Những dấu hiệu hacker đã xâm nhập mạng của bạn

19/10/2019

Không phải là tuyệt đối, song 5 dấu hiệu được liệt kê sẽ giúp bạn chủ động phát hiện sớm những hành vi tấn công mạng mà kẻ xấu đang manh nha triển khai.

Theo một số chuyên gia mạng, về cơ bản thì giới hacker đã truy cập thành công vào khoảng 96% các hệ thống mạng, vì thế bạn cần nhận diện và triển khai các hành động ngăn chặn trước khi chúng có thời gian chiếm quyền điều khiển (hệ thống mạng), truy cập dữ liệu có giá trị và đánh cắp.

Tuy nhiên, đáng mừng là một đợt tấn công thường không kết thúc bằng sự lây nhiễm hay chiếm quyền điều khiển điểm mạng nào đó. Hay nói rõ hơn, việc hacker hay mã độc đồn trú trong hệ thống mạng chỉ là điểm khởi đầu.

Do đó, khi một đợt tấn công bắt đầu diễn ra, có thể dễ nhận diện và ngăn chặn nếu bạn biết cách tìm ra chúng.

Phát hiện xâm nhập là một trong những kỹ năng quan trọng của người quản trị mạng.

1. Tìm dấu hiệu rò rỉ

Bạn hãy quét các cổng, tìm trên tập tin nhật ký (log file) những lần nhập thất bại và các kiểu nhận diện khác mà kẻ tấn công muốn định hình được hệ thống mạng của bạn.

Một kẻ tấn công ban đầu sẽ cần biết được các đặc điểm, nốt mạng của bạn sau khi chúng đã xâm nhập. Chúng sẽ tìm những điểm dễ có lỗ hổng và các máy chủ, và muốn biết được người dùng nào có quyền quản trị hệ thống và nơi lưu trữ dữ liệu giá trị.

Hầu hết công cụ nhận diện sự xâm nhập có thể nhận diện phần mềm quét cổng. Tuy vậy, để phát hiện được kiểu quét hợp pháp và quét lén lút rất khó. Chúng ta cần đối diện với điều này. Tuy vậy, bạn có thể tìm được những điểm nghi ngờ của một đợt tấn công nếu thiết lập cần có bao nhiêu cổng và đích đến cho các thiết bị khác nhau trên mạng thường truy cập. 

Cách thức: Sử dụng các công cụ kiểm soát và quản trị mạng, NetFlow). 

Khó khăn: Kẻ tấn công có thể rất lén lút, nên bạn cần dành nhiều thời gian để phân tích dữ liệu. Cũng vậy, có rất nhiều công cụ và giao thức trao đổi thông tin rất nhiều nên bạn mất thời gian lọc ra những dữ liệu nhiễu.

2. Tìm người dùng "thông thường" tìm cách thực hiện các tác vụ quản trị

Vì kẻ tấn công thường sử dụng các công cụ có sẵn trên máy tính và máy chủ hơn là dùng những công cụ chuyên tấn công và malware để tránh bị  hần mềm chống virus và chống xâm nhập phát hiện. Do đó, bạn có thể dễ nhận diện điều này hơn. Những dịch vụ về cấp quyền như Active Directory có thể giúp bạn thiết lập quyền cho người dùng bên trong hệ thống. Sau khi nắm được ai là người có quyền admin, bạn cần liệt kê những người admin đó sử dụng công cụ nào và họ quản lý những thiết bị nào, như là ai có quyền admin cơ sở dữ liệu ERP hay website Intranet. Qua đó, bạn có thể xác định được khi nào kẻ tấn công chiếm dụng một máy tính và chạy các tác vụ quản trị.

Cách thức: Kết hợp các thông tin trên hệ thống mạng (như packet hay dữ liệu NetFLow) và thông tin dịch vụ thư mục, đó là cách tốt nhất để nhận diện ai có quyền quản trị trên hệ thống.

Khó khăn: Không may là không có nguồn thông tin thống nhất để chỉ cho bạn biết chính xác ai là nhà quản trị và họ đang quản lý thứ gì trên mạng. Tuy vậy, có thể ban đầu bạn nên theo dõi đường truyền SSH và RPC. Có thể bạn cũng sẽ gặp nhiều tín hiệu giả, nhưng dựa trên giao thức này, bạn có được cơ sở để nhận diện xâm nhập.

3. Tìm một thiết bị sử dụng nhiều tài khoản để truy cập tài nguyên hệ thống

Kẻ tấn công thường chuộng sử dụng nhiều tài khoản để dễ thực hiện ý đồ của chúng và tránh phát hiện. Chúng che giấu hoặc tự tạo các tài khoản và sử dụng những tài khoản này để truy cập dữ liệu, cả tấn công từ bên ngoài lẫn khi đã lọt được vào trong hệ thống. Phân tích lưu lượng sử dụng dựa trên tài khoản sẽ xác định được kẻ bên ngoài.

Cách thức: Giám sát lưu lượng mạng hay phân tích log file trên kiến trúc xác thực, đăng nhập là cách tốt nhất để nhận diện những tài khoản mới. Trích xuất dữ liệu và phân tích dữ liệu để bạn nắm được một người dùng trung bình tương tác với bao nhiêu hệ thống, thiết bị trên mạng. Sau đó lọc ra những tài khoản bất thường.

Khó khăn: Mỗi người dùng có cách sử dụng nguồn tài nguyên trên mạng nội bộ rất khác nhau, nhưng bạn vẫn có thể tạo ra một mức "chung" nhất để so sánh. 

4. Tìm kẻ tấn công bằng cách tìm dữ liệu có giá trị trong máy chủ file

Một bước mà kẻ tấn công thường làm là tìm xem file Windows chia sẻ nằm ở đâu trên mạng để lục lọi dữ liệu giá trị, như là số thẻ tín dụng hay các tài liệu sở hữu trí tuệ, hay đơn giản là chúng muốn mã hoá mọi dữ liệu để tấn công đòi tiền chuộc (ransomware). Nhận diện ra điểm bất thường trong truy cập file được chia sẻ có thể là một dấu hiệu giá trị, vì từ đó bạn cũng có thể phát hiện nhân viên nào đó có hành vi xấu.

Cách thức: Log trên file server là cách tốt nhất. Nhưng lục lọi trên file này, bạn cần có cách nhìn về một người dùng thông thường để có thể nhìn thấy được những điểm bất thường.

Khó khăn: Vài thư mục chia sẻ file được truy cập rất nhiều, và đôi khi có một người dùng nào đó truy cập lần đầu rất nhiều nên có thể là báo động giả mà thôi. Hơn nữa, dữ liệu truy cập thường rất khó phân tích. Các công cụ mạng cũng có thể giám sát và chúng đưa ra rất nhiều dữ liệu đáng cho bạn xem qua.

5. Tìm các lệnh liên quan đến điều khiển dữ liệu hay cơ chế truy cập ngầm, liên tục

Kẻ tấn công cần một cách giao tiếp được giữa Internet và các điểm endpoint để thiết lập được môi trường điều khiển. Trong khi cách dùng malware dần ít được tin tặc sử dụng hơn trước nhưng dùng malware để duy trì đầu mối tấn công vẫn còn phổ biến, và thứ hai là Remote Access Trojan (RAT). Bạn hãy chú ý đến đường ra dữ liệu (outbound) xem có gì bất thường hay không.

Cách thức: Nhiều công cụ bảo mật cũng đã có những tác vụ liên quan đến điều khiển hệ thống. Những malware mới tinh vi hơn, chúng tìm cách kết nối đến các nguồn tài nguyên đám mây như AWS hay Azure hay máy chủ mới mà những dịch vụ nhận diện xâm nhập truyền thống không phát hiện được. Bạn có thể kiểm tra file log DNS để tìm các mẫu DNS trỏ đến những máy chủ điều khiển. Có rất nhiều request DNS thất bại hoặc request trông như tên miền tự tạo, đó là dấu hiệu malware được lập trình để tránh bị chặn.

