Chúng là gì và làm thế nào để bảo vệ bản thân
Island hopping nghe có vẻ giống một hoạt động bạn thực hiện ở Bahamas hơn là một chiến lược tấn công, nhưng thực ra nó được sử dụng khá thường xuyên bởi tội phạm mạng đang tìm cách nhắm mục tiêu vào các mạng mà không trực tiếp xâm nhập vào chúng. Vì vậy, một cuộc tấn công nhảy đảo là gì, và làm thế nào bạn có thể tự bảo vệ mình khỏi nó?
Mục Lục
Tấn công nhảy đảo là gì?
Thuật ngữ “đảo nhảy” xuất phát từ Thế chiến II. Lực lượng Hoa Kỳ muốn đến đất liền Nhật Bản và phải di chuyển từ hòn đảo này sang hòn đảo khác, sử dụng mỗi hòn đảo làm bệ phóng cho hòn đảo tiếp theo, với đất liền là mục tiêu chính. Nó được gọi là bước nhảy vọt vào thời điểm đó.
Trong một cuộc tấn công nhảy đảo, các tác nhân đe dọa sẽ theo đuổi các đối tác của bạn và các cộng sự bên thứ ba khác, sử dụng các lỗ hổng mạng của họ để nhảy vào mạng an toàn hơn của bạn. Những tác nhân đe dọa này là các thực thể hoặc cá nhân tham gia vào các hành động phá hoại hoặc có khả năng ảnh hưởng đến an ninh mạng của tổ chức bạn. Họ có thể cố gắng hết sức để vượt qua tường lửa của mục tiêu và một phương pháp hiệu quả là nhảy đảo.
Các doanh nghiệp sản xuất, tài chính và bán lẻ chủ yếu là mục tiêu của hình thức tấn công mạng này. Trong những trường hợp như thế này, hệ thống bảo mật của mục tiêu rất kín và phần lớn miễn nhiễm với các cuộc xâm lược trực tiếp, vì vậy tin tặc sẽ thông qua các đối tác kém an toàn hơn đáng kể.
Các đối tác này được tổ chức mục tiêu tin cậy và được kết nối với mạng của tổ chức đó. Tin tặc khai thác mối quan hệ đáng tin cậy và tấn công các cơ chế phòng thủ phức tạp của mục tiêu thực thông qua các liên kết yếu của nó với các tổ chức khác.
Island Hopping Attack hoạt động như thế nào?
Các cuộc tấn công nhảy đảo có hiệu quả vì chúng không kích hoạt cảnh báo trong hệ thống an ninh của mục tiêu. Các cảnh báo này thường bị ngắt khi có một mục nhập cố gắng vào mạng máy chủ từ một thiết bị không đáng tin cậy hoặc chưa đăng ký. Mục nhập của các đối tác hiếm khi được gắn cờ; các tác nhân đe dọa lợi dụng sai sót này.
Có ba phương pháp tiêu chuẩn mà các tác nhân đe dọa áp dụng trong nhiệm vụ nhảy đảo của chúng.
1. Tấn công dựa trên mạng
Phương pháp này liên quan đến việc thâm nhập vào mạng của một tổ chức và sử dụng nó để chuyển sang một mạng liên kết khác. Trong cuộc tấn công này, các tác nhân đe dọa thường nhắm đến Nhà cung cấp dịch vụ bảo mật được quản lý (MSSP) của tổ chức.
MSSP là nhà cung cấp dịch vụ CNTT bán bảo mật cho các doanh nghiệp nhỏ và tổ chức lớn, bảo vệ họ khỏi các mối đe dọa an ninh mạng. Họ sử dụng phần mềm hoặc một nhóm nhân sự để đối phó với những mối đe dọa này ngay khi chúng xảy ra. Nhiều doanh nghiệp thuê ngoài bộ phận bảo mật CNTT của họ cho các MSSP này, khiến các nhà cung cấp trở thành mục tiêu của tin tặc.
2. Tấn công Watering Hole
Hình thức nhảy đảo này liên quan đến việc xâm nhập vào các trang web mà khách hàng, đối tác kinh doanh và nhân viên của mục tiêu chính thường lui tới. Những kẻ xấu đánh giá tính bảo mật của các trang web và nhập các liên kết độc hại khi chúng tìm thấy điểm yếu.
Các liên kết này dẫn đến các nền tảng bị xâm nhập tự động đưa phần mềm độc hại vào máy tính. Sau khi phần mềm độc hại được đưa vào hoạt động, các tác nhân đe dọa có thể sử dụng thông tin được đối chiếu để có quyền truy cập vào mục tiêu chính.
3. Thỏa hiệp email doanh nghiệp
Lừa đảo lừa đảo thường là bước đầu tiên trong phương pháp này. Tội phạm mạng đóng vai trò là một thực thể kinh doanh có uy tín. Yahoo, Facebook và các ngân hàng thương mại phổ biến chủ yếu được sử dụng trong các cuộc tấn công này, vì tin tặc gửi các liên kết độc hại trong email spam.
Sau khi mồi nhử được thực hiện và liên kết được nhấp vào, tin tặc sử dụng phần mềm độc hại để xâm phạm máy tính của người dùng. Phương pháp này nhằm vào các quan chức cấp cao hoặc giám đốc điều hành của tổ chức.
Phần mềm keylogger đôi khi được sử dụng ở đây để đánh cắp tài khoản email của những giám đốc điều hành này. Thông tin nhạy cảm được lấy từ các tài khoản email và sau đó được sử dụng để xâm nhập vào tổ chức mục tiêu.
Tiền lệ nhảy đảo: Mục tiêu và SolarWinds
Vào năm 2013, một trong những công ty bán lẻ lớn nhất của Hoa Kỳ, Target, đã dính vào cơn ác mộng nhảy đảo. Và vào năm 2020, SolarWinds, một nhà cung cấp dịch vụ quản lý CNTT, là nạn nhân của một cuộc tấn công nhảy đảo.
Mục tiêu: Cơn ác mộng của một mùa lễ hội
Những kẻ đe dọa đã xâm phạm hệ thống điểm bán hàng của Target và đánh cắp thông tin tài chính của khoảng 40 triệu khách hàng. Điều này dẫn đến việc Target phải trả khoản bồi thường vi phạm dữ liệu lớn nhất từ trước đến nay.
18,5 triệu đô la đã được thỏa thuận dàn xếp cho 47 tiểu bang và Quận Columbia sau khi tin tặc đánh cắp hầu hết thông tin thẻ tín dụng và thẻ ghi nợ của khách hàng khổng lồ bán lẻ trong mùa lễ năm 2013. Vụ vi phạm dữ liệu này khiến Target tiêu tốn hơn 300 triệu USD. Nhưng đây không phải là một cuộc tấn công trực tiếp vào các máy chủ của công ty.
Nó bắt đầu với Fazio Mechanical Services, một công ty khác cung cấp hệ thống sưởi và làm lạnh cho Target. Họ đã trải qua một cuộc tấn công bằng phần mềm độc hại hai tháng trước khi vi phạm bảo mật của Target. Các tác nhân đe dọa đã lấy đi thông tin đăng nhập email và sử dụng thông tin đó để truy cập máy chủ của Target.
năng lượng mặt trời
Cuộc tấn công này đã ảnh hưởng đến hơn 18.000 doanh nghiệp và thậm chí cả các cơ quan chính phủ Hoa Kỳ. Mọi người bị ảnh hưởng đều có một điểm chung—một nhà cung cấp dịch vụ quản lý CNTT có tên là SolarWinds.
Đối với các cuộc tấn công nhảy đảo, SolarWinds không phải là mục tiêu chính. Với số lượng các cơ quan của chính phủ Mỹ bị ảnh hưởng, có tin đồn rằng các tin tặc được chính phủ Nga hậu thuẫn, với hy vọng gây bất ổn cho Quốc hội Mỹ.
SolarWinds lần đầu tiên xác nhận cuộc tấn công vào tháng 12 năm 2020, mặc dù nó đã không bị phát hiện trong vài tháng. Vào tháng 3 năm 2021, tin tặc đã đánh cắp thông tin đăng nhập email từ Bộ An ninh Nội địa, mặc dù hầu hết các cơ quan chính phủ đã cảnh báo nhân viên của họ đóng cửa Orion, sản phẩm SolarWinds bị ảnh hưởng. Các cuộc tấn công cũng ảnh hưởng đến Bộ Năng lượng, Kho bạc và Thương mại, Mimecast và Microsoft.
Làm thế nào để bảo vệ bản thân khỏi các cuộc tấn công nhảy đảo
Với sự phổ biến của nhảy đảo, bạn nên thực hiện các bước để ngăn chặn mạng và máy chủ của mình bị tấn công bởi các bên độc hại. Dưới đây là một vài cách bạn có thể làm điều này.
1. Sử dụng xác thực đa yếu tố
Xác thực đa yếu tố liên quan đến việc sử dụng các kiểm tra xác minh khác nhau, chẳng hạn như xác nhận dấu vân tay và ID, để xác nhận danh tính của bất kỳ ai đang cố truy cập mạng của bạn. Lớp bảo mật bổ sung này, mặc dù tẻ nhạt, nhưng luôn tỏ ra hữu ích. Tin tặc có thông tin đăng nhập bị đánh cắp sẽ gần như không thể vượt qua kiểm tra xác nhận dấu vân tay hoặc xác minh ID khuôn mặt.
2. Có Kế hoạch ứng phó sự cố ở chế độ chờ
Các cuộc tấn công nhảy đảo có nhiều hình thức và đôi khi các giao thức bảo mật thông thường có thể không đủ để ngăn chặn bất kỳ sự cố nào. Phần mềm bảo mật của bạn phải được cập nhật liên tục khi các cuộc tấn công nhảy đảo trở nên tinh vi hơn. Ngoài ra, tốt nhất là nên có một nhóm ứng phó sự cố ở chế độ chờ để xử lý các mối đe dọa không lường trước có thể vượt qua bảo mật và đối phó với các mối đe dọa mới nhất.
3. Áp dụng các tiêu chuẩn an ninh mạng mới nhất
Nhiều tổ chức nhận ra những rủi ro của việc nhảy qua đảo và đã đặt ra các tiêu chuẩn an ninh mạng cho bất kỳ đối tác và cộng sự nào. Tư vấn cho các đối tác hiện tại nâng cấp hệ thống bảo mật của họ; những người không có kiểm tra nâng cao sẽ bị hạn chế quyền truy cập vào mạng của bạn.
Đừng trở thành nạn nhân: Hạn chế quyền truy cập hoặc nâng cấp bảo mật của bạn
Các cuộc tấn công nhảy đảo đã trở nên phổ biến hơn. Các tổ chức có giao thức bảo mật lỏng lẻo có nguy cơ trở thành nạn nhân của các tác nhân đe dọa trừ khi họ nâng cấp hệ thống của mình.
Tuy nhiên, nhiều hơn nữa là cần thiết. Các đối tác bên thứ ba không có hệ thống bảo mật nâng cao sẽ gây rủi ro và không được có quyền truy cập không giới hạn. Nếu không thể giới hạn quyền truy cập, các đối tác đó nên nâng cấp hệ thống của họ.