Theo nghĩa đơn giản nhất, mối đe dọa an ninh mạng hay mối đe dọa mạng là dấu hiệu cho thấy tin tặc hoặc tác nhân độc hại đang cố gắng truy cập trái phép vào mạng nhằm mục đích phát động một cuộc tấn công mạng.

Các mối đe dọa mạng có thể bao gồm từ những điều hiển nhiên, chẳng hạn như một email từ một kẻ có quyền lực nước ngoài cung cấp một khoản tài sản nhỏ nếu bạn chỉ cần cung cấp số tài khoản ngân hàng của mình, cho đến những hành động lén lút, chẳng hạn như một dòng mã độc có thể lẻn qua các hệ thống phòng thủ mạng và sống sót trên mạng. mạng trong nhiều tháng hoặc nhiều năm trước khi gây ra sự cố vi phạm dữ liệu tốn kém. Đội ngũ bảo mật và nhân viên càng biết nhiều về các loại mối đe dọa an ninh mạng khác nhau thì họ càng có thể ngăn chặn, chuẩn bị và ứng phó với các cuộc tấn công mạng hiệu quả hơn.

Malware

Malware—viết tắt của “phần mềm độc hại”—là mã phần mềm được viết có chủ ý nhằm gây hại cho hệ thống máy tính hoặc người dùng của nó.

Hầu như mọi hiện đại Tấn công mạng liên quan đến một số loại phần mềm độc hại. Các tác nhân đe dọa sử dụng các cuộc tấn công bằng phần mềm độc hại để giành quyền truy cập trái phép và khiến hệ thống bị nhiễm không thể hoạt động, phá hủy dữ liệu, đánh cắp thông tin nhạy cảm và thậm chí xóa sạch các tệp quan trọng đối với hệ điều hành.

Các loại phần mềm độc hại phổ biến bao gồm:

• ransomware khóa dữ liệu hoặc thiết bị của nạn nhân và đe dọa khóa hoặc rò rỉ dữ liệu đó một cách công khai, trừ khi nạn nhân trả tiền chuộc cho kẻ tấn công. Theo Chỉ số thông minh về mối đe dọa X-Force của Bảo mật IBM 2023, các cuộc tấn công bằng ransomware chiếm 17% tổng số cuộc tấn công mạng vào năm 2022.
• A Trojan horse là mã độc hại lừa mọi người tải xuống bằng cách tỏ ra là một chương trình hữu ích hoặc ẩn trong phần mềm hợp pháp. Các ví dụ bao gồm Trojan truy cập từ xa (RAT), tạo ra một cửa sau bí mật trên thiết bị của nạn nhân hoặc Trojan nhỏ giọt, cài đặt phần mềm độc hại bổ sung sau khi chúng có được chỗ đứng trên hệ thống hoặc mạng mục tiêu.
• Spyware là một phần mềm độc hại cực kỳ bí mật, thu thập thông tin nhạy cảm, như tên người dùng, mật khẩu, số thẻ tín dụng và dữ liệu cá nhân khác, sau đó truyền lại cho kẻ tấn công mà nạn nhân không hề hay biết.
• Giun là các chương trình tự sao chép, tự động lan truyền sang các ứng dụng và thiết bị mà không cần sự tương tác của con người.

Tìm hiểu thêm về phần mềm độc hại

Kỹ thuật xã hội và lừa đảo

Thường được gọi là “sự hack của con người”, kỹ thuật xã hội thao túng các mục tiêu để thực hiện các hành động làm lộ thông tin bí mật, đe dọa sự thịnh vượng tài chính của chính họ hoặc tổ chức của họ hoặc làm tổn hại đến an ninh cá nhân hoặc tổ chức.

