Các lỗ hổng của quá khứ là cửa mở cho những cuộc tấn công trong tương lai.



Các lỗ hổng phần mềm chính là một thực tế trong cuộc sống, như đã được phát họa bằng việc Microsoft đã vá từ 55 đến 110 lỗ hổng mỗi tháng trong năm nay – với 7% đến 17% trong số các lỗ hổng được đánh giá là nghiêm trọng.

Tháng 5 có ít lỗ hổng bảo mật nhất, với tổng số 55 lỗ hổng và chỉ có bốn lỗ hổng được coi là nghiêm trọng. Vấn đề là các lỗ hổng nghiêm trọng là những thứ chúng ta đã thấy trong nhiều năm, như emote code execution và privilege escalation.

Microsoft không phải là cái tên lớn duy nhất, thường xuyên vá các lỗ hổng bảo mật lớn: Chúng ta cũng thấy các bản cập nhật bảo mật hàng tháng đến từ Apple, Adobe, Google, Cisco, v.v.

Microsoft's Zerologon vulnerability fix: What admins need to know | CSO  Online

Những điều phiền phức có nguy cơ quay trở lại.

Với những lỗ hổng chính trong rất nhiều ứng dụng, liệu có hy vọng nào cho một tương lai an toàn không? Tất nhiên, câu trả lời là có, nhưng điều đó không có nghĩa là sẽ dễ dàng  đạt được điều đó.

Các lỗ hổng được tìm thấy có thể không mới đối với những người trong chúng ta, những người đã bảo vệ chống lại những hacker trong nhiều năm hoặc thậm chí nhiều thập kỷ, nhưng chúng liên tục thay đổi chiến thuật.

Không có gì lạ khi hacker sử dụng các tài nguyên hợp pháp cho các mục đích bất chính và không phải lúc nào cũng có thể lập kế hoạch cho việc bị lạm dụng này khi một ứng dụng đang được tạo ra.

Đó là đặc quyền của bạn.

Với 80% vi phạm bảo mật liên quan đến tài khoản đặc quyền, một lỗ hổng chính mà chúng ta sẽ ngày càng thấy bị khai thác là privilege escalation. Một chiến thuật phổ biến của những kẻ tạo ra ransomware và hacker khác là đạt được các đặc quyền nâng cao trên một hệ thống để giúp hợp pháp hóa các hành động của chúng và giành quyền truy cập vào dữ liệu nhạy cảm.

Nếu kẻ đánh cắp thông tin có cùng quyền truy cập với người dùng hiện tại, cơ hội lấy cắp dữ liệu nhạy cảm sẽ tăng lên đáng kể. Trong khi đó, quyền truy cập quản trị gần như đảm bảo quyền truy cập vào dữ liệu đầy hấp dẫn với chúng.

Ngoài việc cập nhật phần mềm, đây là lúc các sáng kiến ​​của Zero Trust và giám sát luồng dữ liệu trở nên quan trọng. Ở mức tối thiểu, Zero Trust có nghĩa là “The principle of least privilege” nên được áp dụng và xác thực đa yếu tố phải được yêu cầu ở bất cứ nơi nào có thể`.

Về cơ bản, điều này đảm bảo rằng bất kỳ ai không cần quyền truy cập vào hệ thống hoặc tệp đều không thể truy cập vào nó – trong khi những người đó phải chứng minh rằng họ là người mà họ nói. Theo dõi luồng dữ liệu cũng có thể giúp phát hiện sớm vi phạm, hạn chế số lượng dữ liệu bị đánh cắp.

Điều khiển từ xa.

RCE: Remote Code Execution Explained | N-able

Remote code execution (RCE) sẽ không biến mất trong tương lai gần. Các cuộc tấn công này chiếm khoảng 27% tổng số cuộc tấn công vào năm 2020, tăng từ 7% so với năm trước. Nếu hacker có thể tìm cách chạy arbitrary code trên hệ thống của bạn từ xa, chúng có nhiều quyền kiểm soát hơn so với việc chỉ cố tình yêu cầu người dùng chạy một malware với các chức năng được xác định trước.

Nếu hacker có thể arbitrary code từ xa, chúng có khả năng di chuyển xung quanh hệ thống và có thể là mạng lưới – cho phép chúng thay đổi mục tiêu và chiến thuật dựa trên những gì chúng tìm thấy.

Giám sát hành vi là một trong những cách tốt nhất để phát hiện RCE trên hệ thống của bạn. Nếu một ứng dụng bắt đầu chạy các lệnh và quay vòng các quy trình không phải là một phần của các hành vi bình thường của nó, bạn có thể dừng một cuộc tấn công từ sớm. Thực tế là RCE rất phổ biến cũng bắt buộc bạn phải cập nhật các bản vá bảo mật để ngăn chặn nhiều cuộc tấn công này trước khi chúng bắt đầu.

Ai cần phần mềm độc hại?

What is Malware? How Malware Works & How to Prevent It | AVG

Ngày nay, một phương pháp tấn công ưa thích là sử dụng các quy trình hợp pháp và các ứng dụng đáng tin cậy để thực hiện các mục tiêu bất chính. Câc cuộc “fileless” hoặc “living off the land” attacks này có thể khó bị phát hiện vì malware không cần cài đặt.

Một trong những ứng dụng phổ biến nhất được khai thác theo cách này là PowerShell. Điều này có ý nghĩa vì PowerShell là một ứng dụng mạnh mẽ được sử dụng để tập lệnh và chạy các lệnh hệ thống.

Đây là một ví dụ khác mà việc giám sát hành vi của các ứng dụng và quy trình có thể rất quan trọng trong việc ngăn chặn một cuộc tấn công một cách nhanh chóng. PowerShell có thực sự cần tắt các tính năng bảo mật không?

Trong hầu hết các trường hợp, có lẽ là không. Những hành vi như thế này có thể được giám sát, ngay cả từ các ứng dụng đáng tin cậy như PowerShell. Kết hợp tính năng giám sát này với công nghệ máy học và trí tuệ nhân tạo tiên tiến, đồng thời bạn có thể bắt đầu lấy dấu vân tay các hành vi bình thường trên mạng của mình, với các phản hồi tự động đối với hoạt động bất thường.

Mặc dù các kiểu tấn công phổ biến có thể không thay đổi nhiều, nhưng bất kỳ thay đổi nào đối với ứng dụng hoặc mã đều có khả năng tạo ra các lỗ hổng mới. Điều này không có nghĩa là chúng ta nên bỏ cuộc và chỉ để đối thủ đạt được điều chúng muốn – điều đó có nghĩa là bây giờ là lúc chúng ta phải tăng gấp đôi nỗ lực của chúng ta để ngăn cản những nỗ lực của chúng.

Thực hiện chiến lược quản lý bản vá lỗi, giám sát mạng, sử dụng tính năng phát hiện hành vi và không được chủ quan. Việc các nhà cung cấp phần mềm lớn thường xuyên vá các lỗ hổng bảo mật lớn thực sự là một điều tốt, vì những hacker không từ bỏ, vì vậy chúng ta cũng nên như thế.

nguồn: thehackernews.



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật