MITRE ATT&CK là gì?

MITRE ATT&CK Framework hay khung MITRE ATT&CK là cơ sở kiến ​​thức có thể truy cập toàn cầu về các chiến thuật và kỹ thuật của kẻ tấn công an ninh mạng. Những kỹ thuật này dựa trên những quan sát trong thế giới thực về hành vi của tin tặc và được tạo ra bằng cách phân tích các cuộc tấn công mạng thực sự. MITER ATT&CK là một khuôn khổ hướng tới cộng đồng vì vậy mọi cá nhân hay tổ chức đều có thể sử dụng miễn phí trong dịch hoặc sản phẩm an ninh mạng. Sức mạnh của khuôn khổ này là cộng đồng toàn cầu đều có thể đóng góp cho nó. ATT&CK là tên viết tắt của “Adversarial Tactics, Techniques, and Common Knowledge”. (Tạm dịch: Các chiến thuật, kỹ thuật phá hoại và các hiểu biết thông thường). Đây là một nền tảng tổ chức và phân loại các loại chiến thuật, kỹ thuật và quy trình (TTP) khác nhau được các tác nhân đe dọa sử dụng trong thế giới kỹ thuật số, từ đó giúp các tổ chức xác định các lỗ hổng trong hệ thống bảo vệ an ninh mạng.

MITRE ATT&CK sẽ cung cấp 1 loạt các ma trận được về phương thức và cách thức tấn công từ những bước đầu tiên như thu thập thông tin, truy cập,…toàn bộ quy trình này đều đã được diễn ra trên thực tế. Để từ đó giúp các hãng bảo mật hoặc đội ngũ nhân viên bảo mật có thể xác định được cách thức tấn công.

Các kiểu ma trận MITRE ATT&CK chính

MITER ATT&CK sắp xếp các chiến thuật và kỹ thuật (và kỹ thuật phụ) của kẻ thù thành các ma trận. Mỗi ma trận bao gồm các chiến thuật và kỹ thuật tương ứng với các cuộc tấn công vào các lĩnh vực cụ thể:

Ma trận doanh nghiệp

Ma trận doanh nghiệp bao gồm tất cả các kỹ thuật đối thủ được sử dụng trong các cuộc tấn công vào cơ sở hạ tầng doanh nghiệp. Ma trận này bao gồm các ma trận con cho nền tảng Windows, MacOS và Linux, cũng như cơ sở hạ tầng mạng, nền tảng công nghệ đám mây và vùng chứa . Nó cũng bao gồm một ma trận PRE gồm các kỹ thuật chuẩn bị được sử dụng trước một cuộc tấn công.

Ma trận thiết bị di động

Ma trận di động bao gồm các kỹ thuật được sử dụng trong các cuộc tấn công trực tiếp vào thiết bị di động và trong các cuộc tấn công di động dựa trên mạng không yêu cầu quyền truy cập vào thiết bị di động. Ma trận này bao gồm các ma trận con dành cho nền tảng di động iOS và Android.

Ma trận ICS

Ma trận ICX bao gồm các kỹ thuật được sử dụng trong các cuộc tấn công vào hệ thống điều khiển công nghiệp. Đặc biệt là máy móc, thiết bị, cảm biến và mạng được sử dụng để điều khiển hoặc tự động hóa hoạt động của các nhà máy, tiện ích, hệ thống giao thông và các nhà cung cấp dịch vụ quan trọng khác.

Chiến thuật của MITRE ATT&CK

Mỗi chiến thuật MITRE ATT&CK đại diện cho một mục tiêu đối địch cụ thể—điều mà kẻ tấn công muốn đạt được tại một thời điểm nhất định. Chiến thuật ATT&CK tương ứng chặt chẽ với các giai đoạn hoặc giai đoạn của một cuộc tấn công mạng. Ví dụ: chiến thuật ATT&CK được đề cập trong Ma trận doanh nghiệp bao gồm:

• Trinh sát : Thu thập thông tin để lập kế hoạch tấn công.
•  Phát triển nguồn lực : Thiết lập các nguồn lực để hỗ trợ các hoạt động tấn công.
•  Truy cập ban đầu: Xâm nhập vào hệ thống hoặc mạng mục tiêu.
•  Thực thi : Chạy phần mềm độc hại hoặc mã độc trên hệ thống bị xâm nhập.
•  Kiên trì : Duy trì quyền truy cập vào hệ thống bị xâm nhập (trong trường hợp tắt máy hoặc cấu hình lại).
•  Leo thang đặc quyền : Đạt được quyền truy cập hoặc quyền cấp cao hơn (ví dụ: chuyển từ quyền truy cập của người dùng sang quản trị viên).
•  Trốn tránh phòng thủ : Tránh bị phát hiện khi ở trong hệ thống.
•  Truy cập thông tin xác thực : Đánh cắp tên người dùng, mật khẩu và thông tin đăng nhập khác.
•  Khám phá : Nghiên cứu môi trường mục tiêu để tìm hiểu những tài nguyên nào có thể được truy cập hoặc kiểm soát để hỗ trợ một cuộc tấn công theo kế hoạch.
•  Chuyển động bên : Đạt được quyền truy cập vào các tài nguyên bổ sung trong hệ thống.
•  Thu thập : Thu thập dữ liệu liên quan đến mục tiêu tấn công (ví dụ: dữ liệu để mã hóa và/hoặc lọc ra như một phần của cuộc tấn công bằng ransomware ).
• Chỉ huy và kiểm soát : Thiết lập các liên lạc bí mật/không thể phát hiện cho phép kẻ tấn công kiểm soát hệ thống.
•  Exfilter : Đánh cắp dữ liệu từ hệ thống.
•  Tác động : Làm gián đoạn, làm hỏng, vô hiệu hóa hoặc phá hủy dữ liệu hoặc quy trình kinh doanh.

Một lần nữa, chiến thuật và kỹ thuật khác nhau tùy theo từng ma trận (và ma trận phụ). Ví dụ: Ma trận di động không bao gồm các chiến thuật Trinh sát và Phát triển tài nguyên mà bao gồm các chiến thuật khác. Hiệu ứng mạng và Hiệu ứng dịch vụ từ xa. Không có trong Ma trận doanh nghiệp.

