổng bảo mật. Tuy nhiên, về bản chất thì chúng không giống nhau đến như vậy. Nói một cách đơn giản, hãy xem rủi ro bảo mật là xác suất và tác động của một lỗ hổng bảo mật bị khai thác. Nếu tác động và xác suất lỗ hổng bị khai thác thấp, thì rủi ro sẽ thấp. Ngược lại, nếu tác động và xác suất lỗ hổng bị khai thác cao, thì rủi ro bảo mật cũng sẽ cao. Và do đó, có những trường hợp dù tồn tại lỗ hổng, nhưng lại không gây ra rủi ro bảo mật. Một ví dụ đơn giản là khi lỗ hổng nào đó không hề có giá trị đối với doanh nghiệp, tổ chức. Khi nào thì lỗ hổng bảo mật có thể được khai thác?Nếu lỗ hổng bảo mật có ít nhất một vector tấn công đã biết và đang hoạt động thì lỗ hổng đó có thể bị khai thác. “Window of vulnerability” là một thuật ngữ để chỉ khoảng thời gian từ khi lỗ hổng được biết cho đến khi nó đã được vá. Nếu tổ chức có phương pháp bảo mật mạnh, thì tổ chức sẽ ít có lỗ hổng có khả năng bị khai thác hơn. Giả sử, nếu tổ chức được cấu hình bảo mật S3 đúng cách thì khả năng dữ liệu bị rò rỉ sẽ thấp hơn. Tương tự, ta cũng có thể giảm các rủi ro ở bên thứ ba bằng những chiến thuật quản lý rủi ro (third-party risk management và vendor risk management). Zero-day exploit là gì?Zero-day exploit là việc khai thác các lỗ hổng zero-day. Trong đó, một lỗ hổng bảo mật zero-day là một lỗ hổng chưa được xác định, hoặc chưa được khắc phục. Trước khi lỗ hổng được vá, các hacker có thể khai thác nó để gây ảnh hưởng xấu đến chương trình máy tính, kho dữ liệu, máy tính hay mạng. “Day Zero” chính là ngày mà lỗ hổng bảo mật được biết, từ đó thực hiện vá lỗ hổng này để tránh bị khai thác. Nguyên nhân gây ra lỗ hổng bảo mậtCó nhiều nguyên nhân khác nhau có thể dẫn đến những lỗ hổng bảo mật. Trong đó có thể kể đến như:
Quản lý lỗ hổng bảo mật là gì?Quản lý lỗ hổng bảo mậtQuản lý lỗ hổng bảo mật là một hoạt động theo chu kỳ, nhằm xác định, phân loại, khắc phục và giảm thiểu các lỗ hổng. Các giai đoạn quan trọng của việc quản lý là phát hiện lỗ hổng, đánh giá lỗ hổng, và khắc phục lỗ hổng. Một số phương pháp phát hiện lỗ hổng bảo mật là:
Sau khi lỗ hổng được tìm thấy, chúng ta sẽ tiếp tục với bước đánh giá lỗ hổng:
Hiện nay, các cuộc tấn công mạng đang ngày càng phát triển và xuất hiện nhiều hơn. Do đó, việc quản lý các lỗ hổng bảo mật phải liên tục được thực hiện để đảm bảo tổ chức, doanh nghiệp. Quét lỗ hổng bảo mật là gì?Quét lỗ hổng bảo mậtVulnerability scanner là các phần mềm được thiết kế để đánh giá máy tính, mạng và ứng dụng để tìm những lỗ hổng bảo mật đã biết. Các phần mềm này có thể xác định và phát hiện ra những lỗ hổng phát sinh vì cấu hình sai hoặc lập trình không đúng ở trong mạng. Đồng thời cũng có thể thực hiện quét xác thực (authenticated scan) và quét không xác thực (unauthenticated scan):
Sơ lược về PenTestPenetration testing (pen testing hay pentest) là một hoạt động kiểm tra IT asset để tìm ra các lỗ hổng bảo mật mà kẻ tấn công có thể khai thác. Pentest có thể được tự động hòa bằng các phần mềm hoặc thực hiện thủ công. Pentest là gì?Dù bằng cách nào đi chăng nữa, thì mục đích chính của pentest là thu thập thông tin về mục tiêu, xác định các lỗ hổng có thể xảy ra và khai thác chúng để thu thập báo cáo. Bên cạnh đó, pentest cũng có thể được sử dụng để kiểm tra các chính sách bảo mật của tổ chức, sự tuân thủ theo các yêu cầu, nhận thức về an ninh mạng của các nhân viên trong tổ chức. Cùng với đó là khả năng xác định và ứng phó với các sự cố bảo mật của tổ chức. Tìm hiểu về Google hackingTiếp đến, hãy cũng tìm hiểu sơ qua về Google hacking. Thuật ngữ này dùng để chỉ việc sử dụng một công cụ tìm kiếm, chẳng hạn như Google hay Bing để xác định các lỗ hổng bảo mật. Google hacking có thể được thực hiện thông qua việc sử dụng các toán tử tìm kiếm nâng cao trong những truy vấn định vị thông tin khó tìm, hoặc những thông tin vô tình bị lộ do cloud service bị cấu hình sai. Các nhà nghiên cứu bảo mật và những kẻ tấn công thường sử dụng các truy vấn này để định vị những thông tin nhạy cảm. Các lỗ hổng thường được chia thành hai loại như sau:
