Thời gian lưu trú của mã độc tống tiền: CISO tìm hiểu sâu về giai đoạn thầm lặng của sự xâm nhập

Trong bối cảnh liên tục của các mối đe dọa mạng, thuật ngữ 'thời gian lưu trú' đã trở thành một chỉ số quan trọng đối với các nhà lãnh đạo an ninh. Nó đại diện cho khoảng thời gian giữa lần truy cập bất hợp pháp ban đầu của kẻ tấn công vào một hệ thống thông tin và thời điểm truy cập này bị phát hiện. Các phân tích sự cố gần đây nhấn mạnh rằng giai đoạn thầm lặng này thường là nơi chuẩn bị những thiệt hại đáng kể nhất, đặc biệt là trước khi triển khai mã độc tống tiền.

Điều gì đã xảy ra

Các báo cáo sự cố liên tục tiết lộ một mô hình trong đó các cuộc tấn công mã độc tống tiền không phải là đột ngột, mà là đỉnh điểm sau một khoảng thời gian đáng kể không bị phát hiện trong hệ thống của một tổ chức. 'Thời gian lưu trú' này cho phép kẻ tấn công tỉ mỉ lập bản đồ mạng, leo thang đặc quyền và dàn dựng dữ liệu để đánh cắp hoặc mã hóa. Ví dụ, một số sự cố đã nêu bật cách một điểm vào ban đầu, chẳng hạn như thông tin đăng nhập bị xâm phạm, có thể tạo điều kiện cho thời gian lưu trú đáng kể trước khi tải trọng mã độc tống tiền được kích hoạt.

Trong khoảng thời gian kéo dài này, các tác nhân đe dọa tham gia vào các hoạt động thường tránh được các biện pháp kiểm soát an ninh truyền thống. Chúng hoạt động một cách lén lút, tận dụng các kỹ thuật phù hợp với các mối đe dọa dai dẳng nâng cao (APT), chẳng hạn như lạm dụng các công cụ gốc (Living off the Land) và thực hiện di chuyển ngang nâng cao. Các phương pháp này được thiết kế để bỏ qua các rào cản EDR và SIEM tự động, khiến việc phát hiện trở nên khó khăn đối với các Trung tâm Hoạt động An ninh (SOC) nội bộ vốn chủ yếu tập trung vào các quy trình cảnh báo hàng ngày.

Tại sao mô hình này cứ lặp lại

Sự tồn tại của thời gian lưu trú dài trong các sự cố mã độc tống tiền bắt nguồn từ một số thách thức hệ thống. Kẻ tấn công ngày càng tinh vi, thể hiện kỷ luật hoạt động có thể cạnh tranh với các nhóm bảo mật doanh nghiệp trưởng thành. Chúng hiểu rằng sự hiện diện kéo dài, không bị phát hiện cho phép chúng đạt được mục tiêu với độ chắc chắn và tác động cao hơn.

Nhiều tổ chức vẫn dựa vào các tư thế bảo mật phản ứng, tập trung vào việc phát hiện sau khi một vụ vi phạm đã rõ ràng. Mặc dù các SOC nội bộ thành thạo trong việc xử lý các cảnh báo thường xuyên, nhưng họ thường thiếu chuyên môn chuyên biệt về pháp y kỹ thuật số, tái tạo siêu dữ liệu mạng và phân tích phần mềm độc hại cần thiết để phát hiện các cuộc xâm nhập nâng cao, lén lút. Khoảng cách này cho phép kẻ tấn công duy trì sự dai dẳng và chuẩn bị đòn tấn công cuối cùng mà không kích hoạt cảnh báo ngay lập tức.

Khoảng thời gian yên tĩnh trước khi triển khai mã độc tống tiền không phải là một khoảng lặng; đó là một giai đoạn trinh sát và chuẩn bị tích cực, có tính toán của kẻ thù.

Quy trình tấn công của kẻ tấn công từng bước một

Nhiều cuộc tấn công mã độc tống tiền, đặc biệt là những cuộc tấn công có thời gian lưu trú dài, thường theo một mô hình các giai đoạn:

