Video: Thức Tỉnh Đi - Jack (Tháng Chín 2024)
Đầu tháng này, cuộc tấn công đòi tiền chuộc WannaCry đã lây nhiễm hơn 300.000 PC Windows trên toàn thế giới. Chủng loại ransomware yêu cầu các doanh nghiệp và cá nhân bị nhiễm phải trả 300 đô la để mở khóa mỗi máy máy cũng như dữ liệu được lưu trữ trên thiết bị của họ. Mặc dù WannaCry đã nhanh chóng bị cản trở, nhưng có những mối đe dọa lớn hơn, đáng sợ hơn và ẩn giấu có thể gây thiệt hại lớn cho doanh nghiệp của bạn.
Có lẽ bạn đã đọc hàng tá bài viết về cách bạn có thể bảo vệ doanh nghiệp và chính mình và có lẽ bạn đã tranh thủ sự giúp đỡ của phần mềm bảo vệ thiết bị đầu cuối để giữ an toàn cho công ty của bạn. Nhưng bạn có biết rằng ngay cả những thiết bị phức tạp nhất được cắm vào mạng của bạn cũng có thể cho phép tin tặc gây thiệt hại lớn cho doanh nghiệp của bạn không?
Tôi đã nói chuyện với Yossi Appleboum, đồng giám đốc điều hành của Sepio Systems, về những gì bạn cần biết về các cuộc tấn công quy mô lớn trong ngành dịch vụ tài chính, những gì các công ty dịch vụ tài chính nhỏ cần làm để chuẩn bị, và tại sao các thiết bị ngoại vi như chuột và bàn phím có thể là một mối đe dọa lớn cho doanh nghiệp của bạn.
PCMag: Trường hợp xấu nhất, kịch bản ác mộng nhất là về việc ai đó hoặc một nhóm nào đó đột nhập vào một tổ chức tài chính?
Yossi Appleboum (YA): Bất kỳ thời gian nào dữ liệu bị xâm phạm, đó là một kịch bản ác mộng, đặc biệt là khi nói đến các tổ chức tài chính. Mất quyền kiểm soát thông tin tài chính độc quyền của các bên liên quan đe dọa đến tính toàn vẹn của dữ liệu và có khả năng sinh kế của các bên liên quan có tiền tệ trong trò chơi, bắt nguồn từ giả định rằng dữ liệu của họ sẽ luôn được bảo mật. Quan trọng hơn, từ quan điểm tài chính, rò rỉ thông tin này đe dọa đến mối quan hệ bao trùm của tổ chức, quá khứ, hiện tại và tương lai.
Rò rỉ dữ liệu đặc biệt đáng sợ vì thường không có chỉ số rõ ràng ngay lập tức về phạm vi vi phạm và rủi ro liên quan. Nó có thể nhỏ như việc đánh cắp các hồ sơ một tài khoản đối với một vụ đánh cắp cơ sở dữ liệu hoàn chỉnh rộng lớn hơn chứa một lượng dữ liệu cá nhân khổng lồ, chẳng hạn như vi phạm dữ liệu tại một công ty luật của Panama, nơi có hơn 11 triệu tài liệu độc quyền bị rò rỉ.
Các nhân viên an ninh thông tin trưởng (CISO) của các tổ chức tài chính nhận thức được sự nguy hiểm của rò rỉ dữ liệu và sẽ luôn ưu tiên nó trong danh sách vô tận các mối đe dọa mạng. Các tổ chức tài chính toàn cầu đang chi hàng trăm triệu đô la mỗi năm để xây dựng các hệ thống ngăn ngừa mất dữ liệu nhiều lớp (DLP). Rất ít CISO có thể xây dựng các hệ thống không thể phá vỡ để bảo vệ chống lại các cuộc tấn công mạng phổ biến nhất. Ở phía bên kia của phương trình, các diễn viên xấu đang nâng cao mức độ phức tạp của các cuộc tấn công, tận dụng vũ khí mạng của chính phủ bị rò rỉ chống lại các mục tiêu dân sự như ngân hàng.
Bọn tội phạm đang sử dụng vũ khí chiến lược trên mạng, bao gồm các phần cứng hàng ngày bị thao túng như bàn phím và các mục tiêu thương mại khác của HIDagainst. Vấn đề là các công cụ tấn công mạng này có thể tồn tại trong các hệ thống hoàn toàn không bị phát hiện bởi các công cụ phòng thủ không gian mạng hiện có. Đây có lẽ là hình thức gián điệp dữ liệu đáng sợ và nguy hiểm nhất: các thiết bị không thể phát hiện được đang trích xuất thông tin dưới radar.
