Những dấu hiệu hacker đã xâm nhập mạng của bạn

19/10/2019

Không phải là tuyệt đối, song 5 dấu hiệu được liệt kê sẽ giúp bạn chủ động phát hiện sớm những hành vi tấn công mạng mà kẻ xấu đang manh nha triển khai.

Theo một số chuyên gia mạng, về cơ bản thì giới hacker đã truy cập thành công vào khoảng 96% các hệ thống mạng, vì thế bạn cần nhận diện và triển khai các hành động ngăn chặn trước khi chúng có thời gian chiếm quyền điều khiển (hệ thống mạng), truy cập dữ liệu có giá trị và đánh cắp.

Tuy nhiên, đáng mừng là một đợt tấn công thường không kết thúc bằng sự lây nhiễm hay chiếm quyền điều khiển điểm mạng nào đó. Hay nói rõ hơn, việc hacker hay mã độc đồn trú trong hệ thống mạng chỉ là điểm khởi đầu.

Do đó, khi một đợt tấn công bắt đầu diễn ra, có thể dễ nhận diện và ngăn chặn nếu bạn biết cách tìm ra chúng.

Phát hiện xâm nhập là một trong những kỹ năng quan trọng của người quản trị mạng.

1. Tìm dấu hiệu rò rỉ

Bạn hãy quét các cổng, tìm trên tập tin nhật ký (log file) những lần nhập thất bại và các kiểu nhận diện khác mà kẻ tấn công muốn định hình được hệ thống mạng của bạn.

Một kẻ tấn công ban đầu sẽ cần biết được các đặc điểm, nốt mạng của bạn sau khi chúng đã xâm nhập. Chúng sẽ tìm những điểm dễ có lỗ hổng và các máy chủ, và muốn biết được người dùng nào có quyền quản trị hệ thống và nơi lưu trữ dữ liệu giá trị.

Hầu hết công cụ nhận diện sự xâm nhập có thể nhận diện phần mềm quét cổng. Tuy vậy, để phát hiện được kiểu quét hợp pháp và quét lén lút rất khó. Chúng ta cần đối diện với điều này. Tuy vậy, bạn có thể tìm được những điểm nghi ngờ của một đợt tấn công nếu thiết lập cần có bao nhiêu cổng và đích đến cho các thiết bị khác nhau trên mạng thường truy cập. 

Cách thức: Sử dụng các công cụ kiểm soát và quản trị mạng, NetFlow). 

Khó khăn: Kẻ tấn công có thể rất lén lút, nên bạn cần dành nhiều thời gian để phân tích dữ liệu. Cũng vậy, có rất nhiều công cụ và giao thức trao đổi thông tin rất nhiều nên bạn mất thời gian lọc ra những dữ liệu nhiễu.

2. Tìm người dùng "thông thường" tìm cách thực hiện các tác vụ quản trị

Vì kẻ tấn công thường sử dụng các công cụ có sẵn trên máy tính và máy chủ hơn là dùng những công cụ chuyên tấn công và malware để tránh bị  hần mềm chống virus và chống xâm nhập phát hiện. Do đó, bạn có thể dễ nhận diện điều này hơn. Những dịch vụ về cấp quyền như Active Directory có thể giúp bạn thiết lập quyền cho người dùng bên trong hệ thống. Sau khi nắm được ai là người có quyền admin, bạn cần liệt kê những người admin đó sử dụng công cụ nào và họ quản lý những thiết bị nào, như là ai có quyền admin cơ sở dữ liệu ERP hay website Intranet. Qua đó, bạn có thể xác định được khi nào kẻ tấn công chiếm dụng một máy tính và chạy các tác vụ quản trị.

Cách thức: Kết hợp các thông tin trên hệ thống mạng (như packet hay dữ liệu NetFLow) và thông tin dịch vụ thư mục, đó là cách tốt nhất để nhận diện ai có quyền quản trị trên hệ thống.

Khó khăn: Không may là không có nguồn thông tin thống nhất để chỉ cho bạn biết chính xác ai là nhà quản trị và họ đang quản lý thứ gì trên mạng. Tuy vậy, có thể ban đầu bạn nên theo dõi đường truyền SSH và RPC. Có thể bạn cũng sẽ gặp nhiều tín hiệu giả, nhưng dựa trên giao thức này, bạn có được cơ sở để nhận diện xâm nhập.

3. Tìm một thiết bị sử dụng nhiều tài khoản để truy cập tài nguyên hệ thống

Kẻ tấn công thường chuộng sử dụng nhiều tài khoản để dễ thực hiện ý đồ của chúng và tránh phát hiện. Chúng che giấu hoặc tự tạo các tài khoản và sử dụng những tài khoản này để truy cập dữ liệu, cả tấn công từ bên ngoài lẫn khi đã lọt được vào trong hệ thống. Phân tích lưu lượng sử dụng dựa trên tài khoản sẽ xác định được kẻ bên ngoài.