Do đó, những kẻ tấn công có xu hướng tìm kiếm các cấu hình người dùng không chính xác mà chúng đã biết cách khai thác. Sau đó chỉ cần quét các hệ thống có những lỗ hổng bảo mật đã biết. Để ngăn chặn Google hacking, ta cần đảm bảo mọi dịch vụ cloud đều được cấu hình chính xác. Một khi có bất kỳ thông tin nào bị rò rỉ trên Google, nó sẽ bị công khai nhanh chóng. Cơ sở dữ liệu lỗ hổng bảo mậtCơ sở dữ liệu (CSDL) lỗ hổng bảo mật là một nền tảng có nhiệm vụ thu thập, duy trì và chia sẻ thông tin về các lỗ hổng đã được phát hiện. MITRE hiện đang điều hành CVE và sử dụng điểm CVSS (Common Vulnerability Scroring System) để phản ánh nguy cơ tiềm ẩn mà lỗ hổng bảo mật có thể gây hại cho tổ chức. Danh sách các CVE này chính là nền tảng vững chắc cho nhiều vulnerability scanner. Lợi ích của lỗ hổng trong Cơ sở dữ liệu là nó cho phép các tổ chức phát triển, ưu tiên và thực hiện các bản vá cũng như nhiều biện pháp khác để giảm thiểu và khắc phục những lỗ hổng nghiêm trọng. Một số lỗ hổng phổ biến trong cơ sở dữ liệu:
Một số ví dụ của lỗ hổng bảo mậtCác lỗ hổng bảo mật có thể được phần thành 6 loại chính như sau: 1. Phần cứngPhần cứng nhạy cảm với độ ẩm, bụi, mã hóa kém hoặc do lỗ hổng ở trong firmware. 2. Phần mềmKiểm tra không đầy đủ, thiếu adit, lỗi thiết kế, vi phạm an toàn bộ nhớ (buffer overflow, over-read, dangling pointer), lỗi xác thực input (code injection, XSS, directory traversal, email injection, format string attack, HTTP header injection, HTTP response splitting, SQL injection), sai đặc quyền (clickjacking, cross-site request forgery, FTP bounce attack), race condition – điều kiện thực hiện (symlink races, time-of-check-to-time-of-use bug), side channel attack, timing attack hay lỗi user interface. 3. MạngThường do đường truyền không được bảo đảm, tấn công man-in-the-middle, kiến trúc mạng không an toàn, thiếu xác thực hoặc không chỉnh sửa xác thực mặc định. 4. Nhân sựChính sách tuyển dụng kém, thiếu nhận thức vào đào tạo về bảo mật, tuân thủ bảo mật kém, quản lý mật khẩu không tốt hay do tải phần mềm độc hại qua các file đính kèm trong email. 5. Trang vật lýCác vùng bị ảnh hưởng bởi thiên tai, nguồn điện không đảm bảo hoặc không có keycard. 6. Tổ chứcThiếu kế hoạch audit, bảo mật hoặc ứng phó sự cố. 10 lỗ hổng website phổ biến nhấtTrước hết, Vietnix muốn bạn phân biệt rõ ràng hai thuật ngữ “authorization” (ủy quyền) và “authentication” (xác thực). Có rất nhiều người nhầm lần hai khai niệm nay, thậm chí chúng còn đều được viết tắt thành “auth”, nên vấn đề dường như ngày càng phức tạp hơn. Vì vậy, trước khi tìm hiểu về các lỗ hổng website phổ biến, hãy xác định rõ như sau:
Tóm gọn lại, thì authentication là biết được một thực thể nào đó là ai, còn authorization là biết được thực thể đó có thể làm gì. Bây giờ, hãy cũng tìm hiểu về cách tìm lỗ hổng website, và cách ngăn chặn 10 lỗ hổng website phổ biến nhất hiện nay. 1. Injection flawInjection flaw xuất phát từ một lỗi cổ điển trong việc lọc các input không đáng tin cậy. Lỗi này có thể xảy ra khi chuyển dữ liệu chưa được lọc đến server SQL (SQL injection), đến trình duyệt (XSS), LDAP server (LDAP injection) hay đến bất kỳ đâu. Vấn đề là, các hacker có thể inject lệnh vào trong những thực thể này, từ đó có thể đánh cắp dữ liệu người dùng. Hoặc thậm chí là chiếm quyền điều khiển trình duyệt của client. Mọi thứ mà người dùng nhận được từ các nguồn không đáng tin cậy đều phải được lọc, tốt nhất là theo một whitelist. Ta không nên sử dụng blacklist, vì việc xử lý rất khó, mà lại thường tương đối dễ bypass. Các phần mềm antivirus chủ yếu cung cấp các ví dụ điển hình về lỗi blacklist. Còn pattern machine thì không vận hành được.