1. Truy cập ban đầu và điểm tựa: Điều này thường bắt đầu bằng thông tin đăng nhập bị xâm phạm. Kẻ tấn công có được điểm vào ban đầu vào mạng, thường thông qua các con đường ít được kiểm tra hơn.
2. Thiết lập sự bền bỉ: Một khi đã vào bên trong, kẻ thù cố gắng đảm bảo quyền truy cập liên tục, ngay cả khi phương pháp xâm nhập ban đầu của chúng bị phát hiện hoặc vá lỗi. Điều này có thể liên quan đến việc cài đặt cửa hậu, tạo tài khoản người dùng mới hoặc sửa đổi cấu hình hệ thống.
3. Trinh sát nội bộ: Kẻ tấn công sau đó lập bản đồ mạng một cách có hệ thống, xác định các tài sản quan trọng và hiểu luồng dữ liệu. Giai đoạn này rất quan trọng để lập kế hoạch di chuyển ngang và xác định các mục tiêu có giá trị cao.
4. Truy cập thông tin đăng nhập và leo thang đặc quyền: Các tác nhân đe dọa tìm cách lấy thông tin đăng nhập cấp cao hơn, thường nhắm mục tiêu vào các tài khoản quản trị. Điều này cho phép chúng di chuyển tự do hơn trong mạng và truy cập các hệ thống nhạy cảm, thường bỏ qua các biện pháp kiểm soát an ninh hiện có.
5. Di chuyển ngang: Sử dụng thông tin đăng nhập bị xâm phạm và các lỗ hổng được phát hiện, kẻ tấn công mở rộng sự hiện diện của chúng trên mạng, tiếp cận các hệ thống và kho dữ liệu chính. Điều này thường liên quan đến việc lạm dụng các công cụ gốc đã có sẵn trên hệ thống, khiến việc phát hiện trở nên khó khăn.
6. Dàn dựng và đánh cắp dữ liệu (Tùy chọn nhưng phổ biến): Trước khi mã hóa, kẻ tấn công thường thu thập và dàn dựng dữ liệu nhạy cảm, chuẩn bị cho việc đánh cắp. Điều này bổ sung yếu tố tống tiền dữ liệu vào mối đe dọa mã độc tống tiền.
7. Triển khai mã độc tống tiền: Chỉ sau khi các bước trước đó được hoàn thành, kẻ tấn công mới tung ra tải trọng mã độc tống tiền, mã hóa hệ thống và yêu cầu thanh toán.

Những gì người phòng thủ đã bỏ lỡ

Trong các sự cố được đặc trưng bởi thời gian lưu trú kéo dài, người phòng thủ thường bỏ lỡ các chỉ số tinh vi mà, nhìn lại, có thể đã báo hiệu một cuộc xâm nhập đang diễn ra. Các hệ thống EDR và SIEM tự động, mặc dù mạnh mẽ, có thể bị quá tải bởi sự mệt mỏi do cảnh báo hoặc bị bỏ qua bởi các kỹ thuật APT tinh vi. Ví dụ, việc lạm dụng các công cụ gốc, pha trộn hoạt động độc hại với các quy trình hệ thống hợp pháp, khiến các chữ ký truyền thống hoặc phân tích hành vi khó gắn cờ.

Hơn nữa, việc thiếu săn lùng mối đe dọa liên tục, chủ động cho phép các mối đe dọa ẩn tránh bị phát hiện. Nhiều tổ chức tập trung vào các biện pháp phản ứng, chờ đợi một cảnh báo thay vì chủ động tìm kiếm các bất thường cho thấy sự xâm nhập. Yếu tố con người, chẳng hạn như việc sử dụng thông tin đăng nhập bị xâm phạm, cũng làm nổi bật một lỗ hổng nghiêm trọng thường bị bỏ qua chỉ trong các biện pháp kiểm soát kỹ thuật. Việc thiếu chuyên môn cụ thể trong các lĩnh vực như tái tạo siêu dữ liệu mạng và phân tích phần mềm độc hại nâng cao càng làm tăng thêm thách thức, ngăn cản các nhóm nội bộ phân tích hiệu quả các hành động phức tạp của các đối thủ tiên tiến.

Danh sách kiểm tra phòng thủ thực tế

Giảm thời gian lưu trú của mã độc tống tiền đòi hỏi một cách tiếp cận đa diện, kết hợp công nghệ, quy trình và chuyên môn chuyên biệt. Các CISO và kỹ sư bảo mật nên ưu tiên những điều sau:

