4 kiểu tấn công chủ động và cách bảo vệ chống lại chúng
Một cuộc tấn công đang hoạt động là một cuộc tấn công mạng nguy hiểm vì nó cố gắng thay đổi các tài nguyên hoặc hoạt động của mạng máy tính của bạn. Các cuộc tấn công tích cực thường dẫn đến mất dữ liệu mà không bị phát hiện, thiệt hại về thương hiệu và tăng nguy cơ bị đánh cắp danh tính và gian lận.
Các cuộc tấn công chủ động đại diện cho mối đe dọa ưu tiên cao nhất mà các doanh nghiệp phải đối mặt hiện nay. May mắn thay, có những điều bạn có thể làm để ngăn chặn các cuộc tấn công này và giảm thiểu tác động nếu chúng xảy ra.
Mục Lục
Tấn công tích cực là gì?
Trong một cuộc tấn công tích cực, các tác nhân đe dọa khai thác điểm yếu trong mạng của mục tiêu để có quyền truy cập vào dữ liệu trong đó. Những tác nhân đe dọa này có thể cố gắng đưa dữ liệu mới vào hoặc kiểm soát việc phổ biến dữ liệu hiện có.
Các cuộc tấn công tích cực cũng liên quan đến việc thay đổi dữ liệu trong thiết bị của mục tiêu. Những thay đổi này bao gồm từ hành vi trộm cắp thông tin cá nhân đến việc tiếp quản mạng hoàn toàn. Bạn thường được cảnh báo rằng hệ thống đã bị xâm phạm vì các cuộc tấn công này có thể dễ dàng phát hiện, nhưng việc ngăn chặn chúng khi chúng bắt đầu có thể là một nhiệm vụ khá khó khăn.
Các doanh nghiệp vừa và nhỏ, thường được gọi là SMB, thường phải hứng chịu các cuộc tấn công tích cực. Điều này là do hầu hết các SMB không có đủ nguồn lực để mua các biện pháp an ninh mạng cao cấp. Và khi các cuộc tấn công tích cực tiếp tục phát triển, các biện pháp bảo mật này phải được cập nhật thường xuyên, nếu không chúng sẽ khiến mạng dễ bị tấn công nâng cao.
Tấn công chủ động hoạt động như thế nào?
Điều đầu tiên mà các tác nhân đe dọa sẽ làm sau khi xác định được mục tiêu là tìm kiếm các lỗ hổng trong mạng của mục tiêu. Đây là giai đoạn chuẩn bị cho kiểu tấn công mà chúng đang lên kế hoạch.
Họ cũng sử dụng máy quét thụ động để lấy thông tin về loại chương trình đang chạy trên mạng của mục tiêu. Khi các điểm yếu đã được phát hiện, tin tặc có thể sử dụng bất kỳ hình thức tấn công tích cực nào sau đây để phá hoại an ninh mạng:
1. Tấn công chiếm quyền điều khiển phiên
Trong một cuộc tấn công chiếm quyền điều khiển phiên, còn được gọi là phát lại phiên, tấn công phát lại hoặc tấn công phát lại, các tác nhân đe dọa sao chép thông tin ID phiên internet của mục tiêu. Họ sử dụng thông tin này để truy xuất thông tin đăng nhập, mạo danh mục tiêu và tiếp tục đánh cắp dữ liệu nhạy cảm khác từ thiết bị của họ.
Việc mạo danh này được thực hiện bằng cách sử dụng cookie phiên. Các cookie này hoạt động cùng với giao thức truyền thông HTTP để xác định trình duyệt của bạn. Nhưng chúng vẫn còn trong trình duyệt sau khi bạn đã đăng xuất hoặc kết thúc phiên duyệt web. Đây là một lỗ hổng mà các tác nhân đe dọa khai thác.
Chúng khôi phục những cookie này và đánh lừa trình duyệt nghĩ rằng bạn vẫn đang trực tuyến. Giờ đây, tin tặc có thể lấy bất kỳ thông tin nào chúng muốn từ lịch sử duyệt web của bạn. Họ có thể dễ dàng lấy thông tin chi tiết về thẻ tín dụng, giao dịch tài chính và mật khẩu tài khoản theo cách này.
Có nhiều cách khác mà tin tặc có thể lấy ID phiên của mục tiêu của chúng. Một phương pháp phổ biến khác liên quan đến việc sử dụng các liên kết độc hại, dẫn đến các trang web có ID được tạo sẵn mà tin tặc có thể sử dụng để chiếm quyền điều khiển phiên duyệt web của bạn. Sau khi bị chiếm giữ, các máy chủ sẽ không có cách nào phát hiện ra bất kỳ sự khác biệt nào giữa ID phiên ban đầu và ID phiên khác do các tác nhân đe dọa sao chép.
2. Tấn công sửa đổi tin nhắn
Các cuộc tấn công này chủ yếu dựa trên email. Tại đây, kẻ đe dọa chỉnh sửa địa chỉ gói (chứa địa chỉ người gửi và người nhận) và gửi thư đến một vị trí hoàn toàn khác hoặc sửa đổi nội dung để vào mạng của mục tiêu.
Các tin tặc chỉ huy thư giữa mục tiêu và một bên khác. Khi quá trình chặn này hoàn tất, họ có quyền tự do thực hiện bất kỳ thao tác nào trên đó, bao gồm chèn các liên kết độc hại hoặc xóa bất kỳ thư nào bên trong. Sau đó, thư sẽ tiếp tục hành trình của nó mà mục tiêu không biết rằng nó đã bị giả mạo.
3. Tấn công giả trang
Cuộc tấn công này khai thác điểm yếu trong quá trình xác thực mạng của mục tiêu. Các tác nhân đe dọa sử dụng thông tin đăng nhập bị đánh cắp để mạo danh người dùng được ủy quyền, sử dụng ID của người dùng để có quyền truy cập vào máy chủ được nhắm mục tiêu của họ.
Trong cuộc tấn công này, tác nhân đe dọa hoặc kẻ giả trang có thể là nhân viên trong tổ chức hoặc tin tặc sử dụng kết nối với mạng công cộng. Các quy trình ủy quyền lỏng lẻo có thể cho phép những kẻ tấn công này truy cập và lượng dữ liệu mà chúng có quyền truy cập tùy thuộc vào cấp đặc quyền của người dùng bị mạo danh.
Bước đầu tiên trong một cuộc tấn công giả mạo là sử dụng một trình thám thính mạng để lấy các gói IP từ các thiết bị của mục tiêu. Những địa chỉ IP giả mạo này đánh lừa tường lửa của mục tiêu, vượt qua chúng và giành quyền truy cập vào mạng của chúng.
4. Tấn công từ chối dịch vụ (DoS)
Trong cuộc tấn công tích cực này, các tác nhân đe dọa làm cho tài nguyên mạng không khả dụng đối với người dùng được ủy quyền, dự định. Nếu gặp phải một cuộc tấn công DoS, bạn sẽ không thể truy cập vào thông tin, thiết bị, bản cập nhật và hệ thống thanh toán của mạng.
Có nhiều kiểu tấn công DoS khác nhau. Một loại là tấn công tràn bộ đệm, trong đó các tác nhân đe dọa làm tràn ngập máy chủ của mục tiêu với lưu lượng truy cập nhiều hơn mức chúng có thể xử lý. Điều này khiến các máy chủ gặp sự cố và kết quả là bạn sẽ không thể truy cập vào mạng.
Ngoài ra còn có cuộc tấn công smurf. Các tác nhân đe dọa sẽ sử dụng các thiết bị được định cấu hình sai hoàn toàn để gửi các gói ICMP (giao thức thông báo điều khiển internet) đến một số máy chủ mạng có địa chỉ IP giả mạo. Các gói ICMP này thường được sử dụng để xác định xem dữ liệu có đến được mạng một cách có trật tự hay không.
Các máy chủ là người nhận các gói này sẽ gửi tin nhắn đến mạng và với nhiều phản hồi đến, kết quả là như nhau: máy chủ bị lỗi.
Cách tự bảo vệ mình trước các cuộc tấn công chủ động
Các cuộc tấn công chủ động là phổ biến và bạn nên bảo vệ mạng của mình khỏi các hoạt động độc hại này.
Điều đầu tiên bạn nên làm là cài đặt tường lửa cao cấp và hệ thống ngăn chặn xâm nhập (IPS). Tường lửa phải là một phần của bảo mật mạng. Chúng giúp quét các hoạt động đáng ngờ và chặn bất kỳ hoạt động nào được phát hiện. IPS giám sát lưu lượng mạng giống như tường lửa và thực hiện các bước để bảo vệ mạng khi xác định được một cuộc tấn công.
Một cách khác để bảo vệ chống lại các cuộc tấn công đang hoạt động là sử dụng khóa phiên ngẫu nhiên và mật khẩu dùng một lần (OTP). Khóa phiên được sử dụng để mã hóa giao tiếp giữa hai bên. Sau khi giao tiếp kết thúc, khóa sẽ bị loại bỏ và một khóa mới được tạo ngẫu nhiên khi một giao tiếp khác bắt đầu. Điều này đảm bảo tính bảo mật tối đa vì mỗi khóa là duy nhất và không thể sao chép. Ngoài ra, khi một phiên kết thúc, khóa cho khoảng thời gian đó không thể được sử dụng để đánh giá dữ liệu được trao đổi trong phiên.
OTP hoạt động trên cơ sở giống như khóa phiên. Chúng là các ký tự chữ và số/số được tạo ngẫu nhiên, chỉ hợp lệ cho một mục đích và hết hạn sau một khoảng thời gian cụ thể. Chúng thường được sử dụng kết hợp với mật khẩu để cung cấp xác thực hai yếu tố.
Tin tặc và kẻ tấn công, Tường lửa và 2FA
Các cuộc tấn công chủ động khai thác các điểm yếu trong giao thức xác thực của mạng. Do đó, cách duy nhất đã được chứng minh để ngăn chặn các cuộc tấn công này là sử dụng tường lửa, IPS, khóa phiên ngẫu nhiên và quan trọng nhất là xác thực hai yếu tố. Xác thực như vậy có thể là sự kết hợp của khóa được tạo ngẫu nhiên, tên người dùng và mật khẩu.
Điều này có vẻ tẻ nhạt, nhưng khi các cuộc tấn công tích cực phát triển và thậm chí trở nên tàn nhẫn hơn, thì các quy trình xác minh sẽ trở thành thách thức, đề phòng các cuộc tấn công sắp tới này. Hãy nhớ rằng một khi các tác nhân đe dọa đã ở trong mạng của bạn, sẽ rất khó để loại bỏ chúng.