Giả sử, ta có một hệ thống với 1.000 input, và việc lọc 999 input là vẫn chưa đủ! Vì vẫn còn một và dù chỉ một input chưa được lọc, vẫn hoàn toàn có khả năng tấn công vào hệ thống. Ngoài ra ta cũng có thêm một truy vấn SQL vào truy vấn khác, nếu Cơ sở dữ liệu đáng tin cậy. Đây được gọi là Second Order SQL injection. Việc lọc là tương đối khó (chẳng hạn như crypto), nhưng tốt nhất thì hãy dựa vào chức năng lọc trong framework của mình. Bởi vì chúng đã được kiểm tra kỹ lưỡng và có thể hoạt động tốt. 2. Broken AuthenticationLỗ hổng này bao gồm việc các lỗi có thể xảy ra ở trong quá trình xác thực, và không hẳn có cùng một nguyên nhân. Dưới đây là một số lý do phổ biến cho lỗi này:
3. Cross-Site Scripting (XSS)Đây là một lỗi khá phổ biến liên quan đến việc xác thực input (về cơ bản thì đây là một trường hợp đặc biệt của lỗi thứ nhất trong bài viết này). Các hacker cung cấp cho ứng dụng web các JavaScript tag trong input, khi input này được trả lại người dùng mà không được xác thực, trình duyệt sẽ thực thi nó. Cách ngăn chặn: Có một giải pháp bảo mật web tương đối đơn giản là: không gửi lại HTML tag cho client. Ngoài ra, việc này còn giúp chống lại HTML injection – một loại tấn công mà hacker sẽ đưa HTML content, tương đối khó chịu dù ảnh hưởng đến trang web là không quá
lớn. Thông thường, giải pháp đơn giản là chuyển đổi tất cả thực thể HTML, chẳng hạn như 4. Tham chiếu đối tượng trực tiếp không an toànLỗi này xảy ra chủ yếu do quá tin tưởng vào input của người dùng, và cái giá phải trả là một lỗ hổng bảo mật trong website. Tham chiếu đối tượng trực tiếp là khi có một đối tượng ở trong, như file hay key Cơ sở dữ liệu được expose cho người dùng. Khi đó, hacker có thể cung cấp tham chiếu này, và nếu không có ủy quyền thì chúng có thể truy cập vào hệ thống. Giả sử ta có một module download.php, cho phép người dùng download các file , sử dụng tham số CGI để chỉ định tên file (như download.php?file=vietnix.txt). Nếu developer bỏ qua authorization khỏi code, các hacker có thể dùng nó để download mọi file hệ thống mà người dùng chạy PHP có quyền truy cập. Chẳng hạn như code ứng dụng hay những bản sao lưu,… Cách ngăn chặn: Ủy quyền cho người dùng đúng cách và nhất quán, đồng thời whitelist các lựa chọn. Ngoài ra, ta cũng có thể ngăn chặn bằng cách lưu trữ dữ liệu ở trong, không phụ thuộc vào việc nó được truyền từ client thông qua tham số CGI. Hầu hết các biến session trong framework đều phù hợp cho mục đích này. 5. Cấu hình bảo mật không chính xácThành thật mà nói, có lẽ số lượng web server và ứng dụng bị cấu hình sai còn nhiều hơn là số lượng được cấu hình chính xác. Sau đây là một số ví dụ phổ biến:
Cách ngăn chặn: Xây dựng một process “build and deploy” tốt (nên được tự động hóa) để có thể chạy các test khi deploy. 6. Phơi nhiễm dữ liệu nhạy cảmLỗ hổng bảo mật này chủ yếu liên quan đến cypto và bảo vệ tài nguyên. Những dữ liệu nhạy cảm nên được mã hóa mọi lúc, kể cả khi ở trong lưu thông hay không. Đồng thời, thông tin thẻ tín dụng và mật khẩu người dùng cũng cần phải được mã hóa, trong đó mật khẩu nên được hash. Hiển nhiên, thuật toán crypto/hashing cần phải đủ mạnh, nếu băn khoăn thì hãy lựa chọn AES (trên 256 bit) và RSA (2048 bit trở lên). Và dĩ nhiên, session ID cũng với dữ liệu nhạy cảm không được di chuyển ở trong URL, đồng thời cookies nhạy cảm cũng cần có secure flag. Cách ngăn chặn:
7. Thiếu kiểm soát truy cập cấp chức năngĐây đơn giản chỉ là một lỗi ủy quyền. Nó xảy ra khi một hàm được gọi ở trên server nhưng việc cấp quyền thích hợp không được thực hiện. Phần lớn các developer dựa vào việc phía server đã có sẵn user interface (UI), và họ nghĩ rằng các chức năng không được cung cấp bởi server thì client cũng chẳng thể truy cập được. Thật ra, sự việc không đơn giản như vậy, vì kẻ tấn công luôn có thể giả mạo các request với chức năng “ẩn” và không hề bị cản trở khi các chức năng không thể truy cập bởi UI. Hãy tưởng tượng việc này giống như chúng ta có một
8. Cross Site Request Forgery (CSRF)Đây là một ví dụ điển hình của deputy attack. Trong đó, trình duyệt bị một số bên thứ ba khác lừa sử dụng sai quyền hạn của mình. Chẳng hạn như một trang web của bên thứ ba có thể thao túng cho trình duyệt của người dùng lạm dụng quyền của mình, nhằm thực hiện những việc có lợi cho kẻ tấn công. Đối với CSRF, trang web của bên thứ ba sẽ đưa ra các request đến trang web đích (chẳng hạn như ngân hàng của người dùng) bằng trình duyệt với cookies/session của người dùng đó. Nếu đã đăng nhập vào tab của homepage ngân hàng đó, và tab này có thể bị tấn công, thì tab khác có thể làm cho trình duyệt sử dụng sai thông tin đăng nhập. Trong ví dụ này, deputy là trình duyệt sử dụng sai quyền của mình (session cookies) để thực hiện những việc mà hacker yêu cầu. 9. Sử dụng những thành phần có lỗ hổng bảo mật đã biếtVấn đề này có thể được xem là lỗi bảo trì/triển khai. Trước khi kết hợp code mới, hay nghiên cứu và kiễm tra kỹ càng. Việc sử dụng các code từ một người ngẫu nhiên nào đó trên GitHub hay các forum nào đó có thể thuận tiện, nhưng cũng tiềm tàng nguy cơ chứa những lỗ hổng bảo mật website nghiêm trọng. Sau khi ứng dụng đã được triển khi, việc phát triển vẫn phải tiếp diễn. Cần có tài liệu, test, và kế hoạch duy trì, cập nhật ứng dụng. Đặc biệt là khi nó có các thành phần của bên thứ 3 hoặc mã nguồn mở. Cách ngăn chặn:
10. Chuyển hướng và chuyển tiếp chưa được xác thựcLại là một vấn đề nữa liên quan đến việc lọc các input. Giả sử rằng trang web đích có một module Bên cạnh đó, việc nhồi nhét input do người dùng xác định vào một HTTP header cũng có thể dẫn đến header injection. Cách khắc phục:
Lời kếtVietnix vừa chia sẻ những lổ hỗng bảo mật và cách phòng chống, hy vọng qua bài viết này bạn có thêm nhiều kiến thức hữu ích và có thể ứng dụng những kiến thức này để nâng cao bảo mật dữ liệu cá nhân của bạn một cách an toàn và hiệu quả, chúc bạn thành công! Mặc dù các điều khoản đe dọa bảo mật, sự kiện bảo mật và sự cố bảo mật có liên quan, nhưng trong thế giới an ninh mạng, các mối đe dọa bảo mật thông tin này có ý nghĩa khác nhau. Mối đe dọa bảo mật là một hành động độc hại nhằm mục đích tham nhũng hoặc đánh cắp dữ liệu hoặc phá vỡ các hệ thống của tổ chức hoặc toàn bộ tổ chức. Một sự kiện bảo mật đề cập đến sự xuất hiện trong đó dữ liệu của công ty hoặc mạng của nó có thể đã được phơi bày. Và một sự kiện dẫn đến vi phạm dữ liệu hoặc mạng được gọi là sự cố bảo mật. Khi các mối đe dọa an ninh mạng tiếp tục phát triển và trở nên tinh vi hơn, doanh nghiệp phải vẫn cảnh giác khi bảo vệ dữ liệu và mạng của họ. Để làm điều đó, trước tiên họ phải hiểu các loại mối đe dọa bảo mật mà họ đang chống lại. Dưới