Lừa đảo là hình thức kỹ thuật xã hội nổi tiếng nhất và phổ biến nhất. Lừa đảo sử dụng email, tệp đính kèm email, tin nhắn văn bản hoặc cuộc gọi điện thoại lừa đảo để lừa mọi người chia sẻ dữ liệu cá nhân hoặc thông tin đăng nhập, tải xuống phần mềm độc hại, gửi tiền cho tội phạm mạng hoặc thực hiện các hành động khác có thể khiến họ tiếp xúc với tội phạm mạng.

Các loại lừa đảo phổ biến bao gồm:

• Spear lừa đảo—các cuộc tấn công lừa đảo có mục tiêu cao nhằm thao túng một cá nhân cụ thể, thường sử dụng thông tin chi tiết từ hồ sơ mạng xã hội công khai của nạn nhân để làm cho hành vi lừa đảo trở nên thuyết phục hơn.
• lừa đảo cá voi—lừa đảo giáo nhằm vào các giám đốc điều hành công ty hoặc cá nhân giàu có.
• Thỏa hiệp email doanh nghiệp (BEC)—các trò lừa đảo trong đó tội phạm mạng đóng giả là giám đốc điều hành, nhà cung cấp hoặc đối tác kinh doanh đáng tin cậy để lừa nạn nhân chuyển tiền hoặc chia sẻ dữ liệu nhạy cảm.

Một trò lừa đảo kỹ thuật xã hội phổ biến khác là giả mạo tên miền (còn gọi là giả mạo DNS), trong đó tội phạm mạng sử dụng trang web hoặc tên miền giả mạo mạo danh tên thật—ví dụ: 'applesupport.com' cho support.apple.com—để lừa mọi người nhập thông tin nhạy cảm. Email lừa đảo thường sử dụng tên miền giả mạo của người gửi để làm cho email có vẻ đáng tin cậy và hợp pháp hơn.

Tấn công trung gian (MITM) 

Trong cuộc tấn công trung gian, tội phạm mạng nghe lén kết nối mạng để chặn và chuyển tiếp tin nhắn giữa hai bên và đánh cắp dữ liệu. Mạng Wi-Fi không an toàn thường là nơi săn lùng thú vị cho các tin tặc muốn thực hiện các cuộc tấn công MITM.

Tấn công từ chối dịch vụ (DoS)

Tấn công từ chối dịch vụ là một cuộc tấn công mạng làm choáng ngợp một trang web, ứng dụng hoặc hệ thống với lượng truy cập gian lận, khiến việc sử dụng quá chậm hoặc hoàn toàn không khả dụng đối với người dùng hợp pháp. Một cuộc tấn công từ chối dịch vụ phân tán, hay tấn công DDoS, cũng tương tự ngoại trừ việc nó sử dụng mạng gồm các thiết bị hoặc bot được kết nối internet, bị nhiễm phần mềm độc hại, được gọi là botnet, để làm tê liệt hoặc làm hỏng hệ thống mục tiêu. 

Khai thác zero-day 

A khai thác không ngày là một loại tấn công mạng lợi dụng lỗ hổng zero-day—một lỗ hổng bảo mật chưa xác định hoặc chưa được khắc phục hoặc chưa được vá trong phần mềm, phần cứng hoặc chương trình cơ sở máy tính. “Ngày không” đề cập đến thực tế là nhà cung cấp phần mềm hoặc thiết bị có “ngày không”—hoặc không có thời gian—để sửa các lỗ hổng vì các tác nhân độc hại đã có thể sử dụng chúng để giành quyền truy cập vào các hệ thống dễ bị tấn công.

Một trong những lỗ hổng zero-day nổi tiếng nhất là Nhật ký4Shell, một lỗ hổng trong Apache được sử dụng rộng rãi log4j thư viện đăng nhập. Vào thời điểm được phát hiện vào tháng 2021 năm 4, lỗ hổng Log10Shell tồn tại trên XNUMX% tài sản kỹ thuật số toàn cầu, bao gồm nhiều ứng dụng web, dịch vụ đám mây và các điểm cuối vật lý như máy chủ.

