Những dấu hiệu hacker đã xâm nhập mạng của bạn

19/10/2019

Không phải là tuyệt đối, song 5 dấu hiệu được liệt kê sẽ giúp bạn chủ động phát hiện sớm những hành vi tấn công mạng mà kẻ xấu đang manh nha triển khai.

Theo một số chuyên gia mạng, về cơ bản thì giới hacker đã truy cập thành công vào khoảng 96% các hệ thống mạng, vì thế bạn cần nhận diện và triển khai các hành động ngăn chặn trước khi chúng có thời gian chiếm quyền điều khiển (hệ thống mạng), truy cập dữ liệu có giá trị và đánh cắp.

Tuy nhiên, đáng mừng là một đợt tấn công thường không kết thúc bằng sự lây nhiễm hay chiếm quyền điều khiển điểm mạng nào đó. Hay nói rõ hơn, việc hacker hay mã độc đồn trú trong hệ thống mạng chỉ là điểm khởi đầu.

Do đó, khi một đợt tấn công bắt đầu diễn ra, có thể dễ nhận diện và ngăn chặn nếu bạn biết cách tìm ra chúng.

Phát hiện xâm nhập là một trong những kỹ năng quan trọng của người quản trị mạng.

1. Tìm dấu hiệu rò rỉ

Bạn hãy quét các cổng, tìm trên tập tin nhật ký (log file) những lần nhập thất bại và các kiểu nhận diện khác mà kẻ tấn công muốn định hình được hệ thống mạng của bạn.

Một kẻ tấn công ban đầu sẽ cần biết được các đặc điểm, nốt mạng của bạn sau khi chúng đã xâm nhập. Chúng sẽ tìm những điểm dễ có lỗ hổng và các máy chủ, và muốn biết được người dùng nào có quyền quản trị hệ thống và nơi lưu trữ dữ liệu giá trị.

Hầu hết công cụ nhận diện sự xâm nhập có thể nhận diện phần mềm quét cổng. Tuy vậy, để phát hiện được kiểu quét hợp pháp và quét lén lút rất khó. Chúng ta cần đối diện với điều này. Tuy vậy, bạn có thể tìm được những điểm nghi ngờ của một đợt tấn công nếu thiết lập cần có bao nhiêu cổng và đích đến cho các thiết bị khác nhau trên mạng thường truy cập. 

Cách thức: Sử dụng các công cụ kiểm soát và quản trị mạng, NetFlow). 

Khó khăn: Kẻ tấn công có thể rất lén lút, nên bạn cần dành nhiều thời gian để phân tích dữ liệu. Cũng vậy, có rất nhiều công cụ và giao thức trao đổi thông tin rất nhiều nên bạn mất thời gian lọc ra những dữ liệu nhiễu.

2. Tìm người dùng "thông thường" tìm cách thực hiện các tác vụ quản trị

Vì kẻ tấn công thường sử dụng các công cụ có sẵn trên máy tính và máy chủ hơn là dùng những công cụ chuyên tấn công và malware để tránh bị  hần mềm chống virus và chống xâm nhập phát hiện. Do đó, bạn có thể dễ nhận diện điều này hơn. Những dịch vụ về cấp quyền như Active Directory có thể giúp bạn thiết lập quyền cho người dùng bên trong hệ thống. Sau khi nắm được ai là người có quyền admin, bạn cần liệt kê những người admin đó sử dụng công cụ nào và họ quản lý những thiết bị nào, như là ai có quyền admin cơ sở dữ liệu ERP hay website Intranet. Qua đó, bạn có thể xác định được khi nào kẻ tấn công chiếm dụng một máy tính và chạy các tác vụ quản trị.

Cách thức: Kết hợp các thông tin trên hệ thống mạng (như packet hay dữ liệu NetFLow) và thông tin dịch vụ thư mục, đó là cách tốt nhất để nhận diện ai có quyền quản trị trên hệ thống.

Khó khăn: Không may là không có nguồn thông tin thống nhất để chỉ cho bạn biết chính xác ai là nhà quản trị và họ đang quản lý thứ gì trên mạng. Tuy vậy, có thể ban đầu bạn nên theo dõi đường truyền SSH và RPC. Có thể bạn cũng sẽ gặp nhiều tín hiệu giả, nhưng dựa trên giao thức này, bạn có được cơ sở để nhận diện xâm nhập.

3. Tìm một thiết bị sử dụng nhiều tài khoản để truy cập tài nguyên hệ thống

Kẻ tấn công thường chuộng sử dụng nhiều tài khoản để dễ thực hiện ý đồ của chúng và tránh phát hiện. Chúng che giấu hoặc tự tạo các tài khoản và sử dụng những tài khoản này để truy cập dữ liệu, cả tấn công từ bên ngoài lẫn khi đã lọt được vào trong hệ thống. Phân tích lưu lượng sử dụng dựa trên tài khoản sẽ xác định được kẻ bên ngoài.