Các trường hợp sử dụng MITER ATT&CK

MITER ATT&CK hỗ trợ một số hoạt động và công nghệ mà các tổ chức sử dụng để tối ưu hóa hoạt động bảo mật và cải thiện tình hình bảo mật tổng thể của họ.

Phân loại cảnh báo, phát hiện mối đe dọa và ứng phó: 

Thông tin trong MITER ATT&CK cực kỳ có giá trị trong việc sàng lọc và ưu tiên hàng loạt cảnh báo liên quan đến bảo mật do phần mềm và thiết bị tạo ra trên mạng doanh nghiệp điển hình. Trên thực tế, nhiều giải pháp bảo mật doanh nghiệp—bao gồm SIEM (quản lý sự kiện và thông tin bảo mật), UEBA (phân tích hành vi người dùng và thực thể), EDR (phát hiện và phản hồi điểm cuối) và XDR (phát hiện và phản hồi mở rộng)—có thể lấy thông tin từ MITER ATT&CK và sử dụng nó để phân loại các cảnh báo, làm phong phú thêm thông tin về mối đe dọa mạng từ các nguồn khác và kích hoạt các cẩm nang ứng phó sự cố hoặc phản hồi mối đe dọa tự động.

Săn đe dọa: 

Săn tìm mối đe dọa là hoạt động bảo mật chủ động trong đó các nhà phân tích bảo mật tìm kiếm trên mạng của họ để tìm các mối đe dọa đã vượt qua các biện pháp an ninh mạng hiện có. Thông tin MITER ATT&CK về chiến thuật, kỹ thuật và quy trình của đối thủ cung cấp hàng trăm điểm để bắt đầu hoặc tiếp tục các cuộc săn lùng mối đe dọa.

Red team/chạy đua với đối thủ:

Các nhóm bảo mật có thể sử dụng thông tin trong MITER ATT&CK để mô phỏng các cuộc tấn công mạng trong thế giới thực. Những mô phỏng này có thể kiểm tra tính hiệu quả của các chính sách, biện pháp thực hành và giải pháp bảo mật mà chúng áp dụng, đồng thời giúp xác định các lỗ hổng cần được giải quyết.

Phân tích lỗ hổng bảo mật và đánh giá sự trưởng thành của trung tâm điều hành bảo mật (SOC): 

 Phân tích lỗ hổng bảo mật so sánh các thực tiễn và công nghệ an ninh mạng hiện có của tổ chức với tiêu chuẩn ngành hiện tại. Đánh giá mức độ hoàn thiện SOC đánh giá mức độ trưởng thành của SOC của tổ chức dựa trên khả năng ngăn chặn hoặc giảm thiểu các mối đe dọa mạng hoặc các cuộc tấn công mạng một cách nhất quán với mức độ can thiệp tối thiểu hoặc không cần can thiệp thủ công. Trong mỗi trường hợp, dữ liệu MITER ATT&CK có thể giúp các tổ chức thực hiện các đánh giá này bằng cách sử dụng dữ liệu mới nhất về các chiến thuật, kỹ thuật và biện pháp giảm thiểu mối đe dọa mạng.

ING Bank xác thực bảo mật liên tục để tăng cường khả năng ứng phó trước các mối đe dọa an ninh mạng

ING có hơn 39,3 triệu khách hàng, bao gồm các khách hàng doanh nghiệp và tổ chức tài chính, cùng với 57.000 nhân viên tại châu Âu. ING là một gã khổng lồ trong ngành ngân hàng toàn cầu với nền tảng vững chắc tại châu Âu, 57.000 nhân viên, 39,3 triệu khách hàng, khách hàng doanh nghiệp và tổ chức tài chính tại hơn 40 quốc gia. ING tuyên bố mục đích của mình là “trao quyền cho mọi người để tiến bước trong cuộc sống và kinh doanh”. Được Forbes công nhận là một trong những công ty sáng tạo nhất, ING khuyến khích một văn hóa doanh nghiệp dựa trên sự đổi mới. ING vận hành các phòng thí nghiệm tại bốn thành phố trên toàn thế giới (Amsterdam, Brussels, London và Singapore), nơi họ xây dựng và xác thực các doanh nghiệp mới bằng cách kết hợp kiến thức và mạng lưới của mình với kiến thức và kỹ năng của người khác.

ING tự định nghĩa mình là “một công ty công nghệ có giấy phép ngân hàng.” Ngân hàng có một mạng lưới lớn và một đội ngũ IT và an ninh mạng đáng kể. Hạ tầng kỹ thuật số được bảo vệ bởi một loạt các công nghệ an ninh mạng. Tuy nhiên, đội ngũ này hoàn toàn nhận thức rằng việc chi tiêu nhiều hơn cho an ninh mạng không tự động giảm thiểu rủi ro mạng.

Ông Muhammet Emin Başar, Trưởng nhóm chuyên gia An ninh Hệ thống IT tại ING Bank Thổ Nhĩ Kỳ, cho biết rằng “việc đưa các hệ thống công nghệ thông tin vào hoạt động không phải là một nhiệm vụ đơn giản. Việc lập kế hoạch, cài đặt, cấu hình, giám sát, lưu trữ và bảo trì các hệ thống này đòi hỏi một mức độ lao động, thời gian và nỗ lực đáng kể. Tuy nhiên, việc thiết lập một quy trình để kiểm tra xem các hệ thống này hoạt động như dự kiến và cung cấp đầu ra cần thiết có thể bị bỏ qua. Điều này càng đúng và quan trọng hơn đối với các dự án an ninh mạng vì các đội ngũ luôn rất bận rộn trong khi các yếu tố rủi ro trong môi trường nội bộ và bên ngoài liên tục thay đổi.”

Ông Muhammet Emin Başar IT Security Product Manager ING Bank, Thổ Nhĩ Kỳ

“Dù chúng tôi luôn sử dụng các bài kiểm tra thâm nhập và một số phương pháp đánh giá khác, nhưng không phương pháp nào mang lại cho chúng tôi độ sâu và chiều rộng cần thiết để hiểu rõ tư thế của mình trước các kịch bản tấn công có thể xảy ra một cách toàn diện. Nền tảng Picus là một bước ngoặt.”

Picus Security Validation Platform giúp ING Bank tăng cường cơ sở hạ tầng an ninh mạng và đảm bảo bảo vệ liên tục

ING Bank có một đội ngũ an ninh mạng cao cấp với kỹ năng và kinh nghiệm đa dạng. Đội ngũ này cẩn trọng không cho phép tồn tại một “cảm giác an toàn giả” trong lĩnh vực kinh doanh của họ. ING Bank vận hành một cơ sở hạ tầng an ninh mạng nhiều lớp. Các đội tấn công và phòng thủ sử dụng và quản lý hàng chục công nghệ an ninh mạng, an ninh điểm cuối, giám sát, quản lý thông tin và sự kiện, phát hiện và phản ứng nâng cao và các công nghệ khác. Ông Başar giải thích thêm rằng việc đánh giá an ninh đã là một mối quan tâm đáng kể đối với họ trước khi họ tiếp cận với Nền tảng Picus Security Control Validation. “Các công nghệ an ninh mạng không phải là các hệ thống ‘triển khai và quên’. Chúng cần được cập nhật và cấu hình lại liên tục. Bất kỳ sự cố mạng, lỗi phần mềm, hỏng hóc phần cứng, cấu hình sai và các lỗi khác có thể làm suy giảm tính năng. Tư thế an ninh có thể giảm xuống bất cứ lúc nào, do đó việc xác thực hiệu suất an ninh của các hoạt động và cơ sở hạ tầng an ninh mạng là một yêu cầu thiết yếu đối với ING Bank”, ông Başar bổ sung.

Kết quả

Xác thực an ninh liên tục trở thành hiện thực

“Dù chúng tôi luôn sử dụng các bài kiểm tra thâm nhập và một số phương pháp đánh giá khác, nhưng không phương pháp nào mang lại cho chúng tôi độ sâu và chiều rộng cần thiết để hiểu rõ tư thế của mình trước các kịch bản tấn công có thể xảy ra một cách toàn diện. Nền tảng Picus là một bước ngoặt đối với chúng tôi”, ông Başar giải thích. Đội ngũ an ninh mạng của ING Bank Thổ Nhĩ Kỳ đã bắt đầu sử dụng Nền tảng Picus Security Control Validation như một phần không thể thiếu trong cơ sở hạ tầng an ninh mạng của họ ngay sau khi làm quen với bộ tính năng phong phú của nó. Chế độ hoạt động hoàn toàn an toàn và kiến trúc dễ triển khai của nền tảng này đã giúp kích hoạt đánh giá Picus trên nhiều mạng, email và phân đoạn điểm cuối. Bằng cách huy động hơn mười nghìn mẫu kịch bản tấn công mà Thư viện Picus chứa đựng trên toàn mạng của họ, đội ngũ ING liên tục đánh giá tư thế an ninh, phát hiện các lỗ hổng khi chúng xuất hiện và khởi động các biện pháp giảm thiểu một cách chủ động.

Picus cải thiện việc sử dụng các khoản đầu tư an ninh hiện có

Xác thực an ninh liên tục là một khả năng biến đổi trên nhiều mặt. Sử dụng nền tảng Picus, đội ngũ an ninh mạng của ING Bank Thổ Nhĩ Kỳ liên tục đo lường hiệu quả của các kiểm soát an ninh của họ và duy trì một cơ sở an ninh vững chắc. Ngoài các đánh giá liên tục, đội ngũ ING cũng có thể đánh giá sự chuẩn bị của họ đối với tất cả các chiến thuật, kỹ thuật và quy trình mà một mối đe dọa nâng cao cụ thể chứa đựng. Các liên minh công nghệ mà Picus đã hình thành với các nhà cung cấp công nghệ lớn cũng cung cấp một trường hợp sử dụng quý giá.

Picus cung cấp các chữ ký phát hiện cho các công nghệ tường lửa thế hệ tiếp theo, ngăn chặn xâm nhập mạng và tường lửa ứng dụng web mà ING Bank Thổ Nhĩ Kỳ sử dụng. Nội dung này được trình bày để hiển thị các cách thức có tác động nhất để tăng cường tư thế an ninh và giúp các đội ngũ tận dụng tốt hơn các nền tảng hiện có của họ. Nền tảng Xác thực Kiểm soát An ninh Toàn diện giúp đội ngũ an ninh mạng của ING Bank giảm thiểu rủi ro mạng và tiết kiệm đáng kể thời gian làm việc trong việc thích ứng phòng thủ với các mối đe dọa sắp tới.

Đánh giá tư thế an ninh toàn diện

Đội ngũ an ninh mạng của ING Bank đón nhận các trường hợp sử dụng mà các tính năng mới sáng tạo của Picus cung cấp. Ông Başar xác nhận rằng việc liên kết trạng thái phát hiện và ngăn chặn cơ sở hạ tầng với tiềm năng phát hiện và giám sát của nền tảng SIEM hoàn thành bức tranh khi bề mặt tấn công mở rộng và mang lại sự hiểu biết tốt về tư thế an ninh.

Hiện nay, Lac Hong Tech là một trong số những Đơn vị cung cấp, triển khai Giải pháp Công nghệ Giả lập Vi phạm Tấn công –  BAS của Picus tại Việt Nam. Để được tư vấn và hỗ trợ trực tiếp, Quý Khách hàng vui lòng liên hệ tổng đài: 1900 68 24.

CCPA là một trong những đạo luật về lĩnh vực bảo mật an toàn thông tin nổi bật trên thế giới. CCPA là gì? Mục tiêu của đạo luật này? Đối tượng cần tuân thủ CCPA? Hãy cùng Lac Hong Tech tìm hiểu trong nội dung bài viết dưới đây! 

CCPA là gì?

Đạo luật Quyền riêng tư Người tiêu dùng California (California Consumer Privacy Act – CCPA) là một trong những đạo luật quan trọng nhất về quyền riêng tư và bảo vệ dữ liệu cá nhân tại Hoa Kỳ. Được thông qua vào năm 2018 và có hiệu lực từ ngày 1 tháng 1 năm 2020, CCPA đã thiết lập các tiêu chuẩn mới về quyền riêng tư cho người tiêu dùng, đồng thời đưa ra các yêu cầu nghiêm ngặt đối với các doanh nghiệp trong việc xử lý và bảo vệ dữ liệu cá nhân.

