Được biết, dù là doanh nghiệp lớn hay nhỏ đều có nguy cơ bị tấn công mạng bất kể năng lực công nghệ hay trình độ đội ngũ bảo mật thông tin trong tổ chức ra sao, mà lý do đơn giản là từ yếu tố con người. Sự cố vừa được xử lý bởi các chuyên gia Kaspersky một lần nữa chứng minh rằng sự thiếu trách nhiệm cơ bản từ nhân viên cũng có thể dẫn đến một cuộc tấn công mạng gây thiệt hại đáng kể cho tổ chức. Một doanh nghiệp lớn đã tìm đến các nhà nghiên cứu của Kaspersky sau khi phát hiện những quy trình đáng ngờ trong hệ thống mạng công ty. Nghiên cứu sau đó phát hiện ra rằng hệ thống đã bị xâm nhập thông qua tài khoản quản trị viên cục bộ (adm_Ivan), được sử dụng để tải thư viện mã độc và sau đó lấy cắp dữ liệu từ hệ thống. Mặc dù vẫn chưa rõ tài khoản của quản trị viên bị xâm phạm lần đầu tiên bằng cách nào, nhưng hành vi của người dùng đã tạo điều kiện để cuộc tấn công diễn ra trong thời gian dài. Quản trị viên đã không đổi mật khẩu trong suốt thời gian đó, thay vì phải đổi mật khẩu ba tháng một lần như khuyến cáo trong chính sách bảo mật của công ty. Tin tặc đã xâm nhập hệ thống bằng tài khoản quản trị viên và tải trực tiếp các tệp độc hại lên hệ thống mạng. Các tập tin bao gồm một thư viện mã độc cũng như các trình tải xuống và một cửa hậu. Các mã độc này bị ẩn trong hệ thống thông qua biến thể của các phím tắt trên màn hình nền, menu và thanh tác vụ. Sau đó, thông qua việc nhấp vào phím tắt, một tệp độc hại sẽ khởi chạy trước tệp thực thi ban đầu của ứng dụng, cho phép tin tặc che giấu hoạt động đáng ngờ khỏi hệ thống bảo mật của tổ chức. Để bảo vệ tổ chức khỏi các cuộc tấn công tương tự, Kaspersky khuyến nghị: • Sử dụng ma trận MITER ATT & CK và định dạng STIX để phát hiện các cuộc tấn công ở giai đoạn đầu. • Thực hiện các giải pháp EDR như Kaspersky Endpoint Detection and Response để phát hiện tấn công điểm cuối, cũng như điều tra và khắc phục kịp thời các sự cố. • Ngoài việc áp dụng bảo vệ điểm cuối cần thiết, hãy triển khai giải pháp bảo mật giúp phát hiện các mối đe dọa nâng cao ở giai đoạn đầu, như Kaspersky Anti Targeted Attack Platform. • Sử dụng chuyên gia hoặc sản phẩm bên ngoài như Kaspersky Threat Hunting service nếu nhóm bảo mật nội bộ bị hạn chế về tài nguyên để chủ động ngăn chặn các mối đe dọa trước khi xảy ra thiệt hại. • Đào tạo nâng cao nhận thức bảo mật cho nhân viên, thông qua Kaspersky Automated Security Awareness Platform. Nền tảng cũng giải thích tại sao mật khẩu nên được thay đổi thường xuyên. |
Từ nhóm ứng phó sự cố của Kaspersky đã theo dõi, nghiên cứu và chặn đứng cuộc tấn công mạng nhắm vào một tổ chức khách hàng. Cuộc tấn công diễn ra từ năm 2017-2019 gây ra vụ rò rỉ dữ liệu lớn.