41 Giờ: Điểm Mù MDR Gây Thiệt Hại Hàng Triệu Đô La

Điều gì đã xảy ra

Trong một vụ vi phạm lớn gần đây, một tập đoàn QSR lớn đã phải đối mặt với sự gián đoạn đáng kể và rò rỉ dữ liệu trên ba công ty con riêng biệt. Sự xâm nhập ban đầu bắt nguồn từ một chiến dịch lừa đảo tinh vi nhắm vào một quản trị viên CNTT cấp trung có đặc quyền cao. Điều này dẫn đến việc chiếm đoạt thông tin đăng nhập thành công và sau đó là tạo chỗ đứng trong mạng công ty.

Tổ chức này đã dựa vào một nhà cung cấp dịch vụ phát hiện và phản hồi được quản lý (MDR) nổi tiếng để giám sát 24/7 và phân loại sự cố. Mặc dù các thỏa thuận cấp độ dịch vụ (SLA) của nhà cung cấp đối với các cảnh báo mức độ nghiêm trọng cao, một cảnh báo quan trọng được kích hoạt bởi hoạt động quản trị bất thường và kết nối mạng đáng ngờ đã không được ghi nhận trong 41 giờ. Sự chậm trễ kéo dài này đã chứng tỏ là thảm khốc, cho phép những kẻ tấn công leo thang đặc quyền và thiết lập tính bền vững.

Trong khoảng thời gian mù mờ này, các tác nhân đe dọa đã di chuyển ngang với hiệu quả đáng báo động, tận dụng các mối quan hệ đáng tin cậy giữa công ty mẹ và các công ty con của nó. Chúng đã khai thác các mối quan hệ tin cậy được cấu hình sai và kiểm soát truy cập yếu để chuyển từ môi trường bị xâm phạm ban đầu sang hai đơn vị kinh doanh riêng biệt khác. Việc rò rỉ dữ liệu bắt đầu ngay sau khi tính bền vững được thiết lập, nhắm mục tiêu vào dữ liệu khách hàng và dữ liệu hoạt động nhạy cảm.

Tại sao mô hình này cứ lặp đi lặp lại

Sự cố này không phải là một sự bất thường cô lập; nó đại diện cho một chế độ thất bại lặp đi lặp lại trong hoạt động bảo mật thuê ngoài. Các nguyên nhân gốc rễ rất đa diện, thường bắt nguồn từ sự kết hợp của các mơ hồ trong hợp đồng, các yếu tố con người và các hạn chế về công nghệ. Các hợp đồng MDR thường xác định mức độ nghiêm trọng của cảnh báo và thời gian phản hồi, nhưng việc thực hiện thực tế có thể khác đáng kể.

Một vấn đề chính là khối lượng cảnh báo khổng lồ được tạo ra trong các doanh nghiệp hiện đại. Ngay cả với sự tương quan nâng cao, các nhà phân tích SOC vẫn phải đối mặt với sự mệt mỏi do cảnh báo, dẫn đến bỏ lỡ tín hiệu hoặc điều tra chậm trễ. Điều này càng trở nên trầm trọng hơn khi các nhà cung cấp MDR ưu tiên số lượng hơn chất lượng, hoặc khi các quy trình nội bộ của họ thiếu sự giám sát và trách nhiệm giải trình đầy đủ đối với mọi cảnh báo.

Một yếu tố góp phần khác là bản chất 'hộp đen' của một số dịch vụ MDR. Khách hàng thường thiếu khả năng hiển thị đầy đủ về quy trình phân loại nội bộ, mức độ nhân sự và cơ chế kiểm soát chất lượng của nhà cung cấp. Sự thiếu minh bạch này có thể che khuất các vấn đề mang tính hệ thống, chẳng hạn như thiếu nhân sự trong các ca làm việc quan trọng hoặc đào tạo không đầy đủ cho các nhà phân tích cấp dưới, cho đến khi một sự cố lớn đưa chúng ra ánh sáng.

"Điểm yếu lớn nhất không phải lúc nào cũng là zero-day; đó là khoảng cách giữa một chính sách bảo mật và việc triển khai thực tế của nó, đặc biệt là khi việc triển khai đó được thuê ngoài."

Kế hoạch tấn công từng bước của kẻ tấn công

Những kẻ tấn công đã thực hiện tỉ mỉ một kế hoạch đã biết, thể hiện sự hiểu biết rõ ràng về các lỗ hổng phổ biến của doanh nghiệp và các điểm mù phòng thủ. Quyền truy cập ban đầu của chúng được giành được thông qua một email lừa đảo spear-phishing được nhắm mục tiêu cao, nhúng một tài liệu độc hại được thiết kế để thu thập thông tin đăng nhập. Quyền truy cập ban đầu này đã cung cấp một tài khoản người dùng hợp pháp.