 Mục tiêu của CCPA

Mục tiêu chính của CCPA là cung cấp cho người tiêu dùng tại California quyền kiểm soát nhiều hơn đối với dữ liệu cá nhân của họ. Đạo luật này nhằm đảm bảo rằng người tiêu dùng có quyền biết về việc thu thập, sử dụng, và chia sẻ dữ liệu cá nhân của mình, cũng như có quyền kiểm soát và bảo vệ thông tin cá nhân trước các hành vi xâm phạm quyền riêng tư.

Các quyền lợi chính của người tiêu dùng theo CCPA

CCPA cung cấp cho người tiêu dùng nhiều quyền lợi quan trọng, bao gồm:

• Quyền biết: Người tiêu dùng có quyền biết những thông tin cá nhân nào đang được thu thập về họ, mục đích thu thập và các bên thứ ba mà thông tin này được chia sẻ.
• Quyền truy cập: Người tiêu dùng có quyền yêu cầu một bản sao các dữ liệu cá nhân mà doanh nghiệp đã thu thập về họ.
• Quyền xóa: Người tiêu dùng có quyền yêu cầu doanh nghiệp xóa dữ liệu cá nhân của họ, ngoại trừ một số trường hợp nhất định.
• Quyền từ chối bán dữ liệu: Người tiêu dùng có quyền yêu cầu doanh nghiệp không bán dữ liệu cá nhân của họ.
• Quyền không bị phân biệt đối xử: Doanh nghiệp không được phân biệt đối xử với người tiêu dùng khi họ thực hiện các quyền của mình theo CCPA.

Đối tượng cần tuân thủ CCPA

CCPA áp dụng đối với các doanh nghiệp thỏa mãn ít nhất một trong các điều kiện sau:

• Doanh thu hàng năm trên 25 triệu USD.
• Mua, nhận, bán, hoặc chia sẻ dữ liệu cá nhân của 50,000 hoặc nhiều hơn người tiêu dùng, hộ gia đình, hoặc thiết bị.
• Kiếm được ít nhất 50% doanh thu hàng năm từ việc bán dữ liệu cá nhân của người tiêu dùng.

Các loại doanh nghiệp cần chú ý:

• Doanh nghiệp có trụ sở tại California: Các doanh nghiệp có hoạt động tại California cần tuân thủ CCPA.
• Doanh nghiệp không có trụ sở tại California nhưng có giao dịch với người tiêu dùng ở California: Nếu doanh nghiệp không có trụ sở tại California nhưng cung cấp sản phẩm hoặc dịch vụ cho người tiêu dùng tại bang này, họ cũng phải tuân thủ CCPA.

Yêu cầu đối với doanh nghiệp

Để tuân thủ CCPA, các doanh nghiệp phải thực hiện một loạt các biện pháp và thay đổi bao gồm:

• Cập nhật chính sách bảo mật: Doanh nghiệp phải thông báo rõ ràng về các loại dữ liệu cá nhân được thu thập và cách thức sử dụng dữ liệu này.
• Cung cấp cơ chế cho người tiêu dùng thực hiện các quyền của họ: Bao gồm việc thiết lập hệ thống để nhận và xử lý yêu cầu truy cập, xóa và từ chối bán dữ liệu.
• Đào tạo nhân viên: Đảm bảo rằng nhân viên hiểu và tuân thủ các yêu cầu của CCPA.
• Áp dụng các biện pháp bảo mật thích hợp: Đảm bảo rằng dữ liệu cá nhân được bảo vệ khỏi các hành vi truy cập, sử dụng, hoặc tiết lộ trái phép.

CCPA là một bước tiến quan trọng trong việc bảo vệ quyền riêng tư của người tiêu dùng tại California. Đạo luật này không chỉ cung cấp cho người tiêu dùng nhiều quyền kiểm soát hơn đối với dữ liệu cá nhân của họ mà còn đặt ra các tiêu chuẩn mới cho các doanh nghiệp trong việc xử lý và bảo vệ thông tin cá nhân. Việc tuân thủ CCPA không chỉ là một yêu cầu pháp lý mà còn là một cam kết về trách nhiệm và sự minh bạch của doanh nghiệp đối với người tiêu dùng.

Zero Trust là cụm từ được nhắc đến nhiều trong những năm gần đây, đặc biệt là hoạt động của doanh nghiệp. Khi ứng dụng Zero Trust tốt sẽ hạn chế được tối đa những rủi ro về an ninh mạng, đảm bảo nguồn tài nguyên về thông tin, dữ liệu trong trạng thái an toàn. Vậy thực chất Zero Trust là gì? Tại sao doanh nghiệp nên áp dụng chặt chẽ Zero Trust vào mô hình hoạt động? 

Zero Trust là gì? 

Zero Trust là một mô hình an ninh mạng dựa trên nguyên tắc “không tin tưởng bất kỳ ai”, kể cả khi họ đã ở trong mạng nội bộ của tổ chức. Thay vì giả định rằng mọi người và thiết bị bên trong mạng đều an toàn, Zero Trust yêu cầu kiểm tra và xác minh liên tục tất cả người dùng và thiết bị trước khi cho phép truy cập vào tài nguyên.

Nguyên tắc hoạt động của Zero Trust? 

Zero Trust được hoạt động theo những nguyên tắc cơ bản dưới đây để đảm bảo được hệ thống an toàn thông tin của hệ thống diễn ra an toàn: 

1. Xác thực liên tục: Mọi yêu cầu truy cập phải được xác thực và ủy quyền trước khi cho phép truy cập.
2. Giới hạn quyền truy cập: Chỉ cung cấp quyền truy cập cần thiết cho người dùng và thiết bị để thực hiện công việc của họ.
3. Giám sát và ghi nhật ký: Giám sát liên tục các hoạt động trong hệ thống và ghi lại tất cả các sự kiện để phát hiện và phản ứng với các mối đe dọa kịp thời.
4. Kiểm tra đa yếu tố (MFA): Sử dụng các biện pháp xác thực đa yếu tố để tăng cường bảo mật.
5. Phân đoạn mạng (Micro-segmentation): Chia nhỏ mạng thành các phân đoạn nhỏ hơn để hạn chế phạm vi của các cuộc tấn công nếu có.