Cách thức: Giám sát lưu lượng mạng hay phân tích log file trên kiến trúc xác thực, đăng nhập là cách tốt nhất để nhận diện những tài khoản mới. Trích xuất dữ liệu và phân tích dữ liệu để bạn nắm được một người dùng trung bình tương tác với bao nhiêu hệ thống, thiết bị trên mạng. Sau đó lọc ra những tài khoản bất thường.

Khó khăn: Mỗi người dùng có cách sử dụng nguồn tài nguyên trên mạng nội bộ rất khác nhau, nhưng bạn vẫn có thể tạo ra một mức "chung" nhất để so sánh. 

4. Tìm kẻ tấn công bằng cách tìm dữ liệu có giá trị trong máy chủ file

Một bước mà kẻ tấn công thường làm là tìm xem file Windows chia sẻ nằm ở đâu trên mạng để lục lọi dữ liệu giá trị, như là số thẻ tín dụng hay các tài liệu sở hữu trí tuệ, hay đơn giản là chúng muốn mã hoá mọi dữ liệu để tấn công đòi tiền chuộc (ransomware). Nhận diện ra điểm bất thường trong truy cập file được chia sẻ có thể là một dấu hiệu giá trị, vì từ đó bạn cũng có thể phát hiện nhân viên nào đó có hành vi xấu.

Cách thức: Log trên file server là cách tốt nhất. Nhưng lục lọi trên file này, bạn cần có cách nhìn về một người dùng thông thường để có thể nhìn thấy được những điểm bất thường.

Khó khăn: Vài thư mục chia sẻ file được truy cập rất nhiều, và đôi khi có một người dùng nào đó truy cập lần đầu rất nhiều nên có thể là báo động giả mà thôi. Hơn nữa, dữ liệu truy cập thường rất khó phân tích. Các công cụ mạng cũng có thể giám sát và chúng đưa ra rất nhiều dữ liệu đáng cho bạn xem qua.

5. Tìm các lệnh liên quan đến điều khiển dữ liệu hay cơ chế truy cập ngầm, liên tục

Kẻ tấn công cần một cách giao tiếp được giữa Internet và các điểm endpoint để thiết lập được môi trường điều khiển. Trong khi cách dùng malware dần ít được tin tặc sử dụng hơn trước nhưng dùng malware để duy trì đầu mối tấn công vẫn còn phổ biến, và thứ hai là Remote Access Trojan (RAT). Bạn hãy chú ý đến đường ra dữ liệu (outbound) xem có gì bất thường hay không.

Cách thức: Nhiều công cụ bảo mật cũng đã có những tác vụ liên quan đến điều khiển hệ thống. Những malware mới tinh vi hơn, chúng tìm cách kết nối đến các nguồn tài nguyên đám mây như AWS hay Azure hay máy chủ mới mà những dịch vụ nhận diện xâm nhập truyền thống không phát hiện được. Bạn có thể kiểm tra file log DNS để tìm các mẫu DNS trỏ đến những máy chủ điều khiển. Có rất nhiều request DNS thất bại hoặc request trông như tên miền tự tạo, đó là dấu hiệu malware được lập trình để tránh bị chặn.

Khó khăn: Kẻ tấn công có nhiều cách ẩn mình nên tốt nhất bạn nên luôn cảnh giác, không nên chỉ phụ thuộc vào mỗi cơ chế nhận diện xâm nhập của hệ thống để phát hiện malware. Bạn rất khó nhận diện kẻ tấn công khi chúng sử dụng các dịch vụ phổ biến trên mạng như Facebook, Twitter, Gmail... nhưng chúng lại rất dễ nhận diện nếu sử dụng nhiều tài khoản riêng biệt để truy cập dịch vụ.

Có nhiều công cụ và quy trình để giúp bạn xác định được kẻ tấn công. Có nhiều tác vụ mà kẻ tấn công buộc phải thực hiện để chúng mới có thể phát hiện được môi trường mà chúng xâm nhập được vào. Xâm nhập vào hệ thống mới chỉ là bước đầu tiên. Chí ít, chúng cần phải kết nối ngược lại để thực hiện hành vi như đào bitcoin, lừa đảo, giả mạo hay nhiều chiêu trò khác. Do đó, bạn vẫn còn nhiều thời gian để phát hiện xâm nhập trước khi chúng tiến hành được hành vi xấu. 

Xa hơn nữa, bạn vẫn có thể xác định được mọi hành vi trực tiếp từ mạng nếu bạn có thể trích xuất đúng dữ liệu từ các luồng packet. Điều này rất khó thực hiện thủ công, nhưng là cách rất tốt so với một công cụ tự động. Bằng cách phân tích lưu lượng mạng với Deep Packet Inspection, một giải pháp bảo mật tự động có thể nhận diện những bất thường giúp bạn. 

Nếu bạn thích với các bước nhận diện tự động như vậy, một giải pháp khác là sử dụng kỹ thuật machine learning để bạn có được một chuẩn chung trên mạng, dựa vào đó so sánh với những gì bất thường đang xảy ra.