Sau khi truy cập ban đầu, những kẻ tấn công đã tiến hành trinh sát, lập bản đồ mạng nội bộ bằng các công cụ như BloodHound để xác định các cấu hình sai của Active Directory và các đường dẫn leo thang đặc quyền tiềm năng. Chúng đặc biệt tập trung vào việc xác định các tài khoản dịch vụ và các nhóm quản trị có quyền hạn rộng, một mục tiêu phổ biến để di chuyển ngang.

Leo thang đặc quyền đã đạt được thông qua một lỗ hổng đã biết (một biến thể của CVE-2021-42287/CVE-2021-42278) cho phép chúng mạo danh một bộ điều khiển miền. Điều này đã cấp cho chúng quyền kiểm soát quản trị viên doanh nghiệp. Với các đặc quyền nâng cao, chúng đã thiết lập nhiều cơ chế bền vững, bao gồm các tác vụ đã lên lịch, các tài khoản dịch vụ mới và các sửa đổi đối với Đối tượng Chính sách Nhóm (GPO).

Di chuyển ngang giữa các công ty con đã tận dụng các mối quan hệ tin cậy VPN hiện có và các kết nối RDP, được tạo điều kiện bởi thông tin đăng nhập quản trị viên doanh nghiệp bị xâm phạm. Chúng đã triển khai các công cụ rò rỉ dữ liệu tùy chỉnh, sắp xếp dữ liệu nhạy cảm trên các chia sẻ tệp nội bộ trước khi chuyển nó sang bộ nhớ đám mây thuộc sở hữu của những kẻ tấn công. Cách tiếp cận nhiều giai đoạn này đã khiến việc phát hiện trở nên khó khăn hơn.

Những gì các nhà phòng thủ đã bỏ lỡ

Cảnh báo mức độ nghiêm trọng cao ban đầu được tạo ra bởi giải pháp EDR, gắn cờ các mẫu thực thi quy trình bất thường và các nỗ lực liên lạc C2 đi ra từ một máy trạm người dùng. Cảnh báo này lẽ ra phải kích hoạt các giao thức điều tra và ngăn chặn ngay lập tức. Sự chậm trễ 41 giờ trong việc ghi nhận có nghĩa là khả năng phát hiện của EDR đã bị vô hiệu hóa hiệu quả bởi yếu tố con người.

Ngoài cảnh báo bị bỏ lỡ, một số lớp phòng thủ đã thất bại. Xác thực đa yếu tố (MFA) không được thực thi phổ biến cho các tài khoản quản trị, đặc biệt là đối với những tài khoản được sử dụng trong việc di chuyển ngang giữa các công ty con. Điều này cho phép thông tin đăng nhập bị xâm phạm được sử dụng lại với hiệu quả tàn khốc. Phân đoạn mạng giữa các công ty con cũng không đủ, tạo ra một mạng phẳng cho những kẻ tấn công một khi đã ở bên trong.

Hơn nữa, việc ghi nhật ký và kiểm tra đối với cơ sở hạ tầng quan trọng, chẳng hạn như Active Directory và các máy chủ quan trọng, hoặc không đủ toàn diện hoặc không được tích hợp đúng cách vào ngăn xếp giám sát của MDR. Điều này đã hạn chế khả năng hiển thị có sẵn cho các nhà phân tích MDR, ngay cả khi cảnh báo đã được ghi nhận kịp thời. Phân tích sau sự cố đã tiết lộ những khoảng trống đáng kể trong việc lưu giữ nhật ký và khả năng truy cập.

Cuối cùng, bản thân kế hoạch ứng phó sự cố có thể có những thiếu sót. Mặc dù một kế hoạch IR có thể tồn tại trên giấy, việc không ghi nhận một cảnh báo quan trọng trong một khoảng thời gian dài như vậy cho thấy sự cố trong việc vận hành thực tế kế hoạch đó, đặc biệt liên quan đến các quy trình bàn giao và leo thang với nhà cung cấp MDR bên ngoài.