Tại sao doanh nghiệp nên áp dụng Zero Trust?

Trước tình hình các cuộc tấn công vào hệ thống an toàn thông tin xảy ra ngày càng nghiệm trọng, để lại những hệ lụy khó khắc phục thì Zero Trust thực sự là giải pháp tối ưu, giúp bộ máy doanh nghiệp chủ động phòng tránh và ứng phó. Dưới đây là một số lợi ích cụ thể mà doanh nghiệp có thể tham khảo trước khi sử dụng các giải pháp cụ thể về Zero Trust: 

1. Tăng cường bảo mật: Zero Trust giúp ngăn chặn các cuộc tấn công từ bên trong và bên ngoài bằng cách loại bỏ giả định về an toàn mặc định của các hệ thống nội bộ.
2. Giảm thiểu rủi ro: Với quyền truy cập được kiểm soát chặt chẽ, rủi ro từ việc bị tấn công bởi hacker hoặc từ các nhân viên có ý đồ xấu sẽ được giảm thiểu.
3. Phù hợp với môi trường làm việc hiện đại: Khi ngày càng nhiều doanh nghiệp áp dụng mô hình làm việc từ xa, Zero Trust đảm bảo rằng mọi kết nối đều an toàn, bất kể vị trí của người dùng.
4. Đáp ứng yêu cầu tuân thủ: Nhiều quy định và tiêu chuẩn bảo mật yêu cầu các biện pháp bảo vệ nghiêm ngặt mà Zero Trust cung cấp.
5. Phát hiện và phản ứng nhanh chóng: Với việc giám sát và ghi nhật ký liên tục, doanh nghiệp có thể phát hiện và phản ứng kịp thời với các mối đe dọa bảo mật.

Một số giải pháp chính trong mô hình Zero Trust

Các giải pháp Zero Trust hiện nay thường bao gồm một loạt các công nghệ và chiến lược nhằm đảm bảo an ninh mạng toàn diện. 

1. Xác thực đa yếu tố (Multi-Factor Authentication – MFA)

MFA yêu cầu người dùng cung cấp nhiều yếu tố xác thực trước khi được cấp quyền truy cập vào tài nguyên, giảm thiểu rủi ro từ việc bị đánh cắp thông tin đăng nhập.

2. Quản lý danh tính và truy cập (Identity and Access Management – IAM)

IAM đảm bảo rằng chỉ những người dùng được ủy quyền mới có quyền truy cập vào các tài nguyên cần thiết. Các giải pháp IAM quản lý người dùng, vai trò và quyền hạn để đảm bảo an toàn.

3. Quản lý thiết bị (Device Management)

Các giải pháp này bao gồm quản lý thiết bị di động (Mobile Device Management – MDM) và quản lý thiết bị đầu cuối (Endpoint Management), đảm bảo rằng chỉ các thiết bị an toàn và được ủy quyền mới có thể truy cập vào hệ thống.

4. Phân đoạn mạng (Network Segmentation)

Phân đoạn mạng chia mạng thành các phân đoạn nhỏ hơn, giúp kiểm soát luồng dữ liệu và hạn chế sự lây lan của các cuộc tấn công.

5. Bảo vệ điểm cuối (Endpoint Security)

Các giải pháp bảo vệ điểm cuối bao gồm phần mềm chống virus, chống malware, và các công cụ bảo mật khác để bảo vệ các thiết bị đầu cuối khỏi các mối đe dọa.

6. Giám sát và ghi nhật ký (Monitoring and Logging)

Giám sát liên tục các hoạt động trong mạng và ghi nhật ký chi tiết giúp phát hiện và phản ứng kịp thời với các sự cố bảo mật.

7. Kiểm soát truy cập dựa trên chính sách (Policy-Based Access Control)

Thiết lập các chính sách truy cập dựa trên nhiều yếu tố như vai trò người dùng, thiết bị, vị trí, và thời gian, giúp đảm bảo rằng quyền truy cập chỉ được cấp khi đáp ứng đầy đủ các yêu cầu bảo mật.

8. Mạng bảo mật (Secure Network)

Sử dụng các công nghệ mạng bảo mật như Virtual Private Network (VPN) hoặc Software-Defined Perimeter (SDP) để bảo vệ kết nối mạng và dữ liệu truyền tải.

9. Zero Trust Network Access (ZTNA)

ZTNA cung cấp quyền truy cập an toàn cho các ứng dụng và dịch vụ dựa trên đám mây hoặc tại chỗ mà không cần tin tưởng vào mạng nội bộ. Điều này giúp bảo vệ tài nguyên khỏi các cuộc tấn công mạng.

10. Phân tích hành vi người dùng và thiết bị (User and Entity Behavior Analytics – UEBA)

UEBA sử dụng machine learning và phân tích hành vi để phát hiện các hoạt động bất thường có thể chỉ ra một cuộc tấn công.

Hiện nay, Lac Hong Tech là đơn vị chuyên triển khai các giải pháp an toàn thông tin, đặc biệt là các giải pháp đáp ứng mô hình Zero Trust. Để được tư vấn và hỗ trợ trực tiếp, Quý khách hàng vui lòng liên hệ số Hotline: 1900 68 24. 

Lỗ hổng zero-day trong tính năng Share bị khai thác công khai

Một cuộc kiểm tra bảo mật mở rộng đối với QNAP QTS, hệ điều hành dành cho các sản phẩm NAS của công ty, đã phát hiện 15 lỗ hổng với các mức độ nghiêm trọng khác nhau, 11 lỗ hổng trong số này vẫn chưa được vá.

Đáng chú ý là CVE-2024-27130, một lỗ hổng tràn bộ đệm stack chưa được vá trong hàm ‘No_Support_ACL’ của ‘share.cgi’. Lỗ hổng này có thể cho phép kẻ tấn công thực thi mã từ xa trong một số điều kiện nhất định.