Khó khăn: Kẻ tấn công có nhiều cách ẩn mình nên tốt nhất bạn nên luôn cảnh giác, không nên chỉ phụ thuộc vào mỗi cơ chế nhận diện xâm nhập của hệ thống để phát hiện malware. Bạn rất khó nhận diện kẻ tấn công khi chúng sử dụng các dịch vụ phổ biến trên mạng như Facebook, Twitter, Gmail... nhưng chúng lại rất dễ nhận diện nếu sử dụng nhiều tài khoản riêng biệt để truy cập dịch vụ.

Có nhiều công cụ và quy trình để giúp bạn xác định được kẻ tấn công. Có nhiều tác vụ mà kẻ tấn công buộc phải thực hiện để chúng mới có thể phát hiện được môi trường mà chúng xâm nhập được vào. Xâm nhập vào hệ thống mới chỉ là bước đầu tiên. Chí ít, chúng cần phải kết nối ngược lại để thực hiện hành vi như đào bitcoin, lừa đảo, giả mạo hay nhiều chiêu trò khác. Do đó, bạn vẫn còn nhiều thời gian để phát hiện xâm nhập trước khi chúng tiến hành được hành vi xấu. 

Xa hơn nữa, bạn vẫn có thể xác định được mọi hành vi trực tiếp từ mạng nếu bạn có thể trích xuất đúng dữ liệu từ các luồng packet. Điều này rất khó thực hiện thủ công, nhưng là cách rất tốt so với một công cụ tự động. Bằng cách phân tích lưu lượng mạng với Deep Packet Inspection, một giải pháp bảo mật tự động có thể nhận diện những bất thường giúp bạn. 

Nếu bạn thích với các bước nhận diện tự động như vậy, một giải pháp khác là sử dụng kỹ thuật machine learning để bạn có được một chuẩn chung trên mạng, dựa vào đó so sánh với những gì bất thường đang xảy ra.

Tin liên quan

16/10/2020

Cloud Hosting và Hosting: Khi công nghệ làm gia tăng giá trị cho dịch vụ

Cloud Hosting & Hosting nếu chỉ thoáng nhìn thì với đa phần mọi người sẽ nghĩ giữa chúng không có gì khác biệt. Cũng vẫn chỉ là một dịch vụ lưu trữ web thông thường mà thôi. Tuy nhiên, thực tế thì không hẳn là như vậy. Cloud Hosting gần như là một bản nâng cấp cho phiên bản Hosting thông thường mà chúng ta vẫn thường hay thấy.

15/10/2020

​Windows Server 2008 hiện đã không còn được hỗ trợ, doanh nghiệp cần phải làm gì?

Windows Server 2008 đã được Microsoft khai tử hồi đầu năm 2020 sau hơn 10 năm ra mắt. Điều này đồng nghĩa với việc những người sử dụng Windows Server 2008 sẽ không còn nhận được những sự hỗ trợ từ hàng. Bài viết này, Viettel IDC sẽ gợi ý một số phương pháp giúp doanh nghiệp giải quyết vấn đề này.

15/10/2020

​Viettel IDC Cloud - Đối thủ xứng tầm với Amazon Cloud tại thị trường Việt Nam

Trong phân khúc các dịch vụ về Cloud, Amazon Cloud có lẽ là nhà cung cấp có độ phủ lớn nhất ở thời điểm hiện tại. Tuy nhiên, không quá màu mè như Amazon Cloud, Viettel IDC Cloud cũng sở hữu cho mình một hệ sinh thái đa dạng. Và đặc biệt, những dịch vụ mà Viettel IDC cung cấp cũng đã và đang mang đến nhiều giá trị tích cực cho người dùng. Hãy cùng chúng tôi điểm qua các dịch vụ về Cloud mà Viettel IDC đã và đang cung cấp nhé.