Tìm hiểu thêm về cách phát hiện và vá lỗ hổng Log4j

Tấn công mật khẩu

Đúng như tên gọi, các cuộc tấn công này liên quan đến tội phạm mạng cố gắng đoán hoặc đánh cắp mật khẩu hoặc thông tin đăng nhập vào tài khoản của người dùng. Nhiều cuộc tấn công bằng mật khẩu sử dụng kỹ thuật xã hội để lừa nạn nhân vô tình chia sẻ dữ liệu nhạy cảm này. Tuy nhiên, tin tặc cũng có thể sử dụng các cuộc tấn công vũ phu để đánh cắp mật khẩu, liên tục thử các kết hợp mật khẩu phổ biến khác nhau cho đến khi thành công.

Tấn công Internet vạn vật (IOT)

Trong một cuộc tấn công IoT, tội phạm mạng khai thác các lỗ hổng trong thiết bị IoT, như thiết bị nhà thông minh và hệ thống điều khiển công nghiệp, để chiếm quyền điều khiển thiết bị, đánh cắp dữ liệu hoặc sử dụng thiết bị như một phần của mạng botnet cho các mục đích độc hại khác.

Các cuộc tấn công tiêm

Trong các cuộc tấn công này, tin tặc tiêm mã độc vào chương trình hoặc tải xuống phần mềm độc hại để thực thi các lệnh từ xa, cho phép chúng đọc hoặc sửa đổi cơ sở dữ liệu hoặc thay đổi dữ liệu trang web.

Có một số loại tấn công tiêm. Hai trong số phổ biến nhất bao gồm:

• Tấn công SQL SQL—khi tin tặc khai thác cú pháp SQL để giả mạo danh tính; lộ, giả mạo, phá hủy hoặc làm cho dữ liệu hiện có không khả dụng; hoặc trở thành quản trị viên máy chủ cơ sở dữ liệu.
• Tập lệnh trên nhiều trang web (XSS)—các kiểu tấn công này tương tự như các cuộc tấn công tiêm nhiễm SQL, ngoại trừ việc thay vì trích xuất dữ liệu từ cơ sở dữ liệu, chúng thường lây nhiễm sang những người dùng truy cập một trang web.

Nguồn gốc của các mối đe dọa an ninh mạng

Nguồn của các mối đe dọa mạng cũng đa dạng như các loại mối đe dọa mạng. Nhiều tác nhân đe dọa có mục đích xấu, trong khi những tác nhân khác—chẳng hạn như tin tặc có đạo đức hoặc các mối đe dọa nội bộ vô tình—có mục đích tích cực hoặc ít nhất là trung lập.

Biết được động cơ và chiến thuật của các tác nhân đe dọa khác nhau là điều quan trọng để ngăn chặn lộ trình của chúng hoặc thậm chí sử dụng chúng để làm lợi thế cho bạn.

Một số thủ phạm nổi tiếng nhất của các cuộc tấn công mạng bao gồm:

Tội phạm mạng

Những cá nhân hoặc nhóm này thực hiện tội phạm mạng, chủ yếu là vì lợi ích tài chính. Các tội phạm phổ biến do tội phạm mạng thực hiện bao gồm các cuộc tấn công bằng ransomware và lừa đảo lừa đảo nhằm lừa mọi người thực hiện chuyển tiền hoặc tiết lộ thông tin thẻ tín dụng, thông tin đăng nhập, sở hữu trí tuệ hoặc thông tin riêng tư hoặc nhạy cảm khác. 

Hackers

Hacker là người có kỹ năng kỹ thuật để xâm phạm mạng hoặc hệ thống máy tính.

Hãy nhớ rằng không phải tất cả tin tặc đều là kẻ đe dọa hoặc tội phạm mạng. Ví dụ: một số tin tặc—được gọi là tin tặc có đạo đức—về cơ bản mạo danh tội phạm mạng để giúp các tổ chức và cơ quan chính phủ kiểm tra hệ thống máy tính của họ để tìm lỗ hổng trước các cuộc tấn công mạng.

