Các công ty công nghệ đã tạo ra các công cụ mà chúng ta sử dụng để xây dựng và điều hành doanh nghiệp, xử lý các giao dịch của người tiêu dùng, liên lạc với nhau cũng như tổ chức cuộc sống cá nhân và nghề nghiệp của chúng ta. Công nghệ đã định hình thế giới hiện đại như chúng ta biết — và sự phụ thuộc của chúng ta vào công nghệ tiếp tục tăng lên.
Tầm quan trọng của ngành công nghệ không bị mất đi đối với tội phạm mạng và các nhóm quốc gia, những kẻ nhắm mục tiêu vào các công ty công nghệ vì nhiều lý do: để thực hiện các mục tiêu chiến lược, quân sự và kinh tế; để truy cập dữ liệu nhạy cảm của công ty mà họ có thể giữ để đòi tiền chuộc hoặc bán trên Dark Web; để thỏa hiệp chuỗi cung ứng; và nhiều hơn nữa.
Các công ty công nghệ không xa lạ gì với tội phạm mạng — từ lâu họ đã là mục tiêu của các hoạt động thù địch — nhưng trong năm qua, các cuộc tấn công này đã gia tăng nhanh chóng. Công nghệ là ngành dọc được nhắm mục tiêu nhiều nhất cho các cuộc xâm nhập mạng trong khoảng thời gian từ tháng 2021 năm 2022 đến tháng XNUMX năm XNUMX, theo Dữ liệu về mối đe dọa CrowdStrike. Điều này làm cho công nghệ trở thành lĩnh vực phổ biến nhất cho diễn viên đe dọa trong một năm khi các thợ săn mối đe dọa CrowdStrike đã ghi lại hơn 77,000 vụ xâm nhập tiềm ẩn, hoặc cứ bảy phút lại có một vụ xâm nhập tiềm ẩn.
Nếu điều này nghe có vẻ quen thuộc, thì có thể là do bạn đã thấy hoạt động đe dọa này trên tin tức — vi phạm dữ liệu ảnh hưởng đến ngành công nghệ đã thống trị các tiêu đề vào năm 2022. Các công ty công nghệ thuộc mọi quy mô nên quan tâm đến khả năng xảy ra hoạt động của đối thủ vì họ thường cố gắng đánh cắp dữ liệu. Chúng ta hãy xem xét kỹ hơn các mối đe dọa mà các công ty công nghệ nên lo lắng nhất, những chiến thuật của kẻ thù đó trông như thế nào và cách ngăn chặn chúng.
Các đối thủ ngày nay nhắm mục tiêu vào các công ty công nghệ như thế nào
Các doanh nghiệp, doanh nghiệp vừa và nhỏ (SMB) cũng như các công ty mới thành lập phải nhận thức được các mối đe dọa mà họ gặp phải và cách bảo vệ chống lại chúng.
Các đối thủ ngày càng tránh xa phần mềm độc hại nhằm tránh bị phát hiện: Dữ liệu về mối đe dọa CrowdStrike cho thấy hoạt động không có phần mềm độc hại chiếm 71% tổng số lần phát hiện từ tháng 2021 năm 2022 đến tháng XNUMX năm XNUMX. Sự thay đổi này một phần liên quan đến việc ngày càng có nhiều kẻ tấn công lạm dụng thông tin xác thực hợp lệ để giành quyền truy cập và duy trì tính bền vững (nghĩa là thiết lập quyền truy cập lâu dài vào hệ thống bất chấp sự gián đoạn chẳng hạn như khởi động lại hoặc thay đổi thông tin xác thực) trong môi trường CNTT. Tuy nhiên, có một yếu tố khác: tốc độ mà các lỗ hổng mới đang được tiết lộ và tốc độ mà các đối thủ có thể vận hành khai thác.
Số lỗ hổng zero-day và lỗ hổng mới được tiết lộ tiếp tục tăng qua từng năm. Dữ liệu về mối đe dọa CrowdStrike cho thấy hơn 20,000 lỗ hổng bảo mật mới được báo cáo vào năm 2021 — nhiều hơn bất kỳ năm nào trước đó — và hơn 10,000 lỗ hổng đã được báo cáo vào đầu tháng 2022 năm XNUMX. Đây là dấu hiệu rõ ràng cho thấy xu hướng này sẽ không chậm lại.
Xem xét kỹ hơn các chiến thuật, kỹ thuật và quy trình (TTP) được sử dụng trong quá trình xâm nhập cho thấy các mô hình phổ biến trong hoạt động của kẻ thù. Khi một lỗ hổng được khai thác thành công, nó thường được theo sau bởi việc triển khai Web shell (nghĩa là các tập lệnh độc hại cho phép kẻ thù xâm phạm máy chủ Web và khởi chạy các cuộc tấn công bổ sung).