15/10/2020

Camera Viettel - Xứ mệnh chuyển đổi từ camera thường thành Cloud Camera

Camera giám sát đang ngày càng phổ biến trong cá thể từng hộ gia đình cũng như doanh nghiệp. Tuy nhiên, đa phần các hệ thống camera hiện tại đều là camera thường. Khi mà công nghệ ngày càng trở nên phát triển, điện toán đám mây cũng đang dần biến những hệ thống camera thường trở nên lạc hậu. Bằng việc ứng dụng công nghệ điện toán đám mây, camera Viettel đã lột xác thành công và chứng minh được tính ứng dụng cao đối với người dùng. Bài viết này, chúng ta sẽ cùng tìm hiểu về giải pháp camera Viettel với công nghệ điện toán đám mây nhé.

15/10/2020

VPS Windows là gì? 4 lưu ý khi sử dụng VPS Windows

​Mỗi máy chủ ảo VPS thường hoạt động dựa trên hệ điều hành. Hai hệ điều hành phổ biến hiện nay là Windows hoặc Linux. Mỗi loại sẽ có đặc tính và lợi ích riêng cho đối tượng sử dụng cụ thể. Trong bài viết này, chúng ta sẽ đi vào phân tích VPS Windows và một số lưu ý bạn cần biết khi sử dụng máy chủ ảo VPS Windows.

14/10/2020

Những lưu ý trước khi tạo VPS free để sử dụng

Các doanh nghiệp lớn hoặc thậm chí những mô hình kinh doanh nhỏ lẻ đang có xu hướng phát triển thương mại điện tử nhiều hơn dẫn đến nhu cầu sử dụng dịch vụ máy chủ ảo VPS trở nên phổ biến không kém. Việc tạo VPS free (VPS miễn phí) có thể nói là khá dễ dàng tại thời điểm hiện tại vì có rất nhiều nhà cung cấp dịch vụ máy chủ tung ra cái gói VPS free hấp dẫn thu hút người dùng. Tuy nhiên, khách hàng cũng cần nằm lòng một số điều lưu ý mà Viettel IDC liệt kê dưới đây trước khi tạo VPS miễn phí.

14/10/2020

Cùng Viettel IDC tìm hiểu sự khác nhau giữa Ubuntu Server và Ubuntu Desktop

Ubuntu Server & Ubuntu Desktop là hai trong nhiều phiên bản mà Ubuntu đã và đang cung cấp tới người dùng. Sự khác biệt trong cách thức sử dụng của hai phiên bản này là gì? Bài viết dưới đây, bạn hãy cùng Viettel IDC tìm hiểu về nó nhé.

14/10/2020

Tất tần tật những điều bạn cần biết về VMware Player

VMware Player là một phiên bản miễn phí được phát hành bởi VMware cho mục đích quản lý các máy ảo khi sử dụng. Bài viết này, chúng ta sẽ cùng tìm hiểu chi tiết về VMware Player cùng những tính năng đi kèm phiên bản miễn phí này nhé.

14/10/2020

[Bạn có biết?] Các thông số quan trọng của 1 máy chủ ảo

Chuyên mục "Bạn có biết?" tháng 10/2020 của Viettel IDC lần này sẽ cung cấp cho các bạn những kiến thức cơ bản về "Các thông số quan trọng của 1 máy chủ ảo", cùng đón đọc nhé!

13/10/2020

SaaS là gì? Mọi thứ bạn cần biết về Software as a service

Các ứng dụng SaaS đang ngày càng trở nên phổ biến hiện nay. Tuy nhiên liệu rằng tất cả chúng ta đã hiểu đúng và đủ SaaS là gì hay chưa? Nếu chưa thì bạn cũng đừng quá lo. Bài viết này, Viettel IDC sẽ giúp bạn làm rõ khái niệm SaaS là gì cũng như những ưu điểm mà nó mang lại cho người dùng.