Cách thức: Giám sát lưu lượng mạng hay phân tích log file trên kiến trúc xác thực, đăng nhập là cách tốt nhất để nhận diện những tài khoản mới. Trích xuất dữ liệu và phân tích dữ liệu để bạn nắm được một người dùng trung bình tương tác với bao nhiêu hệ thống, thiết bị trên mạng. Sau đó lọc ra những tài khoản bất thường.

Khó khăn: Mỗi người dùng có cách sử dụng nguồn tài nguyên trên mạng nội bộ rất khác nhau, nhưng bạn vẫn có thể tạo ra một mức "chung" nhất để so sánh. 

4. Tìm kẻ tấn công bằng cách tìm dữ liệu có giá trị trong máy chủ file

Một bước mà kẻ tấn công thường làm là tìm xem file Windows chia sẻ nằm ở đâu trên mạng để lục lọi dữ liệu giá trị, như là số thẻ tín dụng hay các tài liệu sở hữu trí tuệ, hay đơn giản là chúng muốn mã hoá mọi dữ liệu để tấn công đòi tiền chuộc (ransomware). Nhận diện ra điểm bất thường trong truy cập file được chia sẻ có thể là một dấu hiệu giá trị, vì từ đó bạn cũng có thể phát hiện nhân viên nào đó có hành vi xấu.

Cách thức: Log trên file server là cách tốt nhất. Nhưng lục lọi trên file này, bạn cần có cách nhìn về một người dùng thông thường để có thể nhìn thấy được những điểm bất thường.

Khó khăn: Vài thư mục chia sẻ file được truy cập rất nhiều, và đôi khi có một người dùng nào đó truy cập lần đầu rất nhiều nên có thể là báo động giả mà thôi. Hơn nữa, dữ liệu truy cập thường rất khó phân tích. Các công cụ mạng cũng có thể giám sát và chúng đưa ra rất nhiều dữ liệu đáng cho bạn xem qua.

5. Tìm các lệnh liên quan đến điều khiển dữ liệu hay cơ chế truy cập ngầm, liên tục

Kẻ tấn công cần một cách giao tiếp được giữa Internet và các điểm endpoint để thiết lập được môi trường điều khiển. Trong khi cách dùng malware dần ít được tin tặc sử dụng hơn trước nhưng dùng malware để duy trì đầu mối tấn công vẫn còn phổ biến, và thứ hai là Remote Access Trojan (RAT). Bạn hãy chú ý đến đường ra dữ liệu (outbound) xem có gì bất thường hay không.

Cách thức: Nhiều công cụ bảo mật cũng đã có những tác vụ liên quan đến điều khiển hệ thống. Những malware mới tinh vi hơn, chúng tìm cách kết nối đến các nguồn tài nguyên đám mây như AWS hay Azure hay máy chủ mới mà những dịch vụ nhận diện xâm nhập truyền thống không phát hiện được. Bạn có thể kiểm tra file log DNS để tìm các mẫu DNS trỏ đến những máy chủ điều khiển. Có rất nhiều request DNS thất bại hoặc request trông như tên miền tự tạo, đó là dấu hiệu malware được lập trình để tránh bị chặn.

Khó khăn: Kẻ tấn công có nhiều cách ẩn mình nên tốt nhất bạn nên luôn cảnh giác, không nên chỉ phụ thuộc vào mỗi cơ chế nhận diện xâm nhập của hệ thống để phát hiện malware. Bạn rất khó nhận diện kẻ tấn công khi chúng sử dụng các dịch vụ phổ biến trên mạng như Facebook, Twitter, Gmail... nhưng chúng lại rất dễ nhận diện nếu sử dụng nhiều tài khoản riêng biệt để truy cập dịch vụ.

Có nhiều công cụ và quy trình để giúp bạn xác định được kẻ tấn công. Có nhiều tác vụ mà kẻ tấn công buộc phải thực hiện để chúng mới có thể phát hiện được môi trường mà chúng xâm nhập được vào. Xâm nhập vào hệ thống mới chỉ là bước đầu tiên. Chí ít, chúng cần phải kết nối ngược lại để thực hiện hành vi như đào bitcoin, lừa đảo, giả mạo hay nhiều chiêu trò khác. Do đó, bạn vẫn còn nhiều thời gian để phát hiện xâm nhập trước khi chúng tiến hành được hành vi xấu. 

Xa hơn nữa, bạn vẫn có thể xác định được mọi hành vi trực tiếp từ mạng nếu bạn có thể trích xuất đúng dữ liệu từ các luồng packet. Điều này rất khó thực hiện thủ công, nhưng là cách rất tốt so với một công cụ tự động. Bằng cách phân tích lưu lượng mạng với Deep Packet Inspection, một giải pháp bảo mật tự động có thể nhận diện những bất thường giúp bạn. 

Nếu bạn thích với các bước nhận diện tự động như vậy, một giải pháp khác là sử dụng kỹ thuật machine learning để bạn có được một chuẩn chung trên mạng, dựa vào đó so sánh với những gì bất thường đang xảy ra.