Nhà cung cấp đã phản hồi các báo cáo về lỗ hổng bảo mật được gửi từ ngày 12 tháng 12 năm 2023 đến ngày 23 tháng 1 năm 2024 nhưng hiện mới khắc phục được 4 trong số 15 lỗ hổng. Các lỗ hổng đã được phát hiện bởi WatchTowr Labs. Họ đã công bố chi tiết đầy đủ về phát hiện của mình và mã khai thác (PoC) cho CVE-2024-27130 vào thứ sáu vừa qua.

Các lỗ hổng được WatchTowr phát hiện chủ yếu liên quan đến việc thực thi mã, tràn bộ đệm, hỏng bộ nhớ, bỏ qua xác thực và các lỗi XSS, gây ảnh hưởng đến tính bảo mật của các thiết bị NAS (Network Attached Storage) trên các môi trường triển khai khác nhau. Chúng ảnh hưởng đến QTS, hệ điều hành NAS trên các thiết bị QNAP, QuTScloud, phiên bản QTS được tối ưu hóa cho VM và QTS hero.

Lỗ hổng QNAP CVE-2024-27130 gây ra do việc sử dụng ‘strcpy’ trong hàm No_Support_ACL một cách không an toàn. Hàm này được sử dụng bởi yêu cầu get_file_size trong tập lệnh share.cgi.

Kẻ tấn công có thể tạo một yêu cầu độc hại với tham số ‘name’ có độ dài lớn để gây ra lỗi tràn bộ đệm dẫn đến thực thi mã từ xa.

Tuy nhiên, để khai thác thành công CVE-2024-27130, kẻ tấn công cần gửi một tham số ‘ssid’ hợp lệ, tham số này được tạo khi người dùng NAS chia sẻ tệp từ thiết bị QNAP của họ.

Tham số này được bao gồm trong URL của liên kết chia sẻ được tạo trên thiết bị, vì vậy, kẻ tấn công sẽ phải sử dụng một số kỹ thuật xã hội để có quyền truy cập vào thông số đó. Tuy nhiên, BleepingComputer nhận thấy rằng người dùng đôi khi chia sẻ các liên kết này trực tuyến, dẫn đến việc chúng có thể bị lập chỉ mục và truy xuất thông qua việc tìm kiếm trên Google.

QNAP đã phát hành bản cập nhật khẩn cấp cho CVE-2024-27130 và bốn lỗ hổng khác được WatchTowr phát hiện trong phiên bản từ QTS 5.1.7.2770 build 20240520 trở lên.

Để giảm thiếu các rủi ro tiềm ẩn, người dùng nên thường xuyên kiểm tra và cập nhật hệ thống của mình lên phiên bản mới nhất ngay khi các bản cập nhật được phát hành.

Danh sách 15 lỗ hổng QTS đã được WatchTowr phát hiện

– CVE-2023-50361: Sử dụng hàm sprintf theo cách không an toàn trong getQpkgDir được gọi từ userConfig.cgi.

– CVE-2023-50362: Sử dụng các hàm SQLite không an toàn có thể truy cập thông qua tham số addPersonalSmtp đến userConfig.cgi.

– CVE-2023-50363: Thiếu kiểm tra xác thực cho phép vô hiệu hóa xác thực hai yếu tố đối với người dùng bất kỳ.

– CVE-2023-50364: Vấn đề heap overflow thông qua tên thư mục dài khi liệt kê tệp được sử dụng bởi hàm get_dirs của PrivWizard.cgi.

– CVE-2024-21902: Thiếu kiểm tra xác thực cho phép tất cả người dùng xem hoặc xóa nhật ký hệ thống và thực hiện các hành động khác.

– CVE-2024-27127: Vấn đề double-free trong utilRequest.cgi thông qua hàm delete_share.

– CVE-2024-27128: Vấn đề Stack overflow trong hàm check_email, có thể truy cập thông qua hàm share_file và send_share_mail của utilRequest.cgi.

– CVE-2024-27129: Sử dụng strcpy theo cách không an toàn trong hàm get_tree của utilRequest.cgi.

– CVE-2024-27130: Sử dụng strcpy theo cách không an toàn trong No_Support_ACL có thể truy cập thông qua hàm get_file_size của share.cgi.

– CVE-2024-27131: Giả mạo log thông qua x-forwarded-for

– WT-2023-0050: Lỗ hổng gây gián đoạn hoạt động cho hệ thống

– WT-2024-0004 và WT-2024-0005: lỗ hổng Stored XSS trong chức năng thông báo log hệ thống từ xa và phát hiện thiết bị từ xa

– WT-2024-0006: Thiếu giới hạn truy cập đối với API xác thực.

– WT-2024-00XX: Hiện chưa được tiết lộ.

Theo PV

VnMedia

Data Protection là gì? Ứng dụng trong một số lĩnh vực tiêu biểu

Data Protection (Bảo vệ dữ liệu) là các biện pháp và quy định được thực hiện để bảo vệ dữ liệu cá nhân và thông tin nhạy cảm khỏi bị truy cập trái phép, sử dụng sai mục đích, thay đổi hoặc hủy hoại. Nó đảm bảo rằng thông tin cá nhân của người dùng được xử lý một cách an toàn và bảo mật. Các biện pháp bảo vệ dữ liệu có thể bao gồm cả các yếu tố kỹ thuật và tổ chức nhằm bảo vệ sự riêng tư và bảo mật của dữ liệu.

Data Protection được chia thành 2 loại 

Data Protection thường được chia thành hai dạng chính: Active Data Protection (Bảo vệ dữ liệu chủ động) và Passive Data Protection (Bảo vệ dữ liệu thụ động). Cả hai dạng này đều quan trọng và thường được sử dụng đồng thời để đảm bảo an toàn và bảo mật dữ liệu. Dưới đây là mô tả chi tiết về từng dạng:

1. Bảo vệ Dữ liệu Chủ động (Active Data Protection):

   • Mã hóa (Encryption): Dữ liệu được mã hóa để đảm bảo rằng chỉ những người có khóa giải mã mới có thể truy cập và đọc được nội dung.
   • Xác thực và Kiểm soát Truy cập (Authentication and Access Control): Sử dụng các phương pháp xác thực người dùng và phân quyền để giới hạn truy cập vào dữ liệu chỉ cho những người được ủy quyền.
   • Phát hiện và Ngăn chặn Xâm nhập (Intrusion Detection and Prevention): Sử dụng các hệ thống và phần mềm để phát hiện và ngăn chặn các cuộc tấn công mạng.
   • Cảnh báo Bảo mật (Security Alerts): Thiết lập các hệ thống cảnh báo để phát hiện và thông báo về các hoạt động đáng ngờ hoặc vi phạm bảo mật.