Các công ty công nghệ có thể làm gì để ngăn chặn vi phạm?
Ngành công nghệ đang gặp thách thức trong việc duy trì khả năng phòng thủ vững chắc trước bối cảnh các mối đe dọa không ngừng phát triển. Những kẻ tấn công ngày nay đang thay đổi TTP của chúng trở nên tinh vi hơn, để tránh bị phát hiện và gây ra nhiều thiệt hại hơn. Việc bảo vệ khối lượng công việc, danh tính và dữ liệu mà doanh nghiệp của họ dựa vào là tùy thuộc vào những người bảo vệ.
Không có mô hình chung nào phù hợp với tất cả về cách tội phạm mạng tiến hành các cuộc tấn công của chúng, cũng như không có giải pháp duy nhất nào cho các công ty công nghệ để tự bảo vệ mình trước mọi hành vi xâm nhập. Tuy nhiên, việc xem xét kỹ hơn hoạt động xâm nhập cho thấy các lĩnh vực trọng tâm quan trọng của các nhóm bảo mật và CNTT. Dưới đây là các khuyến nghị chính:
- Quay lại vấn đề cơ bản: Điều tối quan trọng là các công ty công nghệ phải có những điều cơ bản về vệ sinh an ninh. Điều này bao gồm việc triển khai một chương trình quản lý bản vá mạnh mẽ và đảm bảo kiểm soát mạnh mẽ tài khoản người dùng và quản lý quyền truy cập đặc quyền để giảm thiểu tác động của thông tin xác thực bị xâm phạm.
- Định kỳ kiểm tra các dịch vụ truy cập từ xa: Đối thủ sẽ tận dụng bất kỳ công cụ truy cập từ xa nào có sẵn theo ý của họ hoặc cố gắng cài đặt phần mềm truy cập từ xa hợp pháp với hy vọng phần mềm đó tránh được mọi sự phát hiện tự động. Kiểm tra thường xuyên nên kiểm tra xem công cụ có được cấp phép hay không và liệu hoạt động có nằm trong khung thời gian dự kiến hay không, chẳng hạn như trong giờ làm việc. Các kết nối được thực hiện từ cùng một tài khoản người dùng đến nhiều máy chủ trong một khoảng thời gian ngắn có thể là dấu hiệu cho thấy kẻ thù đã xâm phạm thông tin đăng nhập.
- Chủ động săn lùng các mối đe dọa: Sau khi kẻ thù xâm phạm hệ thống phòng thủ của công ty công nghệ, rất khó để phát hiện ra chúng khi chúng âm thầm thu thập dữ liệu, tìm kiếm thông tin nhạy cảm hoặc đánh cắp thông tin đăng nhập. Đây chính là lúc việc săn tìm mối đe dọa xuất hiện. Bằng cách chủ động tìm kiếm kẻ thù trong môi trường của họ, các công ty công nghệ có thể phát hiện các cuộc tấn công sớm hơn và củng cố vị thế bảo mật của họ.
- Ưu tiên bảo vệ danh tính: Các đối thủ đang ngày càng nhắm mục tiêu thông tin xác thực để vi phạm các công ty công nghệ. Bất kỳ người dùng nào, cho dù họ là nhân viên, nhà cung cấp bên thứ ba hay khách hàng, đều có thể vô tình bị xâm phạm và cung cấp đường tấn công cho kẻ thù. Các công ty công nghệ phải xác thực mọi danh tính và ủy quyền cho từng yêu cầu để ngăn chặn các cuộc tấn công mạng, chẳng hạn như tấn công chuỗi cung ứng, tấn công mã độc tống tiền hoặc vi phạm dữ liệu.
- Đừng quên về phòng ngừa mối đe dọa: Đối với các công ty công nghệ, các công cụ ngăn chặn mối đe dọa có thể chặn các mối đe dọa trên mạng trước khi chúng xâm nhập vào môi trường hoặc trước khi chúng gây thiệt hại. Phát hiện và ngăn chặn đi đôi với nhau. Để ngăn chặn các mối đe dọa trên mạng, chúng phải được phát hiện trong thời gian thực. Môi trường CNTT càng lớn thì nhu cầu về các công cụ có thể giúp phát hiện và ngăn chặn mối đe dọa càng lớn.
Sự phát triển của tội phạm mạng và hoạt động của các quốc gia không có dấu hiệu chậm lại. Các công ty công nghệ phải tăng cường khả năng phòng thủ và hiểu các kỹ thuật của kẻ thù để bảo vệ khối lượng công việc, danh tính và dữ liệu của họ cũng như duy trì hoạt động của tổ chức.