Các tác nhân quốc gia

Các quốc gia và chính phủ thường xuyên tài trợ cho những kẻ đe dọa với mục tiêu đánh cắp dữ liệu nhạy cảm, thu thập thông tin bí mật hoặc phá hoại cơ sở hạ tầng quan trọng của chính phủ khác. Những hoạt động độc hại này thường bao gồm hoạt động gián điệp hoặc chiến tranh mạng và có xu hướng được tài trợ nhiều, khiến các mối đe dọa trở nên phức tạp và khó phát hiện. 

Mối đe dọa nội bộ

Không giống như hầu hết tội phạm mạng khác, các mối đe dọa nội bộ không phải lúc nào cũng xuất phát từ các tác nhân độc hại. Nhiều người trong nội bộ đã gây tổn hại cho công ty của họ do lỗi của con người, chẳng hạn như vô tình cài đặt phần mềm độc hại hoặc làm mất thiết bị do công ty cấp mà tội phạm mạng tìm thấy và sử dụng để truy cập mạng.

Điều đó nói lên rằng, những kẻ nội gián độc hại vẫn tồn tại. Ví dụ: một nhân viên bất mãn có thể lạm dụng các đặc quyền truy cập để kiếm tiền (ví dụ: thanh toán từ tội phạm mạng hoặc quốc gia), hoặc đơn giản là để trả thù hoặc trả thù.

Đi trước các cuộc tấn công mạng

Mật khẩu mạnh, các công cụ bảo mật email và phần mềm chống vi-rút đều là những tuyến phòng thủ quan trọng đầu tiên chống lại các mối đe dọa trên mạng.

Các tổ chức cũng dựa vào tường lửa, VPN, xác thực nhiều yếu tố, đào tạo nâng cao nhận thức về bảo mật và các chương trình nâng cao khác bảo mật điểm cuối và an ninh mạng giải pháp bảo vệ chống lại các cuộc tấn công mạng.

Tuy nhiên, không có hệ thống bảo mật nào hoàn chỉnh nếu không có khả năng phát hiện mối đe dọa và ứng phó sự cố tiên tiến nhất để xác định các mối đe dọa an ninh mạng trong thời gian thực, đồng thời giúp nhanh chóng cô lập và khắc phục các mối đe dọa nhằm giảm thiểu hoặc ngăn chặn thiệt hại mà chúng có thể gây ra.

IBM Security® QRadar® SIEM áp dụng công nghệ máy học và phân tích hành vi người dùng (UBA) cho lưu lượng truy cập mạng cùng với nhật ký truyền thống để phát hiện mối đe dọa thông minh hơn và khắc phục nhanh hơn. Trong một nghiên cứu gần đây của Forrester, QRadar SIEM đã giúp các nhà phân tích bảo mật tiết kiệm hơn 14,000 giờ trong ba năm bằng cách xác định các kết quả dương tính giả, giảm 90% thời gian điều tra sự cố và giảm 60% nguy cơ gặp phải vi phạm bảo mật nghiêm trọng.* Với QRadar SIEM, các nhóm bảo mật có nguồn lực hạn chế có khả năng hiển thị và phân tích mà họ cần để phát hiện các mối đe dọa nhanh chóng và thực hiện hành động ngay lập tức, sáng suốt để giảm thiểu tác động của một cuộc tấn công.

Tìm hiểu thêm về IBM QRadar SIEM

*Các Tác động kinh tế tổng thể™ của IBM Security QRadar SIEM là một nghiên cứu được ủy quyền do Forrester Consulting thay mặt cho IBM thực hiện vào tháng 2023 năm 4. Dựa trên kết quả dự kiến ​​của một tổ chức tổng hợp được mô hình hóa từ XNUMX khách hàng IBM được phỏng vấn. Kết quả thực tế sẽ khác nhau tùy theo cấu hình và điều kiện của khách hàng, do đó, nhìn chung không thể cung cấp kết quả như mong đợi.