Hiểu về các cuộc tấn công mạng hiện đại: Cuộc trò chuyện với các chuyên gia của Dell

Kẻ tấn công đang phát triển các phương pháp tinh vi và lén lút hơn để xâm nhập mạng lưới và gây ra sự gián đoạn tối đa. Từ phần mềm tống tiền làm tê liệt hoạt động đến việc âm thầm đánh cắp dữ liệu nhạy cảm, mục tiêu của những tội phạm mạng này vẫn như cũ: phá hoại hoạt động, đánh cắp thông tin để tống tiền, hoặc phá hủy hoàn toàn dữ liệu. Việc hiểu rõ cách tự bảo vệ và phòng vệ cho tổ chức của bạn là vô cùng quan trọng. 

Để giúp bạn nâng cao khả năng bảo mật và phục hồi, trong Tháng nâng cao nhận thức về an ninh mạng này, chúng tôi đã tập hợp một nhóm chuyên gia của Dell: Jim Shook, giám đốc toàn cầu về an ninh mạng và tuân thủ; Amy Price, chuyên gia truyền bá an ninh mạng cho các doanh nghiệp RPC; và Rachel Tyler, cố vấn tư vấn an ninh mạng . Họ chia sẻ hiểu biết sâu sắc về các mối đe dọa cấp bách nhất mà các tổ chức đang phải đối mặt hiện nay và đưa ra các bước rõ ràng, khả thi để tăng cường bảo mật và xây dựng khả năng phục hồi.  

Nội dung sau đây đã được chỉnh sửa để ngắn gọn và dễ đọc hơn.  

Jim [Shook], anh có đồng ý rằng ransomware là hậu quả của một cuộc tấn công không? Và loại hình tấn công hoặc kết quả tấn công có thay đổi cách chúng ta nghĩ về việc khôi phục môi trường hoạt động không?  

Shook: Tôi nghĩ ransomware chủ yếu là kết quả hoặc mục tiêu của các tác nhân đe dọa. Tuy nhiên, điều quan trọng là phải thảo luận về các “kiểu tấn công” khác nhau, nếu không, một tổ chức sẽ bỏ lỡ các vectơ đe dọa. Đối với hầu hết mọi người, ransomware tương đương với phần mềm độc hại truy cập vào một tổ chức, di chuyển xung quanh và cuối cùng mã hóa dữ liệu. Nhưng nếu đó là định nghĩa của bạn về một cuộc tấn công mạng, bạn sẽ bỏ lỡ các chiến thuật, kỹ thuật và quy trình (TTP) mà các tác nhân đe dọa sử dụng, chẳng hạn như các cuộc tấn công thực hành trên bàn phím, nơi chúng đăng nhập và trông giống như quản trị viên. Cách tốt hơn để nghĩ về điều này là luồng cấp cao mà kẻ tấn công thực hiện: trinh sát, truy cập ban đầu, di chuyển ngang và cuối cùng là tác động. Tác động đó có thể là mã hóa, đánh cắp dữ liệu hoặc hủy dữ liệu. Quá trình khôi phục hoàn toàn phụ thuộc vào tác động.  

Rachel [Tyler], bạn có đồng ý với Jim về sự khác biệt giữa loại tấn công và kết quả tấn công không? Các tổ chức nên chủ động chuẩn bị ứng phó với tấn công và phục hồi như thế nào?  

Tyler: Vâng, lời giải thích của Jim rất quan trọng. Nếu chúng ta hiểu rằng ransomware không chỉ đơn thuần là mã hóa và kẻ tấn công có thể đánh cắp hoặc phá hủy dữ liệu, chúng ta có thể phòng thủ và ứng phó hiệu quả hơn. Khi nói đến ứng phó sự cố, tôi phân loại các công ty thành ba nhóm: nhóm chưa chuẩn bị gì cả, nhóm nghĩ rằng họ đã chuẩn bị, và nhóm thực sự đã chuẩn bị. Phần lớn hoạt động ứng phó sự cố của chúng tôi đến từ những khách hàng hoàn toàn không được chuẩn bị. Những khách hàng đã chuẩn bị sẽ hiểu cách nhận diện sự cố, có kế hoạch ứng phó sự cố được in ra, và quan trọng là thường xuyên thực hiện các bài tập thực hành để chuẩn bị. Đó là những khách hàng có thể nhận diện, cô lập và phục hồi sau các cuộc tấn công mạng một cách nhanh chóng và hiệu quả.  

Amy [Price], chúng tôi biết rằng các điểm cuối là nơi mà kẻ tấn công thực sự dễ dàng xâm nhập vào tổ chức. Thứ nhất, bà có nghĩ điều này đúng không? Và thứ hai, bà có thể cho chúng tôi biết chúng tôi nên cân nhắc điều gì khi bảo vệ các điểm cuối của mình và Dell giúp các tổ chức tự bảo vệ mình như thế nào không?  

Giá cả: Có, theo khuôn khổ tấn công MITRE , hầu hết các cuộc tấn công đều bắt đầu từ điểm cuối. Điều cực kỳ quan trọng là phải bắt đầu với mục tiêu cuối cùng bằng cách áp dụng tư duy không tin cậy và hiểu sâu hơn về các đối thủ tiềm ẩn. Biết kẻ tấn công mạng có thể làm gì, chúng là ai, động cơ của chúng là gì và chúng hoạt động như thế nào. Ngoài ra, hãy đảm bảo rằng các PC bạn triển khai có nhiều lớp phòng thủ giúp bạn có khả năng hiển thị và kiểm soát. Dell thiết kế PC với bảo mật tích hợp, bắt đầu bằng thiết kế và chuỗi cung ứng an toàn. Chúng tôi cũng tích hợp khả năng hiển thị và bảo mật cấp BIOS xung quanh thông tin đăng nhập của người dùng cuối thông qua các tính năng như SafeBIOS và SafeID. Cuối cùng, chúng tôi đã xây dựng một hệ sinh thái nhà cung cấp đáng tin cậy với các đối tác như CrowdStrike, Absolute và Zscaler vì những đối tác tốt nhất này giúp chúng tôi cung cấp mức độ bảo mật sâu hơn. Điều này cho phép khách hàng phân lớp các giải pháp để tăng cường khả năng hiển thị và kiểm soát.  

Rachel [Tyler], việc phục hồi sự cố phù hợp như thế nào với chiến lược an ninh mạng toàn diện?  

Tyler: Tôi rất thích Khung An ninh mạng NIST : xác định, bảo vệ, phát hiện, ứng phó, phục hồi và quản trị. Đó là một chu trình. Khi bạn khôi phục thiết bị, bạn cần phải thực hiện chu trình đó. Tôi cần xác định, phát hiện và bảo vệ các thiết bị tôi khôi phục để giảm thiểu rủi ro so với trước khi bị tấn công. Một điều mà các tác nhân đe dọa thường làm là tái chế. Một khi ai đó bị tấn công thành công, họ sẽ bán thông tin đăng nhập hoặc lỗ hổng bảo mật mà họ đã sử dụng trên thị trường chợ đen. Sáu tháng sau, khách hàng lại gọi cho chúng tôi vì họ bị tấn công theo cùng một cách. Điều rất quan trọng là chúng ta phải hiểu rằng an ninh mạng là một chu trình và chúng ta cần chủ động về vấn đề này.