đây là 10 loại mối đe dọa bảo mật thông tin mà các nhóm CNTT cần biết. 1. Các mối đe dọa nội bộMột mối đe dọa nội bộ xảy ra khi các cá nhân gần với một tổ chức đã ủy quyền truy cập vào mạng của mình cố tình hoặc vô tình sử dụng sai để truy cập vào ảnh hưởng tiêu cực đến dữ liệu hoặc hệ thống quan trọng của tổ chức. Nhân viên bất cẩn không tuân thủ các quy tắc và chính sách kinh doanh của tổ chức của họ gây ra các mối đe dọa nội bộ. Ví dụ: họ có thể vô tình gửi email dữ liệu khách hàng đến các bên ngoài, nhấp vào liên kết lừa đảo trong email hoặc chia sẻ thông tin đăng nhập của họ với những người khác. Các nhà thầu, đối tác kinh doanh và nhà cung cấp bên thứ ba là nguồn gốc của các mối đe dọa nội bộ khác. Một số người trong cuộc cố ý bỏ qua các biện pháp bảo mật vì sự thuận tiện hoặc cố gắng không được xem xét để trở nên hiệu quả hơn. Những người trong cuộc độc hại cố tình trốn tránh các giao thức an ninh mạng để xóa dữ liệu, đánh cắp dữ liệu để bán hoặc khai thác sau đó, phá vỡ hoạt động hoặc gây hại cho doanh nghiệp.
Ngăn chặn các mối đe dọa nội bộ Danh sách những điều mà các tổ chức có thể làm để giảm thiểu các rủi ro liên quan đến các mối đe dọa nội bộ bao gồm các vấn đề sau:
2. Virus và giunVirus và giun là các chương trình phần mềm độc hại (phần mềm độc hại) nhằm mục đích phá hủy các hệ thống, dữ liệu và mạng của tổ chức. Virus máy tính là một mã độc hại sao chép bằng cách sao chép chính nó sang một chương trình, hệ thống hoặc tệp máy chủ khác. Nó vẫn không hoạt động cho đến khi ai đó cố ý hoặc vô tình kích hoạt nó, lây lan nhiễm trùng mà không có kiến thức hoặc sự cho phép của người dùng hoặc quản trị hệ thống. Một con sâu máy tính là một chương trình tự sao chép không phải tự sao chép vào chương trình máy chủ hoặc yêu cầu sự tương tác của con người để lan truyền. Chức năng chính của nó là lây nhiễm các máy tính khác trong khi vẫn hoạt động trên hệ thống bị nhiễm bệnh. Những con giun thường lan truyền bằng cách sử dụng các bộ phận của một hệ điều hành tự động và vô hình cho người dùng. Khi một con sâu đi vào một hệ thống, nó ngay lập tức bắt đầu tự sao chép, lây nhiễm cho máy tính và mạng không được bảo vệ đầy đủ. Ngăn chặn virus và giun Để giảm nguy cơ các loại mối đe dọa bảo mật thông tin này do virus hoặc giun gây ra, các công ty nên cài đặt phần mềm chống vi -rút và phần mềm chống phần mềm trên tất cả các hệ thống và thiết bị được nối mạng của họ và giữ cho phần mềm đó được cập nhật. Ngoài ra, các tổ chức phải đào tạo người dùng không tải xuống tệp đính kèm hoặc nhấp vào liên kết trong email từ những người gửi không xác định và để tránh tải xuống phần mềm miễn phí từ các trang web không đáng tin cậy. Người dùng cũng nên rất thận trọng khi họ sử dụng dịch vụ chia sẻ tệp P2P và họ không nên nhấp vào quảng cáo, đặc biệt là quảng cáo từ các thương hiệu và trang web không quen thuộc. 3. BotnetBotnet là một tập hợp các thiết bị kết nối Internet, bao gồm PC, thiết bị di động, máy chủ và thiết bị IoT bị nhiễm và điều khiển từ xa bởi một loại phần mềm độc hại chung. Thông thường, phần mềm độc hại botnet tìm kiếm các thiết bị dễ bị tổn thương trên internet. Mục tiêu của diễn viên đe dọa tạo ra botnet là lây nhiễm càng nhiều thiết bị được kết nối càng tốt, sử dụng sức mạnh tính toán và tài nguyên của các thiết bị đó cho các tác vụ tự động thường được ẩn đối với người dùng của thiết bị. Các tác nhân đe dọa-thường là tội phạm mạng-kiểm soát các botnet này sử dụng chúng để gửi thư rác email, tham gia vào các chiến dịch gian lận nhấp chuột và tạo lưu lượng truy cập độc hại cho các cuộc tấn công từ chối dịch vụ phân tán. Ngăn chặn botnet Các tổ chức có một số cách để ngăn ngừa nhiễm trùng botnet:
