Các lỗ hổng phần mềm chính là một thực tế của cuộc sống, như được minh họa bằng việc Microsoft đã vá từ 55 đến 110 lỗ hổng mỗi tháng trong năm nay – với 7% đến 17% trong số các lỗ hổng đó là nghiêm trọng.
May có ít lỗ hổng bảo mật nhất, với tổng số 55 lỗ hổng và chỉ có bốn lỗ hổng được coi là nghiêm trọng. Vấn đề là các lỗ hổng nghiêm trọng là những thứ chúng ta đã thấy trong nhiều năm, như thực thi mã từ xa và leo thang đặc quyền.
Microsoft không phải là tên tuổi lớn duy nhất thường xuyên vá các lỗ hổng bảo mật lớn: Chúng tôi thấy các bản cập nhật bảo mật hàng tháng đến từ Apple, Adobe, Google, Cisco, v.v.
mọi chuyện cũ sẽ mới trở lại thôi
Với những lỗ hổng chính trong rất nhiều ứng dụng, liệu có hy vọng nào cho một tương lai an toàn không? Tất nhiên, câu trả lời là có, nhưng điều đó không có nghĩa là sẽ không có thử thách nào đạt được điều đó.
Các lỗ hổng được nhìn thấy có thể không phải là mới đối với những người trong chúng ta, những người đã từng bảo vệ chống lại những kẻ tấn công trong nhiều năm hoặc thậm chí nhiều thập kỷ, nhưng các đối thủ liên tục thay đổi chiến thuật của họ.
Không có gì lạ khi họ sử dụng các tài nguyên hợp pháp cho các mục đích bất chính và không phải lúc nào cũng có thể lập kế hoạch cho việc lạm dụng này khi một ứng dụng đang được xây dựng.
Đó là đặc quyền của bạn
Với 80% vi phạm bảo mật liên quan đến tài khoản đặc quyền, một lỗ hổng chính mà chúng ta sẽ ngày càng thấy bị khai thác là leo thang đặc quyền. Một chiến thuật phổ biến của các nhà khai thác ransomware và các tác nhân đe dọa khác là đạt được các đặc quyền nâng cao trên một hệ thống để giúp hợp pháp hóa các hành động của họ và giành quyền truy cập vào dữ liệu nhạy cảm.
Nếu kẻ đánh cắp thông tin có cùng quyền truy cập với người dùng hiện tại, cơ hội lấy cắp dữ liệu nhạy cảm sẽ tăng lên đáng kể. Trong khi đó, quyền truy cập quản trị gần như đảm bảo quyền truy cập vào dữ liệu hấp dẫn.
Ngoài việc cập nhật phần mềm, đây là lúc các sáng kiến của Zero Trust và giám sát luồng dữ liệu trở nên quan trọng. Ở mức tối thiểu, Zero Trust có nghĩa là nguyên tắc đặc quyền ít nhất phải được áp dụng và xác thực đa yếu tố phải được yêu cầu ở bất cứ nơi nào có sẵn.
Về cơ bản, điều này đảm bảo rằng bất kỳ ai không cần quyền truy cập vào hệ thống hoặc tệp đều không thể truy cập nó – trong khi những người đó phải chứng minh rằng họ là người mà họ nói. Theo dõi luồng dữ liệu cũng có thể giúp phát hiện sớm vi phạm, hạn chế số lượng dữ liệu bị đánh cắp.
Điều khiển từ xa
Thực thi mã từ xa (RCE) sẽ không sớm biến mất. Các cuộc tấn công này chiếm khoảng 27% các cuộc tấn công vào năm 2020, tăng từ 7% của năm trước. Nếu kẻ tấn công có thể tìm cách chạy mã tùy ý trên hệ thống của bạn từ xa, chúng có nhiều quyền kiểm soát hơn so với việc chỉ cố tình yêu cầu người dùng chạy một phần mềm độc hại với các chức năng được xác định trước.
Nếu kẻ tấn công có thể chạy mã tùy ý từ xa, chúng có khả năng di chuyển xung quanh hệ thống và có thể là mạng – cho phép chúng thay đổi mục tiêu và chiến thuật dựa trên những gì chúng tìm thấy.
Giám sát hành vi là một trong những cách tốt nhất để phát hiện RCE trên hệ thống của bạn. Nếu một ứng dụng bắt đầu chạy các lệnh và quay vòng các quy trình không phải là một phần của các hành vi bình thường của nó, bạn có thể ngừng tấn công sớm. Thực tế là RCE rất phổ biến cũng yêu cầu bạn phải cập nhật các bản vá bảo mật để ngăn chặn nhiều cuộc tấn công này trước khi chúng bắt đầu.
Ai cần phần mềm độc hại?
Ngày nay, một phương pháp tấn công ưa thích là sử dụng các quy trình hợp pháp và các ứng dụng đáng tin cậy để thực hiện các mục tiêu bất chính. Những cuộc tấn công không có bộ lọc hoặc sống ngoài đất liền này có thể khó bị phát hiện vì phần mềm độc hại không cần cài đặt.
Một trong những ứng dụng phổ biến nhất được khai thác theo cách này là PowerShell. Điều này có ý nghĩa vì PowerShell là một ứng dụng mạnh mẽ được sử dụng để tập lệnh và chạy các lệnh hệ thống.
Đây là một ví dụ khác mà việc giám sát hành vi của các ứng dụng và quy trình có thể rất quan trọng trong việc ngăn chặn một cuộc tấn công một cách nhanh chóng. PowerShell có thực sự cần tắt các tính năng bảo mật không?
Trong hầu hết các trường hợp, có lẽ là không. Những hành vi như thế này có thể được giám sát, ngay cả từ các ứng dụng đáng tin cậy như PowerShell. Kết hợp tính năng giám sát này với công nghệ máy học và trí tuệ nhân tạo tiên tiến, đồng thời bạn có thể bắt đầu lấy dấu vân tay các hành vi bình thường trên mạng của mình, với các phản hồi tự động đối với hoạt động bất thường.
Đi ra ngoài và lặp lại chính mình
Mặc dù các kiểu tấn công phổ biến có thể không thay đổi nhiều, nhưng bất kỳ thay đổi nào đối với ứng dụng hoặc mã đều có khả năng tạo ra các lỗ hổng mới. Điều này không có nghĩa là chúng ta nên bỏ cuộc và chỉ để đối thủ giành chiến thắng – điều đó có nghĩa là bây giờ là lúc chúng ta phải tăng gấp đôi nỗ lực của chúng ta để ngăn cản những nỗ lực của họ.
Thực hiện một chiến lược quản lý bản vá, giám sát mạng, sử dụng tính năng phát hiện hành vi và tránh tự mãn. Việc các nhà cung cấp phần mềm lớn thường xuyên vá các lỗ hổng bảo mật lớn thực sự là một điều tốt vì những kẻ tấn công không từ bỏ, vì vậy chúng ta cũng không nên làm vậy.