Không có cách nào để "bỏ đậu" một khi chúng đã bị đổ. Một khi dữ liệu bị rò rỉ, nó không thể được bảo mật hồi tố. Do đó, các nhà quản lý dữ liệu và CISO phải hết sức cảnh giác và làm mọi thứ trong khả năng của mình để đảm bảo tất cả các vectơ luôn được niêm phong chặt chẽ, bao gồm mọi điểm truy cập tiềm năng trong hệ thống.
PCMag: Xét về những gì đã xảy ra, những dịch vụ tài chính tồi tệ nhất mà quốc gia đã thấy và điều đó đã xảy ra như thế nào?
YA: "Điều tồi tệ nhất" sẽ phụ thuộc vào người bạn hỏi. Từ góc độ tổ chức tài chính, các vi phạm lớn như vi phạm JPMorgan Chase 2014 xuất hiện trong tâm trí, khi một cuộc tấn công mạng ảnh hưởng đến 76 triệu hộ gia đình và 7 triệu doanh nghiệp nhỏ trong mạng lưới các bên liên quan lớn.
Tuy nhiên, từ quan điểm của một khách hàng cá nhân, vi phạm tồi tệ nhất là một trong những thay đổi vĩnh viễn cuộc sống và ý thức bảo mật tài chính của họ. Đây là một trong những điều quan trọng nhất cần nhớ: bảo vệ không đủ chống lại những kẻ tấn công mạng có thể hủy hoại cuộc sống của những người phụ thuộc vào bạn giữ an toàn cho dữ liệu của họ, cũng như niềm tin và uy tín của toàn bộ tổ chức.
Điều đáng chú ý là nhiều vụ vi phạm tài chính mà chúng ta đã chứng kiến là những khủng hoảng của ngày hôm qua. Chắc chắn, nhiều cuộc tấn công mạng thỏa hiệp đã sử dụng một số dạng phần mềm độc hại để truy cập và trích xuất thông tin từ mạng. Nhưng một mẫu số chung cho tất cả các vi phạm được công bố rộng rãi là ai đó đã phát hiện ra chúng. Các rò rỉ chưa được phát hiện có thể đang tích cực trích xuất dữ liệu ngay bây giờ là mối đe dọa lớn nhất đối với bảo mật dữ liệu.
Một trong những khách hàng của chúng tôi, một ngân hàng quốc tế, đã tìm thấy một thiết bị phần cứng nhỏ được kết nối với mạng của nó được giấu dưới bàn. Thiết bị này đã được kết nối với mạng; tuy nhiên, nhóm an ninh mạng không thể nhìn thấy nó. Không có công cụ hiện có nào cảm nhận được nó hoặc phát hiện sự tồn tại của nó, nhưng dù sao nó cũng ở đó, gửi dữ liệu đến một vị trí từ xa thông qua kết nối di động. Một số lượng và loại dữ liệu không xác định đã bị xâm phạm trong một khoảng thời gian không xác định và không ai biết về nó. Ngày nay, một năm sau phát hiện gây sốc này, các nhân viên an ninh vẫn gần như không biết gì về người đã trồng thiết bị này và bao nhiêu dữ liệu đã được lấy.
Các vector tấn công tuyệt vời tiếp theo sẽ đến từ các thiết bị phần cứng ma. Đây là lý do tại sao chúng tôi đang nỗ lực làm việc để phát hiện và giảm thiểu các cuộc tấn công này.
PCMag: Đối với các công ty dịch vụ tài chính nhỏ hơn, họ nên đề phòng điều gì về các mối đe dọa, điểm vào và các lỗi phổ biến?
YA: Trong nhiều trường hợp, các tổ chức tài chính nhỏ hơn sẽ gặp nguy hiểm lớn hơn các tổ chức lớn. Trong hầu hết các trường hợp, họ không có một nhóm bảo mật lớn và hệ thống an ninh mạng của họ kém tinh vi hơn. Trong một số trường hợp, chúng tôi đã chứng kiến, các công ty dịch vụ tài chính quy mô nhỏ đang sử dụng tường lửa năm tuổi và phần mềm chống vi-rút ba năm để bảo mật tài sản kỹ thuật số của họ. Công ty này đã quản lý các khoản đầu tư của một số tài khoản cá nhân lớn nhất ở Hoa Kỳ.