4. Các cuộc tấn công tải xuống lái xeTrong một cuộc tấn công tải xuống lái xe, mã độc được tải xuống từ một trang web thông qua trình duyệt, ứng dụng hoặc hệ điều hành tích hợp mà không có sự cho phép hoặc kiến thức của người dùng. Người dùng không phải nhấp vào bất cứ điều gì để kích hoạt tải xuống. Chỉ cần truy cập hoặc duyệt một trang web có thể bắt đầu tải xuống. Cybercriminals có thể sử dụng các bản tải xuống lái xe để tiêm Trojans, đánh cắp và thu thập thông tin cá nhân cũng như giới thiệu bộ dụng cụ khai thác hoặc phần mềm độc hại khác vào các điểm cuối. Ngăn chặn các cuộc tấn công tải xuống lái xe Một trong những cách tốt nhất mà một công ty có thể ngăn chặn các cuộc tấn công tải xuống lái xe là thường xuyên cập nhật và vá các hệ thống với các phiên bản mới nhất của phần mềm, ứng dụng, trình duyệt và hệ điều hành. Người dùng cũng nên được cảnh báo tránh xa các trang web không an toàn. Cài đặt phần mềm bảo mật tích cực quét các trang web có thể giúp bảo vệ các điểm cuối khỏi các bản tải xuống lái xe. 5. Các cuộc tấn công lừa đảoCác cuộc tấn công lừa đảo là một loại mối đe dọa bảo mật thông tin sử dụng kỹ thuật xã hội để lừa người dùng phá vỡ các hoạt động bảo mật thông thường và từ bỏ thông tin bí mật, bao gồm tên, địa chỉ, thông tin đăng nhập, số an sinh xã hội, thông tin thẻ tín dụng và thông tin tài chính khác. Trong hầu hết các trường hợp, tin tặc gửi email giả trông như thể họ đến từ các nguồn hợp pháp, như tổ chức tài chính, eBay, paypal - và thậm chí là bạn bè và đồng nghiệp. Trong các cuộc tấn công lừa đảo, tin tặc cố gắng khiến người dùng thực hiện một số hành động được đề xuất, chẳng hạn như nhấp vào liên kết trong các email đưa họ đến các trang web gian lận yêu cầu thông tin cá nhân hoặc cài đặt phần mềm độc hại trên thiết bị của họ. Mở tệp đính kèm trong email cũng có thể cài đặt phần mềm độc hại trên các thiết bị của người dùng được thiết kế để thu hoạch thông tin nhạy cảm, gửi email đến danh bạ của họ hoặc cung cấp quyền truy cập từ xa vào thiết bị của họ. Ngăn chặn các cuộc tấn công lừa đảo Các doanh nghiệp nên đào tạo người dùng không tải xuống tệp đính kèm hoặc nhấp vào liên kết trong email từ những người gửi không xác định và tránh tải xuống phần mềm miễn phí từ các trang web không đáng tin cậy. 6. Các cuộc tấn công từ chối dịch vụ phân tán (DDoS)Trong một cuộc tấn công từ chối dịch vụ phân tán (DDoS), nhiều máy bị xâm phạm tấn công một mục tiêu, chẳng hạn như máy chủ, trang web hoặc tài nguyên mạng khác, làm cho mục tiêu hoàn toàn không thể hoạt động. Lũ lụt của các yêu cầu kết nối, tin nhắn đến hoặc các gói bị dị tật buộc hệ thống mục tiêu phải chậm lại hoặc gặp sự cố và đóng cửa, từ chối dịch vụ cho người dùng hoặc hệ thống hợp pháp. Ngăn chặn các cuộc tấn công DDoS Để giúp ngăn chặn các cuộc tấn công DDoS, các công ty nên thực hiện các bước sau:
