Những dấu hiệu hacker đã xâm nhập mạng của bạn

19/10/2019

Không phải là tuyệt đối, song 5 dấu hiệu được liệt kê sẽ giúp bạn chủ động phát hiện sớm những hành vi tấn công mạng mà kẻ xấu đang manh nha triển khai.

Theo một số chuyên gia mạng, về cơ bản thì giới hacker đã truy cập thành công vào khoảng 96% các hệ thống mạng, vì thế bạn cần nhận diện và triển khai các hành động ngăn chặn trước khi chúng có thời gian chiếm quyền điều khiển (hệ thống mạng), truy cập dữ liệu có giá trị và đánh cắp.

Tuy nhiên, đáng mừng là một đợt tấn công thường không kết thúc bằng sự lây nhiễm hay chiếm quyền điều khiển điểm mạng nào đó. Hay nói rõ hơn, việc hacker hay mã độc đồn trú trong hệ thống mạng chỉ là điểm khởi đầu.

Do đó, khi một đợt tấn công bắt đầu diễn ra, có thể dễ nhận diện và ngăn chặn nếu bạn biết cách tìm ra chúng.

Phát hiện xâm nhập là một trong những kỹ năng quan trọng của người quản trị mạng.

1. Tìm dấu hiệu rò rỉ

Bạn hãy quét các cổng, tìm trên tập tin nhật ký (log file) những lần nhập thất bại và các kiểu nhận diện khác mà kẻ tấn công muốn định hình được hệ thống mạng của bạn.

Một kẻ tấn công ban đầu sẽ cần biết được các đặc điểm, nốt mạng của bạn sau khi chúng đã xâm nhập. Chúng sẽ tìm những điểm dễ có lỗ hổng và các máy chủ, và muốn biết được người dùng nào có quyền quản trị hệ thống và nơi lưu trữ dữ liệu giá trị.

Hầu hết công cụ nhận diện sự xâm nhập có thể nhận diện phần mềm quét cổng. Tuy vậy, để phát hiện được kiểu quét hợp pháp và quét lén lút rất khó. Chúng ta cần đối diện với điều này. Tuy vậy, bạn có thể tìm được những điểm nghi ngờ của một đợt tấn công nếu thiết lập cần có bao nhiêu cổng và đích đến cho các thiết bị khác nhau trên mạng thường truy cập. 

Cách thức: Sử dụng các công cụ kiểm soát và quản trị mạng, NetFlow). 

Khó khăn: Kẻ tấn công có thể rất lén lút, nên bạn cần dành nhiều thời gian để phân tích dữ liệu. Cũng vậy, có rất nhiều công cụ và giao thức trao đổi thông tin rất nhiều nên bạn mất thời gian lọc ra những dữ liệu nhiễu.

2. Tìm người dùng "thông thường" tìm cách thực hiện các tác vụ quản trị

Vì kẻ tấn công thường sử dụng các công cụ có sẵn trên máy tính và máy chủ hơn là dùng những công cụ chuyên tấn công và malware để tránh bị  hần mềm chống virus và chống xâm nhập phát hiện. Do đó, bạn có thể dễ nhận diện điều này hơn. Những dịch vụ về cấp quyền như Active Directory có thể giúp bạn thiết lập quyền cho người dùng bên trong hệ thống. Sau khi nắm được ai là người có quyền admin, bạn cần liệt kê những người admin đó sử dụng công cụ nào và họ quản lý những thiết bị nào, như là ai có quyền admin cơ sở dữ liệu ERP hay website Intranet. Qua đó, bạn có thể xác định được khi nào kẻ tấn công chiếm dụng một máy tính và chạy các tác vụ quản trị.

Cách thức: Kết hợp các thông tin trên hệ thống mạng (như packet hay dữ liệu NetFLow) và thông tin dịch vụ thư mục, đó là cách tốt nhất để nhận diện ai có quyền quản trị trên hệ thống.