Giả định rằng một tổ chức tài chính quy mô nhỏ tương đương với rủi ro nhỏ hơn là hoàn toàn lạc hậu. Một quỹ phòng hộ quản lý vài tỷ đô la thường là một công ty rất nhỏ. Một văn phòng gia đình quản lý các tài khoản tiền tệ cá nhân lớn cũng tương tự như vậy, điều này đúng với công ty luật ở Panama, nơi nắm giữ bí mật tài chính của các nhà lãnh đạo thế giới cao cấp. Tất cả những điều trên đã bị vi phạm, và hầu hết không nhận thức được vi phạm trong một thời gian rất dài; một số vẫn chưa nhận thức được nó.
Các nhà quản lý của các công ty nhỏ hơn này trong nhiều trường hợp không hiểu được rủi ro mà họ đang gánh chịu, thiệt hại tiềm tàng cho công ty của họ và quan trọng nhất là thiệt hại tiềm tàng cho khách hàng của họ. Nhiều công ty tin rằng các giải pháp bảo vệ phần mềm hàng đầu của họ có thể cung cấp một con dấu kín nước của hệ thống thông qua các phân tích dự báo và theo dõi thời gian thực. Điều này có thể đúng về mặt phần mềm, nhưng điều mà CISO điển hình có thể không nhận ra là một diễn viên xấu đã xây dựng một cống thoát trực tiếp vào cơ sở hạ tầng phần cứng nơi dữ liệu đã được đổ ra trong nhiều năm. Bất kỳ người quản lý dữ liệu hoặc chuyên gia bảo mật mạng nào cũng sẽ cho bạn biết nơi quan trọng nhất để bắt đầu tự bảo vệ mình trước các lỗ hổng là hiểu cơ sở hạ tầng hiện tại của bạn. Điều này có nghĩa là nắm vững những gì được kết nối với mạng của bạn.
Điều quan trọng nhất cần nhớ là bất kỳ tuyến đường đến dữ liệu là một trách nhiệm tiềm năng. Cho dù công ty dịch vụ tài chính có quy mô như thế nào, thực hiện các biện pháp phòng ngừa cần thiết và kiểm kê các thiết bị trong một hệ thống có thể giúp hạn chế việc bạn tiếp xúc để giữ an toàn cho dữ liệu của bạn.
PCMag: Bạn thường không liên kết bàn phím, chuột và các thiết bị ngoại vi khác làm điểm vào cho các loại tấn công này. Tại sao chúng ta nên quan tâm đến các loại thiết bị này?
YA: Hãy nghĩ về điều này: Bạn có thể cài đặt phần mềm mà bạn đã tải xuống từ internet trên máy tính của công ty không? Chắc là không. Nhưng bạn có thể mang một bàn phím từ bên ngoài đến văn phòng của bạn và kết nối nó không? Chắc là đúng.
Mọi người có quyền cho rằng phần mềm chưa biết là một rủi ro. Đây là lý do tại sao có nhiều công cụ bảo mật để giám sát và ngăn chặn việc cài đặt phần mềm trong máy tính của công ty bởi bất kỳ ai khác ngoài nhân viên CNTT. Nhưng, vì một số lý do, các thiết bị phần cứng không được giữ cùng tiêu chuẩn.
Các cuộc tấn công mạng có nguồn gốc từ phần mềm, trong hầu hết các trường hợp, bị giới hạn bởi các công cụ phòng thủ không gian mạng hiện có, có nghĩa là tất cả các công cụ từ bộ bảo mật điểm cuối đến bảo mật vành đai và các công cụ pháp y được điều chỉnh để phát hiện điểm vào và chặn nó. Tuy nhiên, một bàn phím duy nhất có thể gây ra nhiều thiệt hại hơn hầu hết các phần mềm độc hại trên thế giới, làm mất dữ liệu trong thời gian dài.
Hãy tưởng tượng chuyên gia CNTT của tổ chức của bạn gửi email cho toàn bộ công ty nói rằng tổ chức sẽ nhận được bàn phím hoàn toàn mới vào ngày mai. Bao nhiêu phần trăm nhân viên của bạn sẽ thấy một bàn phím mới trên bàn của họ vào ngày hôm sau và cắm nó vào? 20 phần trăm? 50 phần trăm? 100 phần trăm? Câu trả lời là, nó gần 100% hơn bất cứ ai muốn thừa nhận. Chỉ cần một người cài đặt một trong những thiết bị này, được thao tác để trích xuất thông tin, để thỏa hiệp toàn bộ hệ thống.