1. Bảo vệ Dữ liệu Thụ động (Passive Data Protection):

   • Sao lưu dữ liệu (Data Backup): Thực hiện sao lưu dữ liệu định kỳ để đảm bảo rằng có thể khôi phục dữ liệu trong trường hợp mất mát hoặc hư hỏng.
   • Lưu trữ dữ liệu an toàn (Secure Data Storage): Lưu trữ dữ liệu trên các phương tiện an toàn để ngăn chặn truy cập trái phép.
   • Kiểm tra và giám sát hệ thống (System Auditing and Monitoring): Giám sát và ghi lại các hoạt động trên hệ thống để phát hiện các vi phạm bảo mật và đảm bảo tuân thủ.
   • Kiểm soát phiên bản (Version Control): Quản lý các phiên bản khác nhau của dữ liệu để đảm bảo rằng có thể khôi phục lại phiên bản trước đó nếu cần.

Ứng dụng của Data Protection 

Data Protection có nhiều ứng dụng quan trọng trong các lĩnh vực khác nhau nhằm đảm bảo an toàn và bảo mật thông tin. Dưới đây là một số ứng dụng tiêu biểu của bảo vệ dữ liệu:

1. Ngân hàng và tài chính:
   • Bảo vệ thông tin khách hàng: Ngăn chặn việc lộ thông tin tài chính và cá nhân của khách hàng.
   • Phòng chống gian lận: Sử dụng các biện pháp mã hóa và kiểm soát truy cập để ngăn chặn các hành vi gian lận.
2. Chăm sóc sức khỏe:
   • Bảo vệ hồ sơ bệnh nhân: Đảm bảo rằng thông tin y tế cá nhân được bảo mật và chỉ có những người được ủy quyền mới có thể truy cập.
   • Tuân thủ quy định: Tuân thủ các quy định về bảo mật thông tin y tế như HIPAA (Health Insurance Portability and Accountability Act) ở Hoa Kỳ.
3. Thương mại điện tử:
   • Bảo vệ thông tin thanh toán: Đảm bảo an toàn cho các giao dịch trực tuyến và bảo mật thông tin thẻ tín dụng của khách hàng.
   • Ngăn chặn tấn công mạng: Sử dụng tường lửa, mã hóa và các biện pháp bảo mật khác để bảo vệ trang web khỏi các cuộc tấn công.
4. Chính phủ và dịch vụ công:
   • Bảo mật dữ liệu công dân: Bảo vệ dữ liệu cá nhân và nhạy cảm của công dân khỏi bị truy cập trái phép.
   • Hệ thống an ninh Quốc gia: Bảo vệ các dữ liệu quan trọng liên quan đến an ninh quốc gia khỏi các mối đe dọa.
5. Giáo dục:
   • Bảo vệ thông tin học sinh: Đảm bảo rằng thông tin cá nhân và học tập của học sinh được bảo mật.
   • Ngăn chặn gian lận học thuật: Sử dụng các biện pháp để bảo vệ dữ liệu và ngăn chặn gian lận trong thi cử và đánh giá.
6. Công nghiệp và Sản xuất:
   • Bảo vệ sở hữu trí tuệ: Bảo vệ các thông tin và bí mật công nghệ của công ty.
   • An toàn và bảo mật mạng: Đảm bảo rằng các hệ thống điều khiển công nghiệp (ICS) và mạng sản xuất không bị xâm nhập.
7. Dịch vụ Đám mây:
   • Bảo mật dữ liệu lưu trữ: Sử dụng các biện pháp mã hóa và xác thực để bảo vệ dữ liệu được lưu trữ trên các dịch vụ đám mây.
   • Đảm bảo tuân thủ: Tuân thủ các quy định và tiêu chuẩn quốc tế về bảo mật và bảo vệ dữ liệu.
8. Truyền thông và giải trí:
   • Bảo vệ nội dung số: Ngăn chặn việc sao chép và phân phối trái phép các nội dung số như phim, nhạc, và phần mềm.
   • Quản lý quyền kỹ thuật số (DRM): Sử dụng các công nghệ để bảo vệ bản quyền và quyền sở hữu trí tuệ.

Bảo vệ dữ liệu không chỉ giúp bảo vệ quyền riêng tư và an toàn thông tin cá nhân mà còn giúp các tổ chức duy trì uy tín, tuân thủ các quy định pháp luật, và ngăn chặn các tổn thất tài chính do vi phạm bảo mật.

Lac Hong Tech là Đơn vị chuyên cung cấp và triển khai các giải pháp bảo mật an toàn thông tin, trong đó Data Protection là một trong những dịch vụ trọng tâm. Để được tư vấn và hỗ trợ trực tiếp về giải pháp này, Quý Khách hàng vui lòng liên hệ số Hotline: 1900 68 24. 

Kỹ thuật mã hóa Data Encryption

Truyền tải thông tin qua Internet là hình thức phổ biến nhất hiện nay thì mọi dữ liệu đều sẽ được lưu trữ bằng thời gian và không gian mạng rộng lớn này. Thông qua Internet, người dùng nhận được vô vàn các lợi ích tích cực, góp phần thúc đẩy hiệu quả và năng suất làm việc, cho người dùng thừa hưởng những thành tựu đỉnh cao của ngành công nghệ thông tin. 

Tuy nhiên, không gian lưu trữ cũng tiềm ẩn nhiều nguy cơ rủi ro tai hại như bị đánh cắp dữ liệu hoặc bị mất do virus xâm nhập. Để phòng tránh điều này, các doanh nghiệp sẽ tiến hành quy trình bảo vệ dữ liệu Data Tokenization trong đó có phương pháp sử dụng Data Encryption. 

Bản chất Data Encryption là gì? 

Data Encryption là quá trình chuyển đổi thông tin từ dạng nguyên bản ban đầu thành dạng không đọc được mà chỉ có những người được ủy quyền mới có thể đọc được, thông qua việc sử dụng thuật toán mã hóa. Mục đích của việc mã hóa dữ liệu là bảo vệ thông tin khỏi việc truy cập trái phép hoặc lạm dụng. Khi dữ liệu được mã hóa, nó trở thành một loạt các ký tự hoặc số không có ý nghĩa, chỉ có thể được giải mã trở lại bằng cách sử dụng một khóa mã hóa tương ứng.

Data Encryption được chia thành các dạng phù hợp với mục đích sử dụng khác nhau 

Các dạng của Data Encryption phổ biến bao gồm:

1. Mã hóa đối xứng (Symmetric Encryption):

   • Một khóa duy nhất được sử dụng cho cả quá trình mã hóa và giải mã.
   • Đối với việc truyền dữ liệu giữa hai bên, cả hai bên phải biết khóa bí mật.
   • Các thuật toán phổ biến bao gồm AES (Advanced Encryption Standard), DES (Data Encryption Standard), và 3DES (Triple DES).

2. Mã hóa không đối xứng (Asymmetric Encryption):

   • Sử dụng cặp khóa công khai và khóa riêng tư.
   • Khóa công khai được chia sẻ công khai và được sử dụng để mã hóa dữ liệu.
   • Khóa riêng tư được giữ bí mật và chỉ được sử dụng để giải mã dữ liệu.
   • Các thuật toán phổ biến bao gồm RSA (Rivest-Shamir-Adleman) và ECC (Elliptic Curve Cryptography).

3. Mã hóa băm (Hashing):

   • Không thể đảo ngược.
   • Dữ liệu được chuyển đổi thành một giá trị băm duy nhất.
   • Thường được sử dụng để kiểm tra tính toàn vẹn của dữ liệu, lưu trữ mật khẩu, hoặc tạo mã xác thực.
   • Các thuật toán phổ biến bao gồm MD5 (Message Digest Algorithm 5), SHA-1 (Secure Hash Algorithm 1), và SHA-256 (Secure Hash Algorithm 256).

4. Mã hóa dữ liệu trong chuyển tiếp (Data-in-Transit Encryption):

   • Mã hóa dữ liệu khi nó đang di chuyển qua mạng.
   • Đảm bảo bảo mật của dữ liệu trong quá trình truyền tải, ngăn chặn các cuộc tấn công như nghe trộm hoặc sửa đổi dữ liệu.
   • Các giao thức bảo mật phổ biến bao gồm SSL/TLS (Secure Sockets Layer/Transport Layer Security) cho web và SSH (Secure Shell) cho truy cập từ xa.

5. Mã hóa dữ liệu nghỉ (Data-at-Rest Encryption):

   • Mã hóa dữ liệu khi nó được lưu trữ trên các thiết bị lưu trữ như ổ cứng, USB hoặc máy chủ.
   • Bảo vệ dữ liệu khỏi truy cập trái phép nếu thiết bị bị mất hoặc đánh cắp.
   • Các phương pháp bao gồm mã hóa toàn bộ đĩa (Full Disk Encryption), mã hóa thư mục hoặc tập tin cụ thể, và mã hóa dữ liệu trong cơ sở dữ liệu.

Data Encryption được ứng dụng trong những lĩnh vực nào? 

Data Encryption được sử dụng rộng rãi trong nhiều lĩnh vực để bảo vệ thông tin và đảm bảo tính bí mật của dữ liệu. Dưới đây là một số lĩnh vực chính mà Data Encryption thường được áp dụng:

1. Công nghệ thông tin và mạng máy tính:
   • Bảo vệ dữ liệu truyền qua mạng từ các cuộc tấn công như nghe trộm và sửa đổi thông tin.
   • Bảo vệ dữ liệu lưu trữ trên các thiết bị lưu trữ như máy chủ, ổ cứng, và thiết bị di động.
2. Tài chính và ngân hàng:
   • Bảo vệ thông tin cá nhân và tài khoản ngân hàng của khách hàng khi thực hiện các giao dịch trực tuyến.
   • Bảo vệ dữ liệu liên quan đến giao dịch tài chính và thông tin nhạy cảm khác.
3. Y tế:
   • Bảo vệ thông tin về bệnh án và dữ liệu y tế cá nhân của bệnh nhân trên các hệ thống thông tin y tế điện tử (EHR).
   • Đảm bảo tính bí mật của dữ liệu y tế khi chia sẻ thông tin giữa các tổ chức y tế và nhà cung cấp dịch vụ y tế.
4. Quân sự và an ninh:
   • Bảo vệ thông tin quân sự và tình báo khỏi sự truy cập trái phép và nguy cơ mất mát.
   • Bảo vệ dữ liệu quan trọng và thông tin nhạy cảm trong các hệ thống an ninh quốc gia.
5. Thương mại điện tử:
   • Bảo vệ dữ liệu khách hàng, thông tin thanh toán và các giao dịch thương mại điện tử.
   • Đảm bảo tính bí mật của dữ liệu doanh nghiệp và thông tin sản phẩm.
6. Giáo dục:
   • Bảo vệ thông tin học sinh và hồ sơ giáo dục khi lưu trữ trên các hệ thống trường học và trường đại học.
   • Bảo vệ dữ liệu nghiên cứu và thông tin đăng ký của sinh viên.

Đơn vị cung cấp các giải pháp sử dụng Data Encryption uy tín? 

Lac Hong Tech là đơn vị chuyên triển khai các giải pháp bảo mật và an toàn thông tin chuyên sâu, trong đó có các giải pháp sử dụng kỹ thuật Data Encryption. 

Để được tư vấn và hỗ trợ trực tiếp về các giải pháp mã hóa Data Encryption tiên tiến nhất hiện nay, đang được sử dụng phổ biến hãy liên hệ Lac Hong Tech qua số Hotline: 1900 68 24.