Mặc dù sự tập trung ngày càng tăng vào an ninh mạng trong những năm gần đây, số lượng vi phạm dữ liệu vẫn tiếp tục tăng. Khi các doanh nghiệp tập trung nhiều hơn (và chi tiêu nhiều hơn) vào bảo mật, tội phạm mạng đang đẩy mạnh nỗ lực của họ. Chúng tôi đặc biệt thấy điều này trong lĩnh vực các mối đe dọa dai dẳng nâng cao (APT) nhắm vào các thiết bị Internet of Things.
Có động cơ lớn, cả về mặt tài chính lẫn mặt khác, thúc đẩy tội phạm mạng hiện đại.
Các gói phần mềm tống tiền dễ dàng có sẵn trên Dark Web và phần mềm tống tiền cung cấp động lực tài chính mạnh mẽ cho tội phạm. Các tác nhân đe dọa quốc gia cũng đã tham gia vào bối cảnh đe dọa, thực hiện các cuộc tấn công có động cơ chính trị.
Vì những lý do này, cùng với những lý do khác, số lượng các chủng phần mềm độc hại đang gia tăng và phần mềm độc hại được tạo ra đang trở nên tiên tiến hơn khi các công ty đẩy mạnh nỗ lực phòng thủ mạng của họ.
Xu hướng này không có khả năng kết thúc sớm vì có quá nhiều động lực cho những kẻ xấu.
Lỗ hổng trong Internet of Things
Internet of Things (IoT) đề cập đến mạng lưới các thiết bị hỗ trợ internet được sử dụng bởi người tiêu dùng và doanh nghiệp. Tất cả mọi thứ, từ máy tạo nhịp tim kết nối mạng đến máy dò khói Nest đến Tesla tự lái, đều là thiết bị IoT.
Các thiết bị IoT chỉ ngày càng phổ biến. Thật không may, các cuộc tấn công mạng IoT cũng đang ngày càng phổ biến. Tấn công IoT:
- Dễ dàng bắt đầu nhờ mã có sẵn công khai, cả trên Dark Web và trong các kho lưu trữ mã như GitHub
- Có tỷ lệ thành công cao
- Rất khó phát hiện và khắc phục, tạo điều kiện cho APT
- Cho phép kẻ tấn công có được chỗ đứng bên trong mạng của tổ chức
- Cho phép kẻ tấn công thêm nhiều thiết bị hơn vào mạng botnet của chúng (botnet có thể được sử dụng cho các cuộc tấn công DDoS, spam, v.v.)
Số lượng lỗ hổng đang tăng lên nói chung và các cuộc tấn công chống lại các thiết bị Internet of Things đặc biệt gia tăng.
Bề mặt tấn công Internet of Things
Những kẻ tấn công bắt đầu bằng cách tìm kiếm các thiết bị IoT dễ bị tổn thương và cố gắng thỏa hiệp chúng. Những kẻ tấn công có thể làm điều này hàng loạt. Họ có thể đủ khả năng để thất bại trong việc hack thiết bị nhiều lần, nhưng các thiết bị IoT chỉ phải chịu thua một cuộc tấn công một lần để bị xâm phạm.
Làm cho vấn đề tồi tệ hơn, các thiết bị IoT thường có một số lỗ hổng, cả đã biết và chưa biết. Số lượng lỗ hổng IoT ngày càng tăng và người dùng thường không áp dụng các bản vá hoặc cài đặt bản cập nhật kịp thời, khiến kẻ tấn công dễ dàng xâm phạm thiết bị hơn nhiều.
Một lĩnh vực quan tâm khác là các thiết bị IoT thường đi kèm với thông tin đăng nhập mặc định không bao giờ được cập nhật. Điều này làm cho vấn đề về lỗ hổng và vá lỗi thực tế gây tranh cãi: Nếu kẻ tấn công chỉ có thể brute-force thông tin đăng nhập hoặc lấy chúng từ một danh sách có sẵn công khai, thì thiết bị cũng có thể đã bị xâm phạm.
Một số đặc điểm của IoT Advanced Persistent Threats
Kỹ thuật trốn tránh
Các mối đe dọa dai dẳng nâng cao thường được thiết kế để tránh bị phát hiện thông qua xáo trộn mã, phát hiện môi trường ảo và nhiều phương pháp khác.
Kỹ thuật che giấu
Tội phạm mạng đang trở nên tốt hơn trong việc che giấu phần mềm độc hại lây nhiễm vào hệ thống.
Tự nhân giống
Nhiều APT, ngoài việc duy trì trên một hệ thống liên tục, tìm kiếm các hệ thống khác để lây nhiễm.
Hiệu quả tài nguyên
Đây là yếu tố tách biệt IoT APT với APT truyền thống trên máy tính thông thường. IoT APT cần ít hơn 5% sức mạnh tính toán của một thiết bị trung bình để hoạt động và đôi khi, phần mềm độc hại đủ thông minh để tự điều chỉnh sau khi phát hiện dung lượng bộ nhớ của thiết bị.
IoT Cyber Kill Chain mới
Chuỗi tiêu diệt mạng là một loạt các bước được thực hiện bởi các tác nhân đe dọa. Về lý thuyết, mỗi bước có thể được xác định và chặn bởi các biện pháp phòng thủ mạng. Lockheed Martin mô tả "Cyber Kill Chain" cho APT như sau:
Tuy nhiên, đối với các thiết bị IoT, có những bước bổ sung trong chuỗi tiêu diệt khiến IoT APT trở nên đe dọa hơn. Chuỗi tiêu diệt IoT mới trông như thế này:
IoT APT không chỉ nhằm mục đích lây nhiễm sang một thiết bị hoặc mạng duy nhất; Chúng sinh sôi nảy nở sang các thiết bị khác và che giấu bản thân để chúng có thể tồn tại dai dẳng.
Chiến lược phòng thủ IoT
Nâng cấp hệ thống là điều cần thiết để vá các lỗ hổng, nhưng chúng thường không khả thi hoặc không được thực hiện vì những lý do khác. Khi bản vá được phát hành, kẻ tấn công có thể đảo ngược kỹ thuật khai thác, làm cho các thiết bị không được cập nhật dễ bị tấn công. Ngoài ra, các nhà cung cấp thường không thể hoặc sẽ không theo kịp việc vá tất cả các lỗ hổng được phát hiện trong sản phẩm của họ.
Cách ly là một giải pháp khả thi khi nhiễm trùng xảy ra. Tuy nhiên, do những hạn chế trong thế giới thực, việc cách ly các thiết bị có thể là không thể hoặc không thực tế. Ví dụ, có thể khó cách ly một camera an ninh có dấu hiệu bị xâm nhập nhưng rất cần thiết để giám sát an ninh tòa nhà.
IoT APT: OPSWATCác chiến lược phòng thủ được đề xuất
Để ngăn chặn các APT IoT, việc chặn tất cả các mối đe dọa ẩn trong dữ liệu là cần thiết. Một lần nữa, tội phạm mạng có thể dễ dàng thất bại, nhưng phòng thủ mạng phải thành công mọi lúc.
Phòng thủ dựa trên phát hiện dễ bị tổn thương bởi các kỹ thuật che giấu phần mềm độc hại. Các mối đe dọa nâng cao thậm chí có thể đánh lừa các hộp cát bằng cách thực hiện ngẫu nhiên hoặc bằng cách phát hiện xem nó có ở trong môi trường ảo hay không trước khi thực thi. Ngoài ra, ngay cả công nghệ phát hiện chống phần mềm độc hại tốt nhất cũng có thể không thấy mối đe dọa zero-day sắp xảy ra.
OPSWAT tin tưởng vào việc kết hợp các chiến lược dựa trên phát hiện với phòng chống mối đe dọa nâng cao. Công nghệ vệ sinh dữ liệu (CDR) của chúng tôi vô hiệu hóa các mối đe dọa trong bất kỳ tài liệu hoặc hình ảnh nào xâm nhập vào mạng bằng cách vô hiệu hóa và xây dựng lại các tệp có nội dung độc hại tiềm ẩn bị xóa. Bất kỳ tệp nào cũng có thể và nên trải qua quá trình này, cho dù mối đe dọa có được phát hiện hay không.
Ngoài việc tận dụng việc vệ sinh dữ liệu (CDR), các tổ chức sử dụng thiết bị IoT nên tuân thủ các biện pháp bảo mật tốt nhất có thể bằng cách cập nhật thiết bị thường xuyên và đặt lại thông tin đăng nhập mặc định. Cuối cùng, các thiết bị hỗ trợ mạng chỉ nên được kết nối với internet lớn hơn nếu thực sự cần thiết.