Bây giờ chúng ta biết rằng nhiều công cụ đang được sử dụng để xâm nhập và hack các trung tâm tài chính toàn cầu đã thực sự bị đánh cắp từ các nguyên mẫu của chính phủ ở các quốc gia trên thế giới. Ví dụ, bàn phím do Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) phát triển để theo dõi tổ hợp phím và thu thập dữ liệu từ các mạng thông qua cổng USB của máy tính được kết nối hiện đang được tin tặc độc hại sử dụng để lấy dữ liệu cho các cuộc tấn công tống tiền và ransomware.
Ngoài ra, với sự phát triển của các công cụ hack bất chính được bán trên web tối, các công nghệ tiên tiến nhất để thu thập dữ liệu độc hại giờ đây có thể rơi vào tay tin tặc trong vài ngày, không có cách nào rõ ràng để các nhà chức trách theo dõi người mua, người bán hoặc vị trí của thiết bị. Điều này có nghĩa là các thiết bị thu thập dữ liệu tinh vi nhất, không thể phát hiện được hiện có thể tồn tại trong vô số hệ thống dữ liệu, mà không cần CISO biết về chúng.
Các thiết bị này có thể so sánh với các loại bọ ký sinh như ve hoặc chấy. Chúng dường như phổ biến và vô hại khi trôi nổi trong vùng lân cận chung của bạn. Tuy nhiên, chúng rất khó cảm nhận khi chúng tự cài đặt vào hệ thống của bạn và có thể tồn tại ở đó mà không được chú ý trong một thời gian dài. Hơn nữa, họ là một trách nhiệm chính và có thể gây thiệt hại không thể đảo ngược đối với dữ liệu và các bên liên quan của bạn.
PCMag: Không mời chào các dịch vụ của bạn một cách cụ thể, làm thế nào các công ty có thể đảm bảo rằng chúng an toàn, đặc biệt nếu họ phụ thuộc nhiều vào các thiết bị được kết nối để thực hiện công việc của mình?
YA: Có rất nhiều yếu tố không thể kiểm soát được. Như tôi đã thảo luận, thị trường kỹ thuật số vô hạn của web tối gần như không thể dừng lại. Do tính ẩn danh của người mua và người bán, việc giao dịch miễn phí tất cả các thiết bị phần cứng đưa ra thách thức chưa từng có là phải đối mặt với các mối đe dọa hack ảnh hưởng đến các hệ thống từ bên ngoài.
Tuy nhiên, người quản lý dữ liệu phải kiểm soát các mối đe dọa hack bắt nguồn từ phần cứng. Điều này bắt đầu với việc nhận thức toàn diện về tất cả các thiết bị phần cứng tương tác với hệ thống của bạn. Theo truyền thống, các nhân viên công nghệ của các tổ chức thiết lập rằng họ có X số điểm cuối kết nối với số lượng máy chủ và thiết bị bên ngoài của Y. Trong một chiến trường phòng thủ không gian mạng hiện đại, điều quan trọng là chúng phải đi sâu hơn, đến cấp độ ngoại vi.
Các dây mạng gửi thông tin giữa hai thiết bị phải được kiểm tra hoàn toàn, giữa mỗi hai cạnh, thông qua tất cả các điểm kết nối. Có những thiết bị có thể chặn dữ liệu tại các điểm này và đưa dữ liệu đó đến một địa điểm từ xa mà không được nhận ra.
Để lưu hệ thống khỏi các loại tống tiền này, các mạng nặng thiết bị cần được sắp xếp thông qua một chiếc lược răng mịn. CISO cần phải làm mọi thứ trong khả năng của mình để đảm bảo tính toàn vẹn của các thiết bị hệ thống của họ. Đảm bảo rằng các thiết bị của bạn thực sự là của bạn và không phải là phần cứng được ngụy trang độc hại, là cách tốt nhất để bảo vệ chống lại các mối đe dọa phần cứng trên mạng.
Bắt đầu với nhận thức. Đừng bỏ qua nguy cơ tiềm ẩn của các thiết bị phần cứng trông ngây thơ này. Mối đe dọa là có thật và có liên quan đến tất cả chúng ta.