Tin liên quan

07/12/2021

[Cẩm nang Cloud] Những chứng chỉ thông dụng nhất về Điện toán đám mây

Trong bài viết Cẩm nang Cloud hôm nay, chúng ta sẽ cùng tìm hiểu về những chứng chỉ đám mây tốt nhất nên theo đuổi để có thể có đủ kiến thức về Cloud và gia tăng uy tín của bạn trong lĩnh vực này.

06/12/2021

[Cẩm nang Cloud] Kiến trúc của Điện toán đám mây

Mục đích của bài này trong chuyên mục Cẩm nang Cloud là để giúp bạn hiểu rõ kiến trúc của Điện toán đám mây, từ đó biết cách ứng dụng để mang lại lợi nhuận và nâng cao chất lượng công việc trong doanh nghiệp.

03/12/2021

[Cẩm nang Cloud] Ứng dụng thực tế của Điện toán đám mây

Dịch vụ đám mây được ứng dụng trong nhiều khía cạnh quan trọng trên thực tế. Cho dù bạn là một cá nhân đang sử dụng dịch vụ ngân hàng trực tuyến hoặc tổ chức của bạn đang vận hành một ứng dụng chia sẻ ảnh với hàng triệu người dùng qua điện thoại, dịch vụ đám mây có thể thỏa mãn tất cả nhu cầu với mức chi phí thấp.

02/12/2021

​[Cẩm nang Cloud] Cách thức hoạt động của Điện toán đám mây

Trong bài này, chúng ta sẽ tìm hiểu cách hoạt động của Điện toán đám mây và cách nó được quản lý. Ngoài ra, chúng ta cũng sẽ tìm hiểu về trường hợp sử dụng Điện toán đám mây của công ty nước ngoài và các đặc điểm của nó.

30/11/2021

[Cẩm nang Cloud] Ưu điểm và nhược điểm của Điện toán đám mây

Mặc dù điện toán đám mây chắc chắn mang lại lợi ích cho các công ty quy mô vừa và lớn, nhưng nó không phải là không có mặt trái của nó, đặc biệt là đối với các doanh nghiệp nhỏ hơn và chúng ta sẽ cùng tìm hiểu trong chuyên mục Cẩm nang Cloud hôm nay.

30/11/2021

[Cẩm nang Cloud] ​10 tính năng chính của Điện toán đám mây

Người ta thấy rằng Điện toán đám mây là một mô hình cho phép truy cập mạng theo yêu cầu, phổ biến, thuận tiện khi truy cập vào các tài nguyên máy tính. Có rất nhiều dịch vụ và tính năng của điện toán đám mây.

29/11/2021

Webinar: Xây dựng, bảo mật nền tảng điện toán đám mây - Cơ sở hạ tầng quan trọng trong chuyển đổi số

Trong khuôn khổ Dự án “Chuyển đổi số cho doanh nghiệp trong bối cảnh Cách mạng công nghiệp 4.0”, Phòng Thương mại và Công nghiệp Việt Nam (VCCI) phối hợp với Viettel IDC và Akamai Technologies tổ chức hội thảo trực tuyến.

29/11/2021

[Cẩm nang Cloud] Hướng dẫn về Điện toán đám mây cho người mới bắt đầu

Để khởi động chuyên mục này, chúng ta sẽ bắt đầu tìm hiểu về Điện toán đám mây – Cloud Computing thông qua Chuyên mục “Cẩm nang Cloud”. Ở bài viết này, Viettel IDC sẽ đề cập đến tất cả các thông tin như lịch sử hình thành, đặc điểm, ưu điểm, nhược điểm và các loại hình Điện toán đám mây.

26/11/2021

So sánh phương án thuê và xây Trung tâm dữ liệu

Hiện nay, các doanh nghiệp có xu hướng dịch chuyển hạ tầng công nghệ thông tin lên môi trường Cloud. Tuy nhiên, vẫn có một số ứng dụng mà doanh nghiệp cần triển khai trên hạ tầng trong Data Center, vậy nên lựa chọn việc thuê và xây mới một trung tâm dữ liệu đang là một bài toán khó. Bài viết này sẽ giúp chúng ta so sánh và tìm ra câu trả lời phù hợp dựa trên một số tiêu chí nổi bật dưới đây.

26/11/2021

Sự phát triển của Cloud Computing trong tương lai

Ngày nay, chúng ta có thể kết nối tất cả các hệ thống công nghệ thông tin với Cloud Computing. Ở đó mọi người sẽ được cung cấp một thế giới về kỹ thuật số, ứng dụng, dịch vụ và nền tảng hoàn toàn mới. Chúng ta có thể thấy tương lai của Cloud Computing là sự kết hợp giữa các sản phẩm phần mềm dựa trên Cloud và on-permises sẽ giúp tạo ra các giải pháp CNTT kết hợp với nhau.

// doi link