Tin liên quan

22/09/2023

Tham khảo ngay phần mềm có thể giúp quản lý công việc hiệu quả

Trong môi trường kinh doanh đầy cạnh tranh như hiện nay, quản lý công việc hiệu quả trở thành vấn đề quan trọng mà bất kì doanh nghiệp nào cũng mong muốn hướng đến. Khi công nghệ thông tin ngày càng phát triển, việc sử dụng phần mềm quản lý kinh doanh không chỉ là lựa chọn mà còn là bước đi quan trọng đối với sự linh hoạt và cạnh tranh của doanh nghiệp.

28/09/2023

Viettel IDC hợp tác cùng SSI Solutions mang tới hệ sinh thái chuyển đổi số thông minh đa ngành

Vào ngày 25/09/2023, Viettel IDC đã đặt bút ký kết thỏa thuận hợp tác chiến lược cùng SSI Solutions. Sự kết hợp này được kì vọng mang tới cho doanh nghiệp Việt một hệ sinh thái chuyển đổi số thông minh đa ngành, trong đó ngành điện là lĩnh vực mà cả hai nhà cung cấp đặc biệt quan tâm.

25/09/2023

Lợi ích của việc sử dụng phần mềm quản lý doanh nghiệp Viettel CyberWork

Trong thời đại chuyển đổi số, việc ứng dụng phần mềm quản lý doanh nghiệp là một giải pháp vô cùng thiết yếu. Phần mềm quản lý kinh doanh tích hợp các chức năng quan trọng như quản lý nhân sự, tài nguyên, công việc và chuỗi quy trình, giúp tạo ra sự liên kết thông tin mạch lạc.

12/09/2023

Viettel IDC đáp ứng Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân

Với gần 78 triệu người sử dụng internet (chiếm hơn 79% dân số), Việt Nam hiện đang xếp thứ 12 trên thế giới về số lượng người sử dụng internet. Đi cùng sự phát triển mạnh mẽ của công nghệ và hạ tầng không gian mạng, việc bảo vệ dữ liệu cá nhân đang ngày càng trở nên đặc biệt quan trọng.

07/09/2023

Quản lý quy trình đa chiều an toàn, hiệu quả cùng Viettel CyberWork

Trong xu hướng chuyển đối số hiện nay, quản lý quy trình đóng vai trò quan trọng giúp doanh nghiệp tăng năng suất làm việc của nhân viên. Với sự gia tăng mạnh mẽ của số lượng dữ liệu và thông tin, việc duy trì quy trình truyền thống, thủ công không còn đủ để đảm bảo tính thích nghi linh hoạt.

06/09/2023

Viettel IDC đồng hành cùng Viettel Telecom xây dựng giải pháp hệ thống mail server trên AWS

Để đáp ứng về mặt hạ tầng cho các dịch vụ, Viettel Telecom đã tin tưởng triển khai giải pháp do Viettel IDC xây dựng, sử dụng Amazon Simple Email Service – Amazon (SES) tích hợp với hệ thống mail server và hệ thống phần mềm hiện tại của Viettel Telecom để gửi email tới khách hàng đầu cuối một cách nhanh chóng, chính xác và hiệu quả.

31/08/2023

Dịch vụ cho thuê chỗ đặt thiết bị chuyên nghiệp cùng Viettel Colocation

Giải pháp thuê chỗ đặt thiết bị chuyên nghiệp là sự lựa chọn thông minh, mang tính tối ưu cho các doanh nghiệp và tổ chức cần không gian vật lý để triển khai, quản lý máy chủ hệ thống công nghệ thông tin.

29/08/2023

Dịch vụ cho thuê máy chủ vật lý server chất lượng giá hợp lý - Viettel Server Leasing

Hiện nay, nhiều doanh nghiệp, cá nhân vẫn có nhu cầu sử dụng các hệ thống server vật lý riêng đáp đáp ứng các nhu cầu đặc thù, trong khi lại không có bộ máy để triển khai hoặc quản trị các hệ thống server vật lý này hoặc chi phí đầu tư, quản trị hệ thống cao, nhiều rủi ro phát sinh.

30/08/2023

Lưu trữ đám mây là gì? Ưu điểm và lợi ích khi ứng dụng

Một thực tế không thể phủ nhận là dù bạn có quen thuộc với các thuật ngữ như "Cloud Storage", "Lưu trữ đám mây", hay "Điện toán đám mây" hay không thì hàng ngày, khi tiếp xúc với công nghệ, chúng ta đều đã có sự tương tác liên tục với các nền tảng này.

23/08/2023

Viettel Drive - Giải pháp lưu trữ dữ liệu trực tuyến tốt nhất năm 2023

Việc lựa chọn giải pháp lưu trữ dữ liệu trực tuyến đòi hỏi sự cân nhắc kỹ lưỡng về yếu tố kỹ thuật, tài chính và phù hợp với mục tiêu kinh doanh. Sự đa dạng của các nhà cung cấp và dịch vụ lớn nhỏ có thể gây nhầm lẫn, khiến người dùng phải đối mặt với vô số lựa chọn phức tạp.

// doi link