• Tăng cường khả năng hiển thị và phân tích: Thực hiện ghi nhật ký và giám sát toàn diện trên tất cả các điểm cuối, mạng và môi trường đám mây. Tận dụng phân tích nâng cao để tương quan các sự kiện dường như không liên quan.
• Săn lùng mối đe dọa chủ động: Thành lập các nhóm săn lùng mối đe dọa chuyên dụng hoặc tích hợp săn lùng mối đe dọa như một hoạt động vận hành thường xuyên trong SOC để chủ động tìm kiếm các mối đe dọa ẩn tránh các biện pháp kiểm soát tự động.
• Thực hiện xác thực liên tục và Zero Trust: Hạn chế hoặc gắn cờ các hành vi đáng ngờ và ngăn chặn leo thang đặc quyền bằng cách liên tục xác minh danh tính người dùng và độ tin cậy của thiết bị.
• Phát triển các kế hoạch ứng phó sự cố mạnh mẽ: Đảm bảo các quy trình rõ ràng để thu hút các chuyên gia ứng phó sự cố mạng bên ngoài khi một sự cố hiển thị các đặc điểm của APT, chẳng hạn như lạm dụng các công cụ gốc hoặc di chuyển ngang nâng cao.
• Tăng cường quản lý thông tin đăng nhập: Thực thi các chính sách mật khẩu mạnh, xác thực đa yếu tố (MFA) trên tất cả các hệ thống quan trọng và kiểm tra vệ sinh thông tin đăng nhập thường xuyên. Giải quyết rủi ro về thông tin đăng nhập được chia sẻ hoặc sử dụng lại.
• Kiểm tra an ninh tấn công thường xuyên: Thực hiện kiểm tra tấn công tự động với các bằng chứng khái niệm (PoC) có thể thực thi để xác định các lỗ hổng và xác thực khả năng phòng thủ trước khi kẻ thù khai thác chúng.
• Đầu tư vào khả năng pháp y kỹ thuật số và phân tích phần mềm độc hại: Phát triển chuyên môn nội bộ hoặc hợp tác với các công ty bên ngoài chuyên về pháp y kỹ thuật số, tái tạo siêu dữ liệu mạng và phân tích phần mềm độc hại để điều tra sự cố sâu hơn.

Cách kiểm thử tấn công hiện đại đã phát hiện ra điều này

Thời gian lưu trú kéo dài được thấy trong các sự cố mã độc tống tiền gần đây nhấn mạnh một khoảng trống quan trọng mà kiểm thử tấn công hiện đại, đặc biệt là các nền tảng tự động, được thiết kế để giải quyết. Quét lỗ hổng truyền thống và kiểm thử thâm nhập thường cung cấp các đánh giá tại một thời điểm, có thể bỏ lỡ các chiến thuật tinh vi hơn, nhiều giai đoạn được sử dụng bởi kẻ thù trong nhiều tuần hoặc nhiều tháng.

Kiểm thử tấn công tự động, thông qua các PoC có thể thực thi, có thể mô phỏng các kỹ thuật di chuyển ngang, xâm phạm thông tin đăng nhập và duy trì sự bền bỉ được sử dụng bởi các nhóm đe dọa. Bằng cách liên tục mô phỏng các đường tấn công trong thế giới thực, nó xác định cách một điểm tựa ban đầu có thể leo thang thành một cuộc xâm nhập hoàn toàn. Cách tiếp cận chủ động, liên tục này tiết lộ các đường dẫn có thể khai thác và các điểm mù phòng thủ trước khi một kẻ tấn công thực sự có thể tận dụng chúng. Việc kiểm thử như vậy sẽ làm nổi bật những điểm yếu trong quản lý thông tin đăng nhập, khả năng di chuyển ngang không bị phát hiện và khả năng lạm dụng các công cụ gốc, cung cấp thông tin tình báo có thể hành động để củng cố hệ thống phòng thủ rất lâu trước khi mã độc tống tiền có thể được triển khai.

Những điều cần theo dõi tiếp theo

Bối cảnh mối đe dọa đang phát triển đòi hỏi sự thích nghi liên tục từ các nhà lãnh đạo an ninh. Dự kiến sẽ thấy sự tập trung ngày càng tăng vào các cuộc tấn công trong đó quyền truy cập ban đầu được giành được thông qua các nhà cung cấp bên thứ ba, có khả năng tận dụng các tư thế bảo mật yếu hơn. Sự tinh vi của các kỹ thuật Living off the Land cũng sẽ tiếp tục phát triển, khiến việc gán thuộc tính và phát hiện trở nên thách thức hơn nữa. Hơn nữa, sự hội tụ của AI và học máy trong cả an ninh mạng tấn công và phòng thủ sẽ tăng tốc, đòi hỏi các CISO phải hiểu cách các công nghệ này tác động đến việc phát hiện và ứng phó mối đe dọa. Ưu tiên các biện pháp bảo mật chủ động, xác thực liên tục và chuyên môn chuyên biệt sẽ là tối quan trọng trong việc giảm thiểu tác động thầm lặng, nhưng tàn khốc của thời gian lưu trú kéo dài.