7. RansomwareTrong một cuộc tấn công ransomware, máy tính của nạn nhân bị khóa, thường là bằng cách mã hóa, giúp nạn nhân không sử dụng thiết bị hoặc dữ liệu được lưu trữ trên đó. Để lấy lại quyền truy cập vào thiết bị hoặc dữ liệu, nạn nhân phải trả cho hacker một khoản tiền chuộc, thường bằng một loại tiền ảo như bitcoin. Ransomware có thể được lan truyền thông qua các tệp đính kèm email độc hại, ứng dụng phần mềm bị nhiễm, các thiết bị lưu trữ bên ngoài bị nhiễm bệnh và các trang web bị xâm phạm. Bạn đã bị hackNgăn chặn ransomware Để bảo vệ chống lại các cuộc tấn công ransomware, người dùng nên thường xuyên sao lưu các thiết bị điện toán của họ và cập nhật tất cả các phần mềm, bao gồm cả phần mềm chống vi -rút. Người dùng nên tránh nhấp vào liên kết trong email hoặc mở tệp đính kèm email từ các nguồn không xác định. Nạn nhân nên làm mọi thứ có thể để tránh trả tiền chuộc. Các tổ chức cũng nên kết hợp một tường lửa truyền thống chặn truy cập trái phép vào máy tính hoặc mạng với chương trình lọc nội dung web và tập trung vào các trang web có thể giới thiệu phần mềm độc hại. Ngoài ra, giới hạn dữ liệu mà một tội phạm mạng có thể truy cập bằng cách tách mạng thành các khu vực riêng biệt, mỗi vùng yêu cầu thông tin khác nhau. 8. Khai thác bộ dụng cụBộ công cụ khai thác là một công cụ lập trình cho phép một người không có kinh nghiệm viết mã phần mềm để tạo, tùy chỉnh và phân phối phần mềm độc hại. Các bộ dụng cụ khai thác được biết đến bằng nhiều tên khác nhau, bao gồm Bộ nhiễm trùng, Bộ đồ trang phục, Bộ công cụ tấn công DIY và Bộ công cụ phần mềm độc hại. Cybercriminals sử dụng các bộ công cụ này để tấn công các lỗ hổng của hệ thống để phân phối phần mềm độc hại hoặc tham gia vào các hoạt động độc hại khác, chẳng hạn như ăn cắp dữ liệu của công ty, khởi động các cuộc tấn công dịch vụ từ chối hoặc xây dựng botnet. Ngăn chặn các bộ dụng cụ khai thác Để bảo vệ chống lại các bộ dụng cụ khai thác, một tổ chức nên triển khai phần mềm Antimalware cũng như chương trình bảo mật liên tục đánh giá xem các biện pháp kiểm soát bảo mật của nó có hiệu quả và bảo vệ chống lại các cuộc tấn công hay không. Các doanh nghiệp cũng nên cài đặt các công cụ antiphishing vì nhiều bộ dụng cụ khai thác sử dụng các trang web lừa đảo hoặc bị xâm nhập để thâm nhập mạng. 9. Các cuộc tấn công đe dọa dai dẳng tiên tiếnMột mối đe dọa dai dẳng (APT) tiên tiến là một cuộc tấn công mạng được nhắm mục tiêu, trong đó một kẻ xâm nhập trái phép xâm nhập vào một mạng lưới và vẫn không bị phát hiện trong một thời gian dài. Thay vì gây thiệt hại cho hệ thống hoặc mạng, mục tiêu của một cuộc tấn công APT là giám sát hoạt động mạng và đánh cắp thông tin để có quyền truy cập, bao gồm các bộ dụng cụ khai thác và phần mềm độc hại. Các tội phạm mạng thường sử dụng các cuộc tấn công APT để nhắm mục tiêu các mục tiêu có giá trị cao, chẳng hạn như các doanh nghiệp lớn và quốc gia, đánh cắp dữ liệu trong một thời gian dài. Ngăn chặn các cuộc tấn công APT Phát hiện sự bất thường trong dữ liệu bên ngoài có thể là cách tốt nhất để các quản trị viên hệ thống xác định xem mạng của họ có được nhắm mục tiêu hay không. Các chỉ số của APT bao gồm những điều sau:
Để chống lại loại mối đe dọa bảo mật thông tin này, một tổ chức cũng nên triển khai một tường lửa phần mềm, phần cứng hoặc đám mây để bảo vệ chống lại các cuộc tấn công APT. Các tổ chức cũng có thể sử dụng tường lửa ứng dụng web để phát hiện và ngăn chặn các cuộc tấn công đến từ các ứng dụng web bằng cách kiểm tra lưu lượng truy cập HTTP. 10. Mất thầnMalvertising là một kỹ thuật tội phạm mạng sử dụng để đưa mã độc vào mạng quảng cáo trực tuyến hợp pháp và các trang web. Mã này thường chuyển hướng người dùng đến các trang web độc hại hoặc cài đặt phần mềm độc hại trên máy tính hoặc thiết bị di động của họ. Máy của người dùng có thể bị nhiễm bệnh ngay cả khi họ không nhấp vào bất cứ điều gì để bắt đầu tải xuống. Cybercriminals có thể sử dụng malvertising để triển khai nhiều phần mềm độc hại kiếm tiền, bao gồm các kịch bản tiền điện tử, ransomware và Trojans ngân hàng. Một số trang web của các công ty nổi tiếng, bao gồm Spotify, New York Times và Sở giao dịch chứng khoán Luân Đôn, đã vô tình hiển thị quảng cáo độc hại, khiến người dùng gặp rủi ro. Ngăn chặn sự bất thường Để ngăn chặn sự bất thường, các mạng quảng cáo nên thêm xác thực; Điều này làm giảm cơ hội mà người dùng có thể bị xâm phạm. Xác nhận có thể bao gồm: kiểm tra khách hàng tiềm năng bằng cách yêu cầu giấy tờ kinh doanh hợp pháp; Xác thực hai yếu tố; Quét quảng cáo tiềm năng cho nội dung độc hại trước khi xuất bản quảng cáo; hoặc có thể chuyển đổi quảng cáo flash thành GIF hoạt hình hoặc các loại nội dung khác. Để giảm thiểu các cuộc tấn công của Malvertising, máy chủ web nên định kỳ kiểm tra trang web của họ từ một hệ thống chưa được trang bị và giám sát hệ thống đó để phát hiện bất kỳ hoạt động độc hại nào. Các máy chủ web nên vô hiệu hóa bất kỳ quảng cáo độc hại. Để giảm nguy cơ tấn công Malvertising, các nhóm bảo mật doanh nghiệp nên chắc chắn giữ cho phần mềm và các bản vá được cập nhật cũng như cài đặt các công cụ phần mềm chống phần mềm mạng. 10 lỗ hổng hàng đầu là gì?OWASP 10 lỗ hổng hàng đầu.. Mũi tiêm. Tiêm xảy ra khi kẻ tấn công khai thác mã không an toàn để chèn (hoặc tiêm) mã của chính họ vào một chương trình. .... Xác thực bị hỏng. .... Tiếp xúc dữ liệu nhạy cảm. .... Các thực thể bên ngoài XML. .... Kiểm soát truy cập bị hỏng. .... Cấu hình sai bảo mật. .... Kịch bản chéo trang. .... Hút thuốc không an toàn .. 10 lỗ hổng top OWASP cho năm 2022 là gì?10 lỗ hổng hàng đầu cho năm 2022.. Mũi tiêm. .... Thiết kế không an toàn. .... Cấu hình sai bảo mật. .... Các thành phần dễ bị tổn thương và lỗi thời. .... Xác định và xác thực thất bại. .... Phần mềm và lỗi toàn vẹn dữ liệu. .... Ghi nhật ký và giám sát bảo mật thất bại. .... Sự giả mạo yêu cầu phía máy chủ (SSRF). 4 loại lỗ hổng chính trong an ninh mạng là gì?Các loại lỗ hổng bảo mật.. Lỗ hổng mạng. Đây là những vấn đề với phần cứng hoặc phần mềm của mạng khiến nó có thể xâm nhập bởi một bên bên ngoài. .... Lỗ hổng hệ điều hành. .... Lỗ hổng của con người. .... Xử lý lỗ hổng .. Lỗ hổng lớn nhất trong an ninh mạng là gì?Lỗ hổng bảo mật lớn nhất trong bất kỳ tổ chức nào là nhân viên của mình.Cho dù đó là kết quả của sự cố có chủ ý hay tai nạn, hầu hết các vi phạm dữ liệu có thể được truy nguyên từ một người trong tổ chức đã bị vi phạm.Ví dụ, nhân viên có thể lạm dụng các đặc quyền truy cập của họ vì lợi ích cá nhân.its own employees. Whether it's the result of intentional malfeasance or an accident, most data breaches can be traced back to a person within the organization that was breached. For example, employees may abuse their access privileges for personal gain. |