Khó khăn: Không may là không có nguồn thông tin thống nhất để chỉ cho bạn biết chính xác ai là nhà quản trị và họ đang quản lý thứ gì trên mạng. Tuy vậy, có thể ban đầu bạn nên theo dõi đường truyền SSH và RPC. Có thể bạn cũng sẽ gặp nhiều tín hiệu giả, nhưng dựa trên giao thức này, bạn có được cơ sở để nhận diện xâm nhập.

3. Tìm một thiết bị sử dụng nhiều tài khoản để truy cập tài nguyên hệ thống

Kẻ tấn công thường chuộng sử dụng nhiều tài khoản để dễ thực hiện ý đồ của chúng và tránh phát hiện. Chúng che giấu hoặc tự tạo các tài khoản và sử dụng những tài khoản này để truy cập dữ liệu, cả tấn công từ bên ngoài lẫn khi đã lọt được vào trong hệ thống. Phân tích lưu lượng sử dụng dựa trên tài khoản sẽ xác định được kẻ bên ngoài.

Cách thức: Giám sát lưu lượng mạng hay phân tích log file trên kiến trúc xác thực, đăng nhập là cách tốt nhất để nhận diện những tài khoản mới. Trích xuất dữ liệu và phân tích dữ liệu để bạn nắm được một người dùng trung bình tương tác với bao nhiêu hệ thống, thiết bị trên mạng. Sau đó lọc ra những tài khoản bất thường.

Khó khăn: Mỗi người dùng có cách sử dụng nguồn tài nguyên trên mạng nội bộ rất khác nhau, nhưng bạn vẫn có thể tạo ra một mức "chung" nhất để so sánh. 

4. Tìm kẻ tấn công bằng cách tìm dữ liệu có giá trị trong máy chủ file

Một bước mà kẻ tấn công thường làm là tìm xem file Windows chia sẻ nằm ở đâu trên mạng để lục lọi dữ liệu giá trị, như là số thẻ tín dụng hay các tài liệu sở hữu trí tuệ, hay đơn giản là chúng muốn mã hoá mọi dữ liệu để tấn công đòi tiền chuộc (ransomware). Nhận diện ra điểm bất thường trong truy cập file được chia sẻ có thể là một dấu hiệu giá trị, vì từ đó bạn cũng có thể phát hiện nhân viên nào đó có hành vi xấu.

Cách thức: Log trên file server là cách tốt nhất. Nhưng lục lọi trên file này, bạn cần có cách nhìn về một người dùng thông thường để có thể nhìn thấy được những điểm bất thường.

Khó khăn: Vài thư mục chia sẻ file được truy cập rất nhiều, và đôi khi có một người dùng nào đó truy cập lần đầu rất nhiều nên có thể là báo động giả mà thôi. Hơn nữa, dữ liệu truy cập thường rất khó phân tích. Các công cụ mạng cũng có thể giám sát và chúng đưa ra rất nhiều dữ liệu đáng cho bạn xem qua.

5. Tìm các lệnh liên quan đến điều khiển dữ liệu hay cơ chế truy cập ngầm, liên tục

Kẻ tấn công cần một cách giao tiếp được giữa Internet và các điểm endpoint để thiết lập được môi trường điều khiển. Trong khi cách dùng malware dần ít được tin tặc sử dụng hơn trước nhưng dùng malware để duy trì đầu mối tấn công vẫn còn phổ biến, và thứ hai là Remote Access Trojan (RAT). Bạn hãy chú ý đến đường ra dữ liệu (outbound) xem có gì bất thường hay không.

Cách thức: Nhiều công cụ bảo mật cũng đã có những tác vụ liên quan đến điều khiển hệ thống. Những malware mới tinh vi hơn, chúng tìm cách kết nối đến các nguồn tài nguyên đám mây như AWS hay Azure hay máy chủ mới mà những dịch vụ nhận diện xâm nhập truyền thống không phát hiện được. Bạn có thể kiểm tra file log DNS để tìm các mẫu DNS trỏ đến những máy chủ điều khiển. Có rất nhiều request DNS thất bại hoặc request trông như tên miền tự tạo, đó là dấu hiệu malware được lập trình để tránh bị chặn.