Danh sách kiểm tra phòng thủ thực tế

• Thực thi MFA phổ quát: Triển khai MFA mạnh mẽ, chống lừa đảo cho tất cả các tài khoản quản trị, truy cập VPN và các ứng dụng kinh doanh quan trọng, đặc biệt là những ứng dụng được sử dụng để truy cập giữa các công ty con.
• Phân đoạn mạng nghiêm ngặt: Thực hiện các nguyên tắc không tin cậy và phân đoạn mạng mạnh mẽ giữa các đơn vị kinh doanh và tài sản quan trọng. Hạn chế các đường dẫn di chuyển ngang theo mặc định.
• Kiểm tra hiệu suất MDR liên tục: Thiết lập các số liệu hiệu suất rõ ràng, có thể đo lường được cho nhà cung cấp MDR của bạn, bao gồm thời gian ghi nhận cảnh báo, mức độ kỹ lưỡng của điều tra và tỷ lệ dương tính giả. Thực hiện kiểm tra độc lập, thường xuyên.
• Xác thực ghi nhật ký & đo lường từ xa: Đảm bảo tất cả các hệ thống quan trọng (AD, EDR, thiết bị mạng, dịch vụ đám mây) đang gửi nhật ký toàn diện đến SIEM/MDR của bạn. Thường xuyên kiểm tra việc thu thập nhật ký và tạo cảnh báo.
• Thực hiện các bài tập nhóm Purple: Tích hợp kiểm thử bảo mật tấn công (red teaming) với phân tích phòng thủ (blue teaming) để xác định các khoảng trống trong việc phát hiện và phản ứng. Mô phỏng các TTP trong thế giới thực, bao gồm cả những TTP tận dụng các CVE đã biết và kỹ thuật di chuyển ngang.
• Xem xét và kiểm tra kế hoạch ứng phó sự cố: Thường xuyên cập nhật và lập kế hoạch ứng phó sự cố, tập trung vào các kịch bản liên quan đến các nhà cung cấp bên ngoài. Bao gồm các quy trình cụ thể cho các cảnh báo bị bỏ lỡ và trách nhiệm giải trình của nhà cung cấp.
• Triển khai Quản lý tư thế bảo mật đám mây (CSPM): Đối với các tổ chức có môi trường lai hoặc đa đám mây, liên tục giám sát các cấu hình để tìm các cấu hình sai có thể dẫn đến truy cập trái phép hoặc rò rỉ dữ liệu.

Cách kiểm thử tấn công hiện đại sẽ phát hiện ra điều này

Các cuộc tấn công bảo mật nâng cao, đặc biệt là những cuộc tấn công tập trung vào red teaming liên tục hoặc mô phỏng tấn công và vi phạm (BAS), được thiết kế để phơi bày chính xác những loại điểm mù hoạt động này. Một bài tập nhóm purple được thực hiện tốt sẽ tận dụng cùng một hoặc các vectơ truy cập ban đầu tương tự, cố gắng kích hoạt cảnh báo từ EDR và các kiểm soát bảo mật khác.

Điểm khác biệt quan trọng nằm ở vòng phản hồi tức thì. Trong một bài tập như vậy, khi một cảnh báo được tạo ra, nhóm kiểm thử sẽ mong đợi thấy sự ghi nhận và điều tra nhanh chóng từ nhóm giám sát. Nếu cảnh báo bị bỏ lỡ, nó sẽ được nhấn mạnh ngay lập tức là một thất bại nghiêm trọng trong cuộc họp tổng kết bài tập, trước khi những kẻ tấn công thực sự có thể khai thác nó.

Hơn nữa, một nền tảng BAS hiệu quả liên tục mô phỏng các kỹ thuật của kẻ tấn công, kiểm tra xem các kiểm soát bảo mật có tạo ra dữ liệu từ xa mong muốn hay không và liệu nhóm giám sát có hành động theo đó hay không. Mọi tín hiệu đều được ghi lại và đóng dấu thời gian, đảm bảo rằng mọi phát hiện bị bỏ lỡ hoặc phản ứng chậm trễ đều có thể định lượng và kiểm toán được ngay lập tức, ngăn chặn những thất bại như vậy bị che giấu. Hồ sơ khách quan, có thể xác minh này làm cho trách nhiệm giải trình trở nên rõ ràng.

Điều cần theo dõi tiếp theo

Ngành công nghiệp sẽ tiếp tục vật lộn với sự phức tạp của việc thuê ngoài các chức năng bảo mật quan trọng. Hãy kỳ vọng sự giám sát chặt chẽ hơn đối với các chi tiết hợp đồng MDR, đặc biệt là xung quanh SLA, quy trình xử lý cảnh báo và tính minh bạch trong hoạt động của nhà cung cấp. Các cơ quan quản lý cũng có thể đưa ra các hướng dẫn nghiêm ngặt hơn cho các tổ chức dựa vào các dịch vụ bảo mật của bên thứ ba, nhấn mạnh sự thẩm định và giám sát liên tục.

Về mặt công nghệ, việc thúc đẩy phát hiện bất thường dựa trên AI và phản ứng tự động sẽ tăng cường. Tuy nhiên, yếu tố con người trong việc giải thích các cảnh báo phức tạp và đưa ra các quyết định ngăn chặn quan trọng vẫn là tối quan trọng. Thách thức sẽ là tích hợp AI một cách hiệu quả mà không tạo ra các điểm mù mới hoặc quá phụ thuộc vào tự động hóa thiếu hiểu biết về ngữ cảnh.

Cuối cùng, sự hội tụ của hoạt động bảo mật và kiểm thử bảo mật tấn công sẽ trở nên rõ rệt hơn. Các tổ chức sẽ tìm kiếm các giải pháp không chỉ phát hiện các mối đe dọa mà còn chủ động xác thực các biện pháp phòng thủ của họ chống lại các TTP đang phát triển, đảm bảo rằng chức năng 'phát hiện' của khung NIST thực sự hiệu quả và không ngừng cải thiện. Trọng tâm sẽ chuyển từ việc chỉ có một MDR sang đảm bảo rằng MDR thể hiện hiệu suất rõ ràng dưới áp lực trong thế giới thực.