Khó khăn: Kẻ tấn công có nhiều cách ẩn mình nên tốt nhất bạn nên luôn cảnh giác, không nên chỉ phụ thuộc vào mỗi cơ chế nhận diện xâm nhập của hệ thống để phát hiện malware. Bạn rất khó nhận diện kẻ tấn công khi chúng sử dụng các dịch vụ phổ biến trên mạng như Facebook, Twitter, Gmail... nhưng chúng lại rất dễ nhận diện nếu sử dụng nhiều tài khoản riêng biệt để truy cập dịch vụ.

Có nhiều công cụ và quy trình để giúp bạn xác định được kẻ tấn công. Có nhiều tác vụ mà kẻ tấn công buộc phải thực hiện để chúng mới có thể phát hiện được môi trường mà chúng xâm nhập được vào. Xâm nhập vào hệ thống mới chỉ là bước đầu tiên. Chí ít, chúng cần phải kết nối ngược lại để thực hiện hành vi như đào bitcoin, lừa đảo, giả mạo hay nhiều chiêu trò khác. Do đó, bạn vẫn còn nhiều thời gian để phát hiện xâm nhập trước khi chúng tiến hành được hành vi xấu. 

Xa hơn nữa, bạn vẫn có thể xác định được mọi hành vi trực tiếp từ mạng nếu bạn có thể trích xuất đúng dữ liệu từ các luồng packet. Điều này rất khó thực hiện thủ công, nhưng là cách rất tốt so với một công cụ tự động. Bằng cách phân tích lưu lượng mạng với Deep Packet Inspection, một giải pháp bảo mật tự động có thể nhận diện những bất thường giúp bạn. 

Nếu bạn thích với các bước nhận diện tự động như vậy, một giải pháp khác là sử dụng kỹ thuật machine learning để bạn có được một chuẩn chung trên mạng, dựa vào đó so sánh với những gì bất thường đang xảy ra.

Tin liên quan

19/01/2023

Dự báo TOP các xu hướng công nghệ hàng đầu trong năm 2023

​Các xu hướng công nghệ 2023 nổi bật được các chuyên gia dự đoán sẽ phát triển mạnh mẽ trong những năm tới là trí tuệ nhân tạo AI, công nghệ chuỗi khối Blockchain, vũ trụ ảo Metaverse. Việc bắt kịp và thích ứng với các công nghệ này sẽ giúp các doanh nghiệp có thể nâng cao khả năng cạnh tranh của mình trong thị trường khốc liệt sắp tới. Dưới đây, hãy cùng Viettel IDC điểm qua những xu hướng công nghệ 2023 nổi bật nhé!

23/01/2023

Xu hướng Cloud 2023 hàng đầu các doanh nghiệp cần biết

Nhiều doanh nghiệp đang tích cực chạy đua với cuộc đua “số hóa”, để có được khả năng cạnh tranh cao nhất trên thị trường. Vây nên, xu hướng Cloud 2023 là những điều đang được các doanh nghiệp rất quan tâm hiện nay. Trong bài viết này, Viettel IDC sẽ đề cập đến bạn những xu hướng về điện toán đám mây hàng đầu trong năm 2023 chúng ta cần biết nhé, bên cạnh các công nghệ thực tế ảo VR, metaverse.

13/01/2023

2022 - Thời kỳ bùng nổ của Cloud tại Việt Nam

​Công nghệ điện toán đám mây - Computing Cloud năm 2022 đã phát triển và bùng nổ cực kỳ mạnh mẽ, từ đó ảnh hưởng tới nhiều doanh nghiệp lớn và nhỏ. Dưới đây, chúng ta hãy cùng xem lại các xu hướng Cloud năm 2022 phổ biến nhất với Viettel IDC nhé!

11/10/2022

Những thông tin nhất định phải biết về Ethereum mới phiên bản 2.0

Ethereum 2.0, còn được biết đến là Eth2 hay “Serenity”, là một bản nâng cấp dành cho Ethereum Node, hứa hẹn sẽ cải thiện đáng kể chức năng và trải nghiệm của toàn bộ mạng. Tuy nhiên, đó chỉ là phần nổi của tảng băng chìm. Với việc Ethereum là một trong những loại tiền điện tử phổ biến nhất trên hành tinh, việc tìm hiểu Ethereum 2.0 thực sự là gì và nó sẽ ảnh hưởng như thế nào đến toàn bộ lĩnh vực tiền mã hóa vô cùng quan trọng. Ở bài viết này, Viettel IDC sẽ cung cấp cho bạn những thông tin nhất định phải biết về Ethereum phiên bản 2.0 nhé!

13/10/2022

Công nghệ chuỗi khối Blockchain là gì? Cơ chế hoạt động của chuỗi khối Blockchain?

Công nghệ Blockchain (chuỗi khối) đang dần trở thành xu hướng mới trên thị trường đầu tư và công nghệ toàn cầu. Công nghệ này có tiềm năng ứng dụng to lớn trong các ngành từ dịch vụ tài chính, sản xuất và khu vực công cho đến chuỗi cung ứng, giáo dục và năng lượng. Việt Nam cũng không nằm ngoài xu thế này. Chính vì vậy, việc tìm hiểu về Blockchain ngay từ bây giờ là rất cần thiết đối với các bạn trẻ.

14/10/2022

Tìm hiểu kiến thức về Public Chain và Private Chain

Nền tảng blockchain đã phát triển mạnh mẽ và được ứng dụng rộng rãi trong nhiều lĩnh vực. Các phân loại của blockchain như Private, Public mang những sự khác biệt dẫn đến trải nghiệm người dùng khác nhau và đa dạng hóa sự lựa chọn loại blockchain phù hợp. Hãy cùng CryptoLeakvn tìm hiểu sự khác nhau giữa Public và Private blockchain, cũng như tìm ra lựa chọn tối ưu nhất trong các loại blockchain này thông qua bài viết hôm nay.

05/10/2022

Công nghệ Blockchain là gì? Lợi thế vượt trội khi doanh nghiệp ứng dụng Blockchain

Trong thời gian gần đây, công nghệ Blockchain đã và đang dần trở thành xu hướng trên toàn cầu, trong đó có cả Việt Nam. Có thể nói, ngành công nghệ này đã mang lại nhiều lợi ích to lớn cho doanh nghiệp, từ lĩnh vực tài chính, sản xuất cho đến cả giáo dục hoặc năng lượng.

12/10/2022

​Tất tần tật kiến thức quan trọng về hạ tầng Blockchain

Mọi hệ thống phức tạp đều yêu cầu cơ sở hạ tầng thích hợp, hoặc tài nguyên và một khuôn khổ cơ bản để hoạt động. Cũng giống như lưới điện, các trạm phát điện và đường ống bao gồm cơ sở hạ tầng năng lượng cần thiết để cung cấp điện cho một quốc gia. Do đó, các Node, phần mềm và hệ thống dựa trên đám mây hoặc phần cứng được yêu cầu để chạy các mạng Proof of Stake (PoS).

09/10/2022

Tất tần tật từ A - Z về dịch vụ Blockchain

Hiện nay, dịch vụ Blockchain đã phát triển mạnh mẽ và mở ra một xu hướng mới cho nhiều lĩnh vực khác nhau như trong tài chính, điện tử viễn thông, kế toán, logistics,... Vậy, cụ thể thì Blockchain là gì? Chúng có thể mang lại những lợi ích gì cho chúng ta? Hãy cùng Viettel IDC tìm hiểu câu trả lời cho những vấn đề này nhé! Bài viết dưới đây sẽ giải đáp chi tiết giúp bạn.

08/10/2022

Node là gì? Nên thuê Ethereum Node hay Bitcoin Node?

Bạn mới tìm hiểu về Node Blockchain, và đang phân vân không biết nên thuê Ethereum Node hay Bitcoin Note? Cách hoạt động của Node là gì? Trong bài viết này, Viettel IDC sẽ giải đáp các câu hỏi này cho bạn đọc, cùng nhau theo dõi bài viết bên dưới